39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи F6 обнаружили новую волну вредоносных рассылок финансово-мотивированной группы Hive0117, которая проводит атаки с февраля 2022 года с использованием вредоносного ПО DarkWatchman.
Рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
24 сентября после нескольких месяцев затишья F6 зафиксировала новую активность трояна DarkWatchman RAT.
Ранее он также распространялся под видом архива якобы от Минобороны и лже-повесток.
Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz.
Аналогичная рассылка была также обнаружена в июне и июле.
В ходе анализа IOCs было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.
Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане.
В списке числится 51 адресат, включая банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT.
Правительство Великобритании намерено предоставить Jaguar Land Rover кредит в размере 1,5 млрд фунтов стерлингов, который уйдет на поддержку автопроизводителя после недавней кибератаки, парализовавшей работу предприятий почти на месяц.
Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе.
31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat.
С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября.
Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе.
Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам.
Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики.
Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска.
Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней.
В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании.
Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок.
Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода.
По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов.
Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.
Исследователи из Лаборатории Касперского продолжают отслеживать активности проукраинской хакерской группы BO Team, инструментарии и TTPs которой был подробно разобран в мае этого года.
BO Team - это одна из активных на текущий момент группировок хактивистов, существующих как минимум с начала 2024 года, которая нацелена на российские компании.
В начале сентября в поле зрения ЛК попала вредоносная рассылка с использованием запароленных RAR-архивов на тему проведения служебного расследования, связанного со злоупотреблением использования полисов ДМС.
Вложенный RAR-архив с именем Приказ_протокол.rar был защищен паролем и содержал исполняемый файл с иконкой PDF-файла и расширением .exe, отделенным от имени файла большим количеством пробелов.
В отличие от образцов из предыдущих кампаний, новая версия вредоносного файла не запустится, если в системе не установлена русская раскладка клавиатуры.
В рамках новой кампании BO Team был замечен обновленный инструментарий: теперь атакующие рассылают новую версию бэкдора BrockenDoor, переписанную на C#, а также используют его для установки обновленной версии бэкдора ZeronetKit.
Функциональность BrockenDoor не претерпела значительных изменений.
Список команд бэкдора практически идентичен тому, что описывался ранее, хотя в этой версии вместо полных названий команд используются сокращения до двух-трех символов.
В одном из случаев в качестве полезной нагрузки BrockenDoor загружал и выполнял ZeronetKit, бэкдор, написанный на Go, который используется в атаках группы BO Team.
Он получил название за строку ZeroNet by Vegas, присутствующую в ранних версиях.
Он был впервые обнаружен в конце 2024, и его функционал включал четыре команды: запуск скрытой удаленной консоли (cmd.exe), отправка и получение файлов с С2 и создание туннеля TCP/IPv4.
Взаимодействие с С2 обеспечивается по протоколам HTTPS и WebSocket, а для разделения потоков данных внутри соединения используется библиотека Yamux (Yet another Multiplexer).
В июне 2025 года появилась обновленная версия ZeronetKit. В сентябре 2025 и фиксировалась попытка BrockenDoor скачать новую версию этого бэкдора.
Для этого BrockenDoor вызывал PowerShell с командной строкой, полученной от С2.
Как и в предыдущей версии, базовые настройки взаимодействия с С2 и список доменов, использующихся в качестве С2, хранятся в исходном исполняемом файле.
Однако теперь при запуске бэкдор проверяет наличие ключей реестра beh и ad в HKCU\Software\Windows\Applets\Config и, если они существуют, данные из них используются в качестве списка С2 и интервала взаимодействия.
ZeronetKit не способен самостоятельно закрепляться в зараженной системе, поэтому злоумышленники при помощи BrockenDoor копируют скачанный бэкдор в автозагрузку.
Жертвами новых атак стали российские компании в различных сферах. Злоумышленники представлялись поставщиками услуг страхования и банковскими организациями.
При этом стоит отметить, что фишинговые письма, ставшие вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели.
Обновленный перечень IOCs - в отчете.
Подкатили подробности эксплуатации недавней 0-day Fortra GoAnywhere MFT, которая задействовалась в атаках еще за восемь дней до выхода исправлений для создания бэкдор-учетной записи администратора.
Fortra устранила CVE-2025-10035 (CVSS 10/10), 18 сентября, не упомянув о ее реальной эксплуатации, но предоставив IoC, которые должны были помочь организациям выявлять потенциальные атаки.
