39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи обращают внимание на масштабную волну сканирований, нацеленных на устройства Cisco, основной фокус которой направлена на межсетевые экраны ASA и VPN-шлюзы AnyConnect.
Причем это уже вторая подобная волна, зафиксированная за последние месяцы.
При том, что первая волна предшествовала обнаружению 0-day Cisco ASA.
Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов.
Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS.
Ранее ежедневно показатели сканирований не превышали 200 адресов.
Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России.
Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане.
По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные.
Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA.
Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks.
В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться.
И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля.
GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября.
Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.
Oracle идентифицировала и устранила 0-day в платформе E-Business Suite, которая эксплуатировалась в атаках Clop, нацеленных на кражу данных.
Кампания началась на прошлой неделе и была связана с бандой вымогателей Clop, а задействованная уязвимость отслеживается как CVE-2025-61882, о чем сообщил руководитель службы безопасности Oracle Роб Дюхарт.
Ошибка обнаружена в продукте Oracle Concurrent Processing из Oracle E-Business Suite (компонент: BI Publisher Integration) и имеет базовую оценку CVSS 9,8.
Она позволяет злоумышленникам выполнять неаутентифицированное удаленное выполнение кода и проста в эксплуатации.
Oracle подтвердила, что 0-day затрагивает Oracle E-Business Suite версий 12.2.3–12.2.14, и выпустила экстренное обновление для её устранения.
Компания отмечает, что клиентам необходимо сначала установить критическое обновление за октябрь 2023 года, прежде чем они смогут устанавливать новые обновления.
При этом компания явно не заявила, что это 0-day, но поделились IOCs, которые соответствуют эксплойту Oracle EBS, недавно распространенному злоумышленниками через Telegram.
В Mandiant также подтвердили, что именно эта уязвимость была использована бандой вымогателей Clop в ходе атак, которые произошли в августе 2025 года.
Clop воспользовались множественными уязвимостями в Oracle EBS, исправленными в обновлении за июль 2025 года и еще одной, исправленной на выходных - CVE-2025-61882, что позволило хакерам выкрасть большие объемы данных у нескольких жертв.
Сообщения об атаках Clop впервые появились на прошлой неделе, когда Mandiant и Google Threat Intelligence Group сообщили о попадании в поле зрения новой кампании, в рамках которой несколько компаний получили электронные письма, якобы отправленные злоумышленниками.
В них фигурировали требования выкупа и упоминание хакеров о том, что им удалось взломать приложение Oracle E-Business Suite жертвы и выкрасть данные из систем.
Позже сами Clop подтвердили, что именно они стояли за этими письмами, указав о задействовании нуля в Oracle для кражи данных.
Причем изначально Oracle связала кампанию Clop с уязвимостями, которые были исправлены в июле 2025 года, однако только позже разработчики смогли отыскать 0-day.
Кроме того, новость об этой уязвимости нулевого дня впервые пришла от Scattered Lapsus$ Hunters, которые в последнее время сами оказались в центре внимания из-за своих масштабных атак по краже данных у клиентов Salesforce.
Они опубликовали в Telegram два файла, которые, по их словам, связаны с атаками Clop. Один файл «GIFT_FROM_CL0P.7z» содержит исходный код Oracle, который, судя по именам файлов, связан с support.oracle.com.
И архив «ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip», который, судя по названию файла, был эксплойтом Oracle E-Business, который использовали Clop. Это тот же файл, который указан в индикаторах компрометации Oracle.
Все это наводит на вопросы о том, как злоумышленники из Scattered Lapsus$ Hunters получили доступ к эксплойту и сотрудничают ли они в каком-либо качестве с Clop.
Так что будем следить.
Продолжаем знакомить с наиболее трендовыми уязвимостями и обусловленными ими угрозами. Новая подборка включает:
1. Исследователи PAN Unit42 обнаружили три новые уязвимости в маршрутизаторах TOTOLINK. Самая серьёзная из них связана с внедрением команды unauth.
2. DrayTek выпустила обновления для своих популярных моделей маршрутизаторов Vigor для исправления CVE-2025-10547.
Она позволяет злоумышленникам взломать маршрутизаторы Vigor, используя специально созданные HTTP- или HTTPS-запросы, отправляемые на веб-панель управления устройства. Для эксплуатации уязвимости не требуются действительные учётные данные.
3. Oracle связала продолжающуюся кампанию с вымогательством со стороны известной банды Clop с уязвимостями E-Business Suite (EBS), которые были исправлены в июле 2025 года.
При этом компания не указала конкретную задействовавшуюся уязвимость, но в рамках своего критического обновления тогда устранила девять ошибок в E-Business Suite, три из которых (CVE-2025-30745, CVE-2025-30746 и CVE-2025-50107) можно использовать удаленно, не требуя ввода учетных данных пользователя.
4. Устранены критические уязвимости в компонентах WebGPU и Video браузера Chrome, а также в компонентах Graphics и JavaScript Engine браузера Firefox.
Google перевела Chrome 141 в стабильную версию с 21 исправлением безопасности.
Две из них, CVE-2025-11205 и CVE-2025-11206, представляют собой серьезные проблемы с переполнением буфера кучи, влияющие на компоненты WebGPU и Video в Chrome.
Mozilla выпустила Firefox 143.0.3 с исправлениями двух серьезных дефектов в компонентах Graphics и JavaScript Engine.
Первая, CVE-2025-11152 - проблема целочисленного переполнения, может привести к выходу из песочницы, вторая CVE-2025-11153 - ошибка JIT-компиляции.
5. Исследователи Clutch Security раскрыли подробности серьезной уязвимости (CVE-2025-59363 с CVSS 7,7) в One Identity OneLogin Identity and Access Management (IAM).
Успешная эксплуатация уязвимости может позволить злоумышленнику с действительными учётными данными API OneLogin получить доступ к клиентским секретам всех приложений OIDC, настроенных в клиенте OneLogin.
Проблема связана с тем, что конечная точка списка приложений - /api/2/apps - была настроена на возврат большего объема данных, чем ожидалось, включая значения client_secret в ответе API, а также метаданные, связанные с приложениями в учетной записи OneLogin.
После раскрытия 18 июля 2025 уязвимость была устранена в OneLogin 2025.3.0, свидетельств эксплуатации в реальных условиях не получено.
6. Разработчики Red Hat выкатили бюллетень, анонсировав серьезная уязвимость в службе Red Hat OpenShift AI, которая позволяет злоумышленникам повысить привилегии и получить контроль над всей инфраструктурой при определенных условиях.
CVE-2025-10725 имеет оценку CVSS 9,9, тем не менее Red Hat классифицировала её как «важную», но не «критическую», поскольку для взлома среды требуется аутентификация удалённого злоумышленника.
Проблема затрагивает следующие версии: Red Hat OpenShift AI 2.19, Red Hat OpenShift AI 2.21 и Red Hat OpenShift AI (RHOAI).
Отраслевые эксперты также высказывают предположения, что недавний инцидент со взломом закрытых репозиториев GitLab компании может быть связан с CVE-2025-10725, однако в Red Hat категорически отвергают эти гипотезы.
Но будем посмотреть.
После неудавшейся январской попытки правительство Великобритании вновь пытается затянуть удавку не шее Apple в надежде заполучить доступ к зашифрованным данным пользователей в облаке.
По данным Financial Times, британские чиновники в сентябре направили в адрес Apple новый официальный, но уже откорректированный запрос с более узкой областью применения, требуя доступа к зашифрованным облачным данным только для пользователей из Великобритании.
Ранее Лондон требовал предоставить техническую возможность доступа к данным пользователей Apple в iCloud по всему миру, что вызвало острую негативную реакцию со стороны властей США, да и, пожалуй, за пределами штатов.
Разработчики Apple были вынуждены ограничить в Великобритании функционал iCloud Advanced Data Protection, обеспечивавший облачное хранилище сквозным шифрованием.
После чего Apple подала жалобу на январский запрос в Трибунал по надзору за деятельностью правоохранительных органов.
Рассмотрение дела было назначено на январь 2026 года. Новая инициатива британского правительства может привести к возобновлению процесса.
После давления со стороны Вашингтона власти Великобритании отозвали то требование и теперь ограничили запрос только британскими пользователями.
В Apple подчёркивают, что конфиденциальность - у них в приоритете, так что компания не собирается идти на компромисс, а правозащитники предполагают: если приказ вступит в силу, аналогичные требования могут быть предъявлены и к другим технологическим компаниям.
Тем временем источники FT утверждают, что вопрос доступа к пользовательским данным вновь поднимался во время июльского визита президента США Дональда Трампа в Лондон.
Несмотря на это, представители британского правительства заявляют, что Соединенные Штаты больше не настаивают на полном отказе от этого требования.
Вот и порешали. Будем следить.
Ранее мы уже рассказывали про метода атаки Battering RAM, который был разработан группой бельгийских учёных и основывается на вредоносном модуле памяти, который можно использовать для взлома конфиденциальности современных облачных сервисов.
Он устанавливается между оперативной памятью (RAM) и материнской платой и позволяет злоумышленникам взломать функции безопасности процессоров Intel и AMD, используемых в облачных серверах.
Его стоимость составляет всего лишь 50 долларов США.
Аналогичное устройство WireTap разработала другая команда исследовательской из Технологического института Джорджии и Университета Пердью, продемонстрировав, что пассивный интерпозер DIMM может быть использован для взлома механизма DCAP Intel SGX.
Атака WireTap также требует физического доступа к серверу, использующему SGX, и задействует интерпозер, которое можно создать с использованием общедоступной электроники менее чем за 1000 долларов США.
Технология Intel SGX (Software Guard Extensions) встроена в некоторые процессоры и предназначена для защиты конфиденциальных данных и кода от несанкционированного доступа или подмены, даже если остальная часть системы скомпрометирована.
После установки интерпозер позволил учёным замедлить и собрать трафик шины DDR4, а затем взять под контроль анклав SGX, очистив кэш. Затем учёные атаковали криптографический механизм безопасности SGX и извлекли ключ аттестации машины в течение 45 минут.
Исследователи объяснили, что скомпрометированный ключ затем может быть использован для злоупотребления конфиденциальностью многочисленных развертываний, включая сети смарт-контрактов Phala и Secret, а также централизованную систему хранения блокчейнов Crust.
В ходе атак на Phala и Secret ученые смогли извлечь ключи для шифрования данных контракта, подделав котировки в пользовательском анклаве, что позволило им расшифровать состояние смарт-контракта по всей сети.
В контексте Crust исследователи продемонстрировали, что злоумышленник может использовать скомпрометированный ключ и модифицированный анклав для подделки доказательств хранения, тем самым нарушая целостность и корректность действий сетевого узла.
Ученые отмечают, что атаку WireTap можно смягчить, отказавшись от использования детерминированного шифрования памяти, обеспечив достаточную энтропию внутри каждого блока шифрования, установив более высокие скорости шины и предоставив единый главный ключ для всех анклавов SGX из единой системы с усиленной защитой.
Они сообщили о своих результатах Intel, которая в своем заявлении на этой неделе признала факт атаки, но отметила на необходимость наличия у злоумышленника физического доступа к оборудованию с интерпозером шины памяти, а это уже выходит за рамки ее модели угроз.
Банда вымогателей Crimson Collective заявили, что им удалось взломать частные репозитории Red Hat на GitHub и похитить почти 570,2 ГБ сжатых данных из 28 000 внутренних проектов.
Данные массив, предположительно, включает около 800 отчетов о взаимодействии с клиентами (CER), которые могут содержать конфиденциальную информацию в отношении сети и платформ клиента.
CER - это консультационный документ, подготовленный для клиентов, который часто содержит сведения об инфраструктуре, данные конфигурации, токены аутентификации и другую информацию, которая может быть использована для взлома сетей клиентов.
При этом сама Red Hat подтвердила, что столкнулась с инцидентом, связанным с ее консалтинговым бизнесом, пока не комментирует какие-либо заявления относительно украденных репозиториев GitHub и CER клиентов, но инициировала необходимые меры по устранению последствий.
В настоящее время у Red Hat нет оснований полагать, что проблема безопасности повлияет на какие-либо другие сервисы или продукты, в компании полностью уверены в целостности цепочки поставок ПО.
В свою очередь, хакеры сообщили, что вторжение произошло примерно две недели назад.
Они обнаружили токены аутентификации, полные URI базы данных и другую конфиденциальную инфу в коде Red Hat и CER, которые затем использовали для доступа к инфраструктуре клиентов.
Банда поделилась в телеге полным списком, предположительно, украденных репозиториев GitHub и перечнем CER за период с 2020 по 2025 год, который включает ряд известных организаций.
По данным International Cyber Digest, к ним относятся АНБ, ВМС, Федеральное управление гражданской авиации, Палату представителей, Министерство энергетики США, НИСТ, Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco IBM, Citi, Verizon, Siemens, Bosch, JPMC, HSBC, Telefonica, крупные телекоммуникационные компании, банки и многие другие организации.
Хакеры опубликовали скриншоты структур файлов, содержащих файлы конфигурации и инструменты, такие как инвентаризация серверов, Ansible playbooks, руководства по настройке OpenShift, средства развертывания кода, конфигурации реестра контейнеров и VPN, ссылки для управления секретами, резервные копии, экспортированные конфигурации репозиториев GitHub/GitLab и многое другое.
Как утверждают представители Crimson Collective, они пытались связаться с Red Hat с требованием выкупа, но так и не получили ответа, кроме стандартизированного шаблона с указанием предоставления отчета об уязвимости.
При этом созданный тикет неоднократно переназначался другим лицам, включая сотрудников юридического отдела и службы безопасности Red Hat.
Все же не стоило недооценивать банду, которая на прошлой неделе отдефейсила страницы Nintendo для рекламы своего канала в телеге.
Будем следить.
Исследователи Google Mandiant и Google Threat Intelligence Group (GTIG) отследили новый кластер активности, возможно, связанный с финансово мотивированным злоумышленником, известным как Cl0p.
Злонамеренная деятельность включает в себя отправку вымогательских писем руководителям различных организаций с утверждениями о краже конфиденциальных данных из Oracle E-Business Suite.
Как полагают в GTIG, эта деятельность началась не позднее 29 сентября 2025 года, но эксперты Mandiant пока находятся на ранних стадиях многочисленных расследований и пока не подтвердили заявления этой группы.
Текущая активность описывается как «массовая кампания по электронной почте», которая запускается с сотен взломанных аккаунтов, при этом есть данные, указывающие на то, что по крайней мере один из этих аккаунтов ранее был связан с деятельностью FIN11, которая является подгруппой внутри группы TA505.
По данным Mandiant, FIN11 участвовала в атаках с целью вымогательства и использованием программ-вымогателей еще в 2020 году.
Ранее ее связывали с распространением различных штаммов вредоносных ПО, таких как FlawedAmmyy, FRIENDSPEAK и MIXLABEL.
Вредоносные письма содержат контактную информацию, а два указанных адреса также публично указаны на DLS банды Cl0p. Это убедительно свидетельствует о наличии определенной связи с бандой.
Тем не менее, у Google нет убедительных доказательств, подтверждающих предполагаемые связи, несмотря на сходство TTPs, наблюдавшихся в предыдущих атаках Cl0p.
Компания призывает организации исследовать среду на предмет наличия признаков активности злоумышленников. В настоящее время неясно, как был получен первоначальный доступ.
Однако, по данным Bloomberg, предполагается, что злоумышленники взломали электронную почту пользователей и воспользовались функцией сброса пароля по умолчанию, чтобы получить действительные учётные данные для интернет-порталов Oracle E-Business Suite, ссылаясь на информацию, предоставленную Halycon.
В самой Oracle пока не комментирует ситуацию.
Однако учитывая послужной список Cl0p, отметившихся умелым применением 0-day в Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT и Progress MOVEit Transfer, потенциальным жертвам и разработчикам волноваться стоит.
Но будем посмотреть.
Теперь вы знаете, кто вдохновлял основателя киберпанка
Читать полностью…
Разработчики OpenSSL объявили о выпуске новых версий инструментария SSL/TLS с открытым исходным кодом, закрывающих уязвимости, которые позволяют восстанавливать закрытый ключ, выполнять код и проводить DoS-атаки.
Обновленные версии библиотеки OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.0.2zm и 1.1.1zd включают исправления для CVE-2025-9230, CVE-2025-9231 и CVE-2025-9232.
CVE-2025-9231 может быть использована для восстановления закрытого ключа.
Учитывая, что OpenSSL используется приложениями, сайтами и службами для защиты коммуникаций, злоумышленник, получивший его, может расшифровать трафик или провести атаку MitM.
Однако разработчики OpenSSL отметили, что уязвимость затрагивает только реализацию алгоритма SM2 на 64-битных платформах ARM.
OpenSSL напрямую не поддерживает сертификаты с ключами SM2 в TLS, поэтому эта CVE неактуальна в большинстве контекстов TLS.
Однако, учитывая возможность добавления поддержки таких сертификатов через настраиваемого поставщика, а также тот факт, что в таком контексте закрытый ключ может быть восстановлен посредством удалённого измерения времени, проблеме присвоили средний рейтинг серьёзности.
Другая CVE-2025-9230 описывается как проблема чтения/записи за пределами выделенного буфера, которая может быть использована для выполнения произвольного кода или DoS-атак.
Ей также присвоен рейтинг средней серьезности.
Как отмечают в OpenSSL Project, последствия успешной эксплуатации этой уязвимости могут быть серьезными, но вероятность того, что злоумышленник сможет это сделать, достаточно невелика.
Третьей уязвимости присвоен низкий рейтинг, ее можно эксплуатировать для вызова сбоя, который может привести к состоянию DoS.
В целом, можно констатировать, что безопасность OpenSSL существенно усилилась с момента обнаружения печально известной Heartbleed.
Несмотря на то, что некоторые уязвимости всё же попадали в топы, количество и серьёзность уязвимостей, обнаруженных в OpenSSL в последние годы, остаются на невысоком уровне.
В 2025 году - только четыре проблемы, из них лишь одна имела рейтинг высокой степени серьёзности.
Почти 50 000 устройств Cisco Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD), доступных в общедоступной сети, подвержены двум активно эксплуатируемым уязвимостям.
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Вкратце отметим также и другие наиболее трендовые уязвимости и связанные с ними угрозы:
1. Исследователи CyberOK сообщают, что более 30 000 устройств Cisco по всей России уязвимы к недавней 0-day, которая была исправлена на прошлой неделе и отслеживается как CVE-2025-20352.
2. GitLab выпустила обновления с исправлениями десяти уязвимостей в своем основном продукте.
3. Исследователь MoSalah11/a-critical-zero-day-in-atlassian-jira-service-management-cloud-password-reset-account-takeover-1903cbb8bd31">раскрыл подробности критической уязвимости в Atlassian Jira Service Management Cloud, которая могла привести к сбросу пароля любой учетной записи, за что получил вознаграждение в размере 1500 швейцарских франков.
4. Роботы-гуманоиды Unitree G1, как сообщает IEEE Spectrum, собирают и отправляют телеметрические данные на серверы в Китай без ведома и согласия владельца.
По данным группы исследователей, анализировавших прошивки робота, сбор данных происходит каждые пять минут. Кроме того, G1 также содержит уязвимости BLE.
5. Positive Technologies обнаружила ряд уязвимостей, включая обход SQLi и MFA, позволяющих запустить вредоносный код в PassOffice - разработанной в России платформе управления посетителями, которую используют в бизнес-центрах.
6. Broadcom выпустила обновления, устраняющие две серьезные уязвимости VMware NSX, о которых сообщило АНБ США.
Первая CVE-2025-41251 связана со проблемами реализации механизма восстановления пароля, которая позволяет неаутентифицированным злоумышленникам перечислять действительные имена пользователей, которые впоследствии могут быть использованы в бруте.
Вторая уязвимость (CVE-2025-41252) также связана с перечислением имен пользователей, ее могут использовать неавторизованные злоумышленники для перечисления действительных имен пользователей, что потенциально может привести к неправомерному доступу.
Компания устранила серьезную уязвимость внедрения заголовка SMTP (CVE-2025-41250) в VMware vCenter, которая позволяет злоумышленникам с неадминистративными привилегиями и разрешениями создавать запланированные задачи для манипулирования электронными письмами с уведомлениями, отправляемыми для запланированных задач.
7. Исследователи Tenable раскрыли три уже исправленные уязвимости безопасности, влияющие на работу помощника на основе ИИ Gemini от Google.
Все они открывали вектор для атак с внедрением поисковых запросов на его модель персонализации поиска, атак с внедрением журналов запросов на Gemini Cloud Assist, а также кражи сохраненной информации пользователя и данных о его местоположении через Gemini Browsing Tool.
8. Исправлена неаутентифицированная CVE-2025-30247, которая затрагивает пользовательский интерфейс прошивки Western Digital My Cloud до версии 5.31.108 на платформах NAS, позволяя удаленным злоумышленникам выполнять произвольные системные команды с помощью специально созданного HTTP-запроса POST.
Эксплуатация уязвимости может привести к полному захвату устройства.
9. В Notepad++ v8.8.3 обнаружена критическая уязвимость перехвата DLL (CVE-2025-56383), которая позволяет заменить исходный DLL-файл для выполнения вредоносного кода и делает миллионы пользователей уязвимыми для RCE.
10. В SonicWall SonicOS закрыта уязвимость, связанная с ненадлежащим контролем доступа, которая потенциально приводит к несанкционированному доступу к ресурсам и, при определённых условиях, к сбою межсетевого экрана.
CVE-2024-40766 затрагивает устройства SonicWall Firewall Gen 5 и Gen 6, а также устройства Gen 7 под управлением SonicOS 7.0.1-5035 и более ранних версий.
Проблема активно эксплуатировалась бандой вымогателей Akira, которая обходила MFA на основе одноразовых паролей на пропатченных VPN-устройствах SonicWall, используя учётные данные и, возможно, украденные начальные значения OTP, полученные через CVE-2024-40766.
Исследователи NVISO Labs сообщают, что недавно исправленная уязвимость в Broadcom VMware Tools и VMware Aria Operations, эксплуатировалась как 0-day с середины октября 2024 года злоумышленником, который отслеживается как UNC5174.
CVE-2025-41244 (CVSS: 7,8) затрагивает: Cloud Foundation 4.x и 5.x, 9.xxx, 13.xxx (Windows, Linux), vSphere Foundation 9.xxx, 13.xxx (Windows, Linux), Aria Operations 8.x, Tools 11.xx, 12.xx и 13.xx (Windows, Linux), Telco Cloud Platform 4.x и 5.x и Telco Cloud Infrastructure 2.x и 3.x.
Согласно бюллетеню VMware, локальный злоумышленник с неадминистративными привилегиями, имеющий доступ к виртуальной машине с установленными и управляемыми Aria Operations инструментами VMware с включенным SDMP, может воспользоваться этой уязвимостью для повышения привилегий до root на той же виртуальной машине.
NVISO обнаружила уязвимость и сообщила о ней 19 мая 2025 года в ходе операции по реагированию на инцидент.
Компания также заявила, что VMware Tools 12.4.9, входящий в состав VMware Tools 12.5.4, устраняет эту проблему в 32-разрядных системах Windows, а версия open-vm-tools, устраняющая CVE-2025-41244, будет распространяться поставщиками Linux.
Несмотря на то, что Broadcom не упоминает об эксплуатации этой уязвимости в реальных атаках, NVISO Labs приписала замеченную активность связанной с Китаем группе, которую Google Mandiant отслеживает как UNC5174 (Uteus или Uetus).
Как полагает исследователи, группа имеет богатый опыт эксплуатации различных уязвимостей, включая SAP NetWeaver, для получения начального доступа к целевым средам.
В случае успеха эксплуатации непривилегированные пользователи получают возможность выполнить код в привилегированном контексте (например, с правами root).
Однако в NVISO не могут пока оценить, был ли этот эксплойт частью реальных возможностей UNC5174 или же использование нуля носило случайный характер в виду её незначительности.
По данным NVISO, уязвимость затрагивает в функцию под названием get_version(), которая принимает шаблон регулярного выражения (regex) в качестве входных данных для каждого процесса с прослушивающим сокетом, проверяет, соответствует ли двоичный файл, связанный с этим процессом, шаблону, и, если соответствует, вызывает команду версии поддерживаемой службы.
Хотя эта функциональность работает ожидаемым образом для системных исполняемых файлов (например, /usr/bin/httpd), использование класса символов \S с широким соответствием (соответствие символам, отличным от пробелов) в нескольких шаблонах регулярных выражений также соответствует несистемным исполняемым файлам (например, /tmp/httpd).
Эти несистемные исполняемые файлы находятся в каталогах (например, /tmp), которые по умолчанию доступны для записи непривилегированным пользователям.
В результате это открывает возможность для потенциального злоупотребления со стороны непривилегированного локального злоумышленника, который может разместить вредоносный исполняемый файл в каталоге /tmp/httpd, что приводит к EoP при сборе метрик VMware.
Всё, что нужно злоумышленнику, чтобы воспользоваться уязвимостью, - это обеспечить запуск исполняемого файла от имени непривилегированного пользователя, и он откроет случайный прослушивающий сокет.
UNC5174 использовала каталог /tmp/httpd для размещения вредоносного двоичного файла, запуска оболочки с расширенными правами root и выполнения кода. Точная природа вредоносной нагрузки, выполняемой с помощью этого метода, на данном этапе неясна.
Исследователи отметили, что широкая практика имитации системных двоичных файлов (например, httpd) подчеркивает реальную возможность того, что ряд других штаммов вредоносного ПО в течение многих лет случайным образом достигали непреднамеренного повышения привилегий.
Любители японского пенного стали жертвой атаки с использованием ransomware.
В отличие от Jaguar Land Rover удар по Asahi помимо владельцев бизнеса непосредственно затронул интересы клиентов, рискующих остаться без любимого напитка.
Крупнейший пивоваренный завод Asahi Group Holdings, Ltd (Asahi) в Японии приостанавливает работу после кибератаки, которая привела к выводу из строя его инфраструктуры.
По данным компании, инцидент непосредственно повлиял на работоспособность систем оформления заказов и доставки, колл-центра и службы поддержки клиентов
Asahi - одна из крупнейших пивоваренных компаний Японии, которая контролирует треть всего рынка.
Штат включает 30 000 сотрудников, производительность составляет до 100 млн. гектолитров напитков, а годовая выручка за прошлый год составила почти 20 млрд. долл.
На международном уровне компания представлена четырьмя региональными филиалами (в Японии, Европе, Океании и Юго-Восточной Азии) и владеет такими брендами, как Peroni, Pilsner Urquell, Grolsch и Fullers.
Как сообщают специалисты Asahi, кибератака затронула лишь подразделения компании, дислоцированные в Японии.
Пока неясно, были ли скомпрометированы или украдены данные, поскольку расследование продолжается.
Тем не менее, в самой компании заявляют, что на данный момент не зафиксировано ни одного случая утечки личной информации или данных клиентов.
Также компания принесла свои извинения клиентам и деловым партнерам за причиненные неудобства.
Кроме того, в Asahi отметили, что приступили к работе над восстановлением пострадавших систем, но не назвая конкретных сроков.
Каких-либо подробностей о злоумышленнике или первоначальном векторе атаки нет, как и непонятно было ли вообще шифрование.
При этом ни одна из банд вымогателей на данный момент публично также не взяла на себя ответственность за атаку. И вряд ли возьмет, дабы не портить карму.
Исследователи из Лаборатории Касперского продолжают отслеживать инциденты, связанные с резонансными атаками на цепочку поставок.
Как отмечается, подобные случаи компрометации стали частым явлением и «трендовым» направлением у злоумышленников.
За последний месяц произошло два крупных инцидента, которые привели созданию вредоносных модулей, зависимостей и отдельных пакетов, а 16 сентября 2025 года стало известно о новой волне заражения npm-пакетов при помощи самораспространяющегося зловреда Shai-Hulud.
Собственно, в новом отчете специалисты ЛК разобрали технические особенности масштабного заражения npm с использованием червя Shai-Hulud.
Как известно, Shai-Hulud нацелен на кражу конфиденциальных данных, раскрытие приватных репозиториев организаций и учетных данных жертвы для заражения других пакетов и дальнейшего распространения.
Вследствие инцидента было заражено свыше 500 пакетов, в число которых попал пакет с более чем двумя миллионами загрузок в неделю - ctrl/tinycolor, и даже библиотеки известной компании CrowdStrike.
В результате разработчики, внедрившие в свои проекты вредоносные пакеты, рисковали потерять конфиденциальные данные, а их собственные библиотеки могут быть инфицированы Shai-Hulud.
Этот самораспространяющийся зловред активно захватывает учетные записи и секреты для создания новых зараженных модулей, распространяя угрозу по цепочке зависимостей.
Проведя ряд исследований, в ЛК смогли обнаружить первый пакет, с которого началось распространение Shai-Hulud, - ngx-bootstrap версии 18.1.4. Именно он стал отправной точкой распространения данной инфекции.
Кроме того, ресерчеры заметили, что в ряде случаев в одном и том же пакете находилось несколько версий, содержащих вредоносный код.
Причем вредоносный скрипт делает скрытые репозитории организаций публичными, что представляет серьезную угрозу для их владельцев, так как возникает риск раскрытия исходных кодов библиотек, продуктов и т.д., а также утраты еще большего количества данных.
В общем, настоятельно рекомендуем ознакомиться с результатами исследования в части погружения в техническую плоскость вредоносной активности червя, эксфильтрации секретов и механизма саморепликации, а также выявленных ЛК особенностей заражения и IOCs.
🟦Академическое исследование на тему безопасности Bluetooth в автомобилях 🔎вскрывает 128 уязвимостей
Исследователи в августе 2025 представили новый open-source фреймворк BlueToolkit для автоматизированного тестирования безопасности Bluetooth Classic, которым воспользовались ресёрчеры для 📄 масштабного анализа автомобильных систем.
Фреймворк использует конфигурационные YAML-файлы для добавления новых тестов, поддерживает различное аппаратное обеспечение (ESP32, Nexus 5) и интегрирует эксплойты из разрозненных репозиториев, таких как BrakTooth и BlueBorne.
Он работает по принципу black-box через Over The Air (OTA), позволяя провести глубокую оценку In-Vehicle Infotainment (IVI) систем, чтобы выявить проблемы в безопасности.
🚘Согласно результатам исследования, в ходе которого было протестировано 22 автомобиля от 14 ведущих производителей (выпущенных в период с 2015 по 2023 год) было обнаружено 128 уязвимостей.
🖥 Проведён 891 тест: выявлен 21 недостаток в проектировании протоколов и 46 ошибок в их реализации на уровне конкретных вендоров.
В рамках исследования описываются четыре атаки, наиболее опасной из которых является User Account Takeover. С помощью Man-in-the-Middle атакующие могут перехватывать SMS или HFP (Hands-Free Profile) данные для обхода двухфакторной аутентификации и захвата интернет-аккаунтов жертвы.
✅ Если судить только по результатам тестов Bluetooth, то картина следующая:
1️⃣ Skoda: Показала наименьшее количество уязвимостей в среднем. Модель Skoda Enyaq (2023) оказалась единственным автомобилем из 22, у которого не было обнаружено ни одной уязвимости (0 положительных тестов из 30 проведенных).
2️⃣ Tesla: Модель Tesla Model Y (2023) показала очень хороший результат — всего 2 уязвимости.
3️⃣ Audi: Две протестированные модели (A5 и e-tron 2020 года) показали умеренное количество уязвимостей (4 и 6).
🛡 Самые уязвимые в рамках исследования:
4️⃣ Toyota: Модель Toyota Corolla (2023) показала 9 уязвимостей.
5️⃣ BMW: Модель BMW X2 (2021) показала 10 уязвимостей.
6️⃣ Renault: Модель Renault Megane (2021) стала "антилидером" с 13 уязвимостями.
👆Полученные данные говорят о серьезных системных проблемах безопасности Bluetooth в автомобильной сфере. Даже абсолютно новые машины оснащаются технологиями с уже известными и неисправленными уязвимостями, фактически наследуя риски десятилетней давности.
❗️ https://github.com/sgxgsx/BlueToolkit
✋ @Russian_OSINT
Исправленная к настоящему времени уязвимость в Zimbra Collaboration использовалась в качестве 0-day в начале этого года в ходе кибератак, нацеленных на бразильских военных.
CVE-2025-27915 (CVSS: 5,4) представляет собой уязвимость XSS в классическом веб-клиенте, которая возникает в результате недостаточной очистки HTML-контента в файлах календаря ICS, также известных как файлы iCalendar, что приводит к выполнению произвольного кода.
iCalendar используются для хранения календарной информации и расписания (встреч, событий и задач) в виде простого текста, а также для обмена ею между различными приложениями-календарями.
Уязвимость возникает из-за недостаточной очистки HTML-контента в файлах ICS, что позволяет злоумышленникам выполнять произвольный JavaScript-код в сеансе жертвы.
Когда пользователь просматривает сообщение электронной почты, содержащее вредоносную запись ICS, встроенный в него JavaScript-код выполняется через событие ontggle внутри тега <details>.
Это позволяет злоумышленнику запускать произвольный JavaScript-код в сеансе жертвы, что потенциально приводит к несанкционированным действиям, таким как настройка фильтров электронной почты для перенаправления сообщений на контролируемый злоумышленником адрес.
В результате злоумышленник может выполнять несанкционированные действия в учётной записи жертвы, включая перенаправление электронной почты и кражу данных.
Уязвимость была устранена компанией Zimbra в версиях 9.0.0 Patch 44, 10.0.13 и 10.1.5, выпущенных в январе 2025 года. Однако в рекомендациях не упоминается, что она эксплуатировалась в реальных атаках.
Но, согласно отчету StrikeReady Labs, атаки начались в начале января, до того, как Zimbra выпустила патч.
Наблюдаемая активность на практике была связана с действиями неизвестных злоумышленников, которые подделывали Управление протокола ВМС Ливии для атак на бразильских военных, используя вредоносные файлы, зашифрованные с использованием Base64.
Файл ICS содержал код JavaScript, предназначенный для комплексной кражи данных, перехватывающий учётные данные, электронные письма, контакты и общие папки на внешний сервер («ffrk[.]net»).
Он также искал письма в определённой папке и добавлял вредоносные правила фильтрации электронной почты Zimbra с именем «Correo» для пересылки сообщений на адрес spam_to_junk@proton.me.
StrikeReady утверждает, что вредоносный код реализован для выполнения в асинхронном режиме и в различных выражениях немедленно вызываемых функций (IIFE).
Чтобы избежать обнаружения, скрипт был устроен таким образом, что он скрывает определенные элементы пользовательского интерфейса и срабатывает только в том случае, если с момента его последнего выполнения прошло более трех дней.
StrikeReady не смогла с высокой степенью уверенности приписать эту атаку какой-либо известной группе угроз. При этом эксплуатация не носила широкомасштабного характера.
В отчете StrikeReady приводятся IOCs и деобфусцированная версия кода JavaScript, использовавшаяся для атак.
🗞 Paged Out #7.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Похоже, что успешно обкатанный спецслужбами механизм легализации разведданных в отношении деятельности APT теперь будет работать как конвейер.
На этот раз вслед за китайскими и северокорейскими группировками под пресс отправили иранскую APT35 (Charming Kittens, Phosphorus и Newscaster), которая является одной из наиболее активных группы в сфере кибершпионажа и, как считается, связана с подразделением 1500 КСИР.
Согласно отработанному сценарию некая таинственная группа, в данном случае - называющая себя KittenBusters, выкатила на GitHub архивы, содержащие подробные сведения в отношении APT35.
Анонсированную утечку на сегодняшний день называют одним из самых значительных сливов, касающихся деятельности иранских прогосударственных хакеров.
Она включает сотни файлов с отчётами об атаках за последние несколько лет, ежедневные опержурналы, внутреннюю переписку, образцы вредоносного ПО и фотографии с установочными данными сотрудников, предположительно, связанных с деятельность группы.
При этом некто Аббас Рахрови, также известный как Аббас Хоссейни, заявлен в качестве лидера Charming Kittens.
В документах раскрыты его паспортные данные, а также сеть подставных компаний, через которые он якобы организует деятельность группы.
Одна из представленных папок с наименованием All_Proxy_Shell_Targets содержит подпапки для Ирана, Южной Кореи, Кувейта, Турции, Саудовской Аравии и Ливана.
Судя по всему, в файлах документируются факты эксплуатации серверов Microsoft Exchange с использованием уязвимостей ProxyShell, что в целом согласуется с тактикой Charming Kitten.
Наиболее интересная папка «Отчёты об атаках» с документами на персидском языке, многие из которых содержат фразу «گزارش عملکرد ماهانه» (ежемесячный отчёт об эффективности) в названиях файлов.
Отдельные ежедневные отчёты операторов с именами вроде Маджида, Мехьяра и Хоссейна содержат подробную информацию о результатах выполнения повседневных задач: мониторинг аккаунтов в соцсетях, сбор данных через OSINT, настройка фишинговой инфраструктуры.
В отчётах даже указывается отработанное количество часов, что указывает на некую бюрократическую рутину, с которой приходится сталкиваться участникам APT.
Дополнительные папки с метками «Malware_and_Logs» и «CMPGN_PST» содержат информацию об используемом в операциях инструментарии и журналы основных событий отработанных кампании.
Наиболее чувствительной информацией, конечно же, следует считать данные на участников APT (фигурируют даже бейджи с различных конференции, не говоря про личные аккаунты и прочее), что может считаться критическим провалом в ее деятельности по части OpSec.
Уровень детализации утечки свидетельствуют о том, что её инициатор имел систематический доступ к внутренним системам в течение длительного периода.
Действующие от имени KittenBusters обещают, что в будущем будут публиковаться все новые материалы. Тем не менее, уже сейчас расчет на серьёзный удар по иранской разведке, следует полагать, определенно сработал.
Однако эффект, как в случае предыдущих подобных сливов, будет иметь ограниченный по времени характер.
Но будем посмотреть.
У Microsoft вновь поломался Defender for Endpoint, который теперь ошибочно помечает прошивку BIOS некоторых устройств как устаревшую, предлагая пользователям обновить ее.
Согласно сервисному предупреждению от Редмонда, эта известная проблема затрагивает устройства Dell и вызвана ошибкой логики Defender for Endpoint.
Ошибка кода в логике Microsoft Defender для конечных точек, отвечающей за выявление уязвимостей для устройств Dell, приводит к возникновению названных проблем.
Компания уже разработала исправление этой ошибки и в настоящее время готовит его к развертыванию, но так и не раскрывает регионы или число клиентов, которые оказались затронуты текущими проблемами Defender XDR.
Но это еще не все.
Буквально на днях инженеры Microsoft также устранили «черный экран», возникавший на устройствах macOS, получивших обновления после 29 сентября.
Сбои в работе были вызваны взаимной блокировкой в корпоративной системе безопасности Apple, которая возникает, когда несколько поставщиков безопасности пытаются прослушивать события.
Немного ранее в этом месяце Редмонд разобрался с другими ложными сработками, из-за которых служба защиты от спама ошибочно блокировала попытки открыть URL-адреса пользователями Microsoft Teams и Exchange Online.
Тогда проблема была вызвана тем, что антиспамовый модуль ошибочно помечал URL-адреса, содержащиеся в других URL, как потенциально вредоносные, что также приводило к помещению некоторых писем в карантин.
Так что вечно можно смотреть на три вещи: как микромягкие пилят патч, как они пилят новый патч для предыдущего и, наконец, устраняют ошибки, возникшие в результате этих патчей.
Стало известно и о другом серьезном инциденте, ответственность за который несет банда вымогателей J GROUP.
Хакеры выкатили на свой DLS компанию Dimensional Control Systems (3DCS), заявляя о краже корпоративной документации.
3DCS реализует программные решения и услуги производственным компаниям по всему миру, включая крупных игроков в секторах автомобилестроения, аэрокосмической промышленности, медицинского оборудования, высокотехнологичной электроники и машиностроения.
Среди клиентов 3DCS - Fiat Chrysler Automobiles, General Motors, Nissan, Volkswagen, Airbus и Boeing, Philips Medical, LG и Samsung.
Хакеры утверждают, что им удалось похитить 11 ГБ данных компании, включая: документацию фирменного ПО, конфигурационные файлы для интеграции с системами CAE, HPC и PLM, клиентские метаданные, конфиденциальные юридические документы (сертификаты, страховые полисы), а также сведения в отношении врезервного копирования, технической поддержки и безопасности.
Злоумышленники в качестве пруфов представили файл .txt и архив с образцами данных.
Первый содержал обширный список предположительно украденных PDF-файлов, по всей видимости, имеющих непосредственное отношение к 3DCS.
Второй файл включал ряд службеных документов материнской компании Sandvik, включая регламенты по безопасности и сведения по киберстрахованию.
Правда, до сих пор неясно, являются ли эти данные подлинными. В 3DCS никак не комментируют заявления вымогателей.
Будем следить.
Ресерчеры из Лаборатории Касперского в своем новом отчете обращают внимание на весьма важный артефакт в контексте криминалистического анализа Windows-систем - Amcache.hve.
Он содержит обширные метаданные для каждого обнаруженного в системе исполняемого файла, включая полные пути, хэши SHA-1, временные метки компиляции, сведения о версии и издателе, позволяя определить факт запуска как легитимного, так и вредоносного ПО на компьютере.
AmCache формирует и ведет операционная система, и на момент написания статьи не существует известных способов вмешаться в его данные или стереть их.
Так что, в случае реагирования на инцидент именно эти данные могут помочь идентифицировать утраченные артефакты (например, сведения о шифровальщике, который автоматически удаляет себя).
Безусловно, этот артефакт не стоит рассматривать как настоящий лог выполнения, но его ценность заключается в документировании существования файла и пути к нему.
Он незаменим при выявлении аномальных бинарных файлов, проверке легитимности файлов с помощью онлайн-баз угроз и сопоставлении значений LinkDate с датами известных кампаний.
Весь аналитический потенциал данных AmCache раскрывается в сочетании с другими артефактами, такими как Prefetch, ShimCache и журналы событий Windows, которые помогают подтвердить факт выполнения бинарных файлов и построить точную хронологию событий.
Сопоставление записей в разделах InventoryApplicationFile и InventoryApplication позволяет определить, был ли файл формально установлен или просто сохранен на накопителе.
Выявление нетипичных записей драйверов может указывать на скрытые руткиты и механизмы закрепления в системе.
Все это делает задействование артефакта AmCache в криминалистическом анализе ценным навыком для специалистов по DFIR.
Представленная ЛК публикация содержит детальный анализ артефакта AmCache.
Кроме того, исследователи разработали инструмент AmCache-EvilHunter, с помощью которого можно без лишних усилий пропарсить файл Amcache.hve и извлечь из него IOCs.
Инструмент также позволяет обращаться к VirusTotal или проприетарными базам данных об угрозах для сверки с данными о детектировании вредоносных файлов, повышая эффективность реагирования на инциденты.
Dстроенная автоматизация сокращает объем ручной работы и ускоряет выявление угроз, что по достоинству оценят как ИБ-аналитики, так и специалисты по реагированию.
В общем, настоятельно рекомендуем ознакомиться с отчетом и взять на вооружение AmCache-EvilHunter (доступен на GitHub для Linux и Windows).
4⃣ Расследование аферы с GitHub: как тысячи «модов» и «кряков» крадут ваши данные.
• Еще в апреле на хабре был опубликован перевод очень интересной статьи, в которой описана схема распространения вредоносного ПО через тысячи GitHub репозиториев - от модов для Fortnite до «взломанного» Photoshop.
• Если жертва скачивает и запускает такое ПО, то все данные с ПК отправляются на Discord-сервер, где сотни злоумышленников просматривают их в поисках ключей от криптокошельков, учётных данных от социальных сетей, банковских данных, а также аккаунтов Steam и Riot Games.
• В общем и целом, автор проделал огромную работу и подробно описал это в статье:
➡Было найдено пошаговое руководство по созданию скам-репозиториев, которое автор подробно изучит и разложил его по полочкам.
➡Был написан скрипт, который помог найти 1115 репозиториев, созданных по инструкциям из руководства. Менее чем у 10% из них есть открытые Issues с жалобами, остальные выглядят просто замечательно.
➡Найден вредоносный код, который был проанализирован. Этот обфусцированный код стилера, который ищет ценные данные на компьютере жертвы и незаметно отправляет их на сервер Discord.
➡ Читать статью [14 min].
➡ Первоисточник.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Sekoia раскрыли масштабную смишинг-кампанию, в которой задействуются промышленные сотовые маршрутизаторы Milesight.
Таинственный злоумышленник использует Milesight Industrial Cellular Routers для рассылки SMS-спама пользователям в нескольких европейских странах как минимум с февраля 2022 года, оставаясь все это время незамеченным.
Злоумышленники злоупотребляют функцией настройки получения SMS-оповещений, которая достаточно часто встречается в промышленных маршрутизаторах, которые обеспечивают подключение удалённого оборудования к более крупной сети через сотовый модем.
Sekoia полагает, что злоумышленники используют уязвимость 2023 года, обнаруженную Бипином Джитией из Cuberk Solutions.
Проблема отслеживается как CVE-2023-43261 (оценка CVSS: 7,5) и может привести к раскрытию системных журналов маршрутизаторов Milesight.
Злоумышленники могут их просматривать, находить и взламывать зашифрованные пароли администратора, которые затем можно использовать для подключения к устройствам и злоупотребления API маршрутизатора SMS для отправки фишинговых сообщений на заданный номер телефона.
Распространяемые фишинговые URL-адреса включают JavaScript, который проверяет, осуществляется ли доступ к странице с мобильного устройства, прежде чем предоставить вредоносный контент.
Более того, один из доменов, использовавшихся в кампаниях с января по апрель 2025 года - jnsi[.]xyz – содержит код JavaScript, блокирующий действия правой кнопки мыши и инструменты отладки браузера, чтобы затруднить анализ.
На некоторых страницах также были обнаружены подключения посетителей к Telegram-боту GroozaBot, управление которым осуществляет некто под именем Gro_oza, владеющий, по-видимому, арабским и французским языками.
При этом в наблюдаемой активности не замечено каких-либо попыток установки бэкдоров или эксплуатации других уязвимостей, что говорит о целенаправленном подходе, непосредственно связанном с мошенническими операциями злоумышленников.
Большая часть спама была отправлена в три страны - Швецию, Италию и Бельгию. Большинство SMS-сообщений содержали фишинговые ссылки на правительственные порталы, финансовые, почтовые и электронные сервисы.
По данным Sekoia, проведенное сканирование позволило выявить более 19 000 маршрутизаторов Milesight с API для отправки SMS.
Как минимум у 572 из них этот API доступен в интернете вообще без аутентификации, то есть злоумышленникам даже не нужно эксплуатировать уязвимость 2023 года для получения доступа.
Турция, Испания и Австралия входят в число стран с наибольшей концентрацией уязвимых устройств. При агрегировании данных почти половина выявленных уязвимых маршрутизаторов находится в Европе.
Sekoia также отметила, что API может быть общедоступным из-за ошибок в настройках, учитывая, что было обнаружено несколько маршрутизаторов с более новыми версиями прошивки, невосприимчивыми к уязвимости CVE-2023-43261.
По мнению исследователей, упомянутые устройства особенно привлекательны для злоумышленников, поскольку позволяют децентрализованно рассылать SMS по нескольким странам, что затрудняет как обнаружение, так и блокировку.
Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства либо уже используются в текущих кампаниях по смишингу или будут задействоваться в будущем.
Технические подробности и IOCs - в отчете.
Исследователи из Католического университета Лёвена в Бельгии, Бирмингемского университета и Даремского университета в Великобритании раскрыли подробности новой аппаратной атаки под названием Battering RAM, реализуемую с помощью устройства стоимостью 50 долларов.
В прошлом году они разработали также атаку BadRAM, в которой использовалось оборудование за 10 долларов, позволяя обойти защиту доверенной среды выполнения AMD и получить доступ к потенциально конфиденциальной информации, хранящейся в памяти.
Новая Battering RAM способна обходить современные средства защиты, предоставляемые облачными процессорами Intel и AMD.
По словам исследователей, атака может нарушить конфиденциальные вычислительные технологии Intel SGX и AMD SEV-SNP, которые широко используются поставщиками облачных услуг и разработаны для защиты данных от злоумышленников, находящихся внутри компании, или имеющих доступ к хостовой системе.
Взлом RAM подразумевает установку устройства - интерпозера, между процессором и DRAM-памятью, который подключается к модулю DIMM.
Щёлкнув переключателем, устройство можно ориентировать на скрытое перенаправление защищённых адресов памяти в области, контролируемые злоумышленником.
Скрытый интерпозер обходит как шифрование памяти, так и самые современные средства защиты при загрузке, оставаясь невидимым для операционной системы.
Он обеспечивает произвольный доступ к памяти, защищённой SGX, открытым текстом и нарушает функцию подтверждения SEV в полностью пропатченных системах.
В конечном счёте, Battering RAM раскрывает ограничения современного масштабируемого шифрования памяти, но проведения атаки требуется физический доступ к целевому устройству - лишь кратковременный.
В реальных условиях подобные атаки могут осуществить недобросовестные сотрудники облачных сервисов, технические специалисты ЦОДов, сотрудники правоохранительных структур, а также в атак на цепочку поставок, нацеленных на модули памяти в ходе производства или доставки.
Исследователи отметили, что разработанный ими интерпозер работает только с памятью DDR4, но они полагают, что более продвинутый интерпозер сможет задействоваться в атаках и на DDR5, поскольку основная проблема не устранена.
Intel и AMD были ознакомлены с результатами исследования в феврале 2025 года и опубликовали свои рекомендации по безопасности буквально в день публикации исследования.
Тем не менее, они заявили, что исследование не входит в их модель угроз и, похоже, даже не обеспокоены проблематикой, поскольку этот метод требует физического доступа к целевому устройству.
Intel отметила, что некоторые процессоры Xeon поддерживают функцию Total Memory Encryption - Multi-Key (TME-MK), которая может обеспечить дополнительную защиту от подобных атак, однако также настоятельно рекомендовала клиентам обеспечить физическую защиту устройств.
В свою очередь, исследователи отметили, что обновления ПО или прошивки не смогут устранить уязвимость.
В дополнение к основному документу с описанием результатов исследования, ресерчеры представили всю техническую информацию, необходимую для создания интерпозера для Battering RAM.
По аналогии с микромягкими после релиза своих обновленных iOS и macOS Apple приходится закрывать в них дыры.
В случае с iOS 26 и macOS 26 речь идет об уязвимости, которая может привести к DoS или повреждению памяти при обработке вредоносного шрифта.
В понедельник компания выпустила новый пакет обновлений, устраняющих одну уязвимость средней степени серьезности, затрагивающую как iOS, так и macOS.
Дефект отслеживается CVE-2025-43400 и описывается как проблема записи за пределами выделенного буфера памяти в компоненте FontParser операционной системы.
Как поясняет Apple, обработка вредоносного шрифта может привести к неожиданному завершению работы приложения или повреждению памяти процесса.
Согласно рекомендациям Гонконгского CERT и Akaoma Cybersecurity, уязвимость может быть использована удаленно, без специальных привилегий, хотя требуется взаимодействие с пользователем.
Уязвимость может быть вызвана вредоносным шрифтом, доставленным через документ, вложение электронной почты или веб-контент, и может привести к неожиданному завершению работы приложения или повреждению памяти.
Для устранения ошибки Apple выпустила обновления для недавно выпущенных iOS 26 и macOS 26, а также для более старых версий своих мобильных и настольных платформ: iOS 26.0.1 и iPadOS 26.0.1, macOS Tahoe 26.0.1, iOS 18.7.1 и iPadOS 18.7.1, macOS Sequoia 15.7.1 и macOS Sonoma 14.8.1, visionOS 26.0.1.
Как отмечает Йоханнес Ульрих из Института SANS, для Apple достаточно типично выпускать обновление „.0.1“ вскоре после выхода новой крупной операционной системы, и свежее обновление не должно стать сюрпризом.
Эти обновления обычно исправляют различные функциональные проблемы, но на этот раз они также закрывают уязвимость безопасности.
Apple не упоминает о фактах эксплуатации этой уязвимости, но пользователям рекомендуется как можно скорее обновить свои устройства.
Дополнительную информацию можно найти на здесь.
Американская CISA предупреждает об эксплуатации уязвимости Sudo, которая позволяет локальным злоумышленникам с низким уровнем привилегий выполнять команды с привилегиями root, что приведет к полной компрометации системы.
Sudo - утилита командной строки для Linux и macOS, позволяющая определённым пользователям выполнять команды с правами root или администратора без необходимости входа в систему как суперпользователь. Существует также реализация Sudo для Windows.
Из-за расширенного временного доступа, предоставляемого Sudo в Linux и macOS, только пользователи, настроенные в файле sudoers, имеют право выполнять команды через Sudo.
Отмеченная как эксплуатируемая уязвимость отслеживается как CVE-2025-32463 (CVSS 9,3) и позволяет любому пользователю выполнять команды с помощью Sudo, даже если они не настроены в файле sudoers.
Успешная эксплуатация этой ошибки возможна только в системах, которые поддерживают /etc/nsswitch.conf, поскольку для этого злоумышленнику необходимо создать файл /etc/nsswitch.conf в указанном пользователем корневом каталоге, а затем использовать функцию chroot, чтобы обманом заставить Sudo загрузить его.
Ошибка появилась еще в 2023 году в Sudo версии 1.9.14 и была устранена в июне с выпуском версии 1.9.17p1, в которой была отменена функция chroot и удалена возможность запуска команд с выбранным пользователем корневым каталогом.
До того, как CISA добавила уязвимость CVE-2025-32463 в каталог известных эксплуатируемых уязвимостей (KEV), сообщений о её эксплуатации в реальных условиях не поступало. Однако с июля стали доступны PoC.
В этот же список также попали три недавно обнаруженные уязвимости в Cisco IOS и IOS XE (CVE-2025-20352), Fortra GoAnywhere MFT (CVE-2025-10035) и Libraesva Email Security Gateway (CVE-2025-59689), все были отмечены как эксплуатируемые на прошлой неделе.
Кроме того, CISA добавила в KEV CVE-2021-21311 - SSRF-уязвимость в Adminer, которая впервые была отмечена как эксплуатируемая в 2022 году.
В связи с чем, рекомендуем применить необходимые меры по устранению указанных уязвимостей и свести на ноль риски стать жертвой атак на цепочку мудаков, о которых предупредила CISA.
Исследователи F6 обнаружили новую волну вредоносных рассылок финансово-мотивированной группы Hive0117, которая проводит атаки с февраля 2022 года с использованием вредоносного ПО DarkWatchman.
Рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
24 сентября после нескольких месяцев затишья F6 зафиксировала новую активность трояна DarkWatchman RAT.
Ранее он также распространялся под видом архива якобы от Минобороны и лже-повесток.
Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz.
Аналогичная рассылка была также обнаружена в июне и июле.
В ходе анализа IOCs было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.
Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане.
В списке числится 51 адресат, включая банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT.
Правительство Великобритании намерено предоставить Jaguar Land Rover кредит в размере 1,5 млрд фунтов стерлингов, который уйдет на поддержку автопроизводителя после недавней кибератаки, парализовавшей работу предприятий почти на месяц.
Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе.
31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat.
С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября.
Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе.
Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам.
Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики.
Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска.
Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней.
В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании.
Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок.
Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода.
По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов.
Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.
Исследователи из Лаборатории Касперского продолжают отслеживать активности проукраинской хакерской группы BO Team, инструментарии и TTPs которой был подробно разобран в мае этого года.
BO Team - это одна из активных на текущий момент группировок хактивистов, существующих как минимум с начала 2024 года, которая нацелена на российские компании.
В начале сентября в поле зрения ЛК попала вредоносная рассылка с использованием запароленных RAR-архивов на тему проведения служебного расследования, связанного со злоупотреблением использования полисов ДМС.
Вложенный RAR-архив с именем Приказ_протокол.rar был защищен паролем и содержал исполняемый файл с иконкой PDF-файла и расширением .exe, отделенным от имени файла большим количеством пробелов.
В отличие от образцов из предыдущих кампаний, новая версия вредоносного файла не запустится, если в системе не установлена русская раскладка клавиатуры.
В рамках новой кампании BO Team был замечен обновленный инструментарий: теперь атакующие рассылают новую версию бэкдора BrockenDoor, переписанную на C#, а также используют его для установки обновленной версии бэкдора ZeronetKit.
Функциональность BrockenDoor не претерпела значительных изменений.
Список команд бэкдора практически идентичен тому, что описывался ранее, хотя в этой версии вместо полных названий команд используются сокращения до двух-трех символов.
В одном из случаев в качестве полезной нагрузки BrockenDoor загружал и выполнял ZeronetKit, бэкдор, написанный на Go, который используется в атаках группы BO Team.
Он получил название за строку ZeroNet by Vegas, присутствующую в ранних версиях.
Он был впервые обнаружен в конце 2024, и его функционал включал четыре команды: запуск скрытой удаленной консоли (cmd.exe), отправка и получение файлов с С2 и создание туннеля TCP/IPv4.
Взаимодействие с С2 обеспечивается по протоколам HTTPS и WebSocket, а для разделения потоков данных внутри соединения используется библиотека Yamux (Yet another Multiplexer).
В июне 2025 года появилась обновленная версия ZeronetKit. В сентябре 2025 и фиксировалась попытка BrockenDoor скачать новую версию этого бэкдора.
Для этого BrockenDoor вызывал PowerShell с командной строкой, полученной от С2.
Как и в предыдущей версии, базовые настройки взаимодействия с С2 и список доменов, использующихся в качестве С2, хранятся в исходном исполняемом файле.
Однако теперь при запуске бэкдор проверяет наличие ключей реестра beh и ad в HKCU\Software\Windows\Applets\Config и, если они существуют, данные из них используются в качестве списка С2 и интервала взаимодействия.
ZeronetKit не способен самостоятельно закрепляться в зараженной системе, поэтому злоумышленники при помощи BrockenDoor копируют скачанный бэкдор в автозагрузку.
Жертвами новых атак стали российские компании в различных сферах. Злоумышленники представлялись поставщиками услуг страхования и банковскими организациями.
При этом стоит отметить, что фишинговые письма, ставшие вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели.
Обновленный перечень IOCs - в отчете.