39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователь Йоханес Нугрохо раскрыл подробности метода взлома для шифрования Akira ransomware и восстановления исходных файлов.
На основе результатов своего исследования разработал дешифратор для Linux-версии Akira, который задействует вычислительную мощность GPU для извлечения ключа дешифрования и разблокировки файлов.
При этом сам метод не универсален и работает только с вариантами Akira 2024.
За разработку дешифратора Йоханес взялся после обращения его друга с просьбой о помощи.
Тогда он рассчитал, что зашифрованную систему можно взломать за неделю, учитывая, что Akira генерирует ключи шифрования с использованием временных меток (в наносекундах).
Но в виду непредвиденных сложностей на это потребовалось три недели и 1200 долларов на аренду мощности графического процессора, которая позволила взломать ключ шифрования.
Дешифратор работает иначе, нежели традиционные инструменты дешифрования.
Он перебирает ключи шифрования (уникальные для каждого файла) в расчете на то, что шифратор Akira генерирует свои ключи шифрования на основе текущего времени в качестве начального числа.
Начальное значение шифрования - это данные, используемые с криптографическими функциями для генерации сильных, непредсказуемых ключей шифрования.
Akira полагается не на один момент времени, а использует четыре, каждый с наносекундным разрешением.
Генерация ключа сложна, включает 1500 раундов SHA-256 для каждой временной метки.
Уровень точности временных меток реализует более миллиарда возможных значений в секунду, что затрудняет подбор ключей с помощью брута.
Кроме того, Akira на Linux шифрует несколько файлов одновременно, используя многопоточность, что затрудняет определение используемой временной метки и еще больше усложняет ситуацию.
Исследователь сузил возможные временные метки, просмотрев файлы журналов, которыми поделился его друг.
Это позволило увидеть, когда была запущена программа-вымогатель, метаданные файла для оценки времени завершения шифрования и создать бенчмарки шифрования на различном оборудовании для создания предсказуемых профилей.
Первые попытки с использованием RTX 3060 были слишком долгими, с потолком всего в 60 млн. тестов шифрования в секунду. Обновление до RTC 3090 тоже не помогло.
В конце концов исследователь обратился к облачным сервисам RunPod и Vast.ai, чтобы подтвердить эффективность своего инструмента.
В частности, он задействовал шестнадцать графических процессоров RTX 4090 для подбора ключа дешифрования примерно за 10 часов.
Однако в зависимости от количества зашифрованных файлов, требующих восстановления, процесс может занять несколько дней.
Исследователь отметил в своей статье, что эксперты по графическим процессорам могут оптимизировать его код, поэтому производительность, вероятно, может быть улучшена.
Дешифратор доступен на GitHub вместе с инструкциями по восстановлению файлов, зашифрованных Akira.
Исследователи из F6 расчехлили ранее неизвестную APT-группировку Telemancon, нацеленную на объекты промышленности, особое внимание при этом уделяя военной составляющей этого сектора.
Задетектить новую угрозу удалось в феврале 2025 года в ходе мониторинга угроз, при этом анализ инфраструктуры указывает, что самая ранняя активность группы датируется февралем 2023 года.
Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.
Название APT-группы было выбрано на основе совокупности уникальных черт: tele - поскольку TMCShell подключается к сервису https://telegra.ph для получения адресов C2, man - от «manufactory» и con - поскольку нагрузка во всех раскрытых атаках сохраняется в %userprofile%\Contacts.
Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности.
В частности, были зафиксированы две рассылки в адрес производителя военной техники и другого транспорта.
Вложение представляет собой архив 7z, содержащий вредоносный исполняемый файл .scr, который был классифицирован как дроппер TMCDropper, написанный на языке C++.
TMCDropper выполняет три основные задачи: проверку выполнения в режиме отладки/в песочнице, извлечение и закрепление следующей стадии в виде бэкдора TMCShell, а также отображение документа-приманки.
Причем схожие приманки были замечены в атаках группы Core Werewolf.
Файл второй стадии – это обфусцированный Powershell-скрипт, которому исследователи присвоили имя TMCShell. Он выполняет подключение к легитимному сервису https://telegra.ph, адрес URL-страницы генерируется на основе текущей даты.
TMCShell парсит заметку из ответа сервера и извлекает из нее два поля, следующих после даты. Первое число в заметке – это закодированный адрес С2, второе число – это цифровая подпись, которая добавлена для предотвращения подмены С2. Подключение по TCP-соединению на порту 2022.
В ходе исследования одного из сэмплов удалось установить, что TMCShell выполнял на машине жертвы следующие команды, полученные от управляющего сервера: net.exe user; net.exe user {username}; whoami.exe; whoami.exe /groups /fo csv; ipconfig.exe /all и ARP.EXE -a.
Исследователи отмечают, что виктимология APT совпадает с нацеленностью группы Core Werewolf. Кроме того, выделяется банальный метод сокрытия адресов C2, основанный на использовании сервиса telegra.ph.
При этом как отмечали исследователи Securonix, такая техника по части C2 уже была замечена в арсенале Gamaredon, но в более простом виде, без генерации URI-пути и проверки подписи.
В свою очередь, Core Werewolf также известна как PseudoGamaredon, поскольку часто копирует TTPs группировки Gamaredon.
В целом, исследователи F6 предполагают, что за активностью Telemancon может стоять группа Core Werewolf. Но артефактов для уверенной атрибуции пока недостаточно.
Более детально технические подробности, разбор замеченных рассылок, вредоносного инструментария и TTPs - в отчете.
Злоумышленник скомпрометировал популярный GitHub Action в результате атаки на цепочку поставок, добавив вредоносный код, предположительно нацеленный на секреты, связанные с непрерывной интеграцией и непрерывной доставкой (CI/CD).
По данным StepSecurity, инцидент начался 14 произошел и затронул tj-actions/changed-files (далее - Changed-Files), предназначенный для отслеживания изменений файлов и каталогов и используемый в более чем в 23 000 проектов GitHub.
Action используется в сложных конвейерах CI/CD для запуска других действий на основе того, какие файлы были изменены. Это базовый, но очень важный скрипт автоматизации, который фактически стал одним из самых популярных действий GitHub.
Злоумышленник изменил код Changed-files для выполнения вредоносного скрипта Python, который выгружает секреты CI/CD из процесса Runner Worker.
Пока неясно, как злоумышленник взломал Changed-Files, но, проникнув внутрь, он добавил вредоносный код в каждую версию действия, а это значит, что репозитории, использующие старые версии, также были затронуты.
Секреты записываются в журнал сборки проекта (build log), поэтому для приватных доказательств риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов.
Тем не менее, StepSecurity отметила об отсутствии доказательств того, что утечка секретов была как-либо реализована.
Большинство существующих тегов версий Changed-files были обновлены для указания на вредоносный коммит. Этому инциденту был присвоен идентификатор CVE-2025-30066.
Исследователи Endor Labs также отследили этот инцидент и не нашли никаких доказательств того, что были затронуты библиотеки с открытым исходным кодом или контейнеры.
Злоумышленник, скорее всего, не искал секреты в публичных репозиториях - они уже опубличены. Скорее всего, хотел скомпрометировать цепочку поставок ПО для других библиотек с открытым исходным кодом, двоичных файлов и артефактов, созданных в процессе.
Любой публичный репозиторий, который создает пакеты или контейнеры как часть конвейера CI, мог быть затронут. Это означает, что потенциально 1000 пакетов с открытым исходным кодом могут быть скомпрометированы.
Причем это относится к корпоративным структурам, имеющим как частные, так и публичные репозитории. Если эти репозитории совместно используют секреты конвейера CI/CD для реестров артефактов или контейнеров.
