39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
CyberArk устранила ряд серьезных уязвимостей, которые могли привести к удаленному выполнению кода без аутентификации, что потенциально позволяет злоумышленникам получить доступ к ценным корпоративным секретам.
Уязвимости были обнаружены исследователями Cyata в решении с открытым исходным кодом CyberArk Conjur.
Оно предназначено для безопасного хранения, управления и контроля доступа к учетным данным, сертификатам, ключам API и другим корпоративным секретам, используемым в облачных и DevOps-средах, которые могут представлять большую ценность для злоумышленников.
Cyata обнаружила ряд уязвимостей, в том числе позволяющих обходить аутентификацию IAM, повышать привилегии, раскрывать информацию и выполнять произвольный код.
Объединение уязвимостей в цепочку позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код в целевой системе без необходимости ввода пароля, токена или учетных данных AWS.
Уязвимости отслеживаются как CVE-2025-49827, CVE-2025-49831 (оба обхода аутентификатора IAM), CVE-2025-49828 (удалённое выполнение кода), CVE-2025-49830 (обход пути и раскрытие файла) и CVE-2025-49829 (отсутствие проверок).
CyberArk уведомили о результатах проверки в конце мая, а 15 июля поставщик объявил о доступности исправлений. Ранее клиенты также уведомлялись в части выявленных уязвимостей и исправлений.
Под удар попали Secrets Manager от CyberArk, Self-Hosted (Conjur Enterprise) и Conjur с открытым исходным кодом.
По данным CyberArk, выявленные уязвимости не эксплуатировались в реальных условиях. Но несмотря на это, настоятельно всем пользователям рекомендуется как можно скорее установить недавно выпущенные исправления.
Помимо уязвимостей в CyberArk, исследователи Cyata расчехлили ошибки в другой широко распространенной платформе управления секретами - HashiCorp Vault.
Всего - девять уязвимостей, некоторые из которых позволяли удалённое выполнение кода и полный захват системы.
Все свои выводы Cyata представила в среду на Black Hat, раскрыв соответствующие технические подробности у себя в блоге.
Вслед за Cisco Google стала последней в цепочке жертв волны атак, связанных с компрометацией Salesforce CRM, за которой стоит банда вымогателей ShinyHunters.
В июне Google сообщала, что злоумышленник UNC6040 атакует сотрудников компаний с помощью вишинга и социнженерии, пытаясь взломать экземпляры Salesforce и выкрасть данные клиентов с вымогательства выкупа.
В обновлении своего уведомления Google отразила, что в июне она тоже стала жертвой той же атаки, когда один из ее экземпляров корпоративной системы Salesforce CRM был взломан с использованием аналогичной уязвимости UNC6040, а данные клиентов были украдены.
Google оперативно отреагировала на эту активность, провела анализ воздействия и начала принимать меры по смягчению последствий.
Конкретная Salesforce CRM использовалась для хранения контактной информации и сопутствующих заметок для бизнес-пользователей.
Анализ показал, что данные были извлечены злоумышленником в течение ограниченного промежутка времени, прежде чем доступ был залочен.
Google отслеживает злоумышленников, стоящих за этими атаками, как UNC6040 или UNC6240, в киберподполье они известны как ShinyHunters.
Группировка орудует уже не один год и несет ответственность за целый ряд инцидентов, включая атаки наей ShinyHunters.
В июне Google сообщала, что злоумышленник UNC6040 и многие другие.
Как заявляют представители ShinyHunters, реализована целая кампания, по результатам которой им удалось отработать множество экземпляров Salesforce, при этом атаки все еще продолжаются.
Особо отмечено, что вчера злоумышленники взломали компанию стоимостью триллион долларов, данные которой хакеры намерены слить без требования выкупа.
Но пока неясно, идет ли речь о Google.
В отношении других компаний злоумышленники вымогают кеш через электронную почту, требуя выкуп за предотвращение публичной утечки данных, обещая при этом в случае срыва диалога реализовать данные через даркнет.
В целом, жертвами новой кампании ShinyHunters уже стали Adidas, Qantas, Allianz Life, Cisco и LVMH Louis Vuitton, Dior и Tiffany & Co.
Причем одна из них уже перечислила 4 биткоина (около 400 000 долл.) на счета банды.
Уязвимости в прошивки ControlVault3 затрагивают более 100 моделей ноутбуков Dell и позволяют злоумышленникам обходить вход в Windows для устанавки вредоносного ПО, которое сохраняется даже после переустановки системы.
Dell ControlVault - это аппаратное решение для обеспечения безопасности, которое хранит пароли, биометрические данные и коды безопасности в прошивке на специальной дочерней плате, известной как Unified Security Hub (USH).
Пять уязвимостей, обнаруженные исследователями Cisco Talos компании, получили условные наименование ReVault и затрагивают как прошивку ControlVault3, так и ее интерфейсы прикладного программирования Windows (API) для ноутбуков серий Latitude и Precision от Dell.
Полный список проблем ReVault включает в себя уязвимости выхода за пределы допустимого диапазона (CVE-2025-24311, CVE-2025-25050), уязвимость произвольного освобождения (CVE-2025-25215), переполнение стека (CVE-2025-24922 и небезопасную проблему десериализации (CVE-2025-24919), влияющую на API-интерфейсы Windows ControlVault.
Объединение их в цепочку позволяет злоумышленникам выполнить произвольный код в прошивке, потенциально создавая устойчивые импланты, которые сохранятся после переустановки Windows.
Локальный злоумышленник, имеющий физический доступ к ноутбуку пользователя, может вскрыть его и напрямую получить доступ к плате USH через USB с помощью специального разъема, обойти вход в Windows или повысить привилегий до уровня администратора.
Успешная эксплуатация также позволяет злоумышленникам манипулировать аутентификацией по отпечаткам пальцев, заставляя целевое устройство принимать любые отпечатки пальцев.
Talos рекомендует обновлять системы через Центр обновления Windows или сайт поставщика, отключать неиспользуемые периферийные устройства безопасности (считыватели отпечатков пальцев, считыватели смарт-карт и считыватели NFC), а также отключать вход по отпечатку пальца в ситуациях повышенного риска.
Для снижения риска физических атак исследователи также предложили включить функцию обнаружения вторжения в корпус в настройках BIOS компьютера и Enhanced Sign-in Security (ESS) в Windows для обнаружения неподходящих прошивок CV.
Dell выпускала соответствующие обновления безопасности для устранения уязвимостей ReVault в драйвере и прошивке ControlVault3 с марта по май.
Полный список затронутых моделей доступен в рекомендациях Dell по безопасности.
SonicWall предупредила клиентов о необходимости отключения службы SSLVPN, поскольку за последние несколько недель банды вымогателей активно эксплуатировали неизвестную 0-day в межсетевых экранах SonicWall Gen 7 для взлома сетей.
Предупреждение появилось после того, как исследователи Arctic Wolf Labs сообщили, что начиная с 15 июля ими было зафиксировано несколько атак Akira ransomware, вероятно, задействующих нули в SonicWall.
Первоначальные методы доступа в ходе этой кампании пока точно не идентифицированы, существование 0-day весьма вероятно, однако доступ к учётным данным путём брута также не исключается до конца.
В пятницу Arctic Wolf также посоветовал администраторам SonicWall временно отключить службы SonicWall SSL VPN из-за высокой вероятности того, что в этих атаках использовались нули.
В свою очередь, Huntress вчера также подтвердила выводы Arctic Wolf, опубликовав отчет, содержащий индикаторы компрометации (IOC), собранные в ходе расследования наблюдаемой кампании.
Как отмечают исследователи, вероятная 0-day в VPN-сервисах SonicWall активно эксплуатируется для обхода MFA и внедрения программ-вымогателей.
Злоумышленники перенаправляют атаки непосредственно на контроллеры доменов в течение нескольких часов после первоначального взлома.
Так что Huntress рекомендовала немедленно отключить VPN или серьёзно ограничить доступ с помощью списка разрешённых IP-адресов.
В тот же день SonicWall подтвердила атаки, призывая клиентов защитить свои межсетевые экраны в соответствии с разработанными для этих целей рекомендациями относительно SSLVPN.
Причем, согласно заявлению поставщика, за последние 72 часа наблюдается заметный рост числа как внутренних, так и внешних сообщений о киберинцидентах, связанных с межсетевыми экранами SonicWall 7-го поколения, где включен протокол SSLVPN.
Компания проводит всестороннее расследование этих инцидентов, пытаясь определить связаны ли они с ранее обнаруженной уязвимостью или же причиной может быть новая проблема.
Как бы то ни было, будем следить.
Nvidia по наводке исследователей Wiz устранила более десятка уязвимостей в Triton Inference Server, включая те, которые создавали серьезные риски для систем ИИ, базирующихся на решениях поставщика.
В представленном бюллетене Nvidia сообщила, что в Triton Inference Server открытым исходным кодом, позволяющем пользователям развертывать любые модели ИИ из различных фреймворков глубокого и машинного обучения, было устранено более десятка уязвимостей.
При этом исследователи Wiz отметили CVE-2025-23319, CVE-2025-23320 и CVE-2025-23334, которые удаленный неаутентифицированный злоумышленник может объединить в цепочку для выполнения произвольного кода и получения полного контроля над сервером.
CVE-2025-23319 и CVE-2025-23320 представляют собой уязвимости высокого уровня серьёзности и затрагивают бэкенд Python сервера Triton Inference Server для Windows и Linux.
Первая уязвимость может быть использована для удалённого выполнения кода, DoS-атак, подмены данных или раскрытия информации, последнее - достигается также с использованием второй CVE.
Третьей уязвимости CVE-2025-23334 присвоен средний уровень серьёзности.
Она также затрагивает бэкенд Python и может привести к раскрытию информации.
По данным Wiz, цепочка эксплойтов начинается с незначительной утечки информации и перерастает в полную компрометацию системы. Все проблемы устранены в версии 25.07.
В совокупности ошибки реализуют критические риски для организаций, использующих Triton для ИИ/МО, поскольку успешная атака может привести к краже моделей ИИ, раскрытию конфиденциальных данных, манипулированию ответами модели ИИ и созданию плацдарма для более глубокого проникновения в сеть.
Несмотря на отсутствие доказательств того, что какие-либо из этих уязвимостей были использованы в реальных условиях, пользователям рекомендуется установить последние обновления для оптимальной защиты.
В ответ на обвинения в причастности к кампании, связанной с 0-day в Microsoft SharePoint, китайская сторона предъявила штатам попытки внедрения бэкдоров в чипы NVIDIA, а также участие во взломе национальных военных объектов в целях шпионажа через майкрософтовские нули.
Свои опасения относительно потенциальных угроз выразили представители Управления по вопросам киберпространства Китая (CAC).
Вызвав на ковер оппонентов из NVIDIA китайцы потребовали предоставить исчерпывающие пояснения относительно реализации положений нового Закона США о безопасности чипов (Chip Security Act), по которому в поставляемую в КНР продукцию могут быть внедрены бэкдоры.
В случае принятия законопроект обяжет NVIDIA оснащать чипы системой отслеживания, предотвращающей их продажу в недружественные или находящиеся под санкциями страны.
Заявленная система отслеживания также должна будет включать в себя функции удалённого отключения, которая деактивируется, если чипы окажутся в соответствующей подсанкционной юрисдикции.
Конкретно речь идет о серии H20, которую NVIDIA разработала и выпустила специально для того, чтобы обойти экспортный контроль США и при этом иметь возможность продавать свою продукцию в Китай.
Дабы подкрепить оценки относительно перспектив угроз кибершпионажа уже на следующий день CAC совместно со своей CERT выдвинула новые серьезные обвинения, заявляя о причастности американских спецслужб к атаке на крупное военное предприятие в июне 2022.
Предполагается, что американские APT взломали более 300 систем, используя неназванную 0-day Exchange, которая позволила им закрепиться в сети жертвы и красть конфиденциальные засекреченные данные на протяжении почти года.
Неужели EternalBlue и слив инструментария Lamberts ничему их так не научил.
В общем, никогда такого не было и вот опять!
🥷❗️ Фишинговая атака на разработчиков Mozilla угрожает миллионам пользователей 🧊Firefox?
Mozilla выпустила срочное предупреждение о целенаправленной фишинговой кампании, нацеленной на разработчиков расширений для браузера Firefox на официальной платформе AMO. Злоумышленники под видом команды Mozilla рассылают электронные письма с требованием «обновить учётную запись для сохранения доступа к функциям», и, согласно комментариям к официальному сообщению, как минимум один разработчик мог стать жертвой этой уловки.
Анализ вектора атаки показывает, что конечная цель злоумышленников заключается не в самой краже учётных данных, а в получении контроля над существующими браузерными расширениями для последующего внедрения вредоносного кода. Подобная компрометация в цепочке поставок программного обеспечения открывает прямой доступ к браузерам десятков миллионов конечных пользователей, так как на платформе AMO размещено свыше 60 000 расширений.
💬✋В качестве защиты Mozilla призывает разработчиков к повышенной бдительности, рекомендуя проверять аутентичность доменов отправителя, убеждаться в прохождении письмом проверок SPF, DKIM и DMARC, а также переходить на сайт AMO исключительно напрямую. Кроме того, компания настоятельно советует вводить учётные данные только на официальных доменах mozilla.org или firefox.com.
✋ @Russian_OSINT
Zero Day Initiative компании Trend Micro анонсирвала вознаграждение в размере 1 млн. долл. для исследователей, которые смогут продемонстрировать Zero-Click уязвимости WhatsApp на предстоящем хакерском конкурсе Pwn2Own Ireland 2025.
Meta (признанная в РФ экстремистской) наряду с Synology и QNAP выступила соорганизатором нового этапа конкурса Pwn2Own Ireland 2025, который пройдет с 21 по 24 октября в Корке, Ирландия.
Обещают также и более скромные денежные призы в категории WhatsApp.
В конкурсе заявлено восемь категорий, охватывающих мобильные устройства, мессенджеры, сетевое оборудование, устройства умного дома и NAS, принтеры, оборудование для видеонаблюдения и носимые девайсы, включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S, а также флагманские смартфоны Samsung Galaxy S25, Google Pixel 9 и Apple iPhone 16.
ZDI также расширила векторы атак для мобильных устройств, включив в них использование USB-портов, что потребует от участников взлома заблокированных телефонов посредством физического подключения.
Традиционные беспроводные протоколы, такие как Wi-Fi, Bluetooth и беспроводная связь ближнего радиуса действия, остаются допустимыми методами атак.
Регистрация участников закрывается 16 октября в 17:00 по ирландскому стандартному времени. Порядок участников определяется рандомные образом.
После того, как уязвимости будут эксплуатированы во время Pwn2Own, в распоряжении поставщиков будет 90 дней на выпуск обновлений, прежде чем инициатива Zero Day Initiative публично их раскроет.
Призовой фонд прошлогодичного Pwn2Own Ireland по всем категориям составил 1 078 750 долл. и включал вознаграждения за демонстрацию более чем 70 нулей.
Так что заявленный миллион лишь за WhatsApp определенно можно считать рекордной суммой в истории хакерского поединка.
Правда в киберподполье этим не удивишь, расценки на нули в аналогичном упражнении - на порядок выше. NSO не дадут соврать.
В Google сообщили, что не получали запроса на создание секретного бэкдора от правительства Великобритании (via).
Потому что зачем делать новый, если старый работает неплохо!
Исследователи из Лаборатории Касперского в новом отчете раскрывают все более сложные и хитрые методы, которые применяют злоумышленники для сокрытия уже давно известных инструментов.
Во второй половине 2024 года российский IT-сектор стал объектом достаточно интересной атаки, нацеленной, преимущественно на крупные и средние отраслевые компании.
При этом следы злоумышленников удалось также найти в Китае, Японии, Малайзии и Перу.
Злоумышленники применили целый спектр вредоносных техник, чтобы обмануть системы безопасности и остаться незамеченными.
В частности, для обхода обнаружения они доставляли информацию о вредоносной нагрузке через профили в соцсетях, а также на других популярных ресурсах, где пользователи могут делиться контентом.
В частности, исследованные образцы обращались к GitHub, Microsoft Learn Challenge, Quora, а также русскоязычным соцсетям.
Атакующие таким образом старались скрыть свою активность и создать сложную цепочку выполнения давно известного и широко распространенного инструмента - Cobalt Strike Beacon.
Применяли также технику DLL Hijacking, которая становится все более популярна в киберподполье.
Несмотря на то, что пик атак пришелся на ноябрь-декабрь 2024 года, угроза сохраняла актуальность до конца апреля 2025-го.
При этом после нескольких месяцев тишины в июле исследователи ЛК стали вновь детектировать эту активность.
Злоумышленники использовали новые незначительно модифицированные вредоносные образцы.
Как удалось заметить, схема получения адреса, с которого загружается шелл-код, схожа со схемой получения С2, которая наблюдалась в кампании EastWind.
В обоих случаях URL-адрес содержится в специально созданном профиле на легитимной площадке, такой как Quora или GitHub.
Также в обоих случаях он зашифрован по алгоритму XOR.
Частично совпадают и цели двух кампаний: злоумышленников интересуют именно российские IT-компании.
Техническая часть и IOC - в отчете.
📦 Облегчённая песочница Linux с Landlock, не требующая root.
• Три года назад я писал статью, где рассказывал про Firejail — это такой гибкий и мощный инструмент изоляции, который не просто контролирует доступ к файловой системе, а полностью отрезает приложение от основной системы с помощью механизма Linux Namespaces.
• Так вот, недавно нашел другой интересный проект, который представляет собой облегчённую версию Firejail и не требует root. Проект называется Landrun, и вот так его описывает автор:
Меня всегда чертовски раздражало запускать случайные двоичные файлы из интернета без реального контроля над тем, к чему они могут получить доступ. Я выпустил Landrun, инструмент командной строки на основе Go, который оборачивает Linux Landlock (5.13+) для изоляции любого процесса без root, контейнеров или seccomp. Представьте себе firejail, но с безопасностью на уровне ядра, минимальными накладными расходами и встроенный в ядро. Поддерживает точный доступ к файлам (ro/rw/exec) и ограничения портов TCP (6.7+). Никаких демонов, никакого YAML, только флаги.
Один из крупнейших в мире операторов связи стал жертвой кибератаки.
Речь идет о французской Orange.
Компания предоставляет различные услуги в сфере связи для 294 млн. клиентов в Европе, Африке и на Ближнем Востоке, включая 256 млн. пользователей мобильной и 22 млн. пользователей фиксированной связи.
Компания насчитывает более 125 800 сотрудников по всему миру, выручка в 2024 году составила 40,3 миллиарда евро.
Скомпрометированная информационная система была обнаружена и изолирована от остальной сети подразделением ИБ Orange Cyberdefense 25 июля, что привело к сбоям в работе, которые должны быть устранены к 31 июля.
Согласно заявлению Orange Group, после обнаружения кибератаки компания уведомила соответствующие органы для проведения расследования, предварительные результаты которого указывают на отсутствие доказательств кражи каких-либо данных.
В Orange пока не связывает кибератаку с какой-либо конкретной хакерской группой или кластером угроз.
Однако исследователи находят сходство с аналогичными взломами AT&T, Verizon, Lumen, Charter Communications, Consolidated Communications, Windstream, Comcast, Digital Realty и Viasat которые переписывают китайской Salt Typhoon.
Но, скорее всего, опять белорусские киберпартизаны.
Apple выкатила исправления для десятков уязвимостей в своих операционных системах, в том числе для эксплуатируемой в реальных условиях ошибки.
Она отслеживается как CVE-2025-6558 и была раскрыта в середине июля, когда Google исправила ее в Chrome, выразив благодарность за ее обнаружения своей команде TAG и предупреждая о ее задействовании в качестве 0-day.
Ошибка связана с недостаточной проверкой ненадежных входных данных в графических компонентах Chrome ANGLE и GPU, которая может быть использована удаленно с помощью специально созданных HTML-страниц для выхода за пределы «песочницы» браузера.
Спустя неделю после того, как Google выпустила обновление Chrome 138, CISA добавила ошибку в свой каталог известных эксплуатируемых уязвимостей KEV. Правда, до сих пор не было ни одного отчета об атаках с использованием CVE-2025-6558.
В обновлениях для iOS и macOS Apple также представила исправления для CVE-2025-6558, которая влияет на WebKit и может привести к сбою Safari при посещении страницы с вредоносным контентом.
Но никаких свидетельств того, что эта уязвимость была использована в Safari пока нет.
В общей Apple выпустила исправления для 13 уязвимостей безопасности в WebKit, предупредив о возможности их задействования для XSS-атак, раскрытия конфиденциальной пользовательской информации, повреждения памяти, сбоя Safari или вызова состояния DoS.
Помимо WebKit другие компоненты платформы Apple также были улучшены, избавившись от значительного объема уязвимостей. В их числе: AppleMobileFileIntegrity, Model I/O и PackageKit.
Ещё одной заслуживающей внимания уязвимостью является CVE-2025-43223, которая затрагивает компонент CFNetwork в macOS и iOS, позволяя непривилегированным пользователям изменять ограниченные сетевые настройки.
CFNetwork Apple - это фреймворк, обеспечивающий сетевое взаимодействие, включая HTTP, HTTPS и другие протоколы. Поэтому любая уязвимость в фреймворке создаёт значительные риски безопасности.
В общем, Apple исправила 87 CVE в новом обновлении macOS Sequoia 15.6 и включила исправления для 29 уязвимостей в недавно выпущенные обновления iOS 18.6 и iPadOS 18.6.
В macOS Sonoma 14.7.7 исправлено 50 ошибок, в macOS Ventura 13.7.7 - 41 проблема, в iPadOS 17.7.9 - 19 ошибок, в watchOS 11.6 - 21 ошибка, а в tvOS 18.6 и visionOS 2.6 - по 24 ошибки.
Так что пользователям настоятельно рекомендуется как можно скорее обновить свои девайсы.
Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.
Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.
Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.
Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.
Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.
В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.
Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.
Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.
Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.
Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.
При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).
Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.
Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.
Пользователям Gemini CLI рекомендуется обновиться до google/gemini-cli">версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).
Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.
Активно эксплуатируемая в реальных атаках критическая RCE-уязвимость без аутентификации в Cisco Identity Services Engine (ISE) теперь обзавелась эксплойтом, которым публично поделился исследователь Бобби Гулд.
Она была впервые обнаружена 25 июня 2025 года и влияет на ISE и ISE-PIC 3.3 и 3.4, позволяя неаутентифицированным удаленным злоумышленникам загружать произвольные файлы в целевую систему и выполнять их с привилегиями root.
Проблема возникает из-за небезопасной десериализации и внедрения команд в методе enableStrongSwanTunnel().
Три недели спустя поставщик добавил в тот же бюллетень еще одну CVE-2025-20337, которая относится к той же проблеме, но теперь отслеживается в составе двух частей: CVE-2025-20281 (внедрение команды) и CVE-2025-20337 (десериализация).
Несмотря на то, что исправления уже были доступны ранее, Cisco настоятельно рекомендовала пользователям обновиться до версий 3.3 Patch 7 и 3.4 Patch 2 для устранения обеих уязвимостей.
22 июля 2025 года Cisco отметила CVE-2025-20281 и CVE-2025-20337 как активно используемые в атаках, призывая администраторов как можно скорее установить обновления.
В ближайшее время в полку атакующих явно прибавиться, ведь 25 июля Гулд выкатил технические подробности, демонстрируя запуск уязвимости внедрения команд в Cisco ISE с помощью сериализованной полезной нагрузки Java String[].
Исследователь добился выполнения произвольной команды от имени пользователя root внутри контейнера Docker, используя поведение Runtime.exec() Java и ${IFS} для обхода проблем токенизации аргументов.
Кроме того, он показал, как выйти из привилегированного контейнера Docker и получить права root на хост-системе, используя известную технику выхода из контейнера Linux на основе cgroups и release_agent.
Несмотря на то, что доводы Гулда не являются готовым скриптом эксплойта, который хакеры могут напрямую позаимствовать в свои цепочки атак, тем не менее отражают все технические подробности и структуру полезной нагрузки, которые будут весьма востребованными киберподпольем для воссоздания всего эксплойта.
Следует отметить, что обходных путей для этой уязвимости не существует, поэтому единственно рекомендуемым вариантом устранения CVE-2025-20281 являются лишь исправления, указанные в бюллетене Cisco.
Новый метод проксирования и маскировки каналов C2 под названием Ghost Calls задействует серверы TURN, используемые приложениями для ВКС (прежде всего, Zoom и Microsoft Teams) для туннелирования трафика через доверенную инфраструктуру.
Ghost Calls использует легальные учетные данные, WebRTC и специальные инструменты для обхода большинства существующих мер защиты и противодействия злоупотреблениям, не прибегая к эксплойтам.
Новую тактику раскрыл исследователь из Praetorian Адам Кроссер на конференции BlackHat USA, отметив, что технология может теперь использоваться Red Team в проведении пентестов.
Кроссер отметило, что используя протоколы веб-конференций, которые разработаны для общения в реальном времени с малой задержкой и работают через глобально распределенные медиасерверы, реализуется функция естественных ретрансляторов трафика.
Этот подход позволяет операторам интегрировать интерактивные сеансы C2 в обычные схемы корпоративного трафика, представляя их всего лишь как временно активную онлайн-конференцию.
TURN (обход с использованием реле в обход NAT) - сетевой протокол, обычно используемый службами видеозвонков, VoIP и WebRTC, который помогает устройствам за брандмауэрами NAT взаимодействовать друг с другом, когда прямое соединение невозможно.
Когда клиент Zoom или Teams присоединяется к ВКС, он получает временные учетные данные TURN, которые Ghost Calls может перехватить, чтобы настроить туннель WebRTC на основе TURN между злоумышленником и жертвой.
Затем этот туннель можно использовать для проксирования произвольных данных или маскировки трафика C2 под обычный трафик видеоконференций через доверенную инфраструктуру, используемую Zoom или Teams.
Поскольку трафик маршрутизируется через легитимные домены и IP-адреса, широко используемые в корпоративной среде, вредоносный трафик может обойти межсетевые экраны, прокси-серверы и проверку TLS.
Кроме того, трафик WebRTC зашифрован, поэтому надёжно скрыт.
Злоупотребляя этими инструментами, злоумышленники также избегают раскрытия своих собственных доменов и инфраструктуры, получая высокопроизводительное, надежное подключение и гибкость использования как UDP, так и TCP через порт 443.
Для сравнения, традиционные механизмы C2 достаточно медленные, заметные и часто не обладают возможностями обмена в реальном времени, необходимыми для обеспечения операций VNC.
Исследования Кроссера привели также к разработке пользовательской утилиты с открытым исходным кодом (доступна на GitHub) под названием TURNt, которую можно использовать для туннелирования трафика C2 через серверы WebRTC TURN, предоставляемые Zoom и Teams.
TURNt состоит из двух компонентов: контроллера, работающего на стороне злоумышленника, и реле, развернутого на скомпрометированном хосте.
Контроллер использует прокси-сервер SOCKS для приема подключений, проходящих через TURN. Relay подключается к контроллеру, используя учётные данные TURN, и настраивает канал передачи данных WebRTC через TURN-сервер провайдера.
TURNt может выполнять проксирование SOCKS, локальную или удаленную переадресацию портов, кражу данных и обеспечивать скрытое туннелирование трафика VNC.
Разработчики Zoom или Microsoft Teams пока никак не комментируют результаты исследования и не ясно будут ли с их стороны предприниматься какие-либо меры безопасности (учитывая, что Ghost Calls не базируется на уязвимостях в продуктах).
Trend Micro информирует клиентов о необходимости немедленно защитить свои системы от активно эксплуатируемой RCE-уязвимости в своей платформе Apex One.
Apex One - это платформа для обеспечения безопасности конечных точек, предназначенная для автоматического обнаружения и реагирования на угрозы, включая вредоносные инструменты, вредоносное ПО и уязвимости.
Критическая уязвимость отслеживается как CVE-2025-54948 и CVE-2025-54987 (в зависимости от архитектуры ЦП) и связана с внедрением команд в консоль управления Apex One (локальную), которая позволяет предварительно аутентифицированным злоумышленникам удаленно выполнять произвольный код в системах, на которых работает неисправленное ПО.
Trend Micro при этом еще не выпустила обновлений для исправления этой активно эксплуатируемой уязвимости, поделившись только инструментом для краткосрочного снижения риска попыток ее эксплуатации.
Японский CERT также выпустил предупреждение об активной эксплуатации двух уязвимостей, призывая пользователей как можно скорее их устранить (правда, не упоминая, что обновления еще разработаны).
Заявленные меры по смягчению, конечно, защищают от известных уязвимостей, но лишают администраторов возможности использовать функцию удаленной установки агента для развертывания агентов из консоли управления Trend Micro Apex One.
По данным, Trend Micro зафиксирован как минимум один случай попытки активного использования одной из этих уязвимостей в реальных условиях.
Компания намерена выпустить исправление примерно в середине августа, которое также восстановит функциональность Remote Install Agent, отключенную временным инструментом устранения уязвимости.
До тех пор, пока не будет выпущено исправление Trend Micro настоятельно рекомендует администраторам незамедлительно принять меры по защите уязвимых конечных точек, даже если это означает временную потерю возможностей удаленного управления.
Учитывая, что для использования уязвимости злоумышленнику необходимо иметь доступ к консоли управления Trend Micro Apex One, клиентам, IP-адрес консоли которых доступен извне, следует рассмотреть смягчающие факторы: ограничения на источники, если они еще не применены.
Однако, даже несмотря на то, что для использования уязвимости может потребоваться выполнение ряда определённых условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновиться до последних сборок.
🔄 Chrome Exploitation.
• Недавно в блоге Operation Zero (компания которая покупает уязвимости в различном ПО\устройствах) была опубликована хорошая статья, которая описывает архитектуру современных браузеров и их эксплуатации на примере Chrome.
• Вы сможете изучить, как устроены подсистемы браузера, как обеспечивается их безопасность и как она нарушается с помощью уязвимостей, примитивов, обходов защит, эксплоитов и их цепочек. Каждая статья будет практической, поэтому с самого начала авторы кратко анализируют несколько известных эксплоитов, компилируют их благодаря публичному репозиторию и пробивают Chrome 130-й версии для Windows.
• Учитывайте, что на данный момент опубликована только первая часть на английском языке. Позже будет опубликовано продолжение, так что следите за блогом. Ну и еще обещают перевод на русский язык, но это не точно.
➡ https://opzero.ru/press/101-chrome-exploitation-part-0-preface
S.E. ▪️ infosec.work ▪️ VT
По всей видимости, Cisco перехватывает лидирующие позиции у Ivanti в антирейтнге «надежных» поставщиков после очередного инцидента, на этот раз связанного с утечкой данных пользователей портала cisco.com в результате взлома CRM.
Об инциденте стало известно 24 июля, после вишинг-атаки на одного из представителей Cisco.
Злоумышленнику удалось получить доступ и похитить различные категории базовых данных «профиля» из сторонней CRM-системы, используемой Cisco.
В компании оперативно замочили доступ злоумышленников к CRM-системе.
По результатам предварительного расследования установлено, что хакеры получили доступ к информацией, связанной с регистрацией пользователей на Cisco.com.
Потенциальная утечка включает в себя информацию об именах пользователей, адресах электронной почты, номерах телефонлв, названия организаций, почтовых адресах, а также идентификаторы и другие метаданные, связанные с учетной записью.
Cisco заявляет, что хакеры не смогли залучить никакой конфиденциальной или служебной информации клиентов компании.
Пароли и другие конфиденциальные данные также не были затронуты.
Кроме того, представители компании констатировали отсутствие какого-либо влияния инцидента на продукты или услуги, а также другие экземпляры Cisco CRM.
Все пострадавшие пользователи и соответствующие регуляторы были немедленно уведомлены.
Полгода назад кстати Cisco также выхлапывали.
Тогда IntelBroker слил в паблик гигабайты файлов, включая исходники, скрипты, цифровые сертификаты и файлы конфигурации продуктов.
Подлинность данных подтвердила сама компания, каждый раз апеллирующая в таких ситуациях к Фридриху Ницше: все, что не убивает, делает сильнее.
Google выпустила исправления для шести уязвимостей в рамках обновлений безопасности Android за август 2025 года, включая две уязвимости Qualcomm, которые фигурировали в целевых атаках.
Они отслеживаются как CVE-2025-21479 и CVE-2025-27038, были обнаружены и раскрыли специалистами Google еще в конце января 2025 года.
Тогда Google Threat Analysis Group упоминали о получении сообщений в отношении их ограниченной таргетированной эксплуатации.
Первая из них - это некорректная авторизация графического фреймворка, которая может привести к повреждению памяти из-за несанкционированного выполнения команд в микроузле графического процессора при выполнении определённой последовательности команд.
CVE-2025-27038, с другой стороны, представляет собой уязвимость использования памяти после освобождения, которая приводит к повреждению памяти при рендеринге графики с использованием драйверов графического процессора Adreno в Chrome.
Исправления проблем, затрагивающих драйвер графического процессора Adreno (GPU), были разработаны OEM-производителям в мае вместе с настоятельной рекомендацией как можно скорее установить обновление на затронутых устройствах, а Google ретранслировала их в свои.
В представленных обновлениях Android Google также устранила критическую уязвимость в компоненте System, которую злоумышленники без привилегий могут использовать для RCE в сочетании с другими уязвимостями в атаках, не требующих взаимодействия с пользователем.
Традиционно Google выпустила два набора исправлений безопасности: от 01.08.2025 и 05.08.2025.
Последний включает в себя все исправления из первого набора, а также для компонентов ядра и сторонних разработчиков с закрытым исходным кодом, которые могут применяться не ко всем устройствам Android.
Более года в системах Linux скрывалось вредоносное ПО, которое позволяло злоумышленникам получать постоянный доступ по протоколу SSH и обходить аутентификацию.
Обнаружившие малварь исследователи Nextron Systems назвали его Plague и охарактеризовали как вредоносный подключаемый модуль аутентификации (PAM), который использует методы многоуровневой обфускации для уклонения от обнаружения.
Вредоносная ПО обладает возможностями противодействия отладке, препятствующими попыткам анализа и реверса, обфускацией строк для усложнения обнаружения, жестко запрограммированными паролями для скрытого доступа, а также способностью скрывать артефакты сеанса.
После загрузки он зачищает среду выполнения от любых следов своей вредоносной активности, в том числе в части связанных с SSH переменных среды и истории команд, журналирования, метаданных входа в систему и интерактивных сеансов.
Plague глубоко интегрируется в стек аутентификации, переживает обновления системы и практически не оставляет криминалистических следов.
В сочетании с многоуровневой обфускацией и вмешательством в среду это делает его исключительно сложным для обнаружения с помощью традиционных инструментов.
Вредоносное ПО активно дезинфицирует среду выполнения. Переменные среды, такие как SSH_CONNECTION и SSH_CLIENT, сбрасываются с помощью unsetenv, а HISTFILE перенаправляется в /dev/null для предотвращения регистрации команд оболочки.
При анализе вредоносного ПО исследователи также обнаружили артефакты компиляции, указывающие на активную разработку в течение длительного периода, с использованием различных версий GCC в различных дистрибутивах Linux.
Несмотря на то, что за последний год на VirusTotal было загружено несколько вариантов бэкдора, ни один из антивирусных движков не пометил их как вредоносные: создатели вредоносного ПО долгое время действовали незамеченными.
Собственно поэтому исследователи считают Plague сложной и прогрессирующей угрозой для инфраструктуры Linux, задействующей основные механизмы аутентификации для обеспечения скрытности и устойчивости.
Использование продвинутой обфускации, статических учётных данных и вмешательства в среду делает его особенно сложным для обнаружения традиционными методами.
От него кровопролитиев ждали, а он чижика съел (с)
Базирующиеся в США "Белорусские киберпартизаны", которые совместно с Silent Crow на позапрошлой неделе завалили Аэрофлот, решили практически растоптать Роскомнадзор путем вброса в сеть совершенно и невероятно конфиденциальных документов, подтверждающих, что авиакомпания обслуживает Министерство обороны России.
И опубликовали письмо военного коменданта Шереметьево, в котором тот клянчит новый iPad взамен сломавшегося.
И - испанский стыд (это не про коменданта, если что).
З.Ы. Кстати, помните, мы намеками говорили о том, что не все так страшно, как представляют взломщики, и скоро основной функционал починят? Ну и кто тут теперь Нострадамус?!
Исследователи Bitdefender обнаружили исправленные критические уязвимости в прошивках умных камер Dahua, которые позволяют злоумышленникам перехватывать управление уязвимыми устройствами.
Уязвимости затрагивают протокол ONVIF и обработчики загрузки файлов, позволяя неавторизированным злоумышленникам удаленно выполнять произвольные команды.
Проблемы отслеживаются как CVE-2025-31700 и CVE-2025-31701 (CVSS: 8,1) и влияют на следующие устройства с версиями до 16 апреля 2025 года: IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, SD3A, SD2A, SD3D, SDT2A и SD2C Series.
Оба недостатка относятся ошибкам переполнения буфера и эксплуатируются путем отправки специально созданных вредоносных пакетов, что потенциально приводит к DoS или RCE.
В частности, CVE-2025-31700 описывается как переполнение стека буфера в обработчике запросов ONVIF (Open Network Video Interface Forum), тогда как уязвимость CVE-2025-31701 касается ошибки переполнения в обработчике загрузки файлов RPC.
Как отмечает Dahua, некоторые устройства имеют защитные механизмы, в том числе рандомизацию адресного пространства (ASLR), что снижает вероятность успешного использования RCE.
Однако атаки типа DoS по-прежнему вполне реализуемы.
В свою очередь, Bitdefender предупреждает, что устройства, подключенные к интернету через переадресацию портов или UPnP, особенно подвержены риску, а успешная эксплуатация обеспечивает доступ к камере с правами root без взаимодействия с пользователем.
При этом эксплойт обходит проверки целостности прошивки, так что злоумышленники могут загружать неподписанные полезные нагрузки или сохраняться через пользовательские демоны, что затрудняет очистку.
Учитывая, что устройства Dahua популярны, в том числе и в России, пользователям следует внимательно отнестись к рекомендациям поставщика и накатить соответствующие обновления.
🥷❗️F6: новый игрок на рынке RaaS с прицелом на Россию
Аналитики Threat Intelligence F6 изучили вымогательский сервис Pay2Key, который распространяется на киберпреступных русскоязычных форумах по модели RaaS с конца февраля 2025 года.
С начала 2025 года на теневых форумах активизировался новый вымогательский сервис Pay2Key, распространяемый как RaaS (Ransomware as a Service) и построенный на базе известного шифровальщика Mimic. Из особенностей сервиса стоит отметить то, что он доступен только в сети аналогичной TOR — I2P:
Несмотря на негласные правила, запрещающие атаки по СНГ, партнеры проекта Pay2Key уже попытались поразить российские компании из сфер финансов, строительства и ритейла — весной было обнаружено как минимум три фишинговые кампании, нацеленные на российских пользователей. Сервис работает в анонимной сети I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты.
....
Программа-вымогатель Pay2Key является отдельной ветвью развития (форком) другого распространенного шифровальщика – Mimic. По нашему мнению, программа-вымогатель Mimic является одной из самых сложных современных программ-вымогателей. В феврале распространялась программа Pay2Key версии 1.1, на настоящий момент актуальной является версия 1.2.
Исследователи GreyNoise обнаружили, что примерно в 80% случаев всплески вредоносной активности предшествуют появлению новых уязвимостей в течение последующих шести недель.
В компании полагают, что подобные явления не случайны, а характеризуются цикличными и статистически обусловленными закономерностями.
В основе выводов GreyNoise - аналитика на базе данных Глобальной сети наблюдений (GOG), собираемых с сентября 2024 года с применением объективных статистических пороговых значений, исключающих выборочного искажения результатов.
После фильтрации лишних данных компания отследила 216 событий, которые были квалифицированы как всплески активности, связанные с восемью поставщиками корпоративных периферийных устройств.
Из всех 216 изученных скачков активности в 50 процентах в течение последующих трех недель наблюдался новый CVE, а в 80 процентах - в течение шести.
Данная корреляция особенно сильно затрагивала решения Ivanti, SonicWall, Palo Alto Networks и Fortinet и слабее для MikroTik, Citrix и Cisco, которые неоднократно становились объектами APT-атак и выступали основой для первоначального доступа.
GreyNoise отмечает, что в большинстве выявленных скачков вредной активности злоумышленники задействовали эксплойты для уже известных уязвимостей.
Исследователи полагают, что это либо способствует обнаружению новых уязвимостей, либо идентификации конечных точек, доступных через Интернет, которые могут стать целью на последующем этапе атаки с использованием новых эксплойтов.
Как правило, реагирование реализуется после публикации CVE, но результаты GreyNoise демонстрируют, что поведение злоумышленника может быть опережающим индикатором для организации проактивной защиты.
Описанные в отчете всплески, предшествующие раскрытию информации, могут быть служить сигналом для подготовки к потенциальной атаке безотносительно конкретных проблем и систем, которые они затрагивают.
GreyNoise рекомендует внимательно отслеживать активность сканирования и оперативно блокировать исходные IP-адреса, поскольку это исключает их из процесса разведки, который обычно впоследствии приводит к реальным атакам.
Поэтому, как подчеркивают исследователи, не следует игнорировать сканирования старых уязвимостей (попытки которых предпринимаются злоумышленниками для каталогизации уязвимых активов) и списывать их на неудачные попытки взлома полностью пропатченных конечных точек.
Honeywell устранила ряд критических и высокосерьёзных уязвимостей в решении Experion Process Knowledge System (PKS) для управления и автоматизации промышленных процессов.
Соответствующее предупреждение также выкатила CISA, отметив использование затронутого продукта на объектах КИИ, включая производство, химическую промышленность, энергетику, водоснабжение и здравоохранение.
Согласно бюллетеню, Honeywell Experion PKS до версий R520.2 TCU9 Hot Fix 1 и R530 TCU3 Hot Fix 1 подвержены шести уязвимостям, в том числе уязвимостям.
Большинство критических и высокосерьёзных уязвимостей затрагивают компонент управления доступом к данным (CDA) и могут привести к RCE.
Две уязвимости высокой степени серьезности могут быть использованы для DoS-атак, а шибка средней степени серьезности может быть использована для манипулирования каналами связи и вызова некорректного поведения системы.
Раскрытие приписывается исследователям Positive Technologies, которые отмечают затронутые устройства обычно используются на промышленных предприятиях в изолированных сегментах сети, делая маловероятным их удаленную эксплуатацию через Интернет.
Позитивы нашли проблему в обработчиках сетевых протоколов, в которых отсутствуют функции идентификации и аутентификации.
В результате единственным условием эксплуатации уязвимости является доступ к изолированному сегменту.
По словам исследователей, уязвимости позволяют выполнять произвольный код на скомпрометированных устройствах, что потенциально может позволить злоумышленнику манипулировать производственным процессом и самими устройствами.
В свою очередь, Honeywell в своем уведомлении о безопасности анонсировала обновления для Experion PKS (C300 PCNT02, C300 PCNT05, EHB, EHPM, ELMM, Classic ENIM, ETN, FIM4, FIM8, UOC, CN100, HCA, C300PM, PGM, RFIM и C200E), а также OneWireless WDM.
Исследователи Avast выпустили общедоступный дешифратор для вируса-вымогателя FunkSec.
С момента появления в декабре 2024 года FunkSec атаковала 113 жертв, чьи данные украденные данные размещались на DLS банды до тех, пор пока в марте сайт не был закрыт.
FunkSec изначально занималась лишь кражей данных и последующим вымогательством, но затем добавила и шифрование.
Причем, как полагают в Avast, для написания этого вируса-вымогателя задействовался ИИ.
Файлы, зашифрованные с помощью вируса-вымогателя FunkSec, имеют расширение «.funksec». Кроме того, в каждую папку помещается файл с требованием выкупа под названием «README-{random}.md».
Программа-вымогатель написана на языке Rust. Для криптографических операций она использует библиотеку orion-rs версии 0.17.7.
Файлы шифруются с помощью Chacha20 с использованием Poly1305 MAC.
Инструкция по запуску дешифратора - в очтете.
Исследователи Binarly предупредили об уязвимостях в устройствах Lenovo, которые позволяют повышать привилегии, выполнять код и обходить защиту, а также внедрять импланты в целевые системы.
В общей сложности было найдено шесть уязвимостей в BIOS Insyde моноблоков Lenovo IdeaCentre и Yoga, в частности в режиме управления системой SMM - режиме работы, предназначенном для низкоуровневого управления системой.
Поскольку SMM загружается до ОС и сохраняется после переустановки, это делает его идеальной целью для атак, нацеленных на обход безопасной загрузки и внедрения скрытого вредоносного ПО.
Уязвимостям присвоены идентификаторы CVE от CVE‑2025‑4421 до CVE‑2025‑4426. Четыре из них имеют высокий уровень серьезности, остальные - средний.
Уязвимости с высоким CVSS связаны с повреждением памяти, которое может привести к EoP и RCE в SMM.
Уязвимости среднего уровня серьёзности могут привести к раскрытию информации и обходу механизмов безопасности.
Злоумышленники, имеющие привилегированный доступ к целевому устройству Lenovo, могут воспользоваться уязвимостями для обхода средств защиты флэш-памяти SPI и SecureBoot, нарушения изоляции гипервизора и внедрения имплантов, которые сохранят работоспособность даже после переустановки.
Исследователи Binarly уведомили Lenovo об ошибках еще в апреле, поставщик подтвердил их наличие только в июне, выпустив к настоящему времени исправления только для продуктов IdeaCenter, обновления для Yoga - еще в работе.
И Lenovo, и Binarly также представили рекомендации по безопасности с описанием выявленных уязвимостей (1 и 2 соответственно).
Французская Naval Group приступила к расследованию киберинцидента, о котором узнала с просторов киберподполья.
Речь идет о крупной утечке данных в объеме 1 ТБ, который были украдены из сети компании.
Naval Group (ранее DCNS) специализируется разработке систем морской обороны и строительстве боевых кораблях. Контрольный пакет акций компании принадлежит французскому правительству, а остальная часть - оборонному гиганту Thales Group.
На обслуживании Naval Group состоят военно-морские суда, включая фрегаты, эсминцы, атомные подводные лодки и авианосцы, а также состоящие на вооружении флота боевые системы и военные технологии.
Naval Group является ведущим поставщиком ВМС Франции, а также экспортирует продукцию в Австралию, Бразилию, Индию и Египет.
Представители самой компании уже назвали потенциальную утечку «попыткой дестабилизации» и «репутационной атакой», попутно приступив к расследованию с привлечением сторонних специалистов и CERT Военно-морской группы.
Несмотря на заявленные хакерами доводы, в Naval Group утверждают, что пока не видят признаков взлома своих ИТ-систем, а также какого-либо влияния на текущую деятельность.
Так или иначе 23 июля некто, известный под псевдонимом Neferpitou, опубликовал большой массив данных объёмом 13 ГБ, предположительно украденных у Naval Group.
В числе них, по всей видимости, оказались сведения в отношении засекреченной CMS военных судов, техническая документация, данные моделирования и служебная переписка.
Злоумышленник предоставил Naval Group 72 часа для решения вопроса об оплате выкупа, но вскоре вывалил на DarkForums весь массив украденных данных в размере 1 ТБ.
Как полагают некоторые эксперты, представленные материалы могли быть украдены в результате инцидента 2022 года, когда на Thales была совершена атака с использованием программы-вымогателя LockBit 3.0.
Но будем посмотреть.
Нас просят более конкретно высказаться по поводу инцидента с Аэрофлотом.
А говорить нам нечего, потому что мы все давным-давно сказали. Когда-то у нас на уровне государства существовала такая системная (ну ок, ок - полусистемная) дисциплина как "информационная безопасность", сейчас - нет. Потому что система, реализация которой приносит прямо здесь и сейчас расходы для коммерции, отданная на откуп этой же самой коммерции, не работает. Всерьез расчитывать на "ответственный бизнес" в текущих реалиях может только совсем незамутненный человек.
Картина может поменяться. Например, если отвечающий за ИБ заместитель гендиректора Аэрофлота внезапно присядет лет на 7 по ч.5 ст. 274.1 УК РФ.
Это будет пиздец, это будет мрак, кошмар, Адъ и Израиль для всех сотрудников отрасли информационной безопасности, но по-другому ничего не вырастет.
Остается, конечно, вариант когда Евгений Валентинович совершит во имя Б-га Инфосека торжественное аутодафе, на котором сожжет 1024 зараженных малварью жестких диска и разобьет ритуальной кувалдой древний мейнфрейм с первым экземпляром первого в мире вируса, а потом вознесется в инфосечьи небеса и вернется с армией киберсекангелов, ведомой реинкарнацией Кевина Митника, готовых карать и воздавать.
Но маловероятно.
А пока смертельно увлекательный атракцион "весь инфосек за 120" продолжается.
