39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Лаборатории Касперского представили результаты нового аналитического исследования из серии отчетов в отношении актуальных трендов в фишинге и скаме.
С момента предыдущей публикации по приемам фишеров произошел значительный рывок в развитии подобного рода угроз.
Несмотря на то, что многие ранее описанные инструменты по-прежнему остаются актуальными, появились новые техники, изменились цели атак и способы их реализации.
Фишинг и скам - это достаточно динамичные виды онлайн-мошенничества, они стремительно эволюционируют благодаря ИИ и новым технологиям.
Злоумышленники на системной основе изобретают как новые, более сложные схемы, так и улучшают старые, адаптируя их под новостную повестку, тренды и громкие мировые события.
Если раньше мошенники ограничивались поддельными письмами и сайтами, то сегодня они используют дипфейки, голосовые клоны, крадут биометрию и выманивают данные пользователей в несколько этапов.
В своем отчете исследователи выделяют следующие главные тенденции:
- Персонализация атак: ИИ анализирует соцсети и корпоративные данные, делая фишинг максимально правдоподобным.
- Использование легитимных сервисов: злоумышленники эксплуатируют доверенные платформы, такие как Google Translate и Telegraph.
- Кража неизменяемых данных: биометрия, подписи и голос становятся желанными целями.
- Усложнение обхода 2FA: мошенники внедряют многоэтапные схемы социнженерии.
Влияние ИИ на фишинг и скам, последние изменения в инструментарии злоумышленников, роль мессенджеров и приоритеты мошенников - все это в отчете.
Подкатил PatchTuesday в категории ICS и OT за август 2025 года от основных поставщиков, включая Siemens, Schneider, Aveva, Honeywell, ABB и Phoenix Contact.
Siemens опубликовала 22 новых бюллетеня, один из которых описывает CVE-2025-40746 - критическую уязвимость в Simatic RTLS Locating Manager, которую может использовать аутентифицированный злоумышленник для выполнения кода с системными привилегиями.
Компания также опубликовала рекомендации, касающиеся уязвимостей высокой степени серьезности в Comos (RCE), Siemens Engineering Platforms (RCE), Simcenter (DoS или RCE), контроллерах Sinumerik (несанкционированный удаленный доступ), Ruggedcom (обход аутентификации с физическим доступом), Simatic (RCE), Siprotect (DoS) и Opcenter Quality (несанкционированный доступ).
Siemens также устранила уязвимости, связанные со сторонними компонентами, включая OpenSSL, ядро Linux, Wibu Systems, Nginx, Nozomi Networks и SQLite.
Устранены проблемы средней и низкой степени серьезности в Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II и Sicam Q.
Schneider Electric выпустила пять новых бюллетеней. В одном из них описаны четыре высокосерьезные уязвимости в EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation. Эксплуатация может привести к RCE или раскрытию конфиденциальных данных.
В контроллере Modicon M340 и его коммуникационных модулях устранена опасная DoS-уязвимость, которая может быть вызвана специально созданными FTP-командами, а также проблема высокой степени серьезности, приводящая к раскрытию конфиденциальной информации или DoS.
В инструменте Schneider Electric Software Update компания устранила уязвимость высокой степени серьезности, которая позволяла злоумышленнику повысить привилегии, повредить файлы, получить информацию или вызвать DoS.
В Saitel и EcoStruxure были исправлены проблемы средней степени серьезности, которые могли привести к EoP, DoS или раскрытию конфиденциальных учетных данных.
Honeywell опубликовала шесть бюллетеней, посвящённых продуктам SCADA, в том числе несколько бюллетеней, информирующих об обновлениях Windows для продуктов Maxpro и Pro-Watch NVR и VMS.
Компания также выпустила бюллетени, посвящённые обновлениям и улучшениям безопасности для контроллеров доступа серии PW.
Aveva выкатила уведомление о двух проблемах в PI Integrator for Business Analytics. Были устранены две уязвимости: одна - с произвольной загрузкой файлов, которая могла привести к RCE, и другая - приводящяя к раскрытию конфиденциальных данных.
ABB сообщала о нескольких уязвимостях, затрагивающих Aspect, Nexus и Matrix.
Некоторые из них могут быть использованы без аутентификации для RCE, получения учётных данных, а также для манипулирования файлами и различными компонентами.
Phoenix Contact предупредила клиентов об уязвимости, связанной с EoP в системе управления устройствами и обновлениями.
Rockwell Automation анонсирвоала предупреждение для клиентов в отношении нескольких серьезных уязвимостей выполнения кода, влияющих на Arena Simulation.
Также предупреждение выпустила Mitsubishi Electric, описывая в нем уязвимость, приводящую к подмене информации в продуктах Genesis и MC Works64.
Fortinet предупреждает об уязвимости удаленного внедрения неаутентифицированных команд в FortiSIEM с эксплойтом в открытом доступе.
FortiSIEM - это централизованная система мониторинга и аналитики безопасности, используемая для регистрации событий, сетевой телеметрии и оповещений об инцидентах безопасности.
Решение широко используется в госсекторе, крупными предприятиями, финансовыми учреждениями, поставщиками медицинских услуг и управляемых услуг безопасности (MSSP).
Уязвимость отслеживается как CVE-2025-25256 и имеет CVSS: 9.8, затрагивая несколько веток SIEM, от 5.4 до 7.3.
Ошибка связана с неправильной нейтрализацией специальных элементов и может позволить неаутентифицированному злоумышленнику выполнить код или команды с помощью специально созданных запросов CLI.
Несмотря на то, что Fortinet прямо не заявляет о ее эксплуатации в качестве 0-day, но подтверждает существование функционального эксплойта.
Кроме того, по данным Fortinet, эксплуатация этой уязвимости не приводит к появлению особых индикаторов компрометации, позволяющих определить, было ли устройство скомпрометировано.
Причем раскрытие произошло на фоне фиксации GreyNoise масштабного брута, нацеленного на сначала на SSL-VPN Fortinet, а затем - на FortiManager.
Но пока неясно, связано ли раскрытие Fortinet уязвимости CVE-2025-25256 с отчетом GreyNoise.
Учитывая доступность PoC пользователям решения следует как можно скорее накатить последние обновления для CVE-2025-25256, выполнив обновление до одной из следующих версий FortiSIEM: 7.3.2, 7.2.6, 7.1.8, 7.0.4 и 6.7.10
При этом версии FortiSIEM 5.4-6.6 также уязвимы, но больше не поддерживаются и не получат исправлений для устранения этой уязвимости.
Fortinet также предложила обходной путь ограничения доступа к phMonitor через порт 7900, указав, что это точка входа для вредоносной эксплуатации.
В последнем номере журнала Phrack, представленном на конференции DEF CON 33 в Лас-Вегасе, от имени хакеров Saber и cyb0rg была широко анонсирована сравнимая с iSOON утечка, предположительно, связанная с деятельностью северокорейской APT Kimsuky.
Разоблачители якобы выкрали данные с VPS-сервера, который задействовался APT в качестве бэкэнда в ходе проведения своих киберопераций.
Первая часть уже обнародована, вторую также реализуют через журнал Phrack на этой неделе.
Дамп объемом 8,9 ГБ, в настоящее время размещенный на сайте Distributed Denial of Secrets, включает почти 20 000 записей истории браузеров Chrome и Brave злоумышленника, руководство по эксплуатации бэкдора, пароли и адреса электронной почты, а также учетные данные для различных инструментов.
Кроме того, слиты данные об атаках и журналы различных фишинговых кампаний, бэкдор ядра TomCat, загрузчики Cobalt Strike, обратные оболочки, прокси-модули Onnara и бэкдор Ivanti Control (RootRot), а также файлы модификации Android Toybox группировки и различных эксплойтов, в том числе Bushfire.