15 марта GitHub удалил действие tj-actions/changed-files и восстановил его в тот же день после того, как вредоносный коммит был удален из всех тегов и веток.
Разработчики Tj-actions и компании по безопасности поделились рекомендациями, IoC и мерами по реагированию на инциденты.
По поводу этого инцидента высказывались различные предположения: некоторые полагали, что это могла быть атака, совершенная неопытным злоумышленником, или это была простая попытка повысить осведомленность о потенциальных рисках.
В частности, один исследователей отметил, что еще год назад он опубликовал теоретический сценарий атаки, нацеленной на tj-actions/changed-files.
Исследователи GreyNoise предупреждают об обнаружении скоординированной массовой кампании по эксплуатации уязвимостей SSRF, охватывающих несколько платформ.
Активность стартовала 9 марта, задействовалась группа из 400 IP-адресов.
Атаки были нацелены одновременно на ошибки SSRF в Zimbra, GitLab, DotNetNuke, VMware, ColumbiaSoft, Ivanti, BerriAI и OpenBMCS и многих других программах.
Большинство атак были направлены на организации в США, Германии, Индии, Японии и Сингапуре, но на прошлой неделе особое внимание атакующими было уделено Израилю и Нидерландам.
В числе эксплуатируемых уязвимостей SSRF:
- CVE-2017-0929 (CVSS: 7,5, DotNetNuke),
- CVE-2020-7796 (CVSS: 9,8, Zimbra Collaboration Suite,
- CVE-2021-21973 (CVSS: 5,3, VMware vCenter,
- CVE-2021-22054 (CVSS: 7,5, VMware Workspace ONE UEM),
- CVE-2021-22175 (CVSS: 9,8, GitLab CE/EE,
- CVE-2021-22214 (CVSS: 8,6) и CVE-2021-39935 (CVSS: 7,5, GitLab CE/EE),
- CVE-2023-5830 (CVSS: 9,8, ColumbiaSoft DocumentLocator),
- CVE-2024-6587 (CVSS: 7,5, BerriAI LiteLLM),
- CVE-2024-21893 (CVSS: 8,2, Ivanti Connect Secure),
- OpenBMCS 2.4 и Zimbra Collaboration Suite (без CVE).
Как утверждает GreyNoise, многие из IP-адресов нацелены одновременно на несколько уязвимостей SSRF, отмечая, что шаблон наблюдаемой активности предполагает структурированную эксплуатацию, автоматизацию или сбор разведывательной информации перед компрометацией.
Эксплуатация уязвимостей SSRF позволяет злоумышленникам составлять карты внутренних сетей, выявлять уязвимые сервисы и красть учетные данные для облачных сервисов.
GreyNoise отметила, что такие уязвимости сыграли важную роль в утечке Capital One в 2019 году, которая затронула более 100 миллионов пользователей.
В связи с активными попытками эксплуатации крайне важно применить последние исправления, ограничить исходящие соединения необходимыми конечными точками и отслеживать подозрительные исходящие запросы.
Исследователи Forescout анонсировали нового оператора вымогателей Mora_001, который задействует две уязвимости Fortinet для получения несанкционированного доступа к межсетевым экранам и развертывания специального штамма ransomware SuperBlack.
Речь идет о двух уязвимостях, позволяющих обойти аутентификацию, CVE-2024-55591 и CVE-2025-24472, о которых Fortinet сообщила в январе и феврале соответственно.
14 января компания Fortinet впервые раскрыла CVE-2024-55591, подтвердив ее эксплуатацию в качестве 0-day, а Arctic Wolf заявила, что она использовалась в атаках с ноября 2024 года для взлома межсетевых экранов FortiGate.
При этом 11 февраля Fortinet добавила CVE-2025-24472 в свой январский бюллетень, что заставило многих поверить, что это недавно эксплуатируемая уязвимость.
Однако позже отметила, что эта ошибка также была исправлена в январе 2024 года и не эксплуатировалась.
Однако в новом отчете Forescout утверждается, что они обнаружили атаки SuperBlack в конце января 2025 года, а злоумышленник использовал CVE-2025-24472 еще 2 февраля 2025 года.
Сама Forescout не сообщала напрямую об эксплуатации уязвимости в Fortinet, уведомления поставщику ушли от пострадавшей компании, с которой работали исследователи.
Вскоре после этого, 11 февраля, Fortinet обновила свои рекомендации, признав уязвимость CVE-2025-24472 активно эксплуатируемой.
Возвращаясь к Mora_001, следует отметить четко структурированную цепочку атак, которая не сильно отличается от жертвы к жертве.
Во-первых, злоумышленник получает привилегии super_admin, эксплуатируя две уязвимости Fortinet с помощью атак на основе WebSocket через интерфейс jsconsole или отправляя прямые HTTPS-запросы на открытые интерфейсы брандмауэра.
Затем они создают новые учетные записи администраторов (forticloud-tech, fortigate-firewall, adnimistrator), изменяя задачи автоматизации так, чтобы воссоздать их в случае удаления.
После этого злоумышленник составляет карту сети и пытается выполнить горизонтальное перемещение, используя украденные учетные данные VPN и недавно добавленные учетные записи VPN, инструментарий управления Windows (WMIC) и SSH, а также аутентификацию TACACS+/RADIUS.
Mora_001 крадет данные посредством специализированного инструмента, а затем шифрует файлы для двойного вымогательства, отдавая приоритет файловым серверам и серверам баз данных, а также контроллерам доменов.
После процесса шифрования записки с требованием выкупа сбрасываются на систему жертвы, после чего запускается специально разработанный вайпер WipeBlack, который удаляет все следы исполняемого файла программы-вымогателя, чтобы затруднить криминалистический анализ.
Forescout удалось обнаружить многочисленные доказательства, указывающие на тесную связь между операциями SuperBlack и вымогательским ПО LockBit, хотя первое, по-видимому, действует независимо.
Шифровальщик SuperBlack [VirusTotal] основан на утекшем в сеть конструкторе LockBit 3.0, обладающем идентичной структурой полезной нагрузки и методами шифрования, но с полностью оригинальным брендингом.
Во-вторых, в записке SuperBlack о выкупе указан идентификатор чата TOX, связанный с операциями LockBit, что позволяет предположить, что Mora_001 является либо бывшим оператором LockBit, либо бывшим членом ее основной команды, управляющей выплатой выкупа и переговорами.
Третий элемент, предполагающий связь, - это обширные совпадения IP-адресов с предыдущими операциями LockBit.
Кроме того, WipeBlack также использовался программами-вымогателями BrainCipher, EstateRansomware и SenSayQ, все из которых связаны с LockBit.
Обширный список IoC, связанных с атаками SuperBlack - в отчете.
Исследователи из Positive Technologies с головой окунулись в рынок темной паутины и по результатам выкатили объемный отчет с упором на интересы киберпреступников, популярные темы, тенденции и прогнозы по кибербезопасности за период с 2023 по 3 квартал 2024 года.
Внимание исследователей было ориентировано на стоимость инструментов и услуг, начальные суммы инвестиции в атаки и ключевые аспекты теневого рынка, включая его экосистему, мотивацию участников, принципы транзакций, конкуренцию и стратегии привлечения клиентов.
Позитивы проанализировали 40 источников, включая основные платформы киберподполья (форумы и площадки) и каналы в Telegram на разных языках.
В общей сложности аналитика охватила более 20 000 сообщений, связанных с вредоносным ПО, уязвимостями, эксплойтами, доступом к корпоративным сетям, инфраструктурой и услугами (взломы, перенаправление трафика, распространение вредоносного ПО, кардинг и DDoS-атаки).
Материал изложен в широком обзорном формате и будет полезен как для опытных представителей ИБ-сообщества, так и для неискушенных читателей, кому интересна текущая обстановка в сфере киберпреступности.
Если в вкратце, то в качестве ключевых исследователи отмечают стили следующие тренды:
- Киберпреступный бизнес имеет общие черты с традиционным: тут и работа над репутацией, маркетинг, стратегии конкуренции (в том числе агрессивные), вознаграждения за обнаружение уязвимостей и поддержка сотрудников.
- Самым популярным типом вредоносного ПО в даркнете являются инфоркрады (19%).
- Самым дорогим типом вредоносного ПО являются ransomware, средняя стоимость которых составляет 7500 долларов США.
- Треть продаваемых эксплойтов - это 0-day.
- Стоимость эксплойтов может достигать нескольких миллионов долларов.
- В 62% случаев доступ к скомпрометированным ресурсам обходится в сумму до 1000 долларов США.
- Наибольшее количество объявлений о продаже доступа связано со сферой услуг (20%).
- Почти половина объявлений (49%) касается взломов ресурсов.
- Чистая прибыль от успешной кибератаки может в 5 раз превысить затраты на ее организацию.
Все подробности с инфографикой, разъяснениями, примерами и цифрами - в отчете.
Fortinet предупреждает клиентов об исправлении 18 уязвимостей, влияющих на FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM и FortiADC.
К уязвимостям высокой степени серьезности относится CVE-2023-48790 - уязвимость XSS в FortiNDR, которую могут использовать неавторизованные злоумышленники для выполнения произвольного кода или команд.
В FortiOS, FortiProxy, FortiPAM, FortiSRA и FortiWeb исправлена CVE-2024-45325, которая позволяет привилегированному злоумышленнику выполнять код или команды с помощью специально созданных запросов.
Технические подробности для ошибки, по-видимому, общедоступны.
Другая CVE-2023-40723 высокой степени серьезности влияет на FortiSIEM и позволяет неавторизованному злоумышленнику удаленно считывать пароль базы данных с помощью специально созданных API-запросов.
В FortiSandbox Fortinet исправила уязвимости CVE-2024-45328 (повышение привилегий), CVE-2024-52961 (внедрение команд) и CVE-2024-54027 (чтение конфиденциальных данных), все они получили оценку высокий степени серьезности.
В FortiIsolator устранена CVE-2024-55590, которая позволяет злоумышленнику с правами администратора только на чтение выполнять код, а в FortiADC компания исправила уязвимость CVE-2023-37933, которая допускает аутентифицированные XSS-атаки.
Уязвимости средней степени серьезности, исправленные Fortinet в своих продуктах, могут использоваться для выполнения кода, выполнения команд, произвольной записи файлов и обхода защиты веб-брандмауэров.
Также была устранена проблема низкой степени серьезности, допускающая несанкционированные операции.
Fortinet заявила, что многие из этих уязвимостей были обнаружены внутри компании, не упоминая при этом о фактах эксплуатации какой-либо из них.
Но, как показывает практика, это только пока.
Mandiant в новом отчете сообщает об обнаружении новой кампании китайских хакеров из UNC3886, нацеленной на маршрутизаторы Juniper Networks Junos OS MX, срок службы которых истек (EoL).
В замеченных в середине 2024 года атаках задействовались несколько специализированных бэкдоров, работающих на маршрутизаторах Junos OS от Juniper Networks.
Они представляют собой варианты вредоносного ПО TinyShell - инструмента с открытым исходным кодом, который обеспечивает обмен данными и выполнение команд в системах Linux, который на протяжении многих лет неоднократно применялся многочисленными группами злоумышленников.
В свою очередь, UNC3886 известен проведением сложных атак с использованием 0-day для компрометации платформ виртуализации и периферийных сетевых устройств.
В 2023 году китайские хакеры провернули серию атак на правительственные организации, используя 0-day Fortinet (CVE-2022-41328) для развертывания пользовательских бэкдоров.
Позже в том же году использовали 0-day VMware ESXi для доставки бэкдора на хосты ESXi.
Mandiant зафиксировала атаки UNC3886, начиная с терминальных с терминальных серверов, используемых для управления сетевыми устройствами, где злоумышленники использовали скомпрометированные учетные данные для доступа к командной строке ОС Junos и перехода в режим оболочки FreeBSD.
Исследователи отмечают, что Junos OS имеет систему целостности файлов Veriexec, которая предотвращает запуск несанкционированного кода на устройствах.
Защита Veriexec предотвращает выполнение несанкционированных двоичных файлов. Это создает проблему для злоумышленников, поскольку отключение защиты может вызвать оповещения.
Однако выполнение ненадежного кода все еще возможно, если оно происходит в контексте доверенного процесса. Расследование Mandiant показало, что UNC3886 смог обойти эту защиту, внедрив вредоносный код в память легитимного процесса.
Используя этот метод, UNC3886 развернул шесть специальных бэкдоров на маршрутизаторах MX, все на основе TinyShell, имитирующие одноименные процессы: активные appid и to, пассивные irad, oemd и jdosd, а также утилиту lmpad, каждый с различным функционалом.
Для обеспечения скрытности и устойчивости каждый из шести бэкдоров, используемых UNC3886 в атаках, имеет отдельный метод связи и использует отдельный набор жестко запрограммированных адресов серверов C2.
Учитывая, что UNC3886 нацелен на маршрутизаторы Juniper MX в состоянии EoL, приоритетной задачей должна стать замена этих устройств на новые модели, которые активно поддерживаются, а затем их обновление до последней версии прошивки.
Хотя на этот раз Juniper не выпустила исправлений, но выкатила бюллетень, включающий рекомендации по смягчению последствий и обновленные сигнатуры для своего инструмента удаления вредоносных программ Juniper (JMRT).
Системным администраторам также следует усилить безопасность аутентификации, используя централизованную систему управления идентификацией и доступом (IAM) и внедрив MFA для всех сетевых устройств.
Полный список IoC, связанных с этой кампанией, а также правила YARA и Snort/Suricata, - в отчете Mandiant.
Microsoft выкатила мартовский PatchTuesday с исправлениями 57 уязвимостей, включая 7 0-day, шесть из которых активно эксплутируются.
В целом, закрыто шесть критических проблем, все из которых связаны с RCE, а общее распределение выглядит следующим образом: 23 - EoP, 3 - обход функций безопасности, 23 - RCE, 4 - раскрытие информации, 1 0 DoS и 3 - спуфинг.
К активно эксплуатируемым нулям:
- CVE-2025-24983: подсистемы ядра Windows Win32, позволяющая злоумышленникам получить привилегии SYSTEM на устройстве.
Microsoft как обычно не делится тем, как уязвимость была использована в атаках.
Однако, в виду того, что ее обнаружили в ESET, вероятно, подробности будут в отчете.
- CVE-2025-24984: уязвимость раскрытия информации Windows NTFS, которой могут воспользоваться злоумышленники, имеющие физический доступ к устройству, с помощью вредоносного USB-накопителя.
Эксплуатация позволяет считывать фрагменты динамической памяти и красть информацию. Ошибка была раскрыта анонимно, как и три следующие.
- CVE-2025-24985: уязвимость драйвера файловой системы Windows Fast FAT, делающая возможным RCE.
Она вызвана переполнением или обтеканием целочисленного значения в драйвере Windows Fast FAT Driver.
Эксплуатация возможна путем обмана локального пользователя уязвимой системы и монтирования специально созданного VHD, который затем активирует уязвимость.
Несмотря на отсутствие подробностей от Microsoft, вредоносные образы VHD ранее распространялись в ходе фишинговых атак и через сайты с пиратским ПО.
- CVE-2025-24991: уязвимость раскрытия информации Windows NTFS, которая также может быть активирована через вредоносный VHD-файл для чтения небольших фрагментов памяти и кражи информации.
