39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Google TIG и Mandiant сообщают о задействовании вредоносного ПО Brickstorm китайскими хакерами в долгосрочных кампаниях по кибершпионажу, нацеленных на американские компании в технологическом и юридическом секторах.
Brickstorm - это бэкдор на базе Go, задокументированный Google в апреле 2024 года и использовавшийся китайской APT, известной как UNC5221, в ходе атаки 2023 года на MITRE.
Вредоносное ПО поддерживает функции веб-сервера, инструмента для манипулирования файлами, дроппера, ретранслятора SOCKS и инструмента выполнения команд оболочки.
По данным Google, злоумышленники использовали Brickstorm для скрытого извлечения данных из сетей своих жертв. Среднее время обнаружения составляло 393 дня.
Исследователи подтвердили, что атакам подверглись организации в юридическом и технологическом секторах, поставщики SaaS, а также аутсорсеры бизнес-процессов (BPO).
Дело в том, что компрометация таких объектов позволяет злоумышленникам разработать 0-day эксплойты для дальнейшего нацеливание на последующих жертв, особенно тех, которые не защищены решениями EDR.
Исследователи приписывают наблюдаемые атаки кластеру угроз UNC5221, который ранее уже отметился умелым препарированием 0-day в продуктах Ivanti в ходе атак на правительственные учреждения с помощью специализированного вредоносного ПО Spawnant и Zipline.
Исследователям GTIG пока не удалось с уверенностью определить первоначальный вектор доступа, но исследователи полагают, что здесь задействована эксплуатация уязвимостей нулевого дня на периферийных устройствах.
Brickstorm развертывается на устройствах, которые не поддерживают EDR, включая конечные точки VMware vCenter/ESXi, где он устанавливает связь с C2, маскируясь под Cloudflare, Heroku и другой легитимный трафик.
Закрепившись, злоумышленник попытался повысить привилегии, используя вредоносный фильтр Java Servlet Filter (Bricksteal) на vCenter для захвата учетных данных, а также клонируя виртуальные машины Windows Server для извлечения секретов.
Украденные учетные данные затем используются для горизонтального перемещения и закрепления, что включает в себя включение SSH на ESXi и изменение скриптов запуска init.d и systemd.
Основной оперативной целью Brickstorm является кража электронных писем через приложения Microsoft Entra ID Enterprise Apps с использованием прокси-сервера SOCKS для проникновения во внутренние системы и репозитории кода, сохраняя при этом высокий уровень конспирации.
Наблюдения Google показывают, что UNC5221 в основном ориентирован, прежде всего, на разработчиков, администраторов и лиц, находящихся на горизонте экономических и военных интересов Китая.
После завершения атаки вредоносное ПО удаляется, что затрудняет проведение криминалистической экспертизы. Процесс ещё больше осложняется тем, что UNC5221 никогда не использует дважды одни и те же домены C2 или образцы вредоносного ПО.
Тем не менее Mandiant выпустила бесплатный сканер, копирующий правила YARA Brickstorm для устройств Linux и BSD. В отчёт также включены правила YARA для Bricksteal и Slaystyle.
Исследователи Binarly раскрыли две новые ошибки в прошивке оборудования Supermicro, включая Baseboard Management Controller (BMC), которые позволяют вредоносной прошивке обходить защиту Root of Trust и фактически обеспечивать создание устойчивых бэкдоров.
Supermicro - производитель серверов, материнских плат и оборудования для ЦОДов. BMC - это микроконтроллер на материнских платах серверов Supermicro, который позволяет осуществлять удалённый мониторинг и управление системой, даже если она выключена.
Специалисты Binarly обнаружили обход уязвимости (CVE-2024-10237), которую Supermicro исправила в январе этого года, а также другую уязвимость, идентифицированную как CVE-2025-6198.
Как отмечается, она позволяет потенциальным злоумышленникам получить полный и постоянный контроль как над системой BMC, так и над основной ОС сервера.
Обе уязвимости могут быть использованы для обновления систем BMC с помощью неофициальной прошивки, но исследователи утверждают, что CVE-2025-6198 также может быть использована для обхода BMC RoT (Root of Trust) - функции безопасности, подтверждающей загрузку системы с легитимной прошивкой.
Внедрение вредоносной прошивки обеспечивает сохранение работоспособности после перезагрузок и переустановок ОС, высокоуровневый контроль над сервером и надежный обход проверок безопасности.
Для исправления CVE-2024-10237 Supermicro добавила проверки для ограничения пользовательских записей fwmap, которые представляют собой таблицу инструкций внутри образа прошивки, которую можно использовать для манипулирования образами прошивки.
Однако исследователи Binarly пришли к выводу, что возможность внедрения вредоносный fwmap реализуется до того, как система загрузит оригинал поставщика, объявив подписанные области таким образом, чтобы злоумышленник мог переместить или заменить фактическое содержимое, сохранив при этом целостность дайджеста.
Это означает, что вычисленный хеш равен подписанному значению и проверка подписи проходит успешно, даже если части в образе прошивки были поменяны местами или заменены.
В результате BMC принимает и прошивает образ, внедряя потенциально вредоносный загрузчик или ядро, при этом все по-прежнему выглядит подписанным и действительным.
Исследователи сообщили о проблеме в Supermicro. Компания подтвердила наличие уязвимости, которая теперь обозначена как CVE-2025-7937.
Вторая ошибка, обнаруженная Binarly, CVE-2025-6198, возникает в виду некорректной логики проверки в функции auth_bmc_sig, выполняемой в среде OP-TEE прошивки материнской платы X13SEM-F.
Поскольку подписанные области определены в самом загруженном образе, злоумышленники могут модифицировать ядро или другие части, перемещать исходные данные в неиспользуемое пространство прошивки, сохраняя дайджест действительным.
Исследователи продемонстрировали перепрошивку и запуск настроенного ядра, показав, что аутентификация ядра не выполняется во время загрузки, а это означает, что функция Root of Trust защищает процесс лишь частично.
Эксплуатация уязвимости приводит к тому же результату, что и обход, позволяя внедрить вредоносную прошивку или понизить версию существующего образа до менее безопасного.
Supermicro выпустила исправления для прошивок затронутых моделей, а Binarly - экспериментальные PoC для обеих ошибок, так что теперь определенно следует принять срочные меры для защиты потенциально уязвимых систем.
Особенно с учетом того, что подобные уязвимости могут быть особенно опасны, в некоторых случаях приводя к массовому выходу серверов из строя, а также в виду наличия реальных рейсов их эксплуатации в дикой природе.
Cisco выпустила обновления для устранения серьезной 0-day в программном обеспечении Cisco IOS и IOS XE, которая в настоящее время активно задействуется в атаках.
Уязвимость отслеживается как CVE-2025-20352, связана с переполнением буфера на базе стека в подсистеме простого протокола сетевого управления (SNMP) уязвимого ПО, затрагивая все устройства с включенным SNMP.
Аутентифицированные удалённые злоумышленники с низкими привилегиями могут воспользоваться этой уязвимостью для вызова DoS на устройствах без обновлений.
Злоумышленники с высокими привилегиями, с другой стороны, могут получить полный контроль над системами, работающими под управлением уязвимого программного обеспечения Cisco IOS XE, выполнив код от имени пользователя root.
Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный SNMP-пакет на уязвимое устройство по сетям IPv4 или IPv6.
Cisco PSIRT стало известно об успешной эксплуатации этой уязвимости после того, как были скомпрометированы учётные данные локального администратора.
Cisco настоятельно рекомендует клиентам перейти на исправленную версию ПО для устранения этой уязвимости. При этом обходных путей устранения этой уязвимости, помимо применения выпущенных сегодня исправлений, не существует.
Тем не менее, в Cisco также заявили, что администраторы, которые не могут немедленно обновить уязвимое ПО, могут временно смягчить проблему, ограничив доступ SNMP к уязвимой системе для доверенных пользователей.
Помимо нуля Cisco устранила 13 других уязвимостей безопасности, в том числе две, для которых доступен PoC.
Первая из них - XSS в Cisco IOS XE, отмеченная как CVE-2025-20240, - может быть использована неаутентифицированным удаленным злоумышленником для кражи файлов cookie с уязвимых устройств.
Вторая, отлеживаемая как CVE-2025-20149, представляет собой уязвимость типа DoS и позволяет аутентифицированным локальным злоумышленникам принудительно перезагружать уязвимые устройства.
Британская NCA арестовала подозреваемого, связанного с ransomware-атакой, которая привела к масштабным сбоям в работе европейских аэропортов и затронувшей ПО Multi-User System Environment (MUSE) компании Collins Aerospace.
Как сообщается в официальном релизе, сотрудники NCA при поддержке Юго-восточного ROCU вчера вечером арестовали в Западном Сассексе мужчину в возрасте около сорока лет по подозрению в совершении преступлений, предусмотренных Законом о неправомерном использовании компьютерных технологий.
Несмотря на определенные сподвижки расследование инцидента находится еще на ранней стадии, а подозреваемый был освобожден под условный залог.
Корпорация RTX (ранее Raytheon Technologies), владелец Collins Aerospace со штатом более 186 000 сотрудников и выручкой более 80 млрд. долл., подтвердила сам инцидент и факт использования программы-вымогателя.
В своем заявлении, поданном в SEC, RTX отмечает, что целью хакеров стала именно система регистрации и обработки багажа MUSE, которая работает изолированно от корпоративной сети.
Несмотря на то, что в RTX не раскрывают других подробностей инцидента, исследователь Кевин Бомонт GossiTheDog/115254672566587831">заявилGossiTheDog/115254672566587831">, что злоумышленники использовали «невероятно простую» версию программы-вымогателя под названием Hardbit.
Однако, согласно другим источникам, отмечается, что в атаке задействовался вирус-вымогатель Loki.
Оба штамма обычно используются в формате RaaS и, как правило, в атаках, не имеющих широкого охвата, так что их применение весьма необычно для данного инцидента.
Но подробностей все равно пока мало, продолжаем следить.
Cloudflare вновь рапортует об отражении новой мощной DDoS-атаки, достигшей рекордных 22,2 Тбит/с и 10,6 млрд. пакетов в секунду.
Причем такие рекордные DDoS-атаки становятся все более частыми: всего три недели назад компания Cloudflare удалось отбить мощную атаку мощностью 11,5 Тбит/с и 5,1 Bpps - самую крупную из публично объявленных на тот момент.
За два месяца до этого компания столкнулась с ещё одной рекордной атакой, мощность которой достигла 7,3 Тбит/с.
Последняя DDoS-атака, также масштабная, длилась 40 секунд и на сегодняшний день является крупнейшей из когда-либо предотвращенных.
Несмотря на короткий период воздействия, объем трафика, направленного на жертву, был колоссальным и примерно эквивалентен одновременной потоковой передаче одного миллиона видео в формате 4K.
Скорость передачи пакетов 10,6 бит/с можно перевести примерно в 1,3 обновления веб-страницы в секунду от каждого человека на планете.
Большой объем пакетов существенно затрудняет обработку запросов брандмауэрами, маршрутизаторами и балансировщиками нагрузки, даже если общая пропускная способность поддается управлению.
Cloudflare не разглашает подробности последних двух DDoS-атак.
Тем не менее XLab Qi'anxin приписала DDoS-атаку мощностью 11,5 ТБ ботнету AISURU.
По данным исследователей, AISURU заразил более 300 000 устройств по всему миру, причем резкий всплеск заражений произошел в апреле 2025 года после взлома сервера обновления прошивки маршрутизатора Totolink.
Ботнет также нацелен на уязвимости в IP-камерах, DVR/NVR, чипах Realtek и маршрутизаторах T-Mobile, Zyxel, D-Link и Linksys.
GitHub внедряет комплекс мер для защиты от атак на цепочку поставок на платформе после ряда недавних резонансных инцидентов.
Среди них кибератаки, которые начались с компрометации репозиториев GitHub, а затем распространились на NPM, включают s1ngularity в конце августа, GhostAction в начале сентября и кампанию в стиле червя, получившую название Shai-Hulud, начавшуюся на прошлой неделе.
Атаки привели к компрометации тысяч учетных записей и частных репозиториев, краже конфиденциальных данных и значительным затратам на устранение последствий.
Несмотря на то, что GitHub достойно быстро отреагировала, минимизируя последствия инцидентов, администрация платформы признают, что превентивные меры были бы более эффективными.
По итогу для снижения подобных рисков GitHub объявила о постепенном внедрении следующих мер:
- двухфакторная аутентификация (2FA) для локальной публикации,
- внедрение гранулярных токенов со сроком действия 7 дней,
- расширение внедрения проверенных издательских систем,
- отмена поддержка классических токенов и TOTP 2FA (переход на 2FA на базе FIDO),
- сокращение срока действия токенов публикации,
- доступ к публикации по умолчанию для запрета токенов,
- удаление возможности обхода 2FA для локальной публикации.
В заявлении также подчеркивается, что безопасность экосистемы является коллективной обязанностью, и ожидается, что разработчики самостоятельно также примут меры по снижению рисков в цепочке поставок, используя опции безопасности, доступные на платформе.
Насколько эффективными окажутся представленные меры будем посмотреть, но, как показывает практика, киберподполье также быстро к ним адаптируется, порой даже быстрее, чем их жертвы.
Агентство ЕС по кибербезопасности ENISA связало недавний инцидент, затронувший Collins Aerospace и приведший к сбоям в работе нескольких крупных аэропортов по всей Европе, с ransomware-атакой
ENISA отмечает, что штамм программы-вымогателя был идентифицирован в ходе инициированного расследования, однако какой-либо дополнительной информации пока не раскрывается.
Кибератаке подверглась инфраструктура американской компании Collins Aerospace, принадлежащей RTX (ранее Raytheon).
Collins Aerospace - это один из крупнейших мировых поставщиков решений для аэрокосмической и оборонной промышленности. Недавно компания отхватила контракт с НАТО на поставку решений ва сфере РЭБ.
Решения Collins задействуются в аэропортах и обеспечивают регистрацию пассажиров и учет багажа.
Собственно, в результате атаки процедуры регистрации и посадки в крупных аэропортах были вынужденно переведены в ручной режим.
Инцидент затронул аэропорты Великобритании, Германии, Бельгии и Ирландии, включая лондонский Хитроу, аэропорт Брюсселя и берлинский Бранденбург.
Если в Хитроу подавляющее большинство его рейсов продолжают выполняться и задержки незначительны, то аэропорт Брюсселя столкнулся с существенными перебоями и, как сообщается, в понедельник запросил у авиакомпании отмену около 140 рейсов.
Национальный центр кибербезопасности Великобритании на выходных также выдал заявление по поводу инцидента, заявляя о начале расследования совместно с Министерством транспорта страны в расследовании инцидента.
При этом, как передает BBC, более тысячи компьютеров могли быть повреждены и их удалённое восстановление невозможно. Кроме того, хакеры продолжали оставаться внутри сети даже после восстановиления и перезапуска систем.
Исследователь Кевин Бомонт также отслеживал GossiTheDog/115237859265778614">инцидент и полагает, что атака затронула службы связи и обработки информации ARINC, в частности системы SelfServ vMUSE.
Он отметил, что десятки систем, связанных с ARINC, по всей видимости, открыты для глобальной сети, а в некоторых из них, по-видимому, отсутствуют необходимые механизмы безопасности.
Бомонт также отметил, что в результате инцидента пользователи системы ARINC в аэропортах не смогли войти в свои учетные записи.
Ранее компания Collins заявляла, что находится на завершающей стадии завершения обновления ПО, необходимого для повторного запуска систем, но неясно, произошло ли это до или после того, как компания обнаружила, что хакеры все еще находятся внутри ее систем.
Пока неясно, кто стоит за атакой, но в DataBreaches предполагают, что она может быть связана с группировкой ShinyHunters, партнер которой, банда Scattered Spider, отметилась своими атаками на авиационную отрасль.
Scattered Spider и ShinyHunters недавно объявили о своем уходе, но индустрия скептически относлась к их заявлениям, а факты свидетельствуют об обратном.
Так что будем следить.
Исследователи из Лаборатории Касперского представили аналитический отчет с традиционно богатой инфографикой в отношении ландшафта угроз для систем промышленной автоматизации во втором квартале 2025 года.
Во изученном периоде доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, снизилась на 1,4 п.п. по сравнению с предыдущим кварталом (и на 3,0 п.п. по сравнению с 2024) и составила 20,5%.
В региональном разрезе процент компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, составил от 11,2% в Северной Европе до 27,8% в Африке.
В большинстве исследованных регионов показатели снизились по сравнению с предыдущим кварталом. Рост наблюдался только в Австралии и Новой Зеландии, а также в Северной Европе.
Сектор биометрии лидирует в рейтинге отраслей и инфраструктур ОТ, исследованных в данном отчете, по проценту компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты.
Причем процент компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, снизился во всех отраслях.
Защитные решения Лаборатории Касперского в системах ICS заблокировали вредоносное ПО из 10 408 различных семейств вредоносных программ разных категорий.
Увеличилась лишь доля компьютеров АСУ, на которых были заблокированы запрещенные интернет-ресурсы (в 1,2 раза больше, чем в предыдущем квартале) и вредоносные документы (в 1,1 раза больше).
Основными источниками угроз для компьютеров в технологической инфраструктуре организации продолжают оставаться:
- Интернет (посещение вредоносных или взломанных интернет-ресурсов, вредоносный контент, распространяемый через мессенджеры, облачные сервисы хранения и обработки данных и CDN);
- почтовые клиенты (фишинговые письма);
- съемные носители информации.
Причем доля компьютеров АСУ, на которых были заблокированы угрозы от почтовых клиентов, продолжила расти.
Основными категориями угроз от почтовых клиентов, заблокированных на компьютерах АСУ, являются вредоносные документы, шпионское ПО, вредоносные скрипты и фишинговые страницы.
Этот показатель увеличился во всех регионах, кроме России. Напротив, средний мировой показатель по другим источникам угроз снизился. Более того, показатели достигли минимальных значений со второго квартала 2022 года.
Согласно статистике по вредоносным объектам для первоначального заражения, компьютеров АСУ ТП, на которых были заблокированы запрещенные интернет-ресурсы, увеличился до 5,91%.
Доля компьютеров АСУ, на которых были заблокированы вредоносные документы, растёт второй квартал подряд - показатель достиг 1,97% (+0,12 п.п.), а по вредоносным скриптам и фишинговым страницам - снизился до 6,49% (+0,67 п.п.).
По вредоносному ПО следующего этапа - доля компьютеров АСУ, на которых были заблокированы вредоносные объекты всех категорий, снизилась: spyware 3,84% (- 0,36 п.п.), ransomware 0,14% (- 0,02 п.п.), майнеры 0,63% (-0,15 п.п.) и веб-майнеры: 0,30% (- 0,23 п.п.).
Доля компьютеров АСУ, на которых были заблокированы черви и вирусы, также снизилась до 1,22% (- 0,09 п.п.) и 1,29% (- 0,24 п.п.), равно как и вредоносное ПО AutoCAD - снизилось до 0,29% (- 0,05 п.п.).
Более подробная информация о промышленных угрозах - в полной версии отчета.
Разработчики LastPass предупреждают о широкомасштабной кампании, нацеленной на кражу информации у пользователей macOS.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Вредоносный ботнет SystemBC возродился после прошлогодней облавы Европола и теперь заражает новые устройства. На этот раз операторов прокси-ботнета интересуют уязвимые VPS, а не на домашние пользователи.
По данным Black Lotus Labs компании Lumen Technology, ежедневно поддерживается в среднем до 1500 ботов, обеспечивая канал для вредоносного трафика.
SystemBC существует как минимум с 2019 года и используется различными злоумышленниками, включая несколько группировок, занимающихся распространением ransomware, для доставки полезных нагрузок.
Это позволяет злоумышленникам направлять вредоносный трафик через зараженный хост и скрывать C2, затрудняя обнаружение. Сама прокси-сеть SystemBC рассчитана на большие объёмы трафика
При этом ни клиенты, ни операторы SystemBC особо не переживают насчет обеспечения скрытности: IP-адреса ботов никак не защищены (например, посредством обфускации или ротации).
Взломанные серверы расположены по всему миру и имеют как минимум одну неисправленную критическую уязвимость, а некоторые из них содержат десятки проблем безопасности: в среднем до 20.
Причем одна из систем, в Алабаме, согласно Censys, и вовсе содержала 161 уязвимость.
SystemBC имеет более 80 серверов C2, которые подключают клиентов к зараженному прокси-серверу и конектят другие службы прокси-сети.
Одна вредоносная служба под названием REM Proxy использует около 80% ботов SystemBC, предоставляя многоуровневые услуги своим клиентам в зависимости от требуемого качества прокси-сервера.
Почти 80% сети SystemBC из 1500 ежедневных ботов состоит из скомпрометированных VPS-систем от нескольких крупных коммерческих провайдеров.
По данным Black Lotus Labs, это обеспечивает более длительный, чем обычно, период жизни заражения: почти 40% систем остаются зараженными более месяца.
Исследователи утверждают, что операторы SystemBC чаще всего используют его для подбора учетных данных WordPress, которые, скорее всего, продают брокерам, внедряющим на сайты вредоносный код.
Используя VPS-системы, SystemBC обеспечивает своей клиентуре стабильный трафик больших объемов, что невозможно в сетях домашних прокси-серверов на базе устройств SOHO.
Запустив вредоносное ПО SystemBC в имитированной среде, исследователи наблюдали, как один конкретный IP-адрес генерирует свыше 16 ГБ прокси-данных всего за 24 часа, что на порядок превышает тот, который обычно наблюдается в типичных прокси-сетях.
Судя по глобальной IP-телеметрии, один адрес, 104.250.164[.]214, по-видимому, является ядром деятельности по вовлечению новых жертв, а также содержит все 180 образцов вредоносного ПО SystemBC.
Подробный технический анализ SystemBC, а также IOCs - в отчете.
Продолжаем следить за ситуацией, связанной с атакой на цепочку поставок Shai-Hulud, в результате которой был развернут червь в репозитории npm.
Согласно последним данным, инцидент теперь охватил более 500 пакетов.
Причем червь связан с той же группой, которая ранее осуществила атаку на цепочку поставок npm, известной как S1ngularity.
Как и в предыдущей атаке, злоумышленники нацелены на кражу токенов доступа, загружая их в публичные репозитории GitHub.
Червь не затрагивает Windows, а работает только на системах macOS и Linux.
В свою очередь, компания UpGuard уже выявила как минимум 17 крупных компаний, пострадавших от кражи токенов.
Но, по всей видимости, это еще не конец, продолжаем наблюдение.
Собственно, про приоритетные цели из предыдущег поста: SonicWall предупреждает своих клиентов о необходимости ротации учетных данных после того, как файлы резервных копий конфигураций их брандмауэров были раскрыты в результате инцидента, затронувшего учетные записи MySonicWall.
После его обнаружения компания закрыла злоумышленникам доступ к своим системам и приступила к расследованию атаки совместно с правоохранительными органами.
Последствия инцидента могут быть просто катастрофическими, поскольку уязвимые резервные копии могут предоставить злоумышленникам доступ к конфиденциальной информации: учетным данным и токенам, для всех служб, работающих на устройствах SonicWall в их сетях.
Результаты предварительного расследования указывают, что инцидент затронул менее 5% брандмауэров SonicWall, а целью злоумышленников была служба API для облачного резервного копирования в ходе атак методом подбора паролей.
SonicWall опубликовала подробное руководство для помощи в работе по минимизации рисков несанкционированного доступа к уязвимой конфигурации брандмауэра и доступа к сетям, а также обнаружению возможной активности в сети.
Кроме того, поставщик предоставил клиентам новые файлы настроек, которые следует импортировать в брандмауэры. Он был создан на основе последнего файла настроек, найденного в облачном хранилище.
Новые файлы настроек содержат рандомизированные пароли для всех локальных пользователей, сбрасывают привязки там, где включен TOTP, и рандомизируют ключи IPSec VPN.
В настоящее время SonicWall не располагает данными о попадании украденных клиентских файлов в сеть киберподполья.
Но, как показывает практика, это лишь вопрос времени.
Исследователи F6 представили отчет по результатам анализа фишинговых атак новой группы ComicForm, нацеленной на российские компании в сферах финансов, туризма, биотехнологий, исследований и торговли, а также на компании в Белоруссии и Казахстане.
Посредством фишинговых писем злоумышленники распространяют стилер FormBook для кражи данных, а во вложениях прячут ссылки на картинки с героями комиксов, в частности, Бэтменом.
В поле зрения F6 попала фишинговая кампания, состоявшаяся в мае - июне 2025 года и направленная на российские организации.
Тематика вредоносных писем: «RE: Акт сверки», «Контракт и счет.pdf», «Ожидание подписанного документа», «Подтвердить пароль» и т.д. - побуждала пользователей открыть вложения.
В прилагаемом к сообщению файле была спрятана вредоносная ПО-загрузчик, которая, в свою очередь, доставляла на компьютер жертвы упомянутый стилер (анализ вредоносной ПО здесь).
Особенностью фишинговых писем стали спрятанные в коде вложений ссылки на анимированные изображения с супергероями в формате GIF, которые никак не использовались в ходе атаки. По этим причинам специалисты F6 присвоили атакующему имя ComicForm.
Для фишинговых рассылок ComicForm используют адреса электронной почты, зарегистрированные на доменах верхнего уровня .ru, .by и .kz.
Часть отправителей могла быть скомпрометирована.
Характерным признаком группы стало использование в качестве обратного адреса (replay-to) ящика rivet_kz@..., зарегистрированного в общедоступном российском почтовом сервисе.
Помимо вредоносных вложений, злоумышленники используют также фейковые страницы сервисов для хранения документов.
После перехода по предложенной в письме ссылке жертвы попадали на фишинговые формы авторизации, откуда их данные переправлялись на удаленные серверы преступников.
ComicForm ведет активную деятельность не только в отношении компаний в России, но также на территории Беларуси и Казахстана.
Так, в июне были зафиксированы следы атаки на казахстанскую телекоммуникационную компанию.
Группировка ComicForm действует минимум с апреля 2025 года и активна по настоящее время.
В начале сентября специалисты F6 заметили, что злоумышленники расширяют свою инфраструктуру.
Технический анализ атак ComicForm и IOCs - в отчете.
Google выпустила экстренные обновления для исправления 4 уязвимостей в Chrome, в том числе 0-day, шестой использованной в атаках с начала года, наряду с CVE-2025-2783, CVE-2025-4664, CVE-2025-5419, CVE-2025-6554 и CVE-2025-6558.
В компании не раскрывают подробностей эксплуатации CVE-2025-1058, но предупреждает о наличии для нее общедоступного эксплойта - на самом деле, достаточно распространенный индикатор активной эксплуатации.
0-day вызвана недостатком путаницы э типов в движке V8 JavaScript и WebAssembly, ееобнаружила Группа анализа угроз Google (TAG) и сообщила о ней 16 сентября 2025 года.
Ошибки путаницы типов - это проблемы безопасности памяти, которые могут вызвать неожиданное поведение программного обеспечения, что может привести к DoS, RCE и другим типам атак.
Используя специально созданные HTML-страницы, злоумышленники могут воспользоваться ошибками путаницы типов в V8 для удаленного выполнения произвольных операций чтения/записи.
Учитывая, что об уязвимости сообщил Google TAG, проблемой, по всей видимости, могли воспользоваться рахзработчики шпионского ПО или APT.
Последнее обновление браузера также устраняет две уязвимости использования после освобождения в Dawn (CVE-2025-10500) и WebRTC (CVE-2025-10501), за устранение которых Google выплатила награды в размере 15 000 и 10 000 долл. соответственно.
Кроме того, обновление содержит исправления для переполнения буфера кучи в графическом движке ANGLE (CVE-2025-10502), обнаруженного Big Sleep AI, который, по словам Google, может находить дефекты безопасности, о которых злоумышленники уже знают и планируют использовать.
Компания устранила проблему безопасности на день позже, выпустив версии 140.0.7339.185/.186 для Windows/Mac и 140.0.7339.185 для Linux, которые поступят в стабильную версию для настольных компьютеров в течение ближайших недель.
После долгих прелюдий и заигрываний с представителями ИБ-сообщества Microsoft поставила жирную точку в судьбе своего ИИ-помощника для работы с пакетом приложений Microsoft 365.
Приложение Copilot будет принудительно установлено на все компьютеры по управлением ОС Windows. Внедрение начнется в начале октября 2025 года и завершится в середине ноября 2025 года.
Но это не коснется пользователей устройств в странах ЕС в виду из-за строгих правил конфиденциальности. Во всяком случае пока.
Исследователи BI.ZONE в своем новом отчете плдорбно описывают активность Cavalry Werewolf, которая с использованием собственного вредоносного ПО с мая по август 2025 года атакует российский сегмент.
Атакующие рассылали целевые фишинговые письма от имени госслужащих Кыргызстана.
Основные цели - это российские госструктуры и компании в сфере энергетики, добычи полезных ископаемых и обрабатывающей промышленности.
В качестве вложения в фишинговых письмах использовался RAR‑архив, содержащий вредоносное ПО. В ходе атак злоумышленники использовали самописные инструменты: реверс-шеллы FoalShell и StallionRAT с управлением через телегу.
В одной из фишинговых рассылок атакующие использовали реальный почтовый адрес, который встречается на сайте регулятора Кыргызской Республики.
По всей видимости, злоумышленники скомпрометировали данный адрес ранее для использования в атаках.
Как отмечают Бизоны, FoalShell - простые реверс-шеллы, написанные на Go, C++, C#, применяемые Cavalry Werewolf для выполнения произвольных команд в интерпретаторе командной строки cmd.exe на скомпрометированном хосте.
В свою очередь, StallionRAT - троян удаленного доступа, написанный в различных вариантах на Go, PowerShell, Python.
Он позволяет атакующим выполнять произвольные команды, загружать дополнительные файлы и производить эксфильтрацию собранных данных.
В качестве командного сервера используется телеграм‑бот.
В наблюдаемой кампании использовался лаунчер на C++ для запуска экземпляра вредоносной ПО StallionRAT на PowerShell.
Он осуществляет запуск PowerShell с командой, закодированной Base64.
Выполнение указанной PowerShell-команды приводит к запуску StallionRAT, управляемого через телегу.
Во время инициализации StallionRAT осуществляет присвоение идентификатора DeviceID скомпрометированному хосту: случайное число от 100 до 10 000. Также вредоносная ПО получает имя компьютера с помощью $env:COMPUTERNAME.
В вечном цикле (while True) постоянно вызывается функция getUpdates для получения новых команд и сообщений телеграм-бота.
Результаты выполнения команд и сообщения об ошибках отправляются в определенный телеграм-чат, заданный в коде StallionRAT.
Исследователями после изучения дополнительной информации были обнаружены команды, выполняемые StallionRAT на одном из хостов, которые свидетельствуют о том, что RAT был посещен в каталог C:\Users\Public\Libraries и добавлен в автозагрузку через ключ реестра Run.
Также были выявлены следующие команды, свидетельствующие об использовании инструментов проксирования SOCKS5 - ReverseSocks5Agent и ReverseSocks5.
Кроме того, выполнялись команды для сбора информации о скомпрометированном хосте.
В ходе исследования Бизоны также выявили файлы на таджикском языке и арабскими именами, что может свидетельствовать о нацеливании Cavalry Werewolf на Таджикистан и страны Ближнего Востока.
При этом помимо выявленного вредоносного ПО, злоумышленники могли использовать и другие инструменты, например AsyncRAT.
Подробный разбор атак, TTPs и IoC - в отчете.
🥷❗️Популярные смартфоны📱OnePlus под угрозой шпионажа
В смартфонах OnePlus, работающих на OxygenOS, зияет критическая брешь безопасности, позволяющая любому приложению беспрепятственно читать SMS и MMS сообщения, включая конфиденциальные 🔐 коды двухфакторной аутентификации.
Любое установленное приложение, даже не запрашивая разрешений, может получить полный доступ на чтение к базе данных SMS и MMS сообщений пользователя.
com.android.providers.telephony были добавлены три новых контент-провайдера, один из которых, ServiceNumberProvider, содержит 😅непростительную ошибку: он позволяет вызывать операции записи без каких-либо разрешений и уязвим к классической SQL-инъекции.
Секретная служба в США в ходе облавы накрыла условный «колл-центр», инфраструктура которого задействовалась в весьма специфичных целях и действовал на территории трех штатов.
Расследование деятельности SIM-ферм началось после того, как в начале этого года в адрес высокопоставленных чиновников США были совершены анонимные звонки с угрозами.
По данным NYT, жертвами некоторых из этих угроз стали два сотрудника Белого дома и один сотрудник самой Секретной службы.
Представители сикрет сёрвиса полагают, что обнаруженный ими «колл-центр» был одним из крупнейших, который когда-либо действовал в США. В ходе мероприятий удалось изъять более 300 совмещенных SIM-серверов и 100 000 SIM-карт.
Причем ферма работала в 56 км от штаб-квартиры ООН, где в настоящее время проходит заседание Генеральной Ассамблеи с участием мировых лидеров.
Причем спецслужбам удалось нейтрализовать ферму за несколько часов до заседания.
Мощности фермы позволяли за несколько минут разослать спам практически на все американские телефонные номера, а также вывести из строя всю национальную телекоммуникационную сеть, что особенно опасно в условиях чрезвычайных ситуаций.
Но, пожалуй, основной функционал фермы обеспечивал злоумышленникам анонимный, зашифрованный канал связи для решения других различных задач.
Собственно, в пресс-релизе Секретной службы имеется одна очень расплывчатая формулировка о причастности к работе фермы неназванного государства. А именно отмечается следующее.
Несмотря на то, что криминалистическая экспертиза изъятых устройств продолжается, предварительный анализ «указывает на наличие связи между субъектами угроз национального масштаба и лицами, известными федеральным правоохранительным органам».
Помимо самой фермы, как передают CNN и NBC News, в ходе расследования оперативники вышли на пустые конспиративные квартиры, арендованные в Армонке (штат Нью-Йорк), Гринвиче (штат Коннектикут), Квинсе (штат Нью-Йорк) и Нью-Джерси.
Агенты также обнаружили незаконное огнестрельное оружие, компьютеры, мобильные телефоны и 80 гр. кокаина вместе с оборудованием связи.
Полагаем, что о работе сервиса спецслужбы узнали достаточно давненько и, по всей видимости, мониторили всю активность, соответственно, все тайные операции, осуществляемые посредством фермы.
Однако в условиях проведения значимого международного мероприятия, дабы локализовать любые возможные негативные сценарии, сотрудники Секретной службы просто обязаны были свернуть работу фермы, что и случилось.
Так или иначе, в ближайшее время вполне возможно, что последует продолжение с участием представителей ФБР, ЦРУ и Министерства внутренней безопасности, если, конечно, на ферме занимались чем-то больше, чем ботоводством.
Но будем посмотреть.
Libraesva выкатила экстренное обновление для своего решения Email Security Gateway (ESG) с исправлениями уязвимость, которой воспользовались злоумышленники, предположительно APT.
Решение обеспечивает защиту почтовых систем от фишинга, вредоносных ПО, спама, компрометации деловой электронной почты и спуфинга, используя многоуровневую архитектуру защиты.
По данным поставщика, Libraesva ESG используется тысячами малых и средних предприятий, а также крупными предприятиями по всему миру и обслуживает более 200 000 пользователей.
CVE-2025-59689 получила среднюю оценку серьёзности и активируется отправкой вредоносного вложения к электронному письму, позволяя выполнять произвольные команды оболочки из учётной записи непривилегированного пользователя.
Ошибка обусловлена неправильной очисткой при удалении активного кода из файлов, содержащихся в некоторых форматах сжатых архивов.
По данным поставщика, был зафиксирован как минимум один подтвержденный случай, когда злоумышленник воспользовался уязвимостью для совершения атаки.
CVE-2025-59689 затрагивает все версии Libraesva ESG, начиная с 4.5, исправления доступны в версиях: 5.0.31, 5.1.20, 5.2.31, 5.3.16, 5.4.8 и 5.5.7.
Клиентам, использующим версии ниже 5.0, необходимо вручную выполнить обновление до поддерживаемой версии, поскольку они уже достигли EoL и не получат исправление для CVE-2025-59689.
Libraesva сообщает, что патч был выпущен в качестве экстренного обновления через 17 часов после обнаружения уязвимости.
Исправление было автоматически развернуто как в облаке, так и на локальном сервере.
В состав патча входит исправление для устранения основной причины уязвимости, автоматическое сканирование на наличие индикаторов взлома, а также модуль самооценки, который проверяет правильность применения обновления безопасности.
Поставщик также прокомментировал атаку, заявив, что фокусировка внимания злоумышленника на одном устройстве свидетельствует о целевом характере, подчеркивая одновременно важность оперативных мер по устранению последствий.
Ученые из Амстердамского свободного университета смогли проэксплуатировать в реальных сценариях уязвимости временного выполнения ЦП для вызова утечки памяти из виртуальных машин, работающих в общедоступных облачных сервисах.
Исследование показывает, что L1TF (L1 Terminal Fault), также известная как Foreshadow (ошибка в процессорах Intel, раскрытая в январе 2018 года), и half-Spectre (гаджеты, которые считаются неэксплуатируемыми на процессорах нового поколения, поскольку они не могут напрямую передавать секретные данные), могут использоваться вместе для раскрытия данных из публичного облака.
В прошлом месяце ученые представили подробности о L1TF Reloaded - уязвимости, которая объединяет L1TF и half-Spectre для обхода широко применяемых программных средств защиты и приводит к утечке конфиденциальных данных из гипервизора и совладельца в Google Cloud.
Используя новую технику, основанную на отслеживании указателей через хост и гостевую систему, ученые смогли вызвать утечку всей информации, необходимой для ручного выполнения двумерных обходов таблицы страниц в ПО.
Благодаря этому можно преобразовывать произвольные виртуальные гостевые адреса в физические адреса хоста, что позволяет получить утечку любого байта в памяти жертвы через L1TF.
L1TF был раскрыт в 2018 году, в тот же день, когда стали известны печально известные уязвимости Spectre и Meltdown, и приводит к тому же результату: злоумышленник может извлечь секретные данные, к которым процессор может случайно получить доступ при выполнении инструкций и которые кэшируются в памяти.
При этом реальное влияние этих уязвимостей было минимальным, поскольку злоумышленнику потребовались бы возможности удаленного выполнения кода для запуска соответствующих инструкций в ЦП.
Однако L1TF Reloaded демонстрирует, что атака осуществима в отношении поставщиков публичных облачных услуг, которые, по сути, предоставляют своим клиентам «удаленное выполнение кода как услугу».
В облаке виртуализированные системы клиентов работают изолированно на одном и том же оборудовании и должны считаться ненадежными, требующими принятия всех разумных мер по защите от уязвимостей временного выполнения, таких как Spectre.
Исследователи провели свои испытания на однопользовательском узле в Google Cloud и продемонстрировали, что они могут добиться утечки ключа TLS сервера Nginx в атакуемой виртуальной машине в шумных условиях, не имея подробных сведений ни о хосте, ни о госте в среднем за 14,2 часа.
Атака ученых была направлена на гаджет Spectre в подсистеме KVM Linux, чтобы спекулятивно загрузить данные из оперативной памяти в кэш L1, а затем использовать L1TF для утечки секретных данных из кэша L1.
По сути, с помощью вредоносной виртуальной машины они смогли обеспечить утечку данных из хост-операционной системы, чтобы идентифицировать другие виртуальные машины, работающие на этой машине, из гостевых ОС - чтобы узнать, какие процессы запущены на жертвенных виртуальных машинах, а затем получить утечку закрытого ключа TLS с сервера Nginx.
Ученые также провели атаку на облако AWS, где им удалось украсть только неконфиденциальные данные хоста благодаря глубокой защите.
В свою очередь, Google, предоставившая ученым узел с индивидуальным арендатором для проведения испытаний, наградила исследователей вознаграждением в размере 151 515 долл., что является наивысшим уровнем и первым случаем такой выплаты для Google Cloud VRP.
Как отмечают исследователи, атака демонстрирует, что изолированное устранение уязвимостей временного выполнения неэффективно, когда их эксплуатация может быть комбинирована, чтобы не только обойти существующие средства защиты, но и создать мощные примитивы для атаки.
Причем такие меры, как XPFO и локальная память процесса (как показано AWS), а также предлагаемые изоляция адресного пространства или гипервизор без секретных данных, предотвратили бы эту атаку.
Исследователь TwoSevenOneThree (Zero Salarium) разработал новый метод и концептуальный инструмент под названием EDR-Freeze, который позволяет реализовать обход решений безопасности из пользовательского режима с помощью системы отчетов об ошибках Windows (WER) от Microsoft.
Представленная технология не требует уязвимого драйвера и способна переводить работу агентов безопасности, таких как EDR, в состояние гибернации.
Используя фреймворк WER вместе с API MiniDumpWriteDump, исследователь нашел способ приостановить на неопределенный срок активность EDR и антивирусных процессов.
Существующие методы отключения EDR основаны на технике BYOVD, когда злоумышленники берут легитимный, но уязвимый драйвер ядра и используют его для повышения привилегий.
К основным недостаткам атак BYOVD относятся необходимость доставки драйвера в целевую систему, обход защиты выполнения и удаление артефактов на уровне ядра, которые могут раскрыть операцию.
EDR-Freeze описывается как гораздо более скрытый метод, не требующий драйвера ядра, работающий полностью в пользовательском режиме и использующий легитимные компоненты Windows, которые по умолчанию присутствуют в операционной системе.
WerFaultSecure представляет собой компонент отчетов об ошибках Windows, работающий с привилегиями Protected Process Light (PPL), предназначенный для сбора аварийных дампов конфиденциальных системных процессов для отладки и диагностики.
MiniDumpWriteDump - это API в библиотеке DbgHelp, который генерирует снимок памяти и состояния процесса (минидамп).
При этом все потоки целевого процесса приостанавливаются и возобновляются после завершения задания.
EDR-Freeze задействуетль TwoSevenOneThree (Zero Salarium) разработал который временно приостанавливает все потоки в целевом процессе на время записи дампа.
Во время этого процесса злоумышленник приостанавливает сам процесс WerFaultSecure, поэтому дампер никогда не возобновляет работу с целью, оставляя процесс AV в состоянии «комы».
Помимо описания самого механизма исследователь также разработал инструмент, обеспечивающий автоматизацию всей атаки, тестирование
которого было успешно проведено на Windows 11 24H2 и завершилось приостановкой процесса Защитника Windows.
Описанная новая атака объединяет предполагаемое поведение MiniDumpWriteDump и WerFaultSecure, так что это скорее недостаток реализации, нежели уязвимость в Windows.
Защититься от EDR-Freeze можно, отслеживая, указывает ли WER на идентификатор конфиденциального процесса, такого как LSASS или инструменты безопасности.
Для этой цели исследователь Стивен Лим представил утилиту, которая сопоставляет WerFaultSecure с процессами конечных точек Microsoft Defender.
Тем не менее, в самой Microsoft пока никак не комментируют недостаток и вообще непонятно, будут ли она как-то реагировать. Но будем посмотреть.
Тем временем, на фоне последних резонансных атак и активизировавшихся действий силовиков монолит хакерской группы Scattered Spider (0ktapus или UNC3944) даже после объединения с ShinyHunters и Lapsus$ постепенно начинает разваливаться.
Помимо четверых пойманных во Франции и парочки задержанных в Великобритании в руки спецслужбам попал еще один участник пауков, который решился сам сдаться полиции Лас-Вегаса.
17 сентября 2025 года несовершеннолетний подозреваемый сам явился в Центр содержания под стражей несовершеннолетних округа Кларк.
Явке с повинной предшествовало расследование с участием опергруппы по киберпреступлениям ФБР в Лас-Вегасе, в результате которого детективам удалось установить личность подростка.
Подозреваемый, предположительно, участвовал в наделавших много шуму взломах нескольких казино и отелей в Лас-Вегасе в 2023 году. Ему были предъявлены шесть обвинений в совершении тяжких преступлений.
В общем, любая история рано или поздно заканчивается...
Так что вся тема с выходом Scattered Lapsus$ Hunters - только начало конца, но будем, конечно, посмотреть.
Государственная канцелярия интернет-информации КНР (CAC) заняла жесткую позицию по вопросу поставок чипов NVIDIA для вычислений ИИ, потребовав от местных компаний, включая Huawei, Cambricon, Alibaba, Baidu и др., прекратить закупки.
По данным Financial Times, компаниям было приказано прекратить испытания и отменить будущие заказы на RTX Pro 6000D, которые Nvidia разработанные специально для Китая.
Мотивируется все тем, что страна наращивает усилия по развитию своей внутренней промышленности в рамках снижения зависимости от США, чтобы иметь возможность конкурировать в гонке за ИИ.
Nvidia начала производство чипов H20 специально для китайского рынка после того, как бывший президент США Джо Байден запретил компании экспортировать в КНР свою самую мощную продукцию, чтобы сдержать прогресс Пекина в области ИИ.
Тем не менее, Nvidia заявляла о получении одобрения со стороны администрации президента США Дональда Трампа на продажу в Китае своих процессоров H20, используемых в разработках ИИ.
Nvidia и Advanced Micro Devices (AMD) даже согласились платить властям США в обмен на экспортные лицензии 15% выручки от продажи процессоров в Китае - H20, а также MI308 компании AMD.
Однако в прошлом месяце китайские власти обвинили США в попытке внедрить бэкдоры в чипы NVIDIA.
Так что стороны пришли к выводу, что китайские ИИ-чипы достигли уровня, сопоставимого или превосходящего уровня продукции Nvidia, разрешённой для экспорта.
Китайские производители намерены утроить общий объём производства ИИ-ускорителей в следующем году, а внутреннего предложения будет достаточно для удовлетворения спроса, считают эксперты.
Как мы не раз прогнозировали, вслед за информационно-коммуникационной неизбежна глобальная технологическая сегментация, особенно в сфере таких перспективных технологий, как ИИ и пр. Продолжаем следить.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы. На этот раз:
1. Исследователи Radware обнаружили zero-click атаку, которая может привести к утечке данных входящих сообщений из учетной записи Gmail, использующей почтовый агент Deep Research ChatGPT, путем простой отправки одного вредоносного электронного письма на учетную запись жертвы.
2. Многие современные модели маршрутизаторов до сих пор остаются уязвимы к 10-летней Wi-Fi-атаке под названием Pixie Dust.
Атака позволяет злоумышленникам узнать WPS-PIN маршрутизатора и получить доступ к его Wi-Fi-сети.
Исследователи NetRise установили, что из 24 современных устройств 20 всё ещё подвержены Pixie Dust.
3. Инженер-программист нашел две две проблемы, связанные с утечкой IP-адреса при использовании Linux-клиентов PureVPN (GUI v2.10.0, CLI v2.0.1) на Ubuntu 24.04.3 LTS (ядро 6.8.0, iptables-nft).
4. Опубликовано описание уязвимости CVE-2025-55241, которая позволяет злоумышленникам получить права глобального администратора любого клиента Azure Entra ID. Она была исправлена в начале месяца в экстренном обновлении безопасности Azure.
5. Злоумышленники используют уязвимость в Case Theme User, плагине WordPress, входящем в комплект различных коммерческих тем.
Ошибка позволяет злоумышленникам удалённо получить доступ к любой учётной записи на сайтах, зная адрес электронной почты пользователя.
По данным Wordfence, плагин установлен более чем на 12 000 веб-сайтов. Эксплуатация началась в конце августа и продолжается.
6. Подкатили обновления от GitLab (с исправлением 6 уязвимостей для основного продукта), Jenkins (7 обновлений для основных файлов проекта), Atlassian (5 обновлений в рамках сентябрьского PatchTuesday, одно из них - Confluence RCE).
7. Неисправленные уязвимости делают HMI-интерфейсы Novakon уязвимыми для удаленного взлома.
Исследователи CyberDanube обнаружили, что они подвержены пяти типам уязвимостей, которые можно эксплуатировать удаленно без аутентификации.
8. Исследователи Positive Technologies вновь представили сентябрьский ТОП «В тренде VM», куда попали уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server, которые либо уже эксплуатируются, либо будут эксплуатироваться в ближайшее время.
9. Fortra выпустила обновления, закрывающие максимально серьезную уязвимость в сервлете лицензии GoAnywhere MFT, которая может быть использована при атаках с внедрением команд.
CVE-2025-10035 вызвана десериализацией недоверенных данных и может быть эксплуатирована удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем.
Проблема исправлена в GoAnywhere MFT 7.8.4 и Sustain Release 7.6.3.
Пока уязвимость не отмечена как активно эксплуатируемая, но вспоминая активность Clop и учитывая широкую клиентуру на 9000 организации по всему миру, определенно что-то случится.
Но будем посмотреть.
Исследователи Лаборатории Касперского продолжают радовать все новыми отчетами, на этот раз раскрывая активную кампанию Head Mare с использованием цепочки из нескольких бэкдоров и SSH-туннелей для проникновения в инфраструктуру жертв.
В конце июня - начале июля в ЛК задетектили рассылку вредоносных писем среди клиентов компании, которые содержали вложение с бэкдором PhantomRemote, позволяющим удаленно выполнять команды на зараженном устройстве.
Во вложении к письму находится файл со следующим содержимым: DLL-библиотека - бэкдор, документ-приманка Microsoft Excel и архив в формате zip.
Для сокрытия кода во вложении использовалась техника polyglot, позволяющая объединять несколько файлов разных форматов в один без потери их работоспособности.
DLL, содержащаяся в polyglot-файле, - это бэкдор PhantomRemote, написанный на Visual C++. После запуска PowerShell-скриптом он подключается к командному серверу и раз в секунду запрашивает команды для выполнения на зараженном хосте.
Основная вредоносная функциональность находится в функции DllEntryPoint и выполняется при загрузке библиотеки в память.
Она использует WinAPI для работы со службой WinHTTP, при помощи которой бэкдор отправляет HTTP-запросы.
Сначала после заражения системы с помощью вложения из вредоносного письма атакующие проводят разведку имени хоста и подключенных сетевых интерфейсов.
Затем оператор дает PhantomRemote команду на скачивание архива, в котором находится обновленная версия бэкдора без архива и документа xls. Далее оператор создает запланированную задачу чтобы закрепить новую версию бэкдора в системе.
После закрепления в системе атакующие осуществляют разведку файлов пользователей различными способами.
Обнаружив PhantomRemote, исследователи смогли провести ретроспективный анализ, благодаря которому выявить инциденты с использованием модифицированных версий того же бэкдора с измененными адресами C2 и рабочими директориями.
Позднее стало ясно, что использование PhantomRemote было лишь первым этапом заражения.
Атакующие заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров PhantomCSLoader и PhantomSAgent для закрепления в системе.
Они написаны на разных языках программирования PowerShell, С++, С#, используют схожую модель взаимодействия с C2, но различаются по внутренним механизмам работы.
Вероятно, злоумышленники рассчитывали, что даже если один из компонентов будет обнаружен, то другой продолжит работать в системе.
Инциденты с этими бэкдорами фиксировались до августа. Причем в ряде случаев, помимо бэкдоров, злоумышленники также устанавливали обратный SSH-туннель для удаленного доступа к скомпрометированной инфраструктуре.
Попавшие в поле зрения ЛК инциденты в основном затронули российские организации, однако также выявлены атаки на ряд организаций в Беларуси.
С высокой долей вероятности в ЛК относят описанную кампанию к активности группировки Head Mare. Однако на деле ситуация оказывается сложнее.
Дело в том, что текущая кампания частично пересекается по времени с обнаруженной в августе 2025 года другой кампанией, где примененялся троян PhantomPyramid.
Полученные артефакты указывают на неоднородность группы: вероятно, она состоит из нескольких подгрупп, действующих относительно автономно.
Подробный технический разбор и IOCs - в отчете.
🍏Пользователи macOS жалуются на утечки памяти, которые может провоцировать 🤖 Apple Intelligence
Исследователь Дмитрий Коваленко обнаружил уязвимость типа «утечка памяти» (memory leak) в нативном приложении Calculator операционной системы macOS. Обсуждение на reddit.
Согласно представленным данным, приложение в приостановленном состоянии (paused) потребляет аномальный объем оперативной памяти в 32.23 гигабайта.
Проблема, скорее всего, носит системный характер, затрагивая и другие приложения Apple.
Один из пользователей продемонстрировал аналогичное поведение в приложении Messages, которое в состоянии (paused) занимает колоссальные 193.69 гигабайта оперативной памяти. Поскольку проблема затрагивает несколько нативных приложений, то это может указывать на потенциальный дефект в одном из общих компонентов macOS, отвечающих за управление памятью.
Подозрение падает на недавнюю интеграцию ИИ-решений под брендом Apple Intelligence, поскольку в настройках приложения Calculator для iOS был замечен соответствующий пункт. Вероятно, именно некорректная работа фоновых ИИ-сервисов, интегрированных в базовые приложения, приводит к неконтролируемому выделению памяти без последующего ее освобождения.
👆Как пишут недовольные юзеры, критичность здесь не в том, что «Калькулятор» завис, а в том, что фундаментальный компонент операционной системы имеет архитектурный дефект. Он может приводить к отказу в обслуживании, создает потенциальный вектор для атак и подрывает доверие к ключевой технологии компании.
✋ @Russian_OSINT
WatchGuard выпустила обновления безопасности для устранения RCE-уязвимости, затрагивающей ее брандмауэры Firebox.
CVE-2025-9242 вызвана уязвимостью записи за пределами выделенного буфера памяти и может позволить злоумышленникам удаленно выполнить вредоносный код на уязвимых устройствах после успешной эксплуатации.
Ошибка затрагивает брандмауэры под управлением Fireware OS 11.x (EoL), 12.x и 2025.1 и была исправлена в версиях 12.3.1_Update3 (B722811), 12.5.13, 12.11.4 и 2025.1.1.
При этом брандмауэры Firebox уязвимы для атак только в том случае, если настроены на использование IKEv2 VPN.
Тем не менее, WatchGuard полагает, что они все равно могут подвергаться риску компрометации при определенных условиях, даже если уязвимые конфигурации были удалены.
WatchGuard также предоставила временное решение для администраторов, которые не могут оперативно исправить проблемы на устройствах с уязвимым ПО, настроенным с использованием туннелей Branch Office VPN (BOVPN) к статическим одноранговым шлюзам.
Для этого необходимо отключить динамические одноранговые BOVPN, добавить новые политики брандмауэра и отключить системные политики по умолчанию, которые обрабатывают трафик VPN (как описано в этом документе).
Как отмечает поставщик, критическая уязвимость пока не эксплуатируется в реальных условиях, но пользователям всё же рекомендуется накатить исправления на WatchGuard Firebox, поскольку злоумышленники всегда считают межсетевые экраны привлекательной целью.
Так, банда вымогателей Akira активно эксплуатирует уязвимость CVE-2024-40766, обнаруженную год назад и имеющую критическую степень серьёзности, для взлома межсетевых экранов SonicWall.
Учитывая, что WatchGuard сотрудничает с более чем 17 000 партнерами и поставщиками ИБ-услуг и обеспечивает защиту сетей более 250 000 малых и средних компаний по всему миру, киберподполье непременно предпримет попытки эксплуатации непропатченных устройств.
Но будем посмотреть.
Ресерчеры из Лаборатории Касперского раскрывают новую волну атак RevengeHotels с использованием LLM и VenomRAT, частной версии QuasarRAT с открытым исходным кодом.
Группа, также известная как TA558, действует с 2015 года и занимается кражей данных кредитных карт гостей отелей и путешественников.
Основной метод работы заключается в отправке электронных писем с фишинговыми ссылками, которые перенаправляют жертв на веб-сайты, имитирующие хранилища документов и загружающие файлы скриптов для заражения целевых компьютеров.
В конечном итоге вредоносная нагрузка включает в себя различные RAT, которые позволяют злоумышленникам осуществлять управление скомпрометированными системами, кражу конфиденциальных данных, а также выполнять другие вредоносные действия.
В предыдущих кампаниях группа задействовала вредоносные электронные письма с вложенными документами Word, Excel или PDF.
Некоторые из них эксплуатировали уязвимость CVE-2017-0199, загружая скрипты VBS или PowerShell для установки модифицированных версий различных семейств RAT, таких как RevengeRAT, NanoCoreRAT, NjRAT, 888 RAT и вредоносного ПО ProCC.
Эти кампании затронули отели во многих странах Латинской Америки, включая Бразилию, Аргентину, Чили и Мексику, а также службы регистрации и обслуживания гостей по всему миру, особенно в России, Беларуси, Турции и других странах.
Позже RevengeHotels расширила свой арсенал, добавив XWorm - RAT с командами для управления, кражи данных и сохранения активности, среди прочего.
В ходе расследования кампании по распространению XWorm исследователи ЛК выявили достоверные признаки того, что RevengeHotels также использовала RAT-инструмент DesckVBRAT в своих операциях.
Летом 2025 года в поле зрения ЛК попали новые кампании, нацеленные на тот же сектор с использованием всё более сложных имплантов и инструментов.
Злоумышленники продолжают использовать фишинговые письма с темами счетов-фактур для доставки имплантов VenomRAT через загрузчики JavaScript и PowerShell.
Значительная часть исходного кода вредоноса и загрузчика в этой кампании, по-видимому, сгенерирована LLM-агентами. Так что злоумышленники теперь активно используют ИИ для совершенствования своих возможностей.
Основными целями новых атак являются бразильский гостининичный сектор, но также может включать цели в испаноязычных странах или регионах.
Благодаря всестороннему анализу схем атак и TTPs злоумышленника исследователи ЛК с высокой степенью уверенности установили, что ответственным за них действительно является RevengeHotels.
В целом, как отмечают исследователи, с помощью агентов LLM группа смогла создавать и модифицировать фишинговые приманки, расширяя свои атаки на новые регионы.
И, если веб-сайты, используемые для этих атак, и начальная полезная нагрузка постоянно меняются, то конечная цель остаётся прежней: внедрение RAT.
Технический разбор атак и инструментария, а также IOCs - в отчете.
Исследователи JFrog выкатили новый отчет с описанием критических уязвимостей в Chaos Mesh, успешная эксплуатация которых может привести к захвату кластера в средах Kubernetes.
При этом злоумышленникам нужен лишь минимальный доступ к внутрикластерной сети, чтобы воспользоваться этими уязвимостями, внедрить методы устранения сбоев платформы (например, отключить модули или нарушить сетевые коммуникации) и выполнить другие вредоносные действия, включая кражу токенов привилегированных учетных записей служб.
Chaos Mesh - это облачная платформа Chaos Engineering с открытым исходным кодом, которая поддерживает различные типы моделирования неисправностей и имитирует различные отклонения, которые могут возникнуть в течение жизненного цикла разработки ПО.
В совокупности выявленные проблемы получили наименование Chaotic Officer и отслеживаются как:
- CVE-2025-59358 (CVSS: 7,5): Chaos Controller Manager в Chaos Mesh предоставляет доступ к серверу отладки GraphQL без аутентификации всему кластеру Kubernetes, который предоставляет API для завершения произвольных процессов в любом модуле Kubernetes, что приводит к отказу в обслуживании на уровне всего кластера.
- CVE-2025-59359 (CVSS: 9,8): cleanTcs mutation в Chaos Controller Manager уязвима к внедрению команд ОС.
- CVE-2025-59360 (CVSS: 9,8): killProcesses mutation в Chaos Controller Manager уязвима к внедрению команд ОС.
- CVE-2025-59361 (CVSS: 9,8): cleanIptables mutation в Chaos Controller Manager уязвима для внедрения команд ОС.
Злоумышленник, находящийся внутри кластера, имеющий начальный доступ к сети кластера, может объединить CVE-2025-59359, CVE-2025-59360, CVE-2025-59361 или CVE-2025-59358 в цепочку для RCE по всему кластеру, даже в конфигурации Chaos Mesh по умолчанию.
JFrog отмечает, что уязвимости обусловлены неэффективными механизмами аутентификации на сервере GraphQL Chaos Controller Manager, что позволяет неаутентифицированным злоумышленникам запускать произвольные команды на Chaos Daemon, что приводит к захвату кластера.
Затем злоумышленники могут воспользоваться этим доступом, чтобы потенциально похитить конфиденциальные данные, нарушить работу критически важных служб или даже перемещаться по кластеру для повышения привилегий.
После раскрытия информации 6 мая 2025 года все выявленные недостатки были устранены Chaos Mesh с выпуском версии 2.7.3 от 21 августа.
Пользователям рекомендуется как можно скорее обновиться до последней версии.
В противном случае рекомендуется ограничить сетевой трафик демона Chaos Mesh и сервера API, а также избегать запуска Chaos Mesh в открытых или слабо защищённых средах.
Как отмечают исследователи, платформы, подобные Chaos Mesh, изначально предоставляют платформе полный контроль над кластером Kubernetes.
Однако такая гибкость может стать критическим риском в контексте таких уязвимостей, как Chaotic Officer.
Исследователи сообщают об очередной атаке на цепочку поставок npm, в результате которой в понедельник хакеры скомпрометировали не менее 187 пакетов с вредоносной самораспространяющейся полезной нагрузкой для заражения других пакетов.
Скоординированная кампания в стиле червя получила название Shai-Hulud и началась со взлома пакета ctrl/tinycolor, который еженедельно скачивают более 2 миллионов раз.
Вредоносный код собрал и похитил учётные данные и другие токены доступа. С тех пор кампания значительно расширилась и теперь включает пакеты, связанные с CrowdStrike npmjs.
Как отметили вообщают об очереднпосле обнаружения вредоносных пакетов в публичном реестре npm, они оперативно удалили их и заблаговременно провели ротацию ключей в публичных реестрах. Затронутые пакеты не используются в сенсоре Falcon, так что платформа не затронута.
Исследователи Socket инициировали собственное расследование инцидента и выявили на тот момент не менее 40 пакетов, скомпрометированных в ходе этой кампании.
На текущий момент Socket и Aikido обнаружили также и дополнительные пакеты, в результате чего их число достигло как минимум 187.
StepSecurity, в свою очередь, опубликовала свой технический анализ с расшифрованными фрагментами и схемами атак, в значительной степени подтверждающими первоначальные выводы Socket.
Скомпрометированные версии включают в себя механизм самораспространения, который нацелен на другие пакеты того же разработчика.
Вредоносное ПО загружает каждый пакет сопровождающим, изменяет его package.json, внедряет скрипт bundle.js, переупаковывает архив и повторно публикует его, тем самым обеспечивая автоматическую троянизацию нижестоящих пакетов.
Скрипт bundle.js использует TruffleHog - легитимный сканер, который может использоваться разработчиками и специалистами по безопасности для поиска утекшей конфиденциальной информации, такой как ключи API, пароли и токены, в репозиториях кода и других источниках данных.
Он проверяет и использует учетные данные разработчика и непрерывной интеграции, создает рабочий процесс GitHub Actions внутри репозиториев и переносит результаты в жестко закодированный веб-хук (hxxps://webhook[.]site/bb8ca5f6-4175-45d2-b042-fc9ebb8170b7).
Название Shai-Hulud происходит от файла рабочего процесса shai-hulud.yaml, используемого вредоносным ПО, обнаруженным во взломанных версиях, и является отсылкой к гигантским песчаным червям из «Дюна» Фрэнка Герберта.
Помимо популярных пакетов, эта атака на цепочку поставок выделяется и временем проведения. Атака последовала за двумя громкими атаками на цепочки поставок, произошедшими в том же месяце, включая нашумевшую s1ngularity.
Несмотря на то, что о первопричинах сегодняшней атаки говорить еще рано, но специалисты предполагают, что она могла быть организована теми же злоумышленниками, что стояли за s1ngularity.
Кроме того, отдельно произошёл второй инцидент, затронувший пакет ngx-bootstrap, популярный набор UI для AngularJS. Неясно, связано ли это с Shai-Hulud, но вполне возможно, что к моменту выхода обновления это станет очевидно.
В общем, все эти продолжающиеся атаки демонстрируют высокий уровень уязвимости современных цепочек поставок ПО, где один вредоносный запрос на извлечение или взломанная учетная запись сопровождающего могут повлиять на сотни проектов.
В то время как такие поставщики, как Google и CrowdStrike, подчеркивают, что их основные платформы остаются безопасными, инцидент подчеркивает настоятельную необходимость для разработчиков защитить свои сборки ПО и конвейеры.