Ознакомившиеся с материалами исследователи полагают, что группа также могла задействоваться в операциях, проводимых в интересах Китая, а в её составе могут фигурировать также китайскоязычные участники.
Некоторые при этом вообще связывают утечку с китайским злоумышленником.
Безусловно, инцидент вряд ли окажет серьезное влияние на деятельность Kimsuky (если все же достоверность данных будет подтверждена), но может привести определенным к операционным сложностям в текущих кампаниях. Но будем, конечно, посмотреть.
В кейсе XSS-форума обновления.
Команда модераторов недавно захваченного силовиками хакерского форума XSS пытается вернуться под брендом DamageLib.
Как утверждается, у XSS теперь новый администратор и адрес.
При этом исходный сайт всё ещё продолжает работать под патронажем старого админа, и вся инфраструктура и сервисы были перенесены и восстановлены.
Модераторы же заявляют, что сайт был скомпрометирован. Они создали новый из дампа, но база данных пользователей не была восстановлена, и депозиты не были переведены.
Подкатили ежемесячные обновления от Microsoft в рамках PatchTuesday за август 2025 года с исправлениями для 107 уязвимостей, включая одну публично раскрытую 0-day в Windows Kerberos.
В целом, исправлены 13 критических уязвимостей, 9 из которых это RCE, 3 - раскрытия информации и 1 - повышения привилегий.
При этом большинство из критических на самом деле имеют высокий уровень серьёзности согласно рейтингу CVSS, за исключением CVE-2025-53766 - уязвимости RCE в компоненте Windows GDI+, имеющей рейтинг CVSS 9,8.
По данным инициативы ZDI Trend Micro, уязвимость CVE-2025-53766 может эксплуатироваться, если заставить целевого пользователя посетить вредоносный сайт или открыть вредоносный документ.
Другая уязвимость из категории критических, - CVE-2025-50165, затрагивает графический компонент Windows и допускает RCE.
Для её эксплуатации пользователю необходимо просмотреть специально созданное изображение. Microsoft присвоила ей уровень серьёзности «важный».
Другие уязвимости, реализующие RCE, - это CVE-2025-53740 и CVE-2025-53731, влияют на Office и могут быть использованы через панель предварительного просмотра.
Ещё одна уязвимость, на которую стоит обратить внимание, - CVE-2025-49712, RCE-уязвимость, влияющая на SharePoint. ZDI отметил, что она похожа на уязвимость, которая недавно эксплуатировалась в рамках цепочки эксплойтов ToolShell.
Среди уязвимостей, отмеченных корпорацией Microsoft как критические, также включает несколько проблем Hyper-V (раскрытие информации, подмена и RCE), а также ошибку раскрытия информации в Azure Stack Hub.
Общее распределение всех проблем выглядит следующим образом: 44 - EoP, 35 - RCE, 18 - раскрытие информации, 4 - DoS, 9 - спуфинг.
Как упоминалось, представленный PatchTuesday закрывает (на этот раз всего лишь) одну публично раскрытую 0-day в Microsoft SQL Server, которая отслеживается как CVE-2025-53779 и позволяет аутентифицированному злоумышленнику получить права администратора домена.
Microsoft утверждает, что для ее эксплуатации злоумышленнику потребуется иметь расширенный доступ к следующим атрибутам dMSA: msds-groupMSAMembership (атрибут обеспечивает использование dMSA) и msds-ManagedAccountPrecededByLink (позволяет указать пользователя, от имени которого может действовать dMSA).
Microsoft приписывает обнаружение этой уязвимости Ювалю Гордону из Akamai, который, в свою очередь, также выкатил свой технический отчет еще в мае.
Полное описание каждой уязвимости и затрагиваемых систем - здесь.
Как оказывается, в кейсе с Citrix NetScaler в течение последних двух лет реализуются две волны классических атак на цепочку мудаков, а возможно даже уже три.
Более 3300 устройств Citrix NetScaler остаются без исправлений критической уязвимости, которая позволяет злоумышленникам обходить аутентификацию путем перехвата сеансов пользователей, даже после вышедших два месяца исправлений.
Ошибка чтения за пределами выделенной памяти, известная как CVE-2025-5777 и именуемая как CitrixBleed 2, обусловлена недостаточной проверкой входных данных, что позволяет неавторизированным злоумышленникам получать удаленный доступ к ограниченным областям памяти на устройствах, настроенных как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальный сервер AAA.
Успешная эксплуатация этой уязвимости позволяет злоумышленникам красть токены сеансов, учетные данные и другие конфиденциальные данные из общедоступных шлюзов и виртуальных серверов, перехватывая сеансы пользователей и обходя таким образом MFA.
PoC-эксплойты, нацеленные на CVE-2025-5777, были выпущены уже через две недели после обнаружения уязвимости, а пользователей при этом предупредили об использовании ее в качестве нуля за несколько недель до выпуска этих эксплойтов.
Еще ранее аналогичная уязвимость Citrix, известная как CitrixBleed, также использовалась два года назад для массовых взломов устройств NetScaler, в том числе бандами вымогателей.
Но невзирая на столь печальную статистику, специалисты Shadowserver Foundation констатировали наличие 3312 устройств Citrix NetScaler, по-прежнему, уязвимых для CVE-2025-5777.
Более того, Shadowserver также обнаружила 4142 устройства, оставшихся без исправления для другой свежей критической уязвимости CVE-2025-6543, которая активно задействуется для проведения DoS и RCE атак.
🥷 2025 Ransomware Risk Report от Semperis:
В 40% случаев ransomware-группировки запугивают жертв физической расправой или угрожают.
Исследователи Eclypsium раскрыли новую атаку, получившую название BadCam, которая нацелена на веб-камеры на базе Linux для реализации BadUSB.
В ходе атаки BadUSB злоумышленник модифицирует прошивку безобидного на вид USB-устройства, например, флеш-накопителя или клавиатуры для выполнения вредоносных команд при подключении к компьютеру.
Устройство BadUSB может использоваться для запуска вредоносного ПО, повышения привилегий, внедрения нажатий клавиш и кражи ценных данных с целевого компьютера.
Исследователи Eclypsium обнаружили вариант атаки, только нацеленный на веб-камеры на базе Linux.
Для демонстрации использовали веб-камеры Lenovo 510 FHD и Lenovo Performance FHD Web, которые работают на базе SoC и прошивки от китайской SigmaStar.
Метод, получивший название BadCam, не требует физического доступа к USB-устройству, которое будет использовано в качестве кибероружия, как в случае типичных атак BadUSB.
Вместо этого злоумышленник, способный удаленно выполнить код на компьютере, может перепрошить прошивку подключенной веб-камеры и превратить ее в устройство BadUSB.
Как отмечают в Eclypsium, злоумышленники могут достичь гораздо более высокого уровня устойчивости в рамках BadCam, чем при использовании других методов.
После того, как злоумышленник модифицирует прошивку, веб-камеру можно использовать для повторного заражения хост-компьютера.
Даже если операционная система будет переустановлена, злоумышленник сможет постоянно повторно заражать его.
В случае с камерами Lenovo атака возможна из-за отсутствия проверки подписи прошивки.
Злоумышленник может использовать две команды, присутствующие в программе обновления прошивки, чтобы легко установить вредоносную прошивку с скомпрометированного компьютера.
Ресерчеры указали, что уязвимость ядра Linux (CVE-2024-53104), которая, как известно, эксплуатируется в реальных условиях, может быть использована для получения контроля над хостом с целью развертывания вредоносной прошивки на подключенной USB-камере.
После получения уведомления Lenovo присвоила уязвимости идентификатор CVE-2025-4371.
Компания устранила проблему, выпустив прошивку версии 4.8.0.
Исследования Eclypsium, безусловно, были сфокусированы на веб-камерах Lenovo, однако другие камеры и периферийные USB-устройства под управлением Linux также могут быть потенциально уязвимы.
Результаты своей работы исследователи Eclypsium представили на хакерской конференции DEF CON, а также выкатили отдельный пост у себя в блоге.
Более 29 000 доступных в глобальной сети серверов Exchange остаются непротпатченными и уязвимыми для CVE-2025-53786, реализуя риски полной компрометации домена.
Уязвимость позволяет злоумышленникам с административным доступом к локальным серверам Exchange, повышать привилегии в подключенной облачной среде путем манипулирования доверенными токенами или вызовами API, не оставляя следов и не затрудняя обнаружение.
CVE-2025-53786 затрагивает Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition, которая заменяет модель бессрочной лицензии на модель на основе подписки в гибридных конфигурациях.
Уязвимость была обнаружена после того, как в апреле 2025 года Microsoft выпустила руководство и исправление для сервера Exchange в рамках своей инициативы SFI с поддержкой новой архитектуры с использованием специального гибридного приложения, заменяющего небезопасную общую идентификацию, ранее применявшуюся локальными Exchange Server и Exchange Online.
Microsoft пока не удалось обнаружить доказательства злоупотреблений при атаках, но уязвимость по-прежнему имеет отметку «эксплуатация более вероятна», что также относится к возможности появления вполне себе работающего эксплойта.
Особенно если учитывать, что, по данным Shadowserver, более 29 000 серверов Exchange до сих пор не имеют исправлений для защиты от потенциальных атак с использованием CVE-2025-53786.
Из 29098 непропатченных серверов, обнаруженных к 10 августа, более 7200 находились в США, 6700 - в Германии и более 2500 - в России.
Ресерчеры Лаборатории Касперского представили свое видение актуальных трендов информационной безопасности современных автомобилей.
Современные автомобили все активнее стремятся стать полноценными гаджетами на колесах.
Расширяется и спектр разнообразных интеллектуальных систем и сервисов, обеспечивающих безопасность участников дорожного движения.
Все эти системы, призванные сделать вождение более удобным и безопасным, реализованы с помощью цифровых технологий, которые увеличивают поверхность атаки автомобиля.
Ландшафт угроз современного автомобиля определяется во многом его внутренним устройством.
С этой точки зрения автомобиль можно упрощенно представить как набор компьютеров, связанных между собой сетью передачи данных и установленных на передвижную платформу с колесами и двигателем.
Причем они не только решают вычислительные задачи во взаимодействии с пользователем через человеко-машинный интерфейс, но и управляют платформой, на которой они установлены.
Поэтому, получив удаленное управление автомобилем, злоумышленник может не только украсть данные пользователя, но и создать потенциально аварийную ситуацию на дороге.
Однако угроза преднамеренных действий, нацеленных на функциональную безопасность автомобиля, к счастью для автовладельцев, повседневной реальностью не становится.
Во всяком случае пока, но ситуация, по всей видимости, будет меняться скоротечно.
Может ли ситуация кардинально поменяться в обозримом будущем? И что вообще такое современный автомобиль как объект информационной безопасности?
Ответы на эти и другие вопросы - в отчете на Kaspersky ICS CERT.
Внушительный список статусных жертв вредоносной кампании, связанной с атаками на Salesforce, пополнили авиакомпании Air France и KLM, которые на днях подтвердили утечку, произошедшую в результате несанкционированного доступа к сторонней платформе.
По данным компаний, неназванная платформа для обслуживания клиентов была взломана неизвестными злоумышленниками, которые получили доступ к установочным данным клиентов, контактной информации, служебной переписке и программе лояльности Flying Blue.
При этом конфиденциальная информация, включая пароли, паспорта, данные кредитных карт, сведения о поездках или мили Flying Blue, не была скомпрометирована.
KLM базируется в Нидерландах, а Air France - во Франции, обе входят в одну группу авиакомпаний.
Представители KLM и Air France пока не разглашают дополнительных подробностей атак, но очевидно, что причиной стала сторонняя CRM.
Специалисты полагают, что атаками стоят ShinyHunters (возможно связанные с Scattered Spider), которые нацелены на уязвимые экземпляры Salesforce.
Причем о фокусировании Scattered Spider на авиаотрасль уже сообщалось ранее ведущими инфосек-компаниями.
Причем атаки на Salesforce не предполагают использования каких-либо уязвимостей или доступа к системам поставщика.
Вместо этого хакеры задействуют фишинг и социнженерию для получения доступа к целевым объектам.
Французам досталось особенно сильно, поскольку помимо авиасектора хакеры успешно препарировали одну из крупнейших телекоммуникационных компаний с 27 млн. абонентов мобильной связи.
Речь идет о Bouygues.
Компания обнаружила кибератаку 4 августа.
Предварительные результаты расследования указывают на получение актором доступа к информации, связанной с аккаунтами клиентов (контактные данные, данные о договорах и номера банковских счетов (IBAN).
Согласно официальному заявлению Bouygues, в общей сложности инцидент затронул 6,4 миллиона клиентов, которые были незамедлительно уведомлены об утечке их данных.
На данный момент ни одна известная банда вымогателей не взяла на себя ответственность за атаку на Bouygues, как и в случае с недавней атакой на другого крупного оператора - Orange.
В SonicWall пришли к выводу, что никакой 0-day не существует, а недавние атаки Akira ransomware на межсетевые экраны Gen 7 с включенным SSLVPN полагаются на прошлогоднюю уязвимость.
Компания утверждает, что злоумышленники нацелены на CVE-2024-40766, позволяющую несанкционированный доступ, которая была исправлена в августе 2024 года (раскрыта и задокументирована в бюллетене SNWLID-2024-0015).
CVE‑2024‑40766 - критическая уязвимость управления доступом SSLVPN в SonicOS, которая позволяет осуществлять несанкционированный доступ к уязвимым конечным точкам, что позволяет злоумышленникам перехватывать сеансы или получать доступ к VPN в защищенных средах.
Уязвимость широко эксплуатировалась после ее обнаружения примерно год назад, в том числе операторами Akira и Fog, которые использовали ее для взлома корпоративных сетей.
В пятницу Arctic Wolf Labs впервые намекнула на возможное существование 0-day в брандмауэрах SonicWall Gen 7, заметив определенные закономерности в атаках Akira.
SonicWall быстро подтвердила текущую кампанию и посоветовала клиентам отключить службы SSL VPN, также ограничить подключение доверенными IP-адресами, пока ситуация не прояснится.
После расследования более 40 инцидентов поставщик убедился в отсутствии каких-либо нулей в своих продуктах, полагая, что Akira нацеплена на конечные точки, которые не получили исправления для CVE-2024-40766 при переходе с межсетевых экранов Gen 6 на Gen 7.
Многие инциденты связаны с миграцией с межсетевых экранов Gen 6 на Gen 7, когда пароли локальных пользователей переносились во время миграции и не сбрасывались. Сброс паролей был критически важным шагом, описанным в первоначальном сообщении.
Рекомендуемым действием сейчас является обновление прошивки до версии 7.3.0 или более поздней, которая имеет более надежную защиту от подбора паролей и MFA, а также сброс всех локальных паролей пользователей, особенно тех, которые используются для SSLVPN.
Тем не менее, многие пользователи на Reddit выразили сомнения относительно достоверности заявлений поставщика, заявляя обратное по результатам собственных расследований.
Некоторые отмечают нарушения безопасности учетных записей, которых не было до перехода на межсетевые экраны Gen 7. При этом сообщая об отказе со стороны SonicWall в проверках их журналов.
Так что будем следить.
Новый метод проксирования и маскировки каналов C2 под названием Ghost Calls задействует серверы TURN, используемые приложениями для ВКС (прежде всего, Zoom и Microsoft Teams) для туннелирования трафика через доверенную инфраструктуру.
Ghost Calls использует легальные учетные данные, WebRTC и специальные инструменты для обхода большинства существующих мер защиты и противодействия злоупотреблениям, не прибегая к эксплойтам.
Новую тактику раскрыл исследователь из Praetorian Адам Кроссер на конференции BlackHat USA, отметив, что технология может теперь использоваться Red Team в проведении пентестов.
Кроссер отметило, что используя протоколы веб-конференций, которые разработаны для общения в реальном времени с малой задержкой и работают через глобально распределенные медиасерверы, реализуется функция естественных ретрансляторов трафика.
Этот подход позволяет операторам интегрировать интерактивные сеансы C2 в обычные схемы корпоративного трафика, представляя их всего лишь как временно активную онлайн-конференцию.
TURN (обход с использованием реле в обход NAT) - сетевой протокол, обычно используемый службами видеозвонков, VoIP и WebRTC, который помогает устройствам за брандмауэрами NAT взаимодействовать друг с другом, когда прямое соединение невозможно.
Когда клиент Zoom или Teams присоединяется к ВКС, он получает временные учетные данные TURN, которые Ghost Calls может перехватить, чтобы настроить туннель WebRTC на основе TURN между злоумышленником и жертвой.
Затем этот туннель можно использовать для проксирования произвольных данных или маскировки трафика C2 под обычный трафик видеоконференций через доверенную инфраструктуру, используемую Zoom или Teams.
Поскольку трафик маршрутизируется через легитимные домены и IP-адреса, широко используемые в корпоративной среде, вредоносный трафик может обойти межсетевые экраны, прокси-серверы и проверку TLS.
Кроме того, трафик WebRTC зашифрован, поэтому надёжно скрыт.
Злоупотребляя этими инструментами, злоумышленники также избегают раскрытия своих собственных доменов и инфраструктуры, получая высокопроизводительное, надежное подключение и гибкость использования как UDP, так и TCP через порт 443.
Для сравнения, традиционные механизмы C2 достаточно медленные, заметные и часто не обладают возможностями обмена в реальном времени, необходимыми для обеспечения операций VNC.
Исследования Кроссера привели также к разработке пользовательской утилиты с открытым исходным кодом (доступна на GitHub) под названием TURNt, которую можно использовать для туннелирования трафика C2 через серверы WebRTC TURN, предоставляемые Zoom и Teams.
TURNt состоит из двух компонентов: контроллера, работающего на стороне злоумышленника, и реле, развернутого на скомпрометированном хосте.
Контроллер использует прокси-сервер SOCKS для приема подключений, проходящих через TURN. Relay подключается к контроллеру, используя учётные данные TURN, и настраивает канал передачи данных WebRTC через TURN-сервер провайдера.
TURNt может выполнять проксирование SOCKS, локальную или удаленную переадресацию портов, кражу данных и обеспечивать скрытое туннелирование трафика VNC.
Разработчики Zoom или Microsoft Teams пока никак не комментируют результаты исследования и не ясно будут ли с их стороны предприниматься какие-либо меры безопасности (учитывая, что Ghost Calls не базируется на уязвимостях в продуктах).
Trend Micro информирует клиентов о необходимости немедленно защитить свои системы от активно эксплуатируемой RCE-уязвимости в своей платформе Apex One.
Apex One - это платформа для обеспечения безопасности конечных точек, предназначенная для автоматического обнаружения и реагирования на угрозы, включая вредоносные инструменты, вредоносное ПО и уязвимости.
Критическая уязвимость отслеживается как CVE-2025-54948 и CVE-2025-54987 (в зависимости от архитектуры ЦП) и связана с внедрением команд в консоль управления Apex One (локальную), которая позволяет предварительно аутентифицированным злоумышленникам удаленно выполнять произвольный код в системах, на которых работает неисправленное ПО.
Trend Micro при этом еще не выпустила обновлений для исправления этой активно эксплуатируемой уязвимости, поделившись только инструментом для краткосрочного снижения риска попыток ее эксплуатации.
Японский CERT также выпустил предупреждение об активной эксплуатации двух уязвимостей, призывая пользователей как можно скорее их устранить (правда, не упоминая, что обновления еще разработаны).
Заявленные меры по смягчению, конечно, защищают от известных уязвимостей, но лишают администраторов возможности использовать функцию удаленной установки агента для развертывания агентов из консоли управления Trend Micro Apex One.
По данным, Trend Micro зафиксирован как минимум один случай попытки активного использования одной из этих уязвимостей в реальных условиях.
Компания намерена выпустить исправление примерно в середине августа, которое также восстановит функциональность Remote Install Agent, отключенную временным инструментом устранения уязвимости.
До тех пор, пока не будет выпущено исправление Trend Micro настоятельно рекомендует администраторам незамедлительно принять меры по защите уязвимых конечных точек, даже если это означает временную потерю возможностей удаленного управления.
Учитывая, что для использования уязвимости злоумышленнику необходимо иметь доступ к консоли управления Trend Micro Apex One, клиентам, IP-адрес консоли которых доступен извне, следует рассмотреть смягчающие факторы: ограничения на источники, если они еще не применены.
Однако, даже несмотря на то, что для использования уязвимости может потребоваться выполнение ряда определённых условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок.
Исследователи из Лаборатории Касперского расчехлили новый троян Efimer, нацеленный на кражу криптовалюты и обладающий возможностями массового распространения через взлом WordPress-сайтов и размещаемые на них вредоносные файлы.
Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.
В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.
В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.
Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.
После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.
Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.
Первые версии этого троянца появились, предположительно, в октябре 2024 года.
По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.
Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.
Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.
Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.
Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.
В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.
При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.
Технические подробности и разбор Efimer - в отчете.
Исследователи из Imperva и Тель-Авивского университета в Израиле разработали новый вектор массированных DDoS-атак, использующий недостатки в реализации HTTP/2, который сравним по эффективности с Rapid Reset.
Атака, получившая название MadeYouReset, действительно похожа на уже известную Rapid Reset, которая в 2023 году использовалась в 0-day атаках, побивших рекорды DDoS по количеству запросов в секунду (RPS).
Как отмечает CERT/CC Университета Карнеги-Меллона в своем бюллетене, HTTP/2 представил отмену потока - возможность как клиента, так и сервера немедленно закрыть поток в любой момент.
Однако после отмены потока многие реализации продолжают обрабатывать запрос, вычислять ответ, но не отправляют его обратно клиенту.
Это создаёт несоответствие между количеством активных потоков с точки зрения HTTP/2 и фактическим количеством активных HTTP-запросов, обрабатываемых внутренним сервером».
Открывая потоки и затем быстро запуская их сброс сервером с помощью искажённых кадров или ошибок управления потоком, злоумышленник может воспользоваться несоответствием, возникающим между учётом потоков HTTP/2 и активными HTTP-запросами сервера.
Потоки, сброшенные сервером, считаются закрытыми, даже если внутренняя обработка продолжается. Это позволяет клиенту заставить сервер обрабатывать неограниченное количество одновременных HTTP/2-запросов в рамках одного соединения.
Злоумышленник может постоянно отправлять запросы на сброс настроек на целевой сервер, что приводит к крайне разрушительным DDoS-атакам.
Однако, в отличие от Rapid Reset, метод MadeYouReset, судя по всему, не использовался в реальных условиях.
Основная уязвимость отслеживается как CVE-2025-8671, но некоторые затронутые ею поставщики присвоили собственные идентификаторы CVE.
В категории затронутых оказались: AMPHP, Apache Tomcat, Eclipse Foundation, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River и Zephyr Project.
При этом разработчики Apache Tomcat, F5, Fastly и Varnish уже выпустили исправления, в отличие от остальных упомянутых.
Mozilla работает над исправлениями для затронутых сервисов и веб-сайтов, но отметила, что Firefox не затронут.
В свою очередь, Imperva отметила, что MadeYouReset смешивается с обычным трафиком, что затрудняет его обнаружение.
Вектор атаки позволяет обойти многие существующие средства защиты, но существует ряд мер по снижению риска и другие решения, которые способны предотвратить MadeYouReset.
😟 Первый хакер на службе КГБ.
• В одном из эпизодов биографии Кевина Митника вскользь упоминался немецкий хакерский клуб CCC, Chaos Computer Club. Это возникшее в ФРГ 80-х годов сообщество компьютерных энтузиастов здравствует и поныне.
• В ранней истории CCC хватает интересных страниц — и некоторые из них касаются хакера из Гамбурга по имени Карл Кох. Он не слишком известен за пределами Германии — но среди немцев, особенно увлекающихся хакерством и теориями заговора, его имя и история по сей день вызывают интерес. Российской же аудитории он известен мало и не вполне заслуженно — в конце концов, он и его коллеги являются первыми хакерами, которые работали на отечественные спецслужбы и добывали для КГБ СССР секреты американского ВПК.
• Биография и история Карла в мельчайших подробностях расписана на хабре. Я долго следил за автором и ждал пока будет опубликована финальная часть рассказа. Финал вышел недавно, поэтому делюсь с вами ссылками и рекомендую к прочтению, так как материал крайне интересный:
➡Часть 1 [7 min];
➡Часть 2 [14 min];
➡Часть 3 [12 min];
➡Часть 4 [10 min];
➡Часть 5 [13 min];
➡Часть 6 [13 min];
➡Часть 7 [12 min];
➡Часть 8 [13 min];
➡Часть 9 [13 min];
S.E. ▪️ infosec.work ▪️ VT
Похоже, GitHub теряет свою независимость.
Microsoft передает GitHub под свою команду CoreAI после того, как генеральный директор GitHub Томас Домке ушел в отставку на этой неделе без назначения преемника на должность CEO.
По всей видимости, GitHub, включающий более чем 1 млрд репозиториев и форков, 150 млн разработчиков, будут глубоко интегрировать в основную структуру корпорацию под руководство профильных топ-менеджеров Microsoft.
Одна часть ляжет под подразделение разработки во главе с Джулией Льюсон, другая - под вице-президента по ИИ, что явно отражает стратегию широкого вовлечения в проекты Microsoft в области ИИ-решений и облачной платформы Azure.
Заявляется о формировании целой экосистемы ИИ-сервисов для отладки, тестирования и развёртывания приложений.
Но о нейтральности теперь стоит позабыть, рисуется почти безальтернативный стандарт для нового поколения разработчиков на самом фундаментальном уровне.
Исследователям Profero удалось взломать шифрование DarkBit ransomware, что позволило по итогу восстановить файлы жертвы без уплаты выкупа.
Это произошло еще в 2023 году в рамках реагирования на инцидент и расследования атаки в отношении одного из их клиентов, в чьей инфраструктуре банда зашифровала несколько серверов VMware ESXi.
Хронология кибератаки позволяет предположить, что она стала ответом на удары беспилотников в Иране, совершенные в 2023 году по предприятиям Министерства обороны Ирана.
Тогда хакеры DarkBit выкатывали требования о выкупе в 80 биткоинов, атакуя уякбные заведения в Израиле, а национальное киберкомандование связало атаки DarkBit с иранской государственной хакерской APT MuddyWater.
В случае, которым занимались исследователи, злоумышленники вовсе не вели переговоров о выкупе, а, по всей видимости, были больше заинтересованы в нанесении максимального ущерба работе систем.
На момент атаки дешифратора для DarkBit не было, поэтому Profero решила анализировать вредоносное ПО на предмет потенциальных уязвимостей.
DarkBit использует уникальный ключ AES-128-CBC и вектор инициализации (IV), генерируемые во время выполнения для каждого файла, шифруются с помощью RSA-2048 и добавляются к заблокированному файлу.
Ресерчеры смогли понять, что метод генерации ключей DarkBit отличается низкой энтропией. В сочетании с временной меткой шифрования, которую можно определить по времени изменения файла, общее пространство ключей сокращается до нескольких миллиардов вариантов.
Более того, они обнаружили, что файлы VMDK на серверах ESXi имеют известные байты заголовка, поэтому им пришлось перебирать только первые 16 байтов, чтобы проверить, совпадает ли заголовок, а не весь файл.
Profero разработала инструмент для проверки всех возможных начальных значений, генерации пар потенциальных ключей и векторов расшифровки (IV) и проверки по заголовкам VMDK. Запустив его в высокопроизводительной вычислительной среде удалось восстановить действительные ключи дешифрования.
Параллельно с этим исследователи обнаружили, что большая часть содержимого файлов VMDK не была затронута прерывистым шифрованием DarkBit, поскольку многие зашифрованные фрагменты попадали в пустое пространство.
Это позволило им извлечь значительные объемы ценных данных без необходимости расшифровывать их методом подбора ключей.
Файлы VMDK в основном пусты, и, следовательно, фрагменты, зашифрованные программой-вымогателем в каждом файле, также в основном пусты.
По статистике, большинство файлов, содержащихся в файловых системах VMDK, не будут зашифрованы, и большинство файлов внутри этих файловых систем в любом случае не имеют отношения к расследованию.
И так им удалось пройтись по файловой системе и извлечь то, что осталось от внутренних файловых систем VMDK. Большинство нужных файлов можно было просто восстановить без расшифровки.
Несмотря на то, что Profero так и не выпустили дешифратор DarkBit публично, они готовы оказать содействие будущим жертвам.
Правда, это не гарантирует того, что в новых атаках не будут учтены допущенные ошибки. Скорее всего, уже. Но будем посмотреть.
Исследователи GreyNoise предупреждает о значительном всплеске целенаправленных атак 3 августа 2025 года, нацеленных на устройства Fortinet SSL VPN с использованием более 780 уникальных IP-адресов.
Только за последние 24 часа было обнаружено 56 уникальных IP-адресов.
Все они были классифицированы как вредоносные и относились к США, Канаде, России и Нидерландам, при этом цели атак располагались в США, Гонконге, Бразилии, Испании и Японии.
Компания идентифицировала две отдельные волны атак, замеченные до и после 5 августа.
Одна из них представляла собой продолжительную активность методом подбора, привязанную к одной TCP-сигнатуре, которая оставалась относительно стабильной в течение долгого времени, и вторая - внезапный и концентрированный всплеск трафика с другой TCP-сигнатурой.
При этом трафик 3 августа был направлен на FortiOS, а трафик, маркированный TCP и клиентскими подписями (метасигнатурой), с 5 августа уже не затрагивал FortiOS - был направлен на FortiManager.
Вдобавок ко всему, более глубокий анализ ретроспективных данных, связанных с отпечатком TCP после 5 августа, выявил более ранний кластер активности в июне с уникальной клиентской подписью, которая привела к устройству FortiGate в сегменте домашнего Интернет-провайдера, управляемом Pilot Fiber Inc.
Что указывает на возможное тестирование инструментария для брутфорса изначально из домашней сети, а в качестве альтернативной гипотезы - использование домашнего прокси-сервера.
Другой всплеск активности наблюдали исследователи Palo Alto Networks, в поле зрения которых попали попытки эксплуатации CVE-2025-32433 (CVSS: 10,0) в реализации SSH на базе Erlang/Open Telecom Platform (OTP), большая часть которых приходилась на OT (до 70%).
Ошибка связана с отсутствием аутентификации, что может быть использовано злоумышленником, имеющим сетевой доступ к SSH-серверу Erlang/OTP, для RCE.
Она была исправлена в апреле 2025 с помощью обновлений OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Анализ телеметрии показал, что более 85% попыток эксплойтов были направлены, в первую очередь, на сферы здравоохранения, сельского хозяйства, СМИ и развлечений, а также высоких технологий в США, Канаде, Бразилии, Индии и Австралии.
Palo Alto выявила несколько вредоносных полезных нагрузок, которые злоумышленники пытались внедрить посредством эксплуатации уязвимости CVE-2025-32433, включая обратные оболочки, обеспечивающие несанкционированный удаленный доступ.
В некоторых случаях исследователи заметили использование удаленного хоста с портом, обычно связанным с серверами для управления ботнетами.
Реализованное силами Palo Alto сканирование указывает, что еще что сотни сервисов Erlang/OTP, присутствующих в промышленных сетях, подвержены атакам и остаются уязвимыми.
Национальный центр кибербезопасности Нидерландов (NCSC) предупреждает об атаках с использованием критической CVE-2025-6543 в Citrix NetScaler ADC и NetScaler Gateway, нацеленных на критически важные организации.
Согласно бюллетеню Citrix, уязвимость переполнения памяти приводит к непреднамеренному потоку управления и DoS при настройке в качестве шлюза (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуального сервера AAA.
25 июня 2025 года Citrix выпустила бюллетень, предупреждая об уязвимости следующих версий: 14.1 до 14.1-47.46, 13.1 до 13.1-59.19, 13.1-FIPS и 13.1-NDcPP до 13.1-37.236 и 12.1 и 13.0 (EoL).
Первоначально предполагалось, что уязвимость используется для атак типа DoS, однако теперь в уведомлении NCSC отмечается ее задействование для удаленного выполнения кода.
Как заявляет NCSC, несколько важнейших организаций в Нидерландах подверглись успешной атаке с использованием уязвимости CVE-2025-6543, в ходе которой злоумышленники зачистили свои следы.
NCSC полагает, что за атаками могут стоять сразу несколько злоумышленников с весьма изощренными TTPs, который использовали CVE-2025-6543 в качестве 0-day как минимум с начала мая, почти за два месяца публикации Citrix своего бюллетеня с исправлениями.
Агентство не называет ни одну из затронутых организаций, однако местная юстиция Openbaar Ministerie (OM) 18 июля уже сообщала о взломе, отметив, что это произошло после получения оповещения NCSC.
В результате инцидента организация столкнулась с серьезными перебоями в своей работе, но постепенно восстановила работу и запустила свои почтовые серверы на прошлой неделе.
Для устранения риска CVE-2025-6543 организациям рекомендуется обновиться до NetScaler ADC и NetScaler Gateway 14.1 версии 14.1-47.46, 13.1-59.19, а также ADC 13.1-FIPS и 13.1-NDcPP версии 13.1-37.236 (и более поздних версий), завершив при этом все активные сеансы.
Аналогичные рекомендации по устранению последствий давались для активно эксплуатируемой уязвимости Citrix Bleed 2, CVE-2025-5777.
Неясно, использовалась ли эта уязвимость также при атаках, или же для обеих уязвимостей используется один и тот же процесс обновления.
NCSC также рекомендует обращать внимание на признаки взлома: нетипичная дата создания файла, дублирующиеся имена файлов с разными расширениями и отсутствие PHP-файлов в папках, а также воспользоваться скриптом с IOCs (на GitHub).
Исследователи из Лаборатории Касперского сообщают об обнаружении в рамках реагирования на инцидент в Бразилии нового интересного ПО в категории AV Killer, которое задействуется в реальных атаках как минимум с октября 2024 года.
Для этой цели атакующие использовали драйвер ThrottleStop.sys, доставляемый вместе с вредоносным ПО в рамках техники BYOVD для отключения процессов антивирусов.
Использование уязвимых драйверов - хорошо зарекомендовавшая себя среди атакующих техника, которая в последнее время все чаще встречается в кибератаках с применением этого типа зловредов.
Решения ЛК детектируют угрозы, обнаруженные в расследованном инциденте, как: Win64.KillAV (AV Killer) и Trojan-Ransom.Win32.PaidMeme (разновидность MedusaLocker, клиент сообщил о проблеме после обнаружения шифрования систем).
По данным телеметрии ЛК, большинство пострадавших находятся в России, Беларуси, Казахстане, Украине и Бразилии.
Изученный инструмент достаточно популярен среди самых разных категорий злоумышленников, прежде всего, включая рынок ransomware.
В ходе атаки злоумышленники раздобыли действующие административные учетные данные и получили доступ к исходной системе (SMTP-серверу).
Им удалось подключиться к почтовому серверу через RDP из Бельгии.
После этого они извлекли через Mimikatz учетные данные других пользователей и реализовали горизонтальное распространение с применением техники Pass-the-Hash и инструментов Invoke-WMIExec.ps1 и Invoke-SMBExec.ps1.
Злоумышленники загрузили на почтовый сервер набор вредоносных файлов, в том числе AV Killer.
Позднее эти файлы вместе с шифровальщиком (haz8.exe) также были загружены и в другие системы, но уже в другую директорию.
Далее атакующие отключили антивирусные решения на нескольких конечных устройствах и серверах в сети, а затем запустили на них разновидность шифровальщика MedusaLocker.
Для отключения защиты системы атакующие задействовали связку файлов: ThrootleBlood.sys и All.exe.
Первый из них - это легитимный драйвер с исходным названием ThrottleStop.sys, разработанный компанией TechPowerUp и используемый приложением ThrottleStop.
При этом драйвер содержит две уязвимые функции IOCTL: одна позволяет считывать данные из памяти, а другая - записывать их.
Особенно важно, что эти функции может вызывать любой пользователь с административными привилегиями, что и составляет суть уязвимости.
Второй файл (All.exe) - это сам вредоносный инструмент типа AV Killer.
Зловред использует драйвер ThrottleStop для перехвата функций ядра, позволяющих выполнять из пользовательского режима процедуры, предназначенные исключительно для режима ядра.
Подробный технический разбор вредоносного инструмента, правила YARA, TTPs, IOCs, а также выводы и рекомендации - в отчете.
Разработчики WinRAR в новой версии 7.13 исправили активно эксплуатируемую 0-day, которая отслеживается как CVE-2025-8088 и представляет собой обход пути, позволяющий злоумышленникам контролировать параметры извлечения файлов.
При извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, переносимый исходный код UnRAR и UnRAR.dll могли использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.
При этом Unix-версии RAR, UnRAR, переносимый исходный код UnRAR и UnRAR.dll, а также RAR для Android не подвержены этой уязвимости.
В общем, используя эту уязвимость, злоумышленники могут создавать архивы, которые извлекают исполняемые файлы в пути автозапуска.
При последующем входе в систему исполняемый файл запустится автоматически, что позволит злоумышленнику удаленно выполнить код.
Поскольку WinRAR не имеет функции автоматического обновления, всем пользователям настоятельно рекомендуется вручную загрузить и установить последнюю версию с win-rar.com.
Ошибку обнаружили исследователи ESET, которые также полагают о ее задействовании в фишинговых атаках для установки вредоносного ПО, предположительно, связанного с хакерской группой Rocom.
Так или иначе пока это только предположение и соответствующий отчет по этому поводу ESET обещает выпустить совсем скоро.
А в российском инфосеке эксплуатацию 0-day связывают с атаками APT Paper Werewolf, aka Goffee.
В июле команда BI.ZONE зафиксировала серию целевых атак на российские организации со стороны GOFFEE.
Одной из целей стал российский производитель спецоборудования.
Атакующие отправили письмо от имени крупного НИИ, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании - производителя мебели.
В приложенном к письму RAR‑архиве были «документы из министерства», а также исполняемый файл XPS Viewer.
Это легитимная ПО, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код.
Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.
В рамках этой атаки злоумышленники эксплуатировали уже известную уязвимость CVE-2025-6218 в WinRAR до 7.11 включительно.
В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники нацелились на новую, не описанную на тот момент 0-day, затрагивающую версии WinRAR до 7.12 включительно.
К фишинговым письмам прилагался архив, замаскированный под документ от одного из государственных ведомств.
Вложение содержало вредоносный файл, использующий уязвимость типа directory traversal для записи файлов за пределами целевой директории.
Примечательно, что незадолго до этих атак на одном из даркнет форумов фигурировало объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости.
Продолжаем отслеживать наиболее трендовые уязвимости, связанные с ними исследования и угрозы:
1. Исследователи Google улучшили атаку Retbleed по сторонним каналам CPU, увеличив скорость извлечения данных.
Retbleed была впервые раскрыта в 2022 году и позволяла извлекать данные с процессоров AMD и Intel.
Усовершенствованная атака достигает скорости 13 КБ/с (в три раза быстрее) и может работать в изолированных средах (в современных облачных средах на базе виртуальных машин с жесткими требованиями).
2. Palo Alto Networks провела собственный анализ BadSuccessor - атаки, которая использует делегированные учетные записи управляемых служб (dMSA) для повышения привилегий в средах Active Directory под управлением Windows Server 2025.
3. Исследователь PortSwigger Джеймс Кеттл представил два новых класса атак на рассинхронизацию HTTP.
Они нацелены на протокол HTTP/1.1 и позволяют раскрыть учётные данные пользователей, передаваемые через интернет.
Задействуются слабые границы между отдельными HTTP-запросами для «заражения» прокси-серверов и CDN-сетей, а также раскрытия пользовательских данных.
В настоящее время затронуты десятки миллионов сайтов.
4. Исследователи продемонстрировали возможности использования модифицированных приглашений Google Календаря для взлома агентов Gemini AI.
В них были скрыты вредоносные подсказки, предписывающие агентам выполнять вредоносные действия в отношении учётной записи пользователя.
Исследователи реализовали спам- и фишинговые атаки, определяли геолокацию жертв, крали электронные письма и удалённо управляли домашними приборами пользователя, подключенными к интернету.
Свои выводы SafeBreach представила на Black Hat после того, как Google устранила уязвимости.
5. Исследователь Sweet Security Наор Хазиз обнаружил ECScape - уязвимость, которая использует недокументированный внутренний протокол внутри AWS ECS для получения учетных данных из других задач ECS.
Sweet Security заявила, что AWS признает, что атака может быть направлена на сотен миллионов машин и контейнеров по всему миру, но облачный гигант не классифицирует её как уязвимость в своих продуктах.
Тем не менее, по результатам исследования компания обновила документацию.
6. Cisco выпустила две рекомендации по безопасности для различных продуктов.
7. Исследователи VisionSpace Technologies продемонстрировали на Black Hat, насколько легко взламать спутники, эксплуатируя уязвимости ПО как самих спутников, так и наземных станций для их управления.
Исследователи обнаружили уязвимости, которые можно эксплуатировать для вызова сбоей ПО спутника, а также показали, как хакеры могут поменять орбиту спутника, отправляя команды на двигатели.
8. Cato Networks обнаружила уязвимость в Streamlit, фреймворке с открытым исходным кодом для создания приложений в сфере обработки данных.
Ошибка позволяла осуществлять захват облачных аккаунтов.
Cato Networks продемонстрировала потенциальное воздействие, показав возможность манипуляции информационными панелями фондового рынка.
Исследователи Claroty сообщают об уязвимостях в решениях по видеонаблюдению Axis Communications, которые в случае успешной эксплуатации могут сделать их уязвимыми для атак с целью захвата.
Атака приводит к удаленному выполнению кода до аутентификации на Axis Device Manager, сервере, используемом для настройки и управления камерами, и на Axis Camera Station, клиентском ПО для просмотра изображений с камер.
Более того, потенциальный злоумышленник реализовать скандирование глобальной сети для идентификации уязвимых серверов и клиентов для проведения таргетированных атак.
Среди обнаруженных проблем:
- CVE-2025-30023 (CVSS: 9,0): уязвимость в протоколе клиент-серверной связи, которая может привести к тому, что аутентифицированный пользователь выполнит атаку с целью удаленного выполнения кода (исправлена в Camera Station Pro 6.9, Station 5.58 и Device Manager 5.32);
- CVE-2025-30024 (CVSS: 6.8): уязвимость в аналогичном протоколе, которая может быть использована для выполнения атаки типа AitM (исправлена в Device Manager 5.32);
- CVE-2025-30025 (CVSS: 4,8): уязвимость в протоколе связи, используемом между серверным процессом и элементом управления службой, которая может привести к локальному повышению привилегий (исправлена в Camera Station Pro 6.8 и Device Manager 5.32);
- CVE-2025-30026 (CVSS: 5.3): уязвимость в Axis Camera Station Server, которая может привести к обходу аутентификации (исправлена в Camera Station Pro 6.9 и Station 5.58).
Успешная эксплуатация вышеупомянутых уязвимостей может позволить злоумышленнику занять позицию AitM между Camera Station и её клиентами, что фактически позволит подменять запросы/ответы и выполнять произвольные действия как на сервере, так и на клиентских системах.
Каких-либо данных об эксплуатации проблем в реальных условиях нет.
Тем не менее, Claroty обнаружила более 6500 серверов, которые предоставляют доступ к фирменному протоколу Axis.Remoting и его сервисам через Интернет.
Успешные эксплойты позволят злоумышленникам получить доступ к внутренней сети на системном уровне и возможность управлять каждой камерой в рамках конкретного развертывания (с возможностью перехвата трансляций).
Злоумышленники могут также воспользоваться ошибками для обхода аутентификации на камерах, получая возможность удалённого выполнения кода до аутентификации на устройствах.
Исследователи Sophos изучают новый инструмент изучают новый инкоторый был создан на базе разработанного RansomHub EDRKillShifter и теперь задействуется в атаках восьми различных банд вымогателей.
Подобные инструменты помогают операторам отключать решения безопасности на взломанных системах для развертывания полезных нагрузок, повышения привилегий, горизонтального перемещения и, в конечном итоге, шифрования устройств в сети, не будучи обнаруженными.
По словам исследователей Sophos, новый инструмент, которому пока не дали конкретного названия, уже вовсю используют RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx и INC.
Новый инструмент EDR Killer использует сильно запутанный двоичный файл, который самостоятельно декодируется во время выполнения и внедряется в легитимные приложения.
Он ищет драйвер с цифровой подписью (украденный или просроченный сертификат) со случайным пятибуквенным именем, которое жестко закодировано в исполняемом файле.
При обнаружении вредоносного драйвера он загружается в ядро, что необходимо для проведения атаки BYOVD и получения привилегий ядра, необходимых для отключения продуктов безопасности.
Драйвер маскируется под легитимный файл, такой как драйвер датчика CrowdStrike Falcon, но после активации он завершает процессы, связанные с AV/EDR, и останавливает службы, связанные с инструментами безопасности.
В число целевых поставщиков: Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro и Webroot.
Замеченные образцы нового инструмента EDR Killer различаются по названиям драйверов, целевым антивирусам и характеристикам сборки, но все используют HeartCrypt.
Причем как отмечает Sophos, инструмент вряд ли был украден одними злоумышленниками у других и затем использован, более вероятно, что он разрабатывался в рамках общей стратегии и совместной работы.
Такая практика совместного применения инструментоария, особенно в части EDR Killer, на самом деле распространена в сфере ransomware.
Помимо EDRKillShifter, Sophos также обнаружила еще один инструмент под названием AuKill, который был замечен в атаках банд Medusa Locker и LockBit.
Ранее в прошлом году SentinelOne фиксировала реализацию FIN7 своего инструмента AvNeutralizer нескольким группировкам, среди которых отметились BlackBasta, AvosLocker, MedusaLocker, BlackCat, Trigona и LockBit.
CyberArk устранила ряд серьезных уязвимостей, которые могли привести к удаленному выполнению кода без аутентификации, что потенциально позволяет злоумышленникам получить доступ к ценным корпоративным секретам.
Уязвимости были обнаружены исследователями Cyata в решении с открытым исходным кодом CyberArk Conjur.
Оно предназначено для безопасного хранения, управления и контроля доступа к учетным данным, сертификатам, ключам API и другим корпоративным секретам, используемым в облачных и DevOps-средах, которые могут представлять большую ценность для злоумышленников.
Cyata обнаружила ряд уязвимостей, в том числе позволяющих обходить аутентификацию IAM, повышать привилегии, раскрывать информацию и выполнять произвольный код.
Объединение уязвимостей в цепочку позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код в целевой системе без необходимости ввода пароля, токена или учетных данных AWS.
Уязвимости отслеживаются как CVE-2025-49827, CVE-2025-49831 (оба обхода аутентификатора IAM), CVE-2025-49828 (удалённое выполнение кода), CVE-2025-49830 (обход пути и раскрытие файла) и CVE-2025-49829 (отсутствие проверок).
CyberArk уведомили о результатах проверки в конце мая, а 15 июля поставщик объявил о доступности исправлений. Ранее клиенты также уведомлялись в части выявленных уязвимостей и исправлений.
Под удар попали Secrets Manager от CyberArk, Self-Hosted (Conjur Enterprise) и Conjur с открытым исходным кодом.
По данным CyberArk, выявленные уязвимости не эксплуатировались в реальных условиях. Но несмотря на это, настоятельно всем пользователям рекомендуется как можно скорее установить недавно выпущенные исправления.
Помимо уязвимостей в CyberArk, исследователи Cyata расчехлили ошибки в другой широко распространенной платформе управления секретами - HashiCorp Vault.
Всего - девять уязвимостей, некоторые из которых позволяли удалённое выполнение кода и полный захват системы.
Все свои выводы Cyata представила в среду на Black Hat, раскрыв соответствующие технические подробности у себя в блоге.
Вслед за Cisco Google стала последней в цепочке жертв волны атак, связанных с компрометацией Salesforce CRM, за которой стоит банда вымогателей ShinyHunters.
В июне Google сообщала, что злоумышленник UNC6040 атакует сотрудников компаний с помощью вишинга и социнженерии, пытаясь взломать экземпляры Salesforce и выкрасть данные клиентов с вымогательства выкупа.
В обновлении своего уведомления Google отразила, что в июне она тоже стала жертвой той же атаки, когда один из ее экземпляров корпоративной системы Salesforce CRM был взломан с использованием аналогичной уязвимости UNC6040, а данные клиентов были украдены.
Google оперативно отреагировала на эту активность, провела анализ воздействия и начала принимать меры по смягчению последствий.
Конкретная Salesforce CRM использовалась для хранения контактной информации и сопутствующих заметок для бизнес-пользователей.
Анализ показал, что данные были извлечены злоумышленником в течение ограниченного промежутка времени, прежде чем доступ был залочен.
Google отслеживает злоумышленников, стоящих за этими атаками, как UNC6040 или UNC6240, в киберподполье они известны как ShinyHunters.
Группировка орудует уже не один год и несет ответственность за целый ряд инцидентов, включая атаки наей ShinyHunters.
В июне Google сообщала, что злоумышленник UNC6040 и многие другие.
Как заявляют представители ShinyHunters, реализована целая кампания, по результатам которой им удалось отработать множество экземпляров Salesforce, при этом атаки все еще продолжаются.
Особо отмечено, что вчера злоумышленники взломали компанию стоимостью триллион долларов, данные которой хакеры намерены слить без требования выкупа.
Но пока неясно, идет ли речь о Google.
В отношении других компаний злоумышленники вымогают кеш через электронную почту, требуя выкуп за предотвращение публичной утечки данных, обещая при этом в случае срыва диалога реализовать данные через даркнет.
В целом, жертвами новой кампании ShinyHunters уже стали Adidas, Qantas, Allianz Life, Cisco и LVMH Louis Vuitton, Dior и Tiffany & Co.
Причем одна из них уже перечислила 4 биткоина (около 400 000 долл.) на счета банды.
Уязвимости в прошивки ControlVault3 затрагивают более 100 моделей ноутбуков Dell и позволяют злоумышленникам обходить вход в Windows для устанавки вредоносного ПО, которое сохраняется даже после переустановки системы.
Dell ControlVault - это аппаратное решение для обеспечения безопасности, которое хранит пароли, биометрические данные и коды безопасности в прошивке на специальной дочерней плате, известной как Unified Security Hub (USH).
Пять уязвимостей, обнаруженные исследователями Cisco Talos компании, получили условные наименование ReVault и затрагивают как прошивку ControlVault3, так и ее интерфейсы прикладного программирования Windows (API) для ноутбуков серий Latitude и Precision от Dell.
Полный список проблем ReVault включает в себя уязвимости выхода за пределы допустимого диапазона (CVE-2025-24311, CVE-2025-25050), уязвимость произвольного освобождения (CVE-2025-25215), переполнение стека (CVE-2025-24922 и небезопасную проблему десериализации (CVE-2025-24919), влияющую на API-интерфейсы Windows ControlVault.
Объединение их в цепочку позволяет злоумышленникам выполнить произвольный код в прошивке, потенциально создавая устойчивые импланты, которые сохранятся после переустановки Windows.
Локальный злоумышленник, имеющий физический доступ к ноутбуку пользователя, может вскрыть его и напрямую получить доступ к плате USH через USB с помощью специального разъема, обойти вход в Windows или повысить привилегий до уровня администратора.
Успешная эксплуатация также позволяет злоумышленникам манипулировать аутентификацией по отпечаткам пальцев, заставляя целевое устройство принимать любые отпечатки пальцев.
Talos рекомендует обновлять системы через Центр обновления Windows или сайт поставщика, отключать неиспользуемые периферийные устройства безопасности (считыватели отпечатков пальцев, считыватели смарт-карт и считыватели NFC), а также отключать вход по отпечатку пальца в ситуациях повышенного риска.
Для снижения риска физических атак исследователи также предложили включить функцию обнаружения вторжения в корпус в настройках BIOS компьютера и Enhanced Sign-in Security (ESS) в Windows для обнаружения неподходящих прошивок CV.
Dell выпускала соответствующие обновления безопасности для устранения уязвимостей ReVault в драйвере и прошивке ControlVault3 с марта по май.
Полный список затронутых моделей доступен в рекомендациях Dell по безопасности.