- CVE-2025-24993: вызвана проблемой переполнения буфера кучи в Windows NTFS и позволяет злоумышленнику выполнить код аналогично через специально созданный VHD.
- CVE-2025-26633: приводит к обходу функции безопасности консоли управления Microsoft, была раскрыта исследователями Trend Micro.
Подробности об ошибке не раскрываются, но судя по ее описанию, связана с ошибкой, которая позволяет вредоносным файлам консоли обходить функции безопасности Windows и выполнять код.
При атаке через электронную почту или мгновенное сообщение злоумышленник может отправить целевому пользователю специально созданный файл, предназначенный для эксплуатации уязвимости.
В любом случае у злоумышленника нет возможности заставить пользователя просмотреть контролируемый контент.
Вместо этого придется убедить жертву предпринять какие-либо действия. Например, нажать на ссылку, которая перенаправит его на сайт злоумышленника или отправить вредоносное вложение.
К публично раскрытой 0-day относится CVE-2025-26630, RCE-уязвимость, вызванная ошибкой использования освобожденной памяти Microsoft Access. Раскрыта Unpatched.ai.
Эксплуатация возможна с помощью фишинговых атак или социнженерии, чтобы обманом заставить жертву открыть специально созданный файл Access.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Apple выпустила срочные исправления активно эксплуатируемой 0-day, которая могла быть использована в чрезвычайно сложных атаках в отношении узкотаргетированных целей.
Уязвимость была обнаружена в кроссплатформенном движке веб-браузера WebKit, который используется в Safari от Apple и многими другими приложениями и браузерами на macOS, iOS, Linux и Windows.
0-day отслеживается как CVE-2025-24201 и позволяет злоумышленникам выйти из «песочницы» веб-контента.
Причем ошибка, как отмечают в Купертино, «могла быть использована» в чрезвычайно сложной атаке на конкретных целевых лиц на версиях iOS до 17.2.
А вновь вышедший патч можно считать дополнительным исправлением атаки, которая ранее была заблокирована в iOS 17.2.
Компания исправила эту проблему записи за пределами выделенной памяти, улучшенными проверками для предотвращения несанкционированных действий в iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Список устройств, затронутых этой уязвимостью, довольно обширен и включает: iPhone XS и более поздние модели, iPad Pro 13 дюймов, 12,9 дюймов 3-го поколения, 11 дюймов 1-го поколения, iPad Air 3-го поколения , iPad 7-го поколения, iPad mini 5-го поколения и все новее, Mac под управлением macOS Sequoia и Apple Vision Pro.
Apple пока не приписала обнаружение этой уязвимости ниодному из своих исследователей и не представила подробности о «чрезвычайно сложных» атаках, с которыми она ее связала.
Но будем следить.
Исследователи из Лаборатории Касперского продолжают отслеживать APT SideWinder, активность которой в Южной и Юго-Восточной Азии, на Ближнем Востоке и в Африке ранее описывали в прошлогоднем отчете.
Группа агрессивно расширяла свою деятельность за пределы своих типичных целей (правительственные, военные и дипломатические структуры), заражая логистические компании и морскую инфраструктуру.
Новые замеченные ЛК атаки распространились на Австрию, Бангладеш, Камбоджу, Джибути, Египет, Индонезию, Мозамбик, Мьянму, Непал, Пакистан, Филиппины, Шри-Ланку, ОАЭ и Вьетнаме.
Среди дополнительных целей были выявлены атомные электростанции и инфраструктура ядерной энергетики в Южной Азии и Африке, а также телекоммуникационные, консалтинговые, ИТ-сервисные компании, агентства недвижимости и гостиничный бизнес.
SideWinder также фокусировалась на дипучреждения в Афганистане, Алжире, Болгарии, Китае, Индии, Мальдивах, Руанде, Саудовской Аравии, Турции и Уганде.
Причем таргетирование на Индию имеет важное значение, поскольку ранее предполагалось, что субъект угрозы имеет индийское происхождение.
Описывая APT как высокоразвитого и опасного противника, исследователи отмеячают, что SideWinder постоянно работает над улучшением своих наборов инструментов, опережая обнаружения антивирусным ПО, расширяя стойкость в сетях и сокрытие присутствия в зараженных системах.
Как только их инструменты идентифицированы, они реагируют, генерируя новую и измененную версию вредоносного ПО, часто менее чем за пять часов.
Если происходят поведенческие обнаружения, SideWinder пытается изменить методы, используемые для поддержания стойкости и загрузки компонентов.
Кроме того, они меняют имена и пути своих вредоносных файлов.
Ранее исследователи документировали использование SideWinder модульного набора инструментов постэксплуатации StealerBot для сбора широкого спектра конфиденциальной информации со скомпрометированных хостов.
Последние цепочки атак совпадают с теми, что наблюдались ранее.
Начальным вектором выступали фишинговые письма, которые реализуют доставку вредоносных документов, задействующих известную уязвимость в Microsoft Office (CVE-2017-11882) для запуска вредоносного шелл-кода.
Далее инициируется многоуровневый процесс заражения, который приводит к установке вредоносного ПО, названное Backdoor Loader.
Он действует как загрузчик для окончательного запуска StealerBot.
Backdoor Loader и StealerBot были подробно описаны в прошлогоднем отчете, но злоумышленник распространил многочисленные варианты загрузчика за последние месяцы, тогда как имплант остался неизменным.
Новые варианты вредоносного ПО содержат улучшенную версию кода антианализа и более широко используют сглаживание потока управления для обхода обнаружения.
В ходе расследования исследователи ЛК обнаружили также новую версию компонента Backdoor Loader на C++.
Логика вредоносного ПО та же, что и в вариантах .NET, но версия C++ отличается от имплантов .NET тем, что в ней отсутствуют методы антианализа.
Кроме того, большинство образцов были адаптированы под конкретные цели, поскольку они были настроены на загрузку второго этапа из определенного пути файла, встроенного в код, который также включал имя пользователя.
Несмотря на использование старого эксплойта, не стоит недооценивать этого субъекта угроз.
Фактически SideWinder уже продемонстрировала свою способность компрометировать критически важные активы и высокопоставленные цели, включая военные и правительственные.
Тайваньская Moxa выпустила обновление для исправления критической уязвимости в своих коммутаторах PT, которая позволяет злоумышленнику обойти аутентификацию.
Уязвимость отслеживается как CVE-2024-12297, имеет оценку CVSS v4 9,2 из максимальных 10,0 и обусловлена проблемами в механизме авторизации.
Несмотря на проверку на стороне клиента и внутреннем сервере, злоумышленники могут воспользоваться недостатками в ее реализации для проведения брута и атак с коллизией MD5 для подделки хэшей аутентификации, что потенциально ставит под угрозу безопасность устройства.
Другими словами, успешная эксплуатация этого недостатка может привести к обходу аутентификации и позволить злоумышленнику получить несанкционированный доступ к конфиденциальным конфигурациям или нарушить работу служб.
Ошибка затрагивает следующие версии: PT-508 (версия прошивки 3.8), PT-510 (версия 3.8), PT-7528 (версия 5.0), PT-7728 (версия 3.9), PT-7828 (версия 4.0), PT-G503 (версия 5.3), PT-G510 (версия 6.5), PT-G7728 (версия 6.5) и PT-G7828 (версия 6.5 и более ранняя).
Исправления для уязвимости можно получить, связавшись со службой технической поддержки Moxa.
Поставщик выразил признательность Артему Турышеву из Русатом Автоматизированные системы управления (РАСУ) за сообщение об уязвимости.
Помимо установки последних исправлений компаниям, использующим уязвимые продукты, рекомендуется ограничить доступ к сети с помощью брандмауэров или ACL, обеспечить сегментацию сети, внедрить MFA для доступа к критически важным системам, включить регистрацию событий, а также отслеживать сетевой трафик и поведение устройств на предмет аномалий.
Кроме того, Moxa устранила ту же уязвимость в Ethernet-коммутаторе серии EDS-508A, работающем под управлением версии прошивки 3.11 и более ранних версий, еще в середине января 2025 года.
Критическая уязвимость внедрения команд в IP-камерах Edimax IC-7100 в настоящее время активно задействуется вредоносным ПО ботнета для взлома устройств.
Edimax IC-7100 - это IP-камера для удаленного наблюдения в домах, небольших офисных зданиях, коммерческих помещениях и на промышленных предприятиях.
Активность обнаружили исследователи Akamai, оперативно уведомив CISA, которая, в свою очередь, попыталась связаться с тайваньским поставщиком.
В Edimax особого внимания проблеме не уделили, отметив лишь, что рассматриваемое устройство IC-7100 вышло из эксплуатации и больше получает дальнейших обновлений.
Устройство было выпущено в октябре 2011 года, более не производится и относится к числу устаревших продуктов.
Найденная уязвимость отслеживается как CVE-2025-1316 и представляет собой критическую (CVSS v4.0 9,3) уязвимость внедрения команд ОС, вызванную неправильной нейтрализацией входящих запросов.
Удаленный злоумышленник может воспользоваться этой уязвимостью и получить возможность удаленного выполнения кода, отправив на устройство специально созданные запросы.
В данном случае текущая эксплуатация осуществляется вредоносным ПО ботнета для взлома устройств, которые затем используются для запуска DDoS, проксирования вредоносного трафика или переключения на другие устройства в той же сети.
Учитывая ситуацию и активный статус эксплуатации уязвимости CVE-2025-1316, затронутые устройства следует отключить или заменить на активно поддерживаемые продукты.
CISA рекомендует пользователям минимизировать воздействие Интернета на затронутые устройства, разместить их за брандмауэрами и изолировать от критически важных бизнес-сетей.
В виду того, что Edimax не предоставила более подробной информации, исследователи предполагают, что эксплуатируемая CVE затрагивает более широкий спектр устройств, при этом маловероятно, что исправление вообще будет выпущено.
Но будем посмотреть.
Используемый в более чем 1 млрд. устройств IoT микроконтроллер ESP32 китайского производителя Espressif, обеспечивающий подключение по WiFi и Bluetooth, содержит недокументированные команды, которые могут быть использованы для атак.
Они позволяют подделывать доверенные устройства, осуществлять несанкционированный доступ к данным, переходить на другие устройства в сети и потенциально обеспечить долгосрочное присутствие.
К таким выводам пришли испанские исследователи из Tarlogic Security, представив результаты своего исследования на конференции RootedCON в Мадриде.
Использование такого бэкдора позволяет злоумышленникам фактически навсегда заражать чувствительные устройства, такие как мобильные телефоны, компьютеры, интеллектуальные замки или медицинское оборудование, обходя средства контроля аудита кода.
В своей презентации исследователи Tarlogic пояснили, что им удалось разработать новый драйвер USB Bluetooth на основе C, который является аппаратно-независимым и кроссплатформенным, обеспечивая прямой доступ к оборудованию без использования API-интерфейсов, специфичных для конкретной ОС.
Вооружившись новым инструментом с прямым доступом к трафику Bluetooth, исследователи обнаружили скрытые специфичные для поставщика команды (код операции 0x3F) в прошивке ESP32 Bluetooth, которые позволяют осуществлять низкоуровневый контроль над функциями Bluetooth.
Всего найдено 29 недокументированных команд, которые в совокупности представляют полноценный бэкдор для манипуляции памятью (чтение/запись ОЗУ и флэш-памяти), подмены MAC-адреса (выдача себя за другое устройство) и внедрения пакетов LMP/LLCP.
При этом Espressif официально не задокументировала эти команды, которые либо вовсе должны отсутствовать, либо остались по ошибке.
Тем не менее, проблема теперь отслеживается как CVE-2025-27840.
Среди основных рисков, связанных с использованием этих команд, - вредоносные реализации на уровне OEM и атаки на цепочку поставок.
В зависимости от того, как стеки Bluetooth обрабатывают команды HCI на устройстве, удаленная эксплуатация команд может быть возможна с помощью вредоносной прошивки или мошеннических подключений Bluetooth.
Это особенно актуально, если злоумышленник уже имеет права root, внедрил вредоносное ПО или установил на устройстве вредоносное обновление, открывающее низкоуровневый доступ.
Однако в целом физический доступ к интерфейсу USB или UART устройства был бы гораздо более серьезным и реалистичным сценарием атаки.
Результаты исследования показали практическую возможность полного контроля над чипом ESP32 и сохранения данных в чипе с помощью команд, позволяющих модифицировать оперативную память и флэш-память.
Кроме того, благодаря сохранению уязвимости в чипе, возможно распространение на другие устройства, поскольку ESP32 позволяет выполнять также сложные Bluetooth-атаки.
Несмотря на отсутствии реакции Espressif, некоторые из специалистов считают, что найденные команды являются частью некоего интерфейса тестирования и разработки производства, а не бэкдора.
Дорогие девушки из сферы кибербезопасности! Любимые наши инфосекушки!
Мы вас всех ценим, очень вами дорожим и всех-всех поздравляем с наступающим праздником 8 марта! Желаем вам быть такими же красивыми и умными! А еще - подольше оставаться с нами рядом, а то совсем одичаем!
Ю ар стронг! Всех обнимаем!
Нам тут подсказывают некоторые подробности конфуза (так завуалировано мы обозвали следственные мероприятия) в офисе компании AVSoft, случившегося на прошлой неделе. Как оказалось это была неудавшейся модная коллаборации компании AVSoft со столпами отечественного антивирусостроения Лабораторией Касперского и Доктора Веба.
Молодые и талантливые программисты из AVSoft решили усилить отечественную информационную безопасность путем увеличения количества АВ-продуктов на один погонный метр российского Интернета. Для этого они включили антивирусные движки ЛК, Др.Веба и ряда других производителей в свой продукт Athena в целях последующей его реализации по ценам ниже рыночных. Правообладателей, как говорят, уведомить забыли. Есть версия, что Athena просто уронили на стол, где лежали другие АВ-решения, и последние случайно в него закатились.
А ведь где-то плачут голодные дети антивирусных аналитиков!
За любовь к инфосеку - 5, за отбор горбушки хлеба у аналитических детей - 2 с минусом.
Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.
С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.
Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.
Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.
Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.
Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.
Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».
Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.
При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.
Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.
ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.
Исследователи Lookout раскрывают новое шпионское ПО KoSpy, которое задействуется северокорейскими хакерами с марта 2022 года в атаках на корейских и англоговорящих пользователей.
Инструмент слежки приписывают северокорейской APT ScarCruft, также известной как APT37, которая действует с 2012 года, нацеливаясь в основном на компании в Южной Корее, а также в Китае, Индии, Японии, Кувейте, Непале, Румынии, России, Вьетнаме и странах Ближнего Востока.
Цепочки атак, в первую очередь, включают RokRAT как инструмент сбора конфиденциальных данных из систем Windows, macOS и Android.
KoSpy распространялся под видом пяти приложений: File Manager, Phone Manager, Smart Manager, Software Update Utility и Kakao Security.
Все идентифицированные приложения предлагают обещанную функциональность, чтобы не вызывать подозрения, при этом скрытно развертывая компоненты, связанные со шпионским ПО, в фоновом режиме.
После установки приложения-приманки KoSpy извлекает из облачной базы данных Firebase Firestore данные конфигурации, которые позволяют злоумышленникам включать и отключать шпионское ПО, а также менять его С2 в любое время.
Затем вредоносная ПО проверяет, является ли устройство-жертва эмулятором, и не наступила ли текущая дата позже жестко запрограммированной даты активации.
KoSpy способна собирать SMS, журналы вызовов и геолокаций, делать снимки экрана, записывать звук с микрофона, делать фото, получать доступ к файлам и папкам, записывать нажатия клавиш, а также информацию о сетях Wi-Fi и составлять список установленных приложений.
Кроме того, KoSpy имени возможности также загружать дополнительные плагины и конфигурации для достижения своих разведцелей.
Собранные данные шифруются перед отправкой на удаленный сервер.
Lookout выявила в общей сложности пять проектов Firebase и серверов С2, используемых вредоносным ПО.
Исследователи полагают, что эта кампания KoSpy была нацелена на корейских и англоговорящих пользователей.
Более половины приложений имеют названия на корейском языке, а пользовательский интерфейс поддерживает: английский и корейский.
Ряд из приложений KoSpy были обнаружены в Google Play, другие - в Apkpure. Самые последние образцы были выявлены в марте 2024 года.
К настоящему времени все замеченные приложения удалены из официального магазина наряду с проектами Firebase.
Lookout с умеренной уверенностью приписывает KoSpy ScarCruft, отмечая, что APT43 (Kimsuky и Thallium), по-видимому, также использовала шпионскую утилиту, судя по пересечениям инфраструктуры.
📖 GitLab устранил ↔️ критические уязвимости в аутентификации!
Компания GitLab выпустила обновления безопасности для Community Edition (CE) и Enterprise Edition (EE), устранив 9 уязвимостей, включая две критические в библиотеке ruby-saml, используемой для SAML Single Sign-On (SSO).
Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную.
⬇️ CVE-2025-25291 (ruby-saml) – критическая
⬇️ CVE-2025-25292 (ruby-saml) – критическая
⬇️ CVE-2025-27407 (graphql) – уязвимость высокой степени опасности
(gitlab_rails['omniauth_block_auto_created_users'] = true).
Нам тут пишут, что в офисе российской компании AVSoft, которая, как понятно из названия, занимается разработкой антивирусных решений, прошли обыски в связи с уголовным делом по статье "Нарушение авторских прав".
Достоверно неизвестно что конкретно нарушили молодые и таланливые программисты из AVSoft, продукты которой входят в российский аналог VirusTotal, проект Национальный мультисканер (придумали же название, уж лучше тогда окрестили бы Российским турбоантивирусом). Но, учитывая то, как они демпинговали со своими АВ-решениями, мы, кажется, догадываемся.
Продолжаем наблюдать.
💬 Lazarus: история самых успешных хакеров в мире.
• Lazarus — APT-группа, которую связывают с правительством Северной Кореи. Наиболее известна по взлому Bybit, Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. Имеет в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android. Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок.
• В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с 2019 года среди целей хакеров оказались и предприятия оборонной промышленности. С начала 2021 года Lazarus стала проводить атаки также на исследователей в области кибербезопасности.
• В этой статье представлена хронология "подвигов" Lazarus и говориться о том, кто же такие Lazarus, и почему на протяжении уже 16 (!) лет им сходят с рук самые невероятные киберпреступления:
➡ Читать статью [13 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Лаборатории Касперского предупреждают об активизации распространения бэкдора DCRat, платный доступ к которому реализует группа злоумышленников в рамках модели MaaS.
Помимо этого, операторы также обеспечивают комплексную техподдержку, в том числе настраивая инфраструктуру для размещения командных серверов.
DCRat распространяется через видеохостинг YouTube, где атакующие создают поддельные аккаунты (либо используют украденные) и загружают видеоролики с рекламойразличных читов, кряков, игровых ботов и другого аналогичного ПО.
В описание видеоролика добавляют ссылку на скачивание якобы рекламируемого продукта.
Она ведет на легитимный файлообменник, в котором находится запароленный архив, - пароль от него также указывается в описании под видео.
Конечно, вместо игрового ПО в этих архивах содержится образец троянца DCRat, а также мусорные файлы и папки - лишь для усыпления бдительности жертвы.
Распространяемый бэкдор относится к семейству троянцев удаленного доступа DCRat, или Dark Crystal RAT (Remote Access Trojan), которое было задокументировано еще в 2018 году. Троянец способен загружать дополнительные модули, значительно расширяющие его функциональность.
За весь период существования бэкдора исследователям ЛК удалось проанализировать 34 различных плагина, наиболее опасными функциями которых являются фиксация нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.
Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве С2.
С начала года группа зарегистрировала как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более сорока доменов третьего уровня.
Отличительной чертой исследуемой кампании является наличие определенных наименований в доменах второго уровня вредоносной инфраструктуры - nyashka, nyashkoon, nyashtyan и т.д. Подобный сленг позволяет таргетироваться на сообществе фанатов японского аниме и манги.
Судя по данным телеметрии ЛК, полученным с начала 2025 года, образцы DCRat, использующие такие домены в качестве С2, в 80% случаев загружались на устройства российских пользователей. Также со зловредом столкнулось в Беларуси, Казахстане и КНР.
Также исследователи детектировали кампании, в которых через запароленные архивы распространялось и другое вредоносное ПО: стилеры, майнеры и загрузчики.v
Исследователи Check Point раскрывают кампанию Blind Eagle, жертвами которой стали более чем 1600 целей в Колумбии.
APT, также известная как APT-C-36 и действующая с 2018 года, нацелена на правительственные, финансовые и критически важные инфраструктурные организации в Колумбии и Эквадоре.
Злоумышленник в основном задействует фишинг с вредоносными вложениями или URL-адресами для доставки троянов удаленного доступа, таких как NjRAT, AsyncRAT и Remcos, а недавно расширил свой арсенал дополнительным вредоносным ПО, включая вариант PureCrypter.
В декабре 2024 года злоумышленник нацелился на уязвимость NTLM CVE-2024-43451, которую Microsoft исправила в ноябре 2024 года после ее активного использования киберподпольем в атаках в качестве 0-day.
Ошибка может быть вызвана простым взаимодействием пользователя с файлом URL, содержащим вредоносный код. Успешная эксплуатация может привести к тому, что злоумышленник получит хэш NTLMv2 пользователя.
По данным Check Point, примерно через шесть дней после того, как Microsoft объявила о выпуске исправлений для CVE-2024-43451, APT расширила свой арсенал, добавив свой вариант эксплойта для этой уязвимости.
Несмотря на то, что этот вариант фактически не раскрывает хэш NTLMv2, на устройствах, уязвимых для CVE-2024-43451, запрос WebDAV срабатывает еще до того, как пользователь вручную взаимодействует с файлом.
Исследователи отмечают, что нажатие на вредоносный URL-файл, даже в пропатченных системах, запускает загрузку и выполнение полезной нагрузки следующего этапа.
Таким образом Blind Eagle задействовала уязвимость в атаках на многочисленные государственные и частные организации в Колумбии, сумев заразить своим вредоносным ПО более 1600 организаций.
В течение двух месяцев в ходе этих атак злоумышленник сменил более 10 серверов С2, а в конце января был замечен за распространением вредоносных URL-файлов с использованием потенциально скомпрометированных учетных записей Google Drive.
Цепочка заражения включала выполнение в памяти варианта PureCrypter, который собирал системную и пользовательскую информацию и загружал Remcos RAT из репозитория GitHub. В декабре для размещения RAT использовались два репозитория Bitbucket.
Как констатирует Check Point, Blind Eagle остается одним из самых активных и опасных субъектов угроз в Латинской Америке, уделяя особое внимание государственному и частному секторам Колумбии. При этом масштаб и настойчивость группировки вызывают серьезные опасения.
Исследователи BI.ZONE сообщают об обнаружении новой кампании Squid Werewolf, которые под видом рекрутеров в декабре 2024 года распространяли фишинговые электронные письма в адрес ключевых сотрудников интересующих их организаций.
Причем делали это от лица реально существующей компании, заманивая жертв привлекательными вакансиями с гибким графиком и приличными выплатами.
Детальный анализ позволил атрибутировать атаки к Squid Werewolf (APT37, Ricochet Chollima, ScarCruft, Reaper Group), которые промышляют шпионажем с 2012 года и обычно атакуют страны Азии и Ближнего Востока.
Чаще всего жертвами злоумышленников становятся государственные, оборонные и промышленные организации.
Характерный почерк кибершпионов - рассылка фишинговых писем от имени регуляторов или иных ведомств.
Как показывает последняя кампания, целевые фишинговые рассылки с актуальными темами остаются в приоритете APT, позволяя в кратчайшие сроки получить доступ к информации в системах ключевых сотрудников организаций.
При этом злоумышленники все реже используют документы Microsoft Word и таблицы Microsoft Excel, предпочитая архивы с исполняемыми файлами, скриптами или ярлыками, усложняя свои методы и инструменты.
Замеченная атака начиналась с фишингового письма, отправленного жертве от имени HR-специалиста компании Объединенный промышленный комплекс.
В нем получателю предлагалось ознакомиться с предложением о работе с заманчивыми условиями.
Во вложении находился защищенный паролем ZIP-архив (пароль был указан в тексте письма).
Он содержал LNK-файл «Предложение о работе.pdf.lnk».
Его открытие приводит к запуску многоэтапного процесса, обеспечивающего работу загрузчика DomainManager.dll.
Он реализован на C# и обфусцирован, предположительно, Obfuscar.
Функционально выполняет ряд проверок и обращается к удаленному серверу для запроса вредоносной нагрузки, зашифрованной AES128 CBC, которая на момент исследования была недоступна.
Обнаруженная исследователями атака похожа на описанную Securonix активность, которая была приписана к APT37 (у BI.ZONE - Squid Werewolf).
Ранее атакующие использовали схожую библиотеку на C#, но нагрузка расшифровывалась алгоритмом сдвига (шифр Цезаря) и представляла собой обфусцированный код на JavaScript.
Данная нагрузка являлась еще одним загрузчиком, который отправлял на сервер имя компьютера жертвы, загружал и выполнял код следующей стадии - PowerShell-сценарий, являющийся трояном удаленного доступа VeilShell.
Технические подробности новой кампании и IoC - в отчете.
Исследователи GreyNoise предупреждают о массовой эксплуатации критической уязвимости в PHP, приводящей к RCE на уязвимых серверах.
CVE-2024-4577 (оценка CVSS 9,8) может быть использована на серверах Windows, использующих Apache и PHP-CGI, если они настроены на использование определенных кодовых страниц, для удаленного внедрения аргументов и выполнения произвольного кода.
Поскольку реализация PHP в Windows не учитывает поведение «наилучшего соответствия», которое реализует преобразование символов Unicode в наиболее близкие по значению символы ANSI, злоумышленники могут указать определенные последовательности символов, которые при преобразовании будут неверно интерпретированы модулем php-cgi как параметры PHP.
Уязвимость была публично раскрыта в июне 2024 года, а первые попытки ее эксплуатации, приписываемые вымогателям, были зафиксированы всего два дня спустя.
На прошлой неделе исследователи Cisco предупредили, что с января 2025 года уязвимость использовалась в вредоносной кампании, нацеленной на японские организации в сфере образования, развлечений, электронной коммерции, технологий и телекоммуникаций.
В рамках атак злоумышленники задействуют инструменты для получения системных привилегий, меняют ключи реестра и добавляют запланированные задачи для обеспечения устойчивости, а также создают вредоносные службы с использованием плагинов Cobalt Strike TaoWu.
В свою очередь, GreyNoise констатирует, что эксплуатация CVE-2024-4577 не ограничивается Японией.
Фактически, заметные всплески активности наблюдались в США, Великобритании, Сингапуре, Индонезии, Тайване, Гонконге, Индии, Испании и Малайзии.
Посредством своей сети ханипотов GOG исследователи только в январе 2025 года обнаружили 1089 уникальных IP-адресов, пытающихся эксплуатировать CVE-2024-4577, при том, что на текущий момент доступно 79 общедоступных эксплойтов, нацеленных на эту уязвимость.
За последний месяц более 43% IP-адресов, использованных в атаках на CVE-2024-4577, располагались в Германии и Китая, а GreyNoise в феврале наблюдала рост эксплуатации систем по всему миру, что указывает на автоматизацию сканирования на предмет уязвимых целей.
CVE-2024-4577 влияет на все версии PHP на Windows и была устранена в версиях PHP 8.1.29, 8.2.20 и 8.3.8.
Пользователям рекомендуется обновить свои установки как можно скорее.
Исследователи Palo Alto Networks поделились подробностями о пяти уязвимостях высокой степени серьезности, затрагивающих продукты Iconics и Mitsubishi Electric для диспетчерского управления и сбора данных (SCADA).
Среди затронутых решений - Genesis64 и MC Works64. Те же уязвимости также влияют на Iconics и Mitsubishi Electric, поскольку первый является частью второго.
К найденным уязвимостям SCADA относятся: перехват DLL (CVE-2024-1182), неверные разрешения по умолчанию (CVE-2024-7587), неконтролируемый элемент пути поиска (CVE-2024-8299 и CVE-2024-9852) и мертвый код (CVE-2024-8300).
Эксплуатация всех этих уязвимостей требует аутентификации, но они позволяют злоумышленникам, уже получившим доступ к системам целевой организации, выполнить произвольный код, повысить привилегии и манипулировать критически важными файлами.
В реальной атаке, направленной на промышленные системы, злоумышленник может воспользоваться уязвимостями SCADA, чтобы вызвать сбои в работе системы, а в некоторых случаях - получить полный контроль над ней.
В совокупности эти уязвимости представляют серьезный риск для конфиденциальности, целостности и доступности систем.
В компании Palo Alto отметили, что уязвимости могут представлять ценность для злоумышленников, учитывая, что продукция Iconics и Mitsubishi Electric установлена сотни тысяч раз по всему миру, в том числе в госсекторе, оборонке, водоснабжении, производстве и энергетике.
Уязвимости были обнаружены компанией в начале 2024 года в Iconics Suite и Mitsubishi Electric MC Works версий 10.97.2 и 10.97.3 для Windows. Исправления и смягчения были выпущены в прошлом году.
Исследователи Positive Technologies сообщают об обнаружении нового злоумышленника Desert Dexter, который с сентября 2024 года атакует пользователей Ближнего Востока и Северной Африки с использованием модифицированной версии AsyncRAT.
Похожую кампанию в 2019 году изучали исследователи из Check Point, но в текущей наблюдается изменение некоторых техник в цепочке атак.
Активность, приписываемая Desert Dexter, была обнаружена в феврале 2025 года.
По оценкам Positive Technologies, жертвами кампании стали около 900 пользователей, что указывает на ее широкомасштабный характер.
Большинство из них находятся в Ливии, Саудовской Аравии, Египте, Турции, Объединенных Арабских Эмиратах, Катаре и Тунисе.
По большей части это рядовые пользователи, в том числе сотрудники предприятия в сфере добычи нефти, строительства, информационных технологий и сельского хозяйства.
Для распространения вредоносного ПО злоумышленники создают фейковые новостные группы на Facebook (мимикрирующие под Libya Press, Sky News, Almasar TV, The Libya Observer, The Times Of Israel и др), публикуют посты с рекламой и ссылками на файлообменник (Files.fm) или Telegram-канал.
По размещаемым ссылкам располагается ВПО AsyncRAT с модификациями, которые реализуют автономный кейлоггер, поиск 16 различных расширений, в том числе для двухфакторной аутентификации, и приложений для криптокошельков, а также взаимодействие с Telegram-ботом.
В конфигурации AsyncRAT используются DDNS-домены, IP-адреса которых принадлежат VPN-сервисам.
Цепочка атаки - многоступенчатая и начинается с архива RAR, который включает в себя либо пакетный скрипт, либо файл JavaScript, запрограммированный на запуск скрипта PowerShell, который отвечает за выполнение второго этапа атаки.
В частности, завершает процессы, связанные с различными службами .NET, которые могут помешать запуску вредоносного ПО, удаляет файлы с расширениями BAT, PS1 и VBS из папок C:\ProgramData\WindowsHost и C:\Users\Public и создает новый файл VBS в C:\ProgramData\WindowsHost, а также файлы BAT и PS1 в C:\Users\Public.
Затем скрипт устанавливает постоянство в системе, собирает и передает системную информацию в Telegram-бот, делает снимок экрана, и в конечном итоге запускает полезную нагрузку AsyncRAT, внедряя ее в исполняемый файл aspnet_compiler.exe.
Анализ сообщений, направленных в Telegram-бот, позволил выявить скрины рабочего стола самого злоумышленника под названием DEXTERMSI, а также ссылку на канал в Telegram под названием Dexterlyly (был создан 5 октября 2024 года).
Наличие в названии канала подстроки ly может свидетельствовать о ливийском происхождении автора - это подтверждается геолокацией в данных, отправляемых ВПО, и арабскими комментариями в PowerShell-скрипте.
Исследователи отмечают, что инструменты, используемые Desert Dexter, не отличаются особой сложностью, однако сочетание рекламы Facebook с легитимными сервисами и геополитическим таргетом привело к множественным заражениям.
Группа публикует в своих постах сообщения о якобы слитой конфиденциальной информации, что делает цепочку атаки универсальной для заражения устройств как обычных пользователей, так и высокопоставленных целей.
Технические подробности и IoC - в отчете.
Исследователи из Лаборатории Касперского раскрывают новую массовую вредоносную кампанию, нацеленную на пользователей YouTube с использованием майнера SilentCryptoMiner под видом инструментов Windows Packet Divert (WPD).
Авторы контента на YouTube, ориентированного на пользователей WPD, достаточно часто публикуют обучающие и рекламные материалы в отношении различных инструментов WPD, позволяющих обходить ограничения на веб-сайты и онлайн-сервисы.
Выдавая себя за владельцев указаных WPD киберпреступники рассылают поддельные заявления о нарушении авторских прав, заставляя получателей продвигать вредоносное ПО и майнеры крипты в своих роликах.
Угрожая страйками и блокировкой злоумышленники предлагают владельцам каналов компромиссное решение, предоставляя актуальные ссылки для загрузки, которые рекомендуется разместить в ролике взамен предыдущей.
В других случаях злоумышленники связываются с создателем напрямую, выдавая себя за разработчиков инструмента и утверждая, что у оригинального инструмента теперь новая версия или новая ссылка для загрузки, и просят создателя изменить ее в своем видео.
Опасаясь утратить свои каналы, авторы идут навстречу злоумышленникам и добавляют в свои видео предлагаемые ссылки на репозитории GitHub, где якобы размещены упомянутые WPD.
Однако это троянизированные версии, которые включают загрузчик криптомайнера.
Исследователи ЛК отмечают, что подобная реклама WPD была замечена на YouTube в видеоролике, который собрал более 400 000 просмотров, а вредоносная ссылка была загружена 40 000 раз.
Кроме того, ТГ-канал с 340 тыс. подписчиками также продвигал вредоносное ПО под тем же соусом.
По данным телеметрии ЛК, вредоносная кампания затронула более 2000 жертв в России, но общее число может быть гораздо выше.
Вредоносный архив, загруженный из репозиториев GitHub, содержит загрузчик вредоносного ПО на основе Python, который запускается с помощью PowerShell через измененный скрипт запуска (general.bat).
Если антивирус жертвы завершает этот процесс, стартовый скрипт выдает сообщение об ошибке «файл не найден», предлагая пользователю отключить антивирус и повторно загрузить файл.
Исполняемый файл извлекает загрузчик второго этапа только для российских IP-адресов и запускает его на устройстве.
Полезная нагрузка второго этапа представляет собой еще один исполняемый файл, размер которого был увеличен до 690 МБ для уклонения от анализа антивирусом, при этом он также включает в себя проверки песочницы и виртуальных машин.
Загрузчик вредоносного ПО отключает Microsoft Defender, добавляя исключение, и создает службу Windows с именем DrvSvc для сохранения между перезагрузками.
В конце концов он загружает финальную полезную нагрузку, SilentCryptoMiner, модифицированную версию XMRig, способную добывать несколько криптовалют, включая ETH, ETC, XMR и RTM.
Майнер загружает удаленные конфигурации из Pastebin каждые 100 минут, чтобы их можно было обновлять динамически.
Для обхода защиты он загружается в системный процесс типа dwm.exe с помощью подмены процессов и приостанавливает майнинговую активность, когда пользователь запускает инструменты мониторинга, такие как Process Explorer и Task Manager.
Обнаруженная ЛК, в первую очередь, нацелена на российских пользователей, но может быть реализована и в более серьезном масштабе, распространяя, в том числе стилеры или ransomware.
Продолжаем делиться наиболее трендовыми уязвимостями и связанными с ними угрозами:
1. Google выкатила технические подробности об EntrySign, уязвимости проверки подписи микрокода AMD Zen (CVE-2024-56161), которая позволяет злоумышленникам устанавливать вредоносную прошивку.
Компания также выпустила Zentool, инструмент для джейлбрейка процессоров AMD.
2. Исследователи Assetnote обнаружили уязвимость десериализации в Sitecore CMS, которая может привести к атакам удаленного выполнения кода - CVE-2025-27218.
3. Разработчики Jenkins выпустили обновление безопасности, исправляющее четыре уязвимости в ядре платформы.
4. Elastic выпустила обновление безопасности для Kibana. Обновление устраняет уязвимость, которая приводит к выполнению произвольного кода через специально созданную загрузку файла и специально созданные HTTP-запросы.
5. Группа ученых представила подробности о новом типе электронной атаки на инверторы мощности, установленные на фотоэлектрических станциях.
Атака, получившая название ReThink способна нанести физический ущерб инверторам и нейтрализовать возможности фотоэлектрических систем.
6. Исследователи SEC Consult раскрыли подробности в отношении «Спящей красавицы», которая позволяет приостановить работу датчика CrowdStrike Falcon.
SEC Consult сообщила об этой проблеме поставщику после скоординированного процесса обнаружения уязвимостей в конце 2023 года, но поставщик закрыл проблему без исправления, ответив, что это всего лишь «пробел в обнаружении».
Хотя уязвимость все же была исправлена в 2025 году, и несмотря на замалчивание со стороны поставщика SEC Consult представила подробности проблемы публично.
7. Исследователи SquareX разработали полиморфное расширение Chrome, которое способно имитировать любое другое локально установленное расширение.
Такие расширения создают точную копию значка цели, всплывающего окна HTML, рабочих процессов и даже временно отключают легальное расширение, что заставляя жертв поверить в то, что они предоставляют учетные данные для настоящего расширения со всеми вытекающими.