Ошибка описывается как уязвимость десериализации в сервлете лицензии приложения безопасной передачи файлов, которая может позволить злоумышленнику с поддельной подписью ответа лицензии десериализовать созданный объект и осуществить инъекцию команд.
Как отмечает Fortra, клиентам необходимо убедиться, что доступ к консоли администратора GoAnywhere закрыт для всех. Эксплуатация этой уязвимости в значительной степени зависит от наличия внешнего доступа к интернету на системах.
По данным watchTowr, Fortra опоздала на восемь дней с выпуском исправлений для CVE-2025-10035, поскольку эта уязвимость уже эксплуатировалась как ноль на момент ее обнаружения 11 сентября.
В распоряжении исследователей оказались достоверные доказательства эксплуатации уязвимости Fortra GoAnywhere CVE-2025-10035 в реальных условиях, начиная с 10 сентября 2025 года.
В ходе наблюдаемых атак хакеры использовали RCE-уязвимость без аутентификации, чтобы создать скрытую учетную запись администратора на уязвимых экземплярах.
Затем они задействовали учетную запись для создания веб-пользователя, который предоставлял им доступ к сервису MFT, и использовали его для загрузки и выполнения различных дополнительных полезных нагрузок.
В техническом анализе CVE watchTowr отметила, что из Интернета доступно более 20 000 экземпляров GoAnywhere MFT, включая развертывания, относящиеся к компаниям из списка Fortune 500.
В свою очередь, Rapid7 также провела собственный углубленный анализ ошибки, пояснив, что это не простая проблема десериализации, а цепочка из трех отдельных ошибок.
Сюда входит обход контроля доступа, известный с 2023 года, небезопасная уязвимость десериализации CVE-2025-10035 и пока неизвестная проблема, связанная с тем, как злоумышленники могут узнать конкретный закрытый ключ.
Компания сообщила об обходе контроля доступа в феврале 2023 года, когда Fortra исправила ошибку удаленного выполнения кода до аутентификации в GoAnywhere MFT, которая эксплуатировалась как ноль.
И watchTowr, и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая требуется для успешной эксплуатации CVE-2025-10035.
Обе компании отмечают, что эксплуатация уязвимости возможна в случае попадания его в руки злоумышленников, если они обманом заставят сервер лицензий принять вредоносную подпись или если злоумышленники получат доступ к serverkey1 другим неустановленным способом.
Так что жертвы атак, по всей видимости, в скорой перспективе могут появиться на той или иной DLS.
Но будем посмотреть.
🐲 Kali Linux 2025.3 Release.
• Разработчики Kali Linux выкатили третье обновление в этом году — Kali Linux 2025.3, которое включает в себя 10 новых инструментов, Улучшенные VM-образы (теперь они более стабильные и удобные для работы), Возвращение Nexmon (позволяет реализовать мониторинг трафика и инъекцию пакетов на ряде Wi-Fi-чипов. Актуально для Raspberry Pi, включая Pi 5) и еще ряд значительных изменений. Список новых инструментов следующий (описание найдете по соответствующей ссылке):
➡Caido и Caido-cli - тулкит для аудита веб-безопасности;
➡Detect It Easy (DiE) - определение типов файлов;
➡Gemini CLI - запуск ИИ-агента Gemini прямо из терминала;
➡krbrelayx - инструмент для атак на Kerberos;
➡ligolo-mp - расширенная версия Ligolo-ng с поддержкой нескольких туннелей;
➡llm-tools-nmap - интеграция nmap с LLM для сетевого сканирования;
➡mcp-kali-server - конфиг для подключения ИИ-агентов к Kali;
➡patchleaks - сравнение версий кода для поиска патчей безопасности;
➡vwifi-dkms - создание «виртуальных» Wi-Fi сетей для тестов.
• Еще Kali NetHunter получило важные обновления. Поддержка доступных устройств теперь включает внутренний мониторинг с инъекцией кадров в диапазонах 2,4 и 5 ГГц. Портирование на Samsung Galaxy S10 дало прошивку для Broadcom, специализированное ядро и стабильную ARM64-версию утилиты Hijacker. К слову, у нас есть объемная серия статей, которые содержат много ценной информации: от установки Kali NetHunter на различные модели смартфонов, до описания различных инструментов и использования полезной нагрузки Metasploit: /channel/Social_engineering/3473
• Более подробное описание обновления доступно тут: https://www.kali.org
• Теперь к полезным ссылкам:
➡Необходимая документация;
➡Форум;
➡Сообщество в discord;
➡Скачать Kali Linux 2025.3;
➡Kali Tools.
➡#kali.
S.E. ▪️ infosec.work ▪️ VT
Исследователи BI.ZONE в своем новом отчете плдорбно описывают активность Cavalry Werewolf, которая с использованием собственного вредоносного ПО с мая по август 2025 года атакует российский сегмент.
Атакующие рассылали целевые фишинговые письма от имени госслужащих Кыргызстана.
Основные цели - это российские госструктуры и компании в сфере энергетики, добычи полезных ископаемых и обрабатывающей промышленности.
В качестве вложения в фишинговых письмах использовался RAR‑архив, содержащий вредоносное ПО. В ходе атак злоумышленники использовали самописные инструменты: реверс-шеллы FoalShell и StallionRAT с управлением через телегу.
В одной из фишинговых рассылок атакующие использовали реальный почтовый адрес, который встречается на сайте регулятора Кыргызской Республики.
По всей видимости, злоумышленники скомпрометировали данный адрес ранее для использования в атаках.
Как отмечают Бизоны, FoalShell - простые реверс-шеллы, написанные на Go, C++, C#, применяемые Cavalry Werewolf для выполнения произвольных команд в интерпретаторе командной строки cmd.exe на скомпрометированном хосте.
В свою очередь, StallionRAT - троян удаленного доступа, написанный в различных вариантах на Go, PowerShell, Python.
Он позволяет атакующим выполнять произвольные команды, загружать дополнительные файлы и производить эксфильтрацию собранных данных.
В качестве командного сервера используется телеграм‑бот.
В наблюдаемой кампании использовался лаунчер на C++ для запуска экземпляра вредоносной ПО StallionRAT на PowerShell.
Он осуществляет запуск PowerShell с командой, закодированной Base64.
Выполнение указанной PowerShell-команды приводит к запуску StallionRAT, управляемого через телегу.
Во время инициализации StallionRAT осуществляет присвоение идентификатора DeviceID скомпрометированному хосту: случайное число от 100 до 10 000. Также вредоносная ПО получает имя компьютера с помощью $env:COMPUTERNAME.
В вечном цикле (while True) постоянно вызывается функция getUpdates для получения новых команд и сообщений телеграм-бота.
Результаты выполнения команд и сообщения об ошибках отправляются в определенный телеграм-чат, заданный в коде StallionRAT.
Исследователями после изучения дополнительной информации были обнаружены команды, выполняемые StallionRAT на одном из хостов, которые свидетельствуют о том, что RAT был посещен в каталог C:\Users\Public\Libraries и добавлен в автозагрузку через ключ реестра Run.
Также были выявлены следующие команды, свидетельствующие об использовании инструментов проксирования SOCKS5 - ReverseSocks5Agent и ReverseSocks5.
Кроме того, выполнялись команды для сбора информации о скомпрометированном хосте.
В ходе исследования Бизоны также выявили файлы на таджикском языке и арабскими именами, что может свидетельствовать о нацеливании Cavalry Werewolf на Таджикистан и страны Ближнего Востока.
При этом помимо выявленного вредоносного ПО, злоумышленники могли использовать и другие инструменты, например AsyncRAT.
Подробный разбор атак, TTPs и IoC - в отчете.
🥷❗️Популярные смартфоны📱OnePlus под угрозой шпионажа
В смартфонах OnePlus, работающих на OxygenOS, зияет критическая брешь безопасности, позволяющая любому приложению беспрепятственно читать SMS и MMS сообщения, включая конфиденциальные 🔐 коды двухфакторной аутентификации.
Любое установленное приложение, даже не запрашивая разрешений, может получить полный доступ на чтение к базе данных SMS и MMS сообщений пользователя.
com.android.providers.telephony были добавлены три новых контент-провайдера, один из которых, ServiceNumberProvider, содержит 😅непростительную ошибку: он позволяет вызывать операции записи без каких-либо разрешений и уязвим к классической SQL-инъекции.
Секретная служба в США в ходе облавы накрыла условный «колл-центр», инфраструктура которого задействовалась в весьма специфичных целях и действовал на территории трех штатов.
Расследование деятельности SIM-ферм началось после того, как в начале этого года в адрес высокопоставленных чиновников США были совершены анонимные звонки с угрозами.
По данным NYT, жертвами некоторых из этих угроз стали два сотрудника Белого дома и один сотрудник самой Секретной службы.
Представители сикрет сёрвиса полагают, что обнаруженный ими «колл-центр» был одним из крупнейших, который когда-либо действовал в США. В ходе мероприятий удалось изъять более 300 совмещенных SIM-серверов и 100 000 SIM-карт.
Причем ферма работала в 56 км от штаб-квартиры ООН, где в настоящее время проходит заседание Генеральной Ассамблеи с участием мировых лидеров.
Причем спецслужбам удалось нейтрализовать ферму за несколько часов до заседания.
Мощности фермы позволяли за несколько минут разослать спам практически на все американские телефонные номера, а также вывести из строя всю национальную телекоммуникационную сеть, что особенно опасно в условиях чрезвычайных ситуаций.
Но, пожалуй, основной функционал фермы обеспечивал злоумышленникам анонимный, зашифрованный канал связи для решения других различных задач.
Собственно, в пресс-релизе Секретной службы имеется одна очень расплывчатая формулировка о причастности к работе фермы неназванного государства. А именно отмечается следующее.
Несмотря на то, что криминалистическая экспертиза изъятых устройств продолжается, предварительный анализ «указывает на наличие связи между субъектами угроз национального масштаба и лицами, известными федеральным правоохранительным органам».
Помимо самой фермы, как передают CNN и NBC News, в ходе расследования оперативники вышли на пустые конспиративные квартиры, арендованные в Армонке (штат Нью-Йорк), Гринвиче (штат Коннектикут), Квинсе (штат Нью-Йорк) и Нью-Джерси.
Агенты также обнаружили незаконное огнестрельное оружие, компьютеры, мобильные телефоны и 80 гр. кокаина вместе с оборудованием связи.
Полагаем, что о работе сервиса спецслужбы узнали достаточно давненько и, по всей видимости, мониторили всю активность, соответственно, все тайные операции, осуществляемые посредством фермы.
Однако в условиях проведения значимого международного мероприятия, дабы локализовать любые возможные негативные сценарии, сотрудники Секретной службы просто обязаны были свернуть работу фермы, что и случилось.
Так или иначе, в ближайшее время вполне возможно, что последует продолжение с участием представителей ФБР, ЦРУ и Министерства внутренней безопасности, если, конечно, на ферме занимались чем-то больше, чем ботоводством.
Но будем посмотреть.
Libraesva выкатила экстренное обновление для своего решения Email Security Gateway (ESG) с исправлениями уязвимость, которой воспользовались злоумышленники, предположительно APT.
Решение обеспечивает защиту почтовых систем от фишинга, вредоносных ПО, спама, компрометации деловой электронной почты и спуфинга, используя многоуровневую архитектуру защиты.
По данным поставщика, Libraesva ESG используется тысячами малых и средних предприятий, а также крупными предприятиями по всему миру и обслуживает более 200 000 пользователей.
CVE-2025-59689 получила среднюю оценку серьёзности и активируется отправкой вредоносного вложения к электронному письму, позволяя выполнять произвольные команды оболочки из учётной записи непривилегированного пользователя.
Ошибка обусловлена неправильной очисткой при удалении активного кода из файлов, содержащихся в некоторых форматах сжатых архивов.
По данным поставщика, был зафиксирован как минимум один подтвержденный случай, когда злоумышленник воспользовался уязвимостью для совершения атаки.
CVE-2025-59689 затрагивает все версии Libraesva ESG, начиная с 4.5, исправления доступны в версиях: 5.0.31, 5.1.20, 5.2.31, 5.3.16, 5.4.8 и 5.5.7.
Клиентам, использующим версии ниже 5.0, необходимо вручную выполнить обновление до поддерживаемой версии, поскольку они уже достигли EoL и не получат исправление для CVE-2025-59689.
Libraesva сообщает, что патч был выпущен в качестве экстренного обновления через 17 часов после обнаружения уязвимости.
Исправление было автоматически развернуто как в облаке, так и на локальном сервере.
В состав патча входит исправление для устранения основной причины уязвимости, автