39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Никогда такого не было и вот опять: WhatsApp устранила ZeroClick в своих приложениях для iOS и macOS, которая использовалась в целевых атаках.
Разработчики утверждают, что проблема (отслеживается как CVE-2025-55177) затрагивает WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS v2.25.21.78 и WhatsApp для Mac v2.25.21.78.
Неполная авторизация сообщений синхронизации связанных устройств в WhatsApp позволяла стороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве.
Предполагается, что эта уязвимость в сочетании с уязвимостью на уровне ОС на платформах Apple (CVE-2025-43300) могла быть использована для реализации сложной атаки в отношении конкретных целевых пользователей.
Указанную 0-day Apple экстренно исправляла в начале этого месяца, также отмечая ее задействование в «чрезвычайно сложной атаке».
При этом ни Apple, ни WhatsApp пока не представили дополнительную информацию об атаках.
Однако в Amnesty International заявили, что WhatsApp буквально только что предупредил некоторых пользователей о том, что в течение последних 90 дней они подвергались атакам с использованием продвинутого шпионского ПО.
В этих уведомлениях WhatsApp рекомендует пострадавшим пользователям выполнить сброс настроек устройства до заводских и поддерживать ОС и ПО своих устройств в актуальном состоянии.
Ожидаем подробностей. Будем следить.
Разработчики Click Studios предупредили клиентов о необходимости как можно скорее устранить серьезную уязвимость обхода аутентификации в менеджер паролей корпоративного уровня Passwordstate.
Passwordstate реализует безопасное хранилище паролей, которое позволяет компаниям обеспечивать и контролировать доступ к паролям, ключам API, сертификатам и различным другим типам учетных данных через централизованный веб-интерфейс.
По данным Click Studios, ее менеджером паролей пользуются более 370 000 ИТ-специалистов, работающих в 29 тыс. компаниях по всему миру, включая госуучреждения, финучреждения, международные корпорации и компании из списка Fortune 500 в различных отраслях.
Разработчики Click Studios призвают пользователей как можно скорее перейти на Passwordstate в версии 9.9 Build 9972, которая была совсем недавно выпущена с двумя обновлениями безопасности под капотом.
Одно из них устраняет уязвимость высокой степени серьезности (без идентификатора CVE), которая позволяет использовать специально созданный URL-адрес на основной странице экстренного доступа Passwordstate Products для обхода аутентификации и получения доступа к разделу администрирования продукта.
Несмотря на то, что компания пока не раскрыла дополнительную информацию по этой уязвимости, Click Studios предоставила обходной путь для тех, кто не имеет возможности оперативного обновления.
Для решения проблемы следует настроить IP-адрес экстренного доступа для веб-сервера в разделе системных настроек, но это лишь краткосрочное решение, так что Click Studios настоятельно рекомендует всем клиентам как можно скорее обновиться.
По сути все рекомендации и поведение Click Studios указывает на повторение событий апреля 2021 года, когда злоумышленники успешно взломали механизм обновления менеджера паролей и заразили неизвестное количество пользователей инфокрадом Moserpass.
Причем несколько дней спустя компания подтвердила, что у некоторых пострадавших клиентов могли быть украдены пароли из Passwordstate, а ряд других пользователей подверглись фишинговым атакам с использованием обновленного вредоносного ПО Moserpass.
Насколько серьезно все окажется на этот раз - будем, конечно, посмотреть.
Сотни клиентов Salesforce стали жертвами широкомасштабной кампании по краже данных.
Исследователи Google Threat Intelligence Group (GTIG) сообщают, что хакеры на постоянной основе экспортировали корпоративные данные, уделяя особое внимание, прежде всего AWS и Snowflake.
В начале этого месяца хакеры украли данные сотен экземпляров клиентских систем Salesforce в рамках широкомасштабной кампании.
Причем в атаках не использовались уязвимости базовой платформы Salesforce, а задействовались скомпрометированные токены OAuth для Salesloft Drift - стороннего чат-бота на основе искусственного интеллекта.
По данным GTIG, кампания приписывается злоумышленнику, отслеживаемому как UNC6395, и была реализована в период с 8 по 18 августа 2025 года.
Злоумышленник систематически проводил экспорт больших объёмов данных из различных корпоративных систем Salesforce.
GTIG полагает, что основной целью злоумышленника является сбор учётных данных.
Ранее UNC6395 также осуществлял поиск краденных секретов и кредов, включая ключи доступа AWS, пароли и токены, связанных со Snowflake.
При этом злоумышленник применял инструмент Python для автоматизации процесса кражи данных для каждой организации, которая подвергалась атаке.
Salesloft представила IOCs для клиентов, позволяющих выявлять потенциальные взломы, отметив влияние инцидента лишь на интегрирующие Drift с Salesforce организации.
В сотрудничестве с Salesforce представители Salesloft отозвали токены для Drift 20 августа.
Таким образом, для повторной активации интеграции все соединения Drift-Salesforce необходимо будет повторно аутентифицировать.
Как отмечает Salesloft, инцидент не затронул клиентов, которые не используют интеграцию Drift-Salesforce.
Согласно результатам расследования, свидетельств продолжающейся вредоносной активности, связанной с этим инцидентом, в Salesloft не заметили.
По данным GTIG, в результате этих атак пострадали сотни организаций, но в Salesforce утверждают, что хакеры получили доступ лишь к небольшому количеству экземпляров через подключение Drift к платформе (который уже удален из AppExchange).
GTIG предупреждает, что организациям, интегрирующим Drift с Salesforce, следует учитывать возможность компрометации данных Salesforce и советует выявлять признаки компрометации, а также заменять все учетные данные и секреты.
Sangoma FreePBX предупреждает об активно эксплуатируемой 0-day FreePBX, которая затрагивает системы с панелью управления администратора (ACP), доступные через Интернет.
FreePBX - это платформа Private Branch Exchange с открытым исходным кодом, созданная на основе Asterisk, широко используемая предприятиями, колл-центрами и поставщиками услуг по управлению голосовой связью.
Согласно сообщению группы безопасности Sangoma FreePBX, с 21 августа киберподполье начало пылесосить доступные в глобальной сети админские панелях FreePBX с использованием нуля.
К настоящему времени Sangoma FreePBX уже разобралась в проблеме и работает над исправлениями, которые будут развернуты в ближайшие 36 часов.
Пользователям рекомендуется ограничить доступ к FreePBX Administrator с помощью модуля брандмауэра,ограничив доступ только известными доверенными хостами.
Пока же команда разработчиков выпустила исправление модуля EDGE для тестирования, а полноценный стандартный выпуск запланирован на сегодня.
Также следует учесть, что существующие системы 16 и 17 могли быть затронуты, если в них был установлен модуль конечной точки и их страница входа в FreePBX Administrator была напрямую открыта в сети.
После вышедшего заявления Sangoma, достаточно большое число пользователей FreePBX стали сообщать о компрометации их серверов с помощью этой уязвимости.
При этом замеченный эксплойт, по сути, позволяет злоумышленнику выполнить любую команду, доступную пользователю Asterisk.
Пока в Sangoma не раскрывают подробности наблюдаемой кампании, но поделились МОК для определения того, был ли сервер взломан:
- Отсутствует или изменен файл конфигурации /etc/freepbx.conf.
- Наличие скрипта оболочки /var/www/html/.clean.sh. Предполагается, что он был загружен злоумышленниками.
- Подозрительные записи журнала Apache для modular.php.
- Необычные звонки на номер 9998 в журналах Asterisk начиная с 21 августа.
- Неавторизованные записи в таблице ampusers в MariaDB/MySQL, в частности поиск имени пользователя ampuser в крайнем левом столбце.
Если так случилось, что сервер был скомпрометирован, Sangoma рекомендует выполнить восстановление из резервных копий, созданных до 21 августа, развернуть исправленные модули на новых системах и провести ротацию всех системных и связанных с SIP учетных данных.
В общем, как отмечает разработчики, чьи интерфейсы FreePBX ACP открыты, уже могут быть скомпрометированы, так что администраторам настоятельно рекомендуется проверить свои установки и системы, пока не будет применено исправление.
Исследователи Positive Technologies опубликовали новый отчет с анализом недавнего штамма вредоносного ПО, используемого APT PhantomCore в атаках на российские организации.
Как отмечает исследователи, оперативный контроль активности PhantomCore, невзирая на эволюцию вредоносных инструментов, и принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа на российском направлении.
В рамках исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий.
Кроме того, Позитивам удалось обнаружить ответвление группировки, не входящее в основное звено, состоящее из низкоквалифицированных специалистов.
Выявленная группа была организована в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имеющим доступ к исходникам кастомных инструментов.
В обвези всех деталей не пересказать - сморите все в отчете.
Исследователи ESET сообщают об обнаружении первого ransomware, которая использует ИИ для генерации скриптов атак в режиме реального времени.
PromptLock написана на языке GoLang и использует GPT-OSS:20b от OpenAI, пока находится лишь на стадии PoC в фазе активной разработки, но, судя по всему, обладает всеми функциональными возможностями традиционных программ-вымогателей.
Как поясняет ESET, угроза основана на жестко запрограммированных подсказках для генерации скриптов Lua на лету и использует эти скрипты для выполнения ряда операций, включая сканирование файловой системы, проверку файлов, кражу данных и шифрование.
ESET предупреждает, что обнаруженные версии Promptlock охватывают как Windows, так и Linux системы, а генерируемые ими скрипты Lua совместимы с различными платформами. Программа-вымогатель использует 128-битный алгоритм SPECK для шифрования файлов.
Исследователи отмечают, что вредоносное ПО может извлекать данные, шифровать их или потенциально уничтожать. Хотя функция уничтожения, по всей видимости, пока не допилена.
Казалось бы, сама идея о повсеместном распространении на просторах киберподполья вредоносного ПО на базе ИИ может показаться на первый взгляд достаточно пугающей, но для атак Promptlock все же требуются ряд нетривиальных предварительных условий.
Во-первых, Promptlock использует модель GPT-OSS:20b локально через API Ollama, а это значит, что Ollama должна быть запущена на компьютере жертвы. Для этого потребуются ресурсы, которых нет у обычных компьютерных систем.
Как обнаружила ESET, Promptlock отправляет запросы в локальной сети, предполагая, что он обращается либо к локально работающему серверу Ollama, либо к внутреннему прокси-серверу, перенаправляющему эти запросы на внешний сервер Ollama.
Исследователи отмечают, что успех атаки Promptlock также зависит от того, имеет ли жертва недостаточную сегментацию сети и не реализует ли она защитные решения, включая контроль исходящего трафика на порты и протоколы LLM.
ESET также отмечает, что вредоносная ПО, по всей видимости, является лишь концепцией, не до конца работоспособной и еще ни разу не была развернута в реальных условиях.
Но во всяком случае пока, эволюция тем не менее на лицо.
Продолжаем отслеживать наиболее трендовые уязвимости, среди которых выделим следующие:
1. Доступен PoC и технические подробности для недавней 0-day Apple, отслеживаемой как CVE-2025-43300.
2. Logan Goins из SpecterOps представил новую технику offsec для аутентификации прокси-трафика в LDAP в среде AD без кражи каких-либо билетов или хэшей.
3. Atlassian выпустила обновления безопасности в рамках августовского PatchTuesday.
4. Исследователи EmbraceTheRed раскрыли подробности атаки SpAIware в отношении Windsurf Cascade AI, которая изначально была нацелена на ChatGPT.
5. Раскрыты подробности атаки, связанной с масштабированием изображений для сокрытия вредоносных инструкций и нацеленной на Google Assistant, Google Gemini CLI и Vertex AI.
6. Guardio предупреждает об уязвимости браузеров с ИИ для подсказок, скрытых на вредоносных веб-сайтах. Этот тип атаки получил наименование Scamlexity.
7. WatchTowr Labs представила описание четырех уязвимостей, которые были обнаружены в корпоративном решении для резервного копирования Commvault. RCE нашли еще в апреле, а новые могут быть объединены в две разные цепочки RCE до аутентификации. На этой неделе они все были исправлены.
8. Уязвимость в промышленных маршрутизаторах mbNET и Helmholz REX позволяет злоумышленникам захватывать устройства и получать доступ к сетям OT. Уязвимость влияет на устройства.
Для эксплуатации требуются учетные данные для веб-панели, но, по словам marcel.rickcen/cve-2025-41688-bypassing-restrictions-in-an-ot-remote-access-device-de5302c98a23">Марселя Рик-Сенаmarcel.rickcen/cve-2025-41688-bypassing-restrictions-in-an-ot-remote-access-device-de5302c98a23">, многие маршрутизаторы по-прежнему используют дефолтные креды.
9. Microsoft без широкой огласки исправила уязвимость в своем Copilot AI, которая позволила злоумышленникам снимать ограничения доступа к файлам, не оставляя следов в журналах активности.
Security firmPistachio отмечает, что Microsoft исправила ошибку на этой неделе, но не раскрыла ее, не уведомила клиентов и не назначила CVE.
10. Cisco выпустила новые три рекомендации по безопасности по своим решениям.
11. Исследователи Datadog обнаружили уязвимость SQL-инъекции в сервере Postgres MCP от Anthropic.
Исследователи Spur проанализировали недавнюю широко анонсированную утечку Kimsuky APT.
На этот раз в фокусе - новый китайский VPN и прокси-сервис под названием WgetCloud, который связан с APT-операциями.
Подробно рассказывать не будем, все новые технические детали - в отчете.
Критическая уязвимость в Docker Desktop для Windows и macOS позволяет скомпрометировать хост, запуская вредоносный контейнер, даже если активна защита Enhanced Container Isolation (ECI).
Проблема связана с SSRF и отслеживается как CVE-2025-9074. Она получила критический рейтинг серьезности 9,3.
Согласно бюллетеню Docker, вредоносный контейнер, работающий на Docker Desktop, может получить доступ к Docker Engine и запустить дополнительные контейнеры, не требуя установки сокета Docker.
Это, в свою очередь, реализует неправомерный доступ к пользовательским файлам в хост-системе. Причем улучшенная изоляция контейнеров (ECI) не смягчает эту уязвимость.
Обнаруживший проблему исследователь и багхантер Феликс Було отметил, что API Docker Engine может быть доступен без аутентификации по адресу http://192.168.65.7:2375/ из любого запущенного контейнера.
Филипп Дюгре, инженер DevSecOps в Pvotal Technologies, также подтвердил уязвимость в Docker Desktop Windows и macOS, отмечая, что версия для Linux не затронута.
Причем уязвимость менее опасна в macOS в виду особенностей операционной системы. Исследователь смог создать файл в домашнем каталоге пользователя в Windows, чего в macOS без разрешения пользователя не реально.
Как отмечает исследователь, в Windows с учетом работы Docker Engine через WSL2 злоумышленник может смонтировать в качестве администратора всю файловую систему, прочитать любой конфиденциальный файл и в конечном итоге перезаписать системную DLL.
Однако на MacOS приложение Docker Desktop имеет достаточный уровень изоляции, смонтировать каталог пользователя можно лишь с разрешения пользователя.
По умолчанию Docker не имеет доступа к остальной части файловой системы и не работает с административными привилегиями, поэтому хост намного безопаснее, чем в случае с Windows.
Тем не менее, исследователь предупреждает, что даже на macOS, злоумышленник получает полный контроль над приложением и контейнерами, что создает риск неправомерного доступа или изменения конфигурации без необходимости разрешения.
По мнению Дюгре, уязвимость легко использовать, а его эксплойт это четко подтверждает, поскольку состоит всего лишь из трех строк кода Python.
В Docker достаточно быстро отреагировали и устранили проблему в новой версии Docker Desktop, 4.44.3, выпущенной на прошлой неделе.
Исследователи Socket обнаружили вредоносный модуль Go, который помимо того, что реализует брут для SSH, также включает функционал для скрытой передачи учетных данных своему владельцу.
Сразу после первой успешной авторизации в системе обратно отстукивается целевой IP-адрес, имя пользователя и пароль в жестко закодированный бот Telegram злоумышленника.
Распространяющийся под именем golang-random-ip-ssh-bruteforce был связан с аккаунтом GitHub IllDieAnyway (G3TT), которая в настоящее время больше не доступна.
Но также по-прежнему доступен на pkg.go[.]dev с момента публикации 24 июня 2022 года.
Вредоносный код сканирует случайные IPv4-адреса на наличие открытых служб SSH на TCP-порту 22, затем пытается взломать службу, используя встроенный список имен пользователей и паролей, и передает успешные учетные данные злоумышленнику.
Примечательным аспектом вредоносной программы является то, что она намеренно отключает проверку ключа хоста, устанавливая ssh.InsecureIgnoreHostKey в качестве обратного вызова ключа хоста, тем самым позволяя SSH-клиенту принимать соединения с любого сервера независимо от его идентификации.
Используемый словарь довольно прост и включает в себя только два имени пользователя root и admin, а также сопоставление их со слабыми паролями, такими как root, test, password, admin, 12345678, 1234, qwerty, webadmin, webmaster, techsupport, letmein и Passw@rd.
Вредоносный код циклично запускается для генерации IPv4-адресов, при этом пакет пытается одновременно войти в систему по SSH из списка слов.
Данные передаются в Telegram-бот с именем "sshZXC_bot" (ssh_bot) через API, который затем подтверждает получение учетных данных. Сообщения отправляются через бота на учетную запись с идентификатором "io_ping" (Gett).
Согласно данным из веб-архива, портфель IllDieAnyway на GitHub включал сканер портов, медиапарсер и даже панель управления ботнетом на основе PHP под названием Selica-C2.
Технические и все другие подробности, а также IOCs - в отчете.
Исследователи Positive Technologies выкатили отчет с обзором основных трендов в развитии вредоносного ПО и оценки его роли в кибератаках, сравнив полученные результаты со статистикой прошлых лет.
В основе исследования - публичные сведениях об инцидентах, собственная экспертиза Positive Technologies, результаты анализа вредоносного ПО, географически охватывающие российский сегмент за период 2024 - первой половины 2025 года.
Отчет, как всегда получился достаточно объемный, так что отметим основные тренды:
- Доля атак с использованием вредоносного ПО продолжает расти: в 2024 и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022. Согласно прогнозам, в будущем вредоносное ПО сохранит свое ключевое положение в методах атакующих.
- Наиболее часто атакуемые организации с помощью вредоносного ПО - госучреждения (14% от общего числа атак с использованием ВПО), промышленные (11%) и IT-компании (8%). Для сравнения, в предыдущем году лидировали медучреждения (теперь 7%), организации сферы науки и образования (теперь 8% атак) и промышленность. Смена приоритетов объясняется высокой ценностью данных и инфраструктуры, а также наличием определенной специфики в этих отраслях.
- В атаках преобладало использование шифровальщиков, однако их доля заметно снизилась: с 57% в 2023 году до 44% в 2024 году. Это снижение совпало с масштабными действиями спецслужб в отношении крупнейших группировок, таких как LockBit (операция Cronos) и ALPHV (BlackCat) (действия ФБР в декабре 2023 года).
- Доля атак с использованием шпионского ПО на организации увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%: такое снижение может быть следствием возросшего интереса злоумышленников к вредоносному ПО для удаленного управления.
- На фоне общей для spyware и ransomware тенденции падения значительно выросло применение вредоносного ПО для удаленного управления (remote access trojan, RAT) — с 21% до 37% в атаках на организации. Такой рост тесно связан с развитием платформ MaaS и PhaaS.
- Наиболее часто встречающиеся семейства вредоносных ПО: FormBook, AgentTesla и SnakeKeylogger. Певрые сохранили свои лидирующие позиции по сравнению с прошлым годом, последний же заметно укрепил свои позиции, переместившись с восьмого места рейтинга на второе. Кроме того, стоит упомянуть семейства DarkWatchman и Prometei: оба они резко выросли по количеству обнаружений.
- В контексте действий вредоносных ПО наибольшую популярность набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. Особый интерес вызывает появление техники Audio Capture (T1123), что может отражать растущий интерес к аудиоданным для использования в атаках методами социальной инженерии — в том числе с применением ИИ.
- В качестве основного метода доставки вредоносных ПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%); выросла доля атак, связанных с компрометацией компьютеров, серверов и сетевого оборудования (с 31% до 38%).
- Наиболее популярным типом вложений, используемых для доставки вредоносного ПО в 2024 году, как и годом ранее, остаются архивные файлы. Однако их доля продолжает снижаться: с 37% в 2023 году до 32% в 2024 году. На фоне снижения популярности архивов наблюдается значительный рост использования веб-страниц (файлы с расширениями .html, .htm и другими): по сравнению с 2023 годом их доля выросла с 15% до 32%.
Инфографика, статистка и рекомендации - в отчете.
Мы не раз шутили предупреждали, что ваш умный чайник или роутер вполне может атаковать Пентагон, пока вы неспешно проводите церемонию чаепития.
Во всяком случае в кейсе RapperBot так и получилось, ботнет реально как минимум трижды использовался для атак на сети Пентагона.
Но больше не будет. Его создатель и оператор 22-летний Итан Фольц, житель Орегона, был арестован.
Власти США предъявили ему обвинение в создании и эксплуатации DDoS-ботнета RapperBot, который он использовал совместно с Slaykings для заказных атак.
Нейтрализация ботнета проводилась в рамках операции PowerOff 6 августа во время рейда на резиденцию Фольца в Орегоне.
Вредоносный ботнет на базе Mirai, также известный как Eleven Eleven и CowBot, активен как минимум с 2021 года и заразил десятки тысяч цифровых видеорегистраторов (DVR) и маршрутизаторов. Пропускная способность составляла от 2 до 6 Тбит/с.
В среднем количество заражённых устройств достигало от 65 000 до 95 000.
Rapper Bot использовался для атак на более чем 18 000 организаций в 80 странах, включая правительственные системы, медиаплатформы и крупные технологические компании, а также поддерживал криптомайнинг.
Amazon Web Services (AWS) помогла отследить инфраструктуру С2 и предоставила спецслужбам важную развединформацию, согласно которой с апреля 2025 года Rapper Bot осуществил 370 000 атак.
Мощность этих атак варьировалась от нескольких терабит до более 1 миллиарда пакетов в секунду (pps), при этом мощность осуществлялась с помощью более чем 45 000 взломанных устройств в 39 странах. Атаки часто сопровождались вымогательством.
Согласно судебным документам, установить личность Фольца удалось после того, как он оплатил сервера С2 RapperBot со своего счёта PayPal.
Исследователь Марек Тот обнаружил, что расширения для браузеров 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm и Apple iCloud Passwords уязвимы для атак типа clickjacking, которые могут привести к краже конфиденциальных данных.
Эти расширения достаточно популярны, их общее число активных установок составляет около 40 миллионов, согласно данным официальных репозиториев расширений для браузеров Chrome, Edge и Firefox.
При этом некоторые поставщики уже устранили уязвимости, но для Bitwarden 2025.7.0, 1Password 8.11.4.27, iCloud Passwords 3.1.25, Enpass 6.11.6, LastPass 4.146.3 и LogMeOnce 7.12.4 исправления все еще не выпущены. Несмотря на то, что поставщиков оповестили о проблемах еще в апреле 2025 года.
Результаты своей работы Тот представил в начале этого месяца на конференции DEF CON, также опубликовав отчет в блоге с подробным описанием анализа.
Исследователи Socket также подтвердили выводы и координировали раскрытие информации.
Clickjacking реализует метод атаки, при котором злоумышленник обманным путём заставляет пользователя нажимать на скрытые элементы веб-страницы.
Злоумышленник создаёт веб-сайт, содержащий вредоносные кнопки или другие прозрачные элементы, которые размещаются поверх безобидных на вид элементов страницы.
Когда жертва посещает сайт злоумышленника и взаимодействует с этими безобидными на вид элементами, она фактически нажимает на вредоносный элемент, неосознанно выполняя опасные действия.
Тот продемонстрировал, как использовать clickjacking расширений на основе DOM и функцию автозаполнения менеджеров паролей для кражи конфиденциальных данных, включая персональные данные, имена пользователей и пароли, ключи доступа и информацию о платежных картах.
Исследователь также продемонстрировал возможность использования метода, при котором пользовательский интерфейс следует за курсором мыши, поэтому любой щелчок мышью, независимо от его положения, запускает автозаполнение данными.
В исследуемых атаках для достижения цели жертве потребуется от 0 до 5 кликов, причём в большинстве случаев достаточно одного клика по безобидному на вид элементу страницы.
Атаки с одним кликом часто включали эксплуатацию XSS или других уязвимостей.
Тот отмечает, что универсальный скрипт атаки может быть использован для определения активного менеджера паролей в браузере цели, а затем можно адаптировать атаку в режиме реального времени.
Реакция поставщиков оказалась достаточно медлительной, хотя их предупреждали о раскрытии в августе. На этой неделе Socket также вновь уведомила их о назначении CVE на их продукты.
Bitwarden сообщила, что на этой неделе будет выпущено исправление уязвимости версии 2025.8.0.
LogMeOnce подтвердила результаты исследования и активно работает над устранением проблемы.
Пока неясно, планируют ли LastPass и 1Password кардинально решать проблему.
Разработчики ссылаются на то, что clickjacking - это давно существующий метод атак и общий риск, управление которым должны осуществлять сами пользователи. Их решения уже содержат базовые меры защиты.
Исправления были реализованы следующими поставщиками: Dashlane (6.2531.1 от 1 августа), NordPass, ProtonPass, RoboForm и Keeper (17.2.0 от июля).
Пока не появятся исправления, Тот рекомендует пользователям отключить функцию автозаполнения в своих менеджерах паролей и использовать только копирование/вставку.
Исследователь Итон Звеаре раскрыл подробности нескольких уязвимостей, благодаря которым ему удалось получить доступ к служебной и личной информации более 270 000 сотрудников Intel.
Расчехлить корпоративные системы ему удалось еще в октябре 2024 года, после чего в Intel спешно их устраняли.
Изначально Звеаре отыскал уязвимость, которая позволяла ему обойти аутентификацию на портале Intel India, который обеспечивал оформление заказов на визитки для сотрудников компании.
Несмотря на региональную направленность, в базе данных Intel India хранилась информация в отношении сотрудников по всему миру.
Дальнейший анализ показал, что потенциальный злоумышленник мог получить данные практически по каждому сотруднику.
При этом раскрытая информация включала имя, адрес электронной почты, номер телефона и должность.
Другая более конфиденциальная информация, в том числе номера социального страхования и данные о заработной плате, находилась вне контура утечки.
Затем Звеаре обнаружил два других корпоративных ресурса, которые раскрывали данные всех сотрудников Intel благодаря жёстко заданным учётным данным, предоставляющим доступ администратора.
Четвертый корпоративный портал Intel для управления данными о поставщиках, также включал уязвимость обхода аутентификации, которую можно было задействовать для получения доступа как к более конфиденциальной информации по сотрудникам, так и по поставщикам Intel.
После уведомления Intel оперативно пофиксили дыры, отметив отсутствие каких-либо нарушений или утечек в связи с возможным несанкционированным доступом к данным компании.
После получения отчетов Звеаре компания даже расширила условия программы BugBounty, включив в неё облачные сервисы и SaaS-платформы. До этого они не подпадали под ее действие.
Власти Великобритании после долгих инсинуаций отказались от требований к Apple по ослаблению шифрования и реализации бэкдора для доступа к зашифрованным облачным данным.
Сделать это пришлось под давлением правительства США, крайне негативно отреагировавшем на возможный доступ к защищенным данным своих граждан.
Директор Национальной разведки США (DNI) Тулси Габбард в своем заявлении отметила, что в течение последних нескольких месяцев правительство США тесно работало с партнерами из Великобритании, отстаивая гражданские свободы американцев.
Тем не менее, в начале февраля Apple была вынуждена отключить опцию Advanced Data Protection (ADP) для iCloud в Великобритании в ответ на запрос местного правительства предоставить доступ к зашифрованным пользовательским данным.
Секретное распоряжение, обязывающее Apple внедрить бэкдор, было оформлено в форме уведомления о технических возможностях (TCN) Министерства внутренних дел Великобритании в соответствии с Законом о полномочиях следствия (IPA) для обеспечения неограниченного доступа к сквозному шифрованию облачных данных, даже для пользователей за пределами страны.
Распоряжение было вынесено в январе 2025 года и вызвало резкую критику со стороны представителей инфосек-сообщества, сетовавших на то, что подобные лазейки могут просочиться в киберподполье или попасть в руки разработчикав spyware со всеми вытекающими.
После чего Apple подала апелляцию с требованиями проверки законности постановления, а Трибунал по расследованию полномочий (IPT) отклонил попытки МВД сохранить разбирательство в тайне.
В дело также вмешались американские сенаторы, а американская разведка вовсе пригрозила сворачиванием каналов взаимодействия по линии спецслужб. В итоге пришлось британским спецслужбам дать заднюю.
Но самое интересное, что кроме Apple никаких требований доступа к данным клиентов в глаза не видели ни в Google, сообщившая об этом в конце прошлого месяца, ни в Meta (признана в РФ экстремистской).
Во всяком случае - так говорят официально, но как знать.
Google сообщает, что утечка Salesloft Drift оказалась масштабнее, чем предполагалось изначально.
Злоумышленники использовали украденные токены OAuth для доступа к учетным записям электронной почты Google Workspace, а также похитили данные из экземпляров Salesforce.
Согласно обновленным данным GTIG, данная уязвимость не ограничивается интеграцией Salesforce с Salesloft Drift и влияет также на другие.
В Google рекомендуют всем клиентам Salesloft Drift рассматривать любые токены аутентификации, хранящиеся на платформе Drift или подключенные к ней, как потенциально скомпрометированные.
Отслеживаемая GTIG (Mandiant) как UNC6395 кампания была впервые раскрыта 26 августа после того, как злоумышленники похитили токены OAuth для интеграции чата Drift AI компании Salesloft с Salesforce.
Хакеры использовали эти токены для получения доступа к экземплярам Salesforce клиентов, где выполняли запросы к объектам Salesforce, включая таблицы «кейсы», «учетные записи», «пользователи» и «возможности».
Эти данные позволили злоумышленникам сосканить обращения и сообщения в службе поддержки клиентов на предмет конфиденциальной информации, включая ключи доступа AWS, токены Snowflake и пароли, которые можно было бы использовать для взлома других облачных акаунтов, вероятно, с целью последующего вымогательства.
В опубликованном сообщений Google подтвердила, что взлом оказался более серьезным и не ограничился интеграцией с Salesforce.
Расследование показало, что токены OAuth для интеграции Drift Email также были скомпрометированы, а 9 августа злоумышленники использовали их для доступа к электронной почте «очень небольшого числа» учетных записей Google Workspace, которые были напрямую интегрированы с Drift.
Google подчеркнула, что никакие другие учетные записи в этих доменах не пострадали, Google Workspace или Alphabet не были затронуты.
Украденные токены были отозваны, клиентов соответственно уведомили. Google также отключила интеграцию между электронной почтой Salesloft Drift и Google Workspace на время расследования инцидента.
Google настоятельно рекомендует всем использующим Drift считать все токены аутентификации, хранящиеся на платформе или подключенные к ней, скомпрометированными.
Клиентам стоит отзывать и ротировать учетные данные для этих приложений, а также проверять все подключенные системы на наличие признаков несанкционированного доступа.
Google также рекомендует проверить все сторонние интеграции, связанные с экземплярами Drift, поискать раскрытые секреты и сбросить любые найденные учетные данные в случае, если они были скомпрометированы.
Salesloft также обновила рекомендации 28 августа, заявив, что Salesforce отключила интеграцию Drift с Salesforce, Slack и Pardot до завершения расследования.
Реализована первая успешная атака на цепочку поставок с использованием ИИ, нацеленную на разработчиков JavaScript, работающих с популярной системой сборки Nx с открытым исходным кодом, которая имеет более чем 4 млн. загрузок еженедельно.
В рамках недавно обнаруженной атаки, получившей название s1ngularity, хакеры украли токен Nx NPM, позволяющий им публиковать вредоносные версии пакета в реестре.
Как объясняют разработчики Nx, в основе атаки лежал уязвимый рабочий процесс, представленный 21 августа, который можно было использовать для внедрения кода.
Несмотря на то, что ошибка была устранена в основной ветке почти сразу после того, как была обнаружена возможность ее вредоносной эксплуатации, злоумышленник использовал ее в запросе на включение изменений в репозиторий nrwl/nx, нацелившись на устаревшую ветку, чтобы украсть GITHUB_TOKEN, имеющий разрешения на чтение и запись в репозитории.
Затем GITHUB_TOKEN использовался для запуска рабочего процесса publish.yml, содержащего токен NPM, используемый для публикации нескольких вредоносных версий Nx и поддерживающих пакетов плагинов.
Причем пользователи расширения Nx Console IDE также пострадали, даже если у них не было рабочих пространств с Nx.
В период с 18:32 до 20:37 по восточному времени 26 августа было опубликовано восемь вредоносных версий Nx. Они были удалены в 22:44, а все токены NPM с разрешениями на публикацию были отозваны в 23:57.
Как отмечают разработчики, спустя несколько часов все пакеты NPM в Nx стали требовать 2Fa и больше не могли публиковаться с токенами NPM. Во всех пакетах NPM также был реализован новый механизм доверенного издателя, который не использует токены NPM.
Wiz отмечает, что Nx 21.5.0, 20.9.0, 21.6.0, 20.10.0, 21.7.0, 20.11.0, 21.8.0 и 20.12.0 были упакованы скриптом, который запускал вредоносный файл telemetry.js в системах Linux и macOS.
Полезная нагрузка была разработана для систематического поиска в системах конфиденциальных файлов и переменных среды, содержащих ключи SSH, токены NPM и GitHub, ключи API и данные криптовалютных кошельков.
Все найденные данные были закодированы и записаны в файл.
Вредоносный код также использовал API GitHub для создания нового публичного репозитория в учетной записи GitHub зараженного пользователя и загрузки файла со всеми украденными данными.
Все публичные репозитории GitHub, содержащие украденные данные, использовали один и тот же префикс s1ngularity-repository-, что позволяло легко обнаружить их на GitHub.
Вероятно, именно таким образом злоумышленник собрал украденные данные, не используя сторонний сервер.
Кроме того, код был также адаптирован для его задействования в отношении таких инструментов ИИ, как Claude и Gemini, для разведки и кражи данных.
В свою очередь, GitGuardian отметили, что вредоносная ПО также наносила ущерб, изменяя файлы запуска оболочки пользователя, добавляя команды завершения работы, которые приводили к сбою систем при открытии новых сеансов терминала.
По данным GitGuardian, хакерам удалось похитить 2349 различных секретов из 1079 репозиториев, выявленных 27 августа. На пике атаки почти 1400 таких репозиториев были общедоступны.
Среди разнообразных утекших данных Wiz обнаружила более тысячи действительных токенов Github, десятки действительных облачных учётных данных и токенов NPM, а также около двадцати тысяч украденных файлов.
Во многих случаях вредоносное ПО, по-видимому, запускалось на компьютерах разработчиков, часто через расширение NX VSCode.
Также наблюдались случаи, когда вредоносное ПО запускалось в конвейерах сборки, таких как Github Actions.
По мнению StepSecurity, это первый известный случай, когда злоумышленники превратили ИИ-помощников разработчиков в инструменты для эксплуатации цепочек поставок.
Один из крупнейших IT-поставщиков в Швеции с охватом примерно 80% муниципальных систем - Miljödata, стал жертвой кибератаки, которая к сбоям в работе в более чем 200 регионах страны.
Причем, как отмечается, помимо перебоев в работе сервисов, существуют серьезные опасения относительно того, что злоумышленники также могли похитиьб конфиденциальные данные.
Местные журналисты сообщают, что злоумышленник потребовал от Miljödata выкуп в размере 1,5 биткоинов (что на данный момент составляет около 168 000 долл.) в обмен на отказ от раскрытия украденной информации.
Miljödata - шведская компания-разработчик ПО, которая создает и реализует системы управления рабочей средой и персоналом для муниципалитетов, регионов и крупных организаций.
Его системы используются большинством муниципалитетов Швеции для обработки медицинских сведений, страховых случаев, отчетов об инцидентах и производственной среде, а также для систематического управления производственной средой (SAM).
Атака произошла на выходных, после чего 25 августа гендиректор Miljödata Эрик Халлен официально подтвердил инцидент с пострадавшими более 200 местными муниципалитетами.
Соответствующие объявления об инцидентах фиксировались в регионе Халланд, а также в Готланде с предупреждением о том, что конфиденциальные персональные данные граждан могли быть раскрыты.
Среди других муниципалитетов, о которых сообщали шведские СМИ, - Шеллефтео, Кальмар, Карлстад и Мёнстерос.
Министр гражданской обороны Швеции Карл-Оскар Болин заявил в эфире телевидения, что к настоящему времени совместно с CERT-SE проводится оценка ушерба, к расследованию привлечены спецслужбы.
Реальные масштабы инцидента пока не установлены, так что и о последствиях пока рано говорить.
При этом и ни одна из хакерских групп публично не взяла на себя ответственность за атаку на Miljödata.
В настоящее время сайт компании недоступен, как и сервисы электронной почты.
Как быстро удастся управиться властям Швеции и каковы в реальности последствия еще увидим. Так что будем следить.
Более 28 200 экземпляров Citrix подвержены критической RCE-уязвимости, отлеживаемой как CVE-2025-7775, которая уже активно эксплуатируется, о чем мы ранее сообщали.
Уязвимость затрагивает NetScaler ADC и NetScaler Gateway, поставщик устранил ее в выпущенных на днях обновлениях.
По данным CISA и Citrix уязвимость безопасности активно использовалась как 0-day.
Среди уязвимых для CVE-2025-7775 версий: 14.1 до 14.1-47.48, 13.1 до 13.1-59.22, 13.1-FIPS/NDcPP до 13.1-37.241-FIPS/NDcPP и 12.1-FIPS/NDcPP до 12.1-55.330-FIPS/NDcPP.
Обходных путей для CVE-2025-7775 не существует, единственное решение - обновление прошивки.
Традиционно о новой атаке на цепочку мудаков становится известно от The Shadowserver Foundation, которая задетектила в сети более 28 000 экземпляров Citrix, которые остаются уязвимы к CVE-2025-7775.
Большинство - в США (10 100), далее Германия (4 300), Великобритания (1 400), Нидерланды (1 300), Швейцария (1 300), Австралия (880), Канада (820) и Франция (600).
В России - немного, но тоже есть (193).
К настоящему времени Citrix не предоставила никаких IOCs, связанных с эксплуатацией уязвимости.
Однако поставщик указывает, что CVE-2025-7775 влияет на NetScaler при его настройке в качестве виртуального сервера Gateway/AAA (VPN, ICA Proxy, CVPN, RDP Proxy), виртуальных серверов LB (HTTP/SSL/HTTP_QUIC), привязанных к службам IPv6 или DBS IPv6, или в качестве виртуального сервера CR с типом HDX.
В любом случае администраторам рекомендуется выполнить обновление до: 14.1-47.48, 13.1-59.22, 13.1-FIPS / 13.1-NDcPP 13.1-37.241, 12.1-FIPS / 12.1-NDcPP 12.1-55.330 или более поздние версии.
Citrix также раскрыла в своем бюллетене две другие серьезные уязвимости: CVE-2025-7776 (DoS из-за переполнения памяти) и CVE-2025-8424 (неправильный контроль доступа в интерфейсе управления).
При этом версии 12.1 и 13.0 (не FIPS/NDcPP) также уязвимы; однако они достигли статуса EoL, поэтому клиентам необходимо обновиться до поддерживаемой версии.
Исследователи из Лаборатории Касперского продолжают готовить аналитику по уязвимостям, представив соответствующий отчет за 2 квартал 2025 года.
Регистрация уязвимостям во втором квартале 2025 года оказалась весьма динамичной.
Опубликованные ошибки затрагивают безопасность практически всех подсистем компьютера: UEFI, драйверов, операционных систем, браузеров, а также пользовательских и веб-приложений.
Согласно нашему анализу, злоумышленники, как и в предыдущие периоды, продолжают использовать уязвимости в реальных атаках для получения доступа к пользовательским системам.
Во втором квартале 2025 года, как и прежде, наиболее распространенными атаками были уязвимые продукты Microsoft Office, содержащие неисправленные уязвимости безопасности.
Решения Лаборатории Касперского позволили задетектить наибольшее количество эксплойтов на платформе Windows для следующих уязвимостей: CVE-2018-0802 (RCEв компоненте Equation Editor), CVE-2017-11882 (еще одна RCE в редакторе формул), CVE-2017-0199 (уязвимость в Microsoft Office и WordPad, позволяющая злоумышленнику получить контроль над системой).
Далее следуют не менее популярные уязвимости в WinRAR и эксплойты для кражи учётных данных NetNTLM в операционной системе Windows: CVE-2023-38831 (уязвимость в WinRAR), CVE-2025-24071 (уязвимость проводника Windows) и CVE-2024-35250 (уязвимость в ks.sys).
Для операционной системы Linux наиболее часто фиксировались эксплойты для следующих уязвимостей: CVE-2022-0847 (также известная как Dirty Pipe), CVE-2019-13272 (EoP-уязвимость, вызванная неправильной обработкой наследования привилегий) и CVE-2021-22555 (уязвимость переполнения кучи в подсистеме ядра Netfilter).
Во втором квартале 2025 года мы отметили, что распределение опубликованных эксплойтов по типам программного обеспечения продолжило тенденции прошлого года.
Кроме того, в отчете также описываются известные уязвимости, использованные в популярных фреймворках C2 (Sliver, Metasploit, Havoc и Brute Ratel C4) в первой половине 2025 года.
После изучения открытых источников и анализа вредоносных образцов агентов C2, в ЛК отметили в APT-атаках с участием упомянутых выше фреймворков C2 использовались следующие уязвимости:
- CVE-2025-31324 в SAP NetWeaver Visual Composer Metadata Uploader: позволяет удаленное выполнение кода и имеет оценку CVSS 10,0.
- CVE-2024-1709 в ConnectWise ScreenConnect 23.9.7: может привести к обходу аутентификации, также имеет оценку CVSS 10,0.
- CVE-2024-31839, XSS-уязвимость в инструменте удаленного администрирования CHAOS v5.0.1: приводит к EoP.
- CVE-2024-30850, RCE-уязвимость в CHAOS v5.0.1: позволяет обойти аутентификацию.
- CVE-2025-33053: уязвимость, вызванная неправильной обработкой параметров рабочего каталога для LNK-файлов в Windows: приводит к удаленному выполнению кода.
Четкая инфографика, квартальный TOP 10 уязвимостей и разбор наиболее значимых проблем, опубликованных во втором квартале 2025 года - в отчете.
Citrix исправила три недостатка NetScaler ADC и NetScaler Gateway, включая критическую RCE-уязвимость, отслеживаемую как CVE-2025-7775, которая активно использовалась в атаках в качестве 0-day.
CVE-2025-7775 связана с переполнением памяти, которая может привести к неаутентифицированному удаленному выполнению кода на уязвимых устройствах.
Согласно опубликованному бюллетеню Citrix, недостаток задействовался в атаках на непатченные устройства.
По состоянию на 26 августа 2025 года Cloud Software Group задетектила эксплойты для CVE-2025-7775, в связи с чем настоятельно рекомендовала клиентам обновить прошивку NetScaler, поскольку доступные меры по смягчению последствий отсутствуют.
Несмотря на то, что Citrix так и не поделилась ни IOCs, ни какой-либо другой информацией, поставщик отметил следующие уязвимые конфигурации:
- NetScaler должен быть настроен как шлюз (виртуальный сервер VPN, прокси ICA, CVPN, прокси RDP) или виртуальный сервер AAA;
- NetScaler ADC и NetScaler Gateway 13.1, 14.1, 13.1-FIPS и NDcPP: LB виртуальные серверы типа (HTTP, SSL или HTTP_QUIC), связанные со службами IPv6 или сервисные группы, связанные с серверами IPv6 DBS;
- Виртуальный сервер CR с типом HDX.
В дополнение к вышеуказанному RCE, обновление также включает исправление для уязвимости переполнения памяти, которая может привести к DoS (CVE-2025-7776) и злоупотреблению контролем доступа на интерфейсе управления NetScaler (CVE-2025-8424).
Проблемы были раскрыты Джими Себри из Horizon3.ai, Джонатаном Хетцером из Schramm & Partnerfor и Франсуа Хеммерли.
Ошибки затрагивают следующие версии: NetScaler ADC и NetScaler Gateway 14.1 до 14.1-47.48, 13.1 до 13.1-59.22; NetScaler ADC 13.1-FIPS и NDcPP до 13.1-37.241-FIPS и NDcPP, а также ADC 12.1-FIPS и NDcPP до 12.1-55.330-FIPS и NDcPP.
Поскольку мер по смягчению последствий нет, Citrix настоятельно рекомендует администраторам накатить последние обновления как можно скорее.
🔫 Охота на атакующего.
• Threat Hunting — это навык находить атакующего там, где нет алертов. А еще это умение выдвигать гипотезу, проверять ее и превращать результат в рабочую экспертизу. А также это системная работа с инфраструктурой, в которой важен контекст, скорость мышления и понимание поведения злоумышленника.
• В этой статье автор рассматривает различные методы и инструменты, которые помогут найти всевозможные признаки присутствия атакующих в системе Linux. Содержание следующее:
➡SSH Keys;
➡Crontab;
➡Bashrc;
➡APT;
➡Privileged user & SUID bash;
➡Malicious Systemd;
➡Hunting LKM Rootkits;
➡LD_PRELOAD rootkit;
➡PAM Backdoor;
➡ACL;
➡init.d;
➡Motd;
➡Mount process for hide any pid;
➡Webshells;
➡rc.local.
➡️ https://github.io/hacking/linux-threat-hunting-persistence
• Если есть трудности с английским, то воспользуйтесь chatgpt и deepl.
S.E. ▪️ infosec.work ▪️ VT
В даркнет слили данные сотни тысяч клиентов Uzbekistan Airways.
Однако в самой международной авиакомпании факт взлома отрицают, несмотря на представленные хакерами пруфы.
Как сообщает SAN, массив в объеме 300 Гб с данными 500 000 пассажиров и 400 сотрудников авиакомпании реализуется неким ByteToBreach.
Селлер отметил, что предполагаемый инцидент затронул несколько серверов и систем Uzbekistan Airways.
В качестве доказательств ByteToBreach выкатил фрагменты данных по кредиткам и сканы паспортов граждан России, Израиля, Великобритании, Южной Кореи и других стран (всего 2,5 тыс.).
Хакер утверждает, что в его распоряжении оказались документы, удостоверяющие личность, из более чем 40 разных стран.
Другой документ из образца включал 285 адресов электронной почты, принадлежащих сотрудникам авиакомпании.
Общий перечень адресов пассажиров составил 503 410 записей, в том числе 379 603 участников программы лояльности Uzbekistan Airways наряду с установочными данными, номерами телефонов и др. идентификаторов.
Кроме того, в четырех файлах также имелись сведения по бронированиям и билетам, упоминаются авиакомпании, наименования аэропортов, номера рейсов и другая информация.
Прайс на полный набор украденных данных составил 150 000 евро - примерно 176 000 долларов - в биткойнах.
В свою очередь, сама авиакомпания утверждает, что выставленные на продажу в киберподполье материалы якобы были сгенерированы с помощью ИИ, ссылаясь на неточности, выявленные в ходе их проверки.
Однако у журналистов и экспертов другие результаты. Но будем посмотреть.
🧊 VPN-расширение для Chrome, установленное более 100 тысяч раз, тайно делало 📸снимки экрана и 🥷похищало конфиденциальные данные пользователей
Недавно было обнаружено, что VPN-расширение для Chrome под названием Fr**PN.One, скачанное более 100 000 раз и имеющее значок сертификации от Google — является продвинутым шпионом. Без согласия пользователя оно непрерывно 🦠создавало снимки экрана и похищало конфиденциальные данные, включая 💻банковские учётные данные, личную переписку и даже файлы.
Аналитики из компании 💻Koi[.]Security отмечают, что расширение превратилось из легитимного VPN-сервиса в шпионское ПО в апреле 2025 года посредством серии тщательно спланированных обновлений. В начале все работало честно и без каких-либо подвохов. В ходе обновлений злоумышленники внедрили в расширение специальные возможности для слежки.
👁 Шпионская кампания затронула пользователей по всему миру.
⚙️ По данным специалистов, техническая реализация атаки указывает на высокий уровень подготовки злоумышленников, использовавших сложную систему внедрения контент-скриптов на все HTTP и HTTPS сайты. Для захвата был разработан специальный механизм отложенного скриншота через 1.1 секунды после полной загрузки страницы, что обеспечивало максимальное качество изображения, с последующей автоматической отправкой на командный сервер aitd[.]one с использованием привилегированного API chrome.tabs.captureVisibleTab(). Последние версии расширения использовали шифрование AES-256-GCM с обертыванием RSA для маскировки исходящего трафика.
Авторы исследования подводят к выводу, что 🧀бесплатный сыр бывает практически всегда бывает только в 🐀мышеловке!
===============
🤔Замечаю определенную тенденцию на фоне регулярных запретов, ограничений и блокировок у нас в стране: разные люди, включая тех, кто мало понимает в технологиях, вынуждены пользоваться бесплатными VPN-сервисам (Google Play и App Store), но, к сожалению, они не всегда осознают в полной мере все риски скачивания подобных приложений.
Бывает так, что включение VPN требует показа какой-то рекламы, но есть случаи, когда ✒️требуется скачать игру или сомнительное приложение на Android, иначе не включится. Люди умудряются скачивать даже .apk из сомнительных источников, запуская аппы на старых смартфонах, которые давно не обновлялись (без обнов безопасности).
Кто является разработчиком бесплатных VPN? Если пользователь не платит из кармана, то как монетизируется приложение? Вопрос ✋риторический.
Теперь подходим к главному. Не так давно в чатах злоумышленников обсуждались различные схемы с SEO и создание бесплатных VPN/proxy сервисов для россиян, чтобы крутить рекламу с пробросом трафика на 🏴☠️экстремистские материалы.
Раньше обычный человек мог взять себе приличный сервис для выхода в сеть, но сейчас такой возможности нет. Злоумышленники не спят и активно этим пользуются.
Сценарий атаки: Злоумышленники создают приложение, которое выглядит как 📲обычный VPN. Все стандартно: показывает смену IP, имеет кнопку "Подключиться".
Приложение пишет: 😈"Для включения VPN посмотрите рекламу". VPN-туннель не включится пока не будет просмотра рекламы (согласно пользовательскому соглашению).
🚠Пока VPN-туннель НЕ АКТИВЕН, приложение в фоновом режиме во время показа рекламы, используя спецом незащищенное интернет-соединение, делает серию запросов на веб-ресурсы из заранее заготовленного списка экстремистских ресурсов или каких-нибудь иноагентов (Google по барабану на всё это). Реклама заканчивается, приложение меняет статус на ✅"ПОДКЛЮЧЕНО" и показывает IP где-нибудь в Италии.
По замыслу недоброжелателей, граждане РФ должны попасть на штрафы, так как проброс делается в открытом виде для того, чтобы присутствовала фиксация в логах провайдера.🤔Возможно, потом всё это дополняется анонимкой в РКН.
Хочется искренне верить, что подобное не смогут реализовать на практике и вся эта история останется гипотетическим сценарием. Сложно понять, как обычный человек, не имеющий специальных знаний в таких нюансах, должен во всём этом разбираться и не нарваться на штраф.
✋ @Russian_OSINT
Исследователи Trellix раскрывают новую цепочку атак, в которой используются фишинговые электронные письма для доставки бэкдора с открытым исходным кодом под названием VShell.
Цепочка заражения специфичным для Linux вредоносными ПО начинается со спам-письма с вредоносным архивом RAR.
Причем полезная нагрузка не скрыта внутри содержимого файла или макроса, а закодирована непосредственно в самом имени файла.
Такая техника реализует дополнительное преимущество в обходе традиционной защиты, поскольку антивирусные движки обычно не сканируют имена файлов.
Отправной точкой атаки является email с архивом RAR, который включает в себя файл со вредоносным именем файла: ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`.
Имя файла включает в себя Bash-совместимый код, который предназначен для выполнения команд при интерпретации оболочкой.
Стоит отметить, что простое извлечение файла из архива не вызывает его выполнения. Это происходит только тогда, когда скрипт оболочки или команда пытается считать имя файла.
Еще один важный аспект, который следует учитывать, заключается в том, что невозможно вручную создать имя файла с этим синтаксисом, что означает, что оно, вероятно, было создано с использованием другого языка, внешнего инструмента или скрипта, который обходит проверку ввода оболочки.
Запуск, в свою очередь, приводит к выполнению встроенного загрузчика с кодировкой Base64, который затем извлекает с внешнего сервера двоичный файл ELF для соответствующей системной архитектуры (x86_64, i386, i686, armv7l или aarch64).
Двоичный файл, со своей стороны, инициирует связь с C2 для получения зашифрованной полезной нагрузки VShell, декодирования и ее выполнения на хосте.
Trellix отмечает, что фишинговые электронные письма замаскированы под приглашение на опрос по косметической продукции, заманивая получателей денежным вознаграждением (10 юаней) за его за его заполнение.
При этом вектор социнженерии достотачно тонкий: пользователь отвлекается на содержание опроса, и наличие вложения может быть принято за документ или файл данных, связанный с опросом.
VShell - это инструмент удаленного доступа на основе Go, который в последние годы широко использовался китайскими APT, включая UNC5174, поддерживающий обратную оболочку, файловые операции, управление процессами, переадресацию портов и зашифрованную связь C2.
Причем вредоносное ПО работает полностью в памяти, избегая обнаружения на диске, не говоря уже о том, что оно может быть нацелено на широкий спектр устройств Linux.
Результаты анализа Trellix указывают на весьма опасную эволюцию в доставке вредоносных ПО для Linux, когда простое имя файла, встроенное в архив RAR, может быть задействовано для выполнения произвольных команд и злоупотребления доверенной средой выполнения.
В данном случае - обеспечивая работу мощного бэкдора VShell, способного полностью удаленно управлять системой.
Знакомьтесь! Новый брокер эксплойтов - Advanced Security Solutions или ASS.
Основанная в этом месяце с дислокацией в ОАЭ компания предлагает вознаграждение до 20 млн. долл. за цепочки эксплойтов в мобильных операционных системах.
Согласно заявлению ASS, в числе ее клиентуры - спецслужбы 25 стран, а штате - профи с 20-летним опытом.
Пожалуй, на рынке это одни из самых высоких расценок на 0-day эксплойты: до 15 млн. за ZeroClick для Android и iOS, до 10 млн. - для Linux и Windows и 7 - для macOS.
Исследователи Dr.Web сообщают об обнаружении нового многофункционального бэкдора для Android (Android.Backdoor.916.origin), предназначенного для проведения целевых атак на российских пользователей.
Первые версии появились еще в январе 2025 года. С момента детектирования Dr.Web отслеживала развитие вредоносной ПО и смогла идентифицировать ряд версий.
Исследователи полагают, что Android.Backdoor.916.origin, вероятно, предназначен скорее для целевых атак, чем для массового распространения среди пользователей Android-устройств.
Злоумышленники распространяют его в формате APK-файла через личные сообщения в мессенджерах под видом антивируса GuardCB.
При этом логотип приложения напоминает эмблему Центробанка РФ на фоне щита, а интерфейс приложения поддерживает только один язык - русский.
Его основная цель - представители российского бизнеса. Это подтверждают и другие обнаруженные модификации с названиями типа SECURITY_FSB, ФСБ и др. Приложение фактически не имеет антивирусных функций.
При первом запуске запрашивает доступ к системным разрешениям: геолокация; аудиозапись; доступ к СМС, контактам, истории звонков, медиафайлам, совершение звонков; камера; разрешение на работу в фоновом режиме; права администратора устройства и служба доступности.
Затем вредоносная ПО запускает несколько собственных служб и проверяет их активность каждую минуту, перезапуская их при необходимости.
Бэкдор использует эти службы для подключения к С2 и получения большого количества команд.
Среди них: перехват sms, контактов, истории вызовов, геолокации, информации о сети и интерфейсах устройства, запись с микрофона и камеры, трансляция экрана, доступ к изображениям и выполнение команд оболочки и др.
Бэкдор направляет различные типы собираемых им данных на отдельные порты сервера C2. Android.Backdoor.916.origin также использует Accessibility Service для реализации функций кейлоггера и перехвата контента из мессенджеров и браузеров.
Кроме того, троян способен отслеживать: Telegram, Google Chrome, Gmail, Яндекс Старт, Яндекс Браузер и WhatsApp.
Бэкдор также задействует Accessibility Service для защиты себя от удаления в случае получения соответствующей команды от злоумышленников.
Android.Backdoor.916.origin обладает функционалом, позволяющим ему работать с большим количеством командных серверов, информация о которых хранится в его конфигурации.
Кроме того, он может переключаться между хостинг-провайдерами, число которых может достигать до 15, однако в настоящее время эта возможность не используется.
Dr.Web пока не раскрывает авторство этого вредоносного ПО.
Индикаторы компрометации - в отчете.
Исследователи Push Security раскрывают новую технику хакеров, которая объединяет легитимные ссылки office.com со службами Active Directory Federation Services (ADFS) для перенаправления пользователей на фишинговую страницу и кражи учетных данных Microsoft 365.
Этот метод позволяет злоумышленникам обходить традиционную систему обнаружения на основе URL-адресов и процесс MFa, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.
Заметить аномалию с перенаправлением пользователей с легитимной ссылки outlook.office.com на фишинговый веб-сайт удалось в ходе анализа кампании, нацеленной на нескольких из клиентов Push Security.
Фишинговая страница не имела никаких особых элементов, которые могли бы воспрепятствовать ее обнаружению, однако метод доставки включал доверенную инфраструктуру для обхода решений безопасности.
Фишинговая атака начиналась с нажатия жертвой вредоносной рекламной ссылки в результатах поиска Google по запросу Office 365.
После чего пользователь перенаправлялся в Microsoft Office, который, в свою очередь, перенаправлял пользователя на другой домен, bluegraintours[.]com, который, в свою очередь, также перенаправлял на фишинговую страницу, настроенную для сбора учетных данных.
На первый взгляд, переход на вредоносную страницу происходил путем перенаправления с домена Microsoft office.com, а не посредством фишингового письма.
При расследовании инцидентов исследователи Push Security обнаружили, что злоумышленник создал пользовательский клиент Microsoft с настроенными службами ADFS.
ADFS - это решение единого входа (SSO) от Microsoft, которое позволяет пользователям получать доступ к нескольким приложениям как внутри, так и за пределами корпоративной сети, используя единый набор учетных данных для входа.
Управляя клиентом Microsoft, злоумышленник смог использовать ADFS для получения запросов на авторизацию от домена bluegraintours, который выступал в роли поставщика IAM, что позволило выполнить аутентификацию на фишинговой странице.
Поскольку сайт bluegraintours не виден цели во время цепочки перенаправлений, злоумышленник заполнил его фейковыми сообщениями в блоге и достаточным количеством информации, чтобы он казался легальным для автоматических сканеров.
Дальнейший анализ показал, что злоумышленник применил условные ограничения загрузки, которые предоставляют доступ к фишинговой странице только тем целям, которые считаются допустимыми. В противном случае автоматически перенаправляются на официальный office.com.
Как полагают в Push Security, замеченные вредоносные активности с довольно стандартными фишинговыми артефактами, по всей видимости, не нацелены на конкретные цели и скорее всего были реализованы в формате тестирования новых методов атак.
Ранее Microsoft ADFS уже использовался в фишинговых кампаниях, но тогда злоумышленники подделывали страницу входа в ADFS целевой организации, чтобы украсть учетные данные.
Для защиты от атак такого типа Push Security рекомендует комплекс мер, включающий мониторинг перенаправлений ADFS на вредоносные сайты.
Поскольку расследуемая атака началась с вредоносной рекламы, исследователи также советуют проверять параметры рекламы в перенаправлениях Google на office.com, поскольку это может выявить вредоносные домены или перенаправления на фишинговые страницы.
Apple выпустила экстренные обновления для исправления еще одной 0-day (помимо еще пяти, эксплуатируемых в сети с начала года), которая была использована в проведении чрезвычайно сложной атаки.
Она отслеживается как CVE-2025-43300 и связана с записью за пределами выделенного буфера памяти.
Была обнаружена исследователями Apple в инфраструктуре Image I/O, которая позволяет приложениям читать и записывать большинство форматов файлов изображений.
Как отмечает Apple, компания получила отчете о том, что эта уязвимость могла быть использована для крайне сложной таргетированной атаке в отношении конкретных неназванных лиц.
Проблема записи за пределами выделенного буфера памяти решена благодаря улучшенной проверке границ.
Обработка вредоносного файла изображения может привести к повреждению памяти.
Apple решила эту проблему, улучшив проверку границ для предотвращения эксплуатации уязвимости в iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8.
Полный перечень устройств, затронутых уязвимостью, достаточно обширен, ошибка затрагивает как старые, так и новые модели, включая: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, iPad Pro 12,9 дюймов 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения и Mac под управлением macOS Sequoia, Sonoma и Ventura.
Компания традиционно пока не раскрывает авторства открытия и не публикует подробности об атаках.
Несмотря на то, что они были нацелены на конкретные цели, пользователям настоятельно рекомендуется как можно скорее обновиться, чтобы нейтрализовать потенциальные риски.
Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT.
Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype.
Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2.
Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию.
GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT.
Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами.
Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41).
SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом.
DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT.
Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов.
Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer.
Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте.
Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT.
Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки.
При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif.
Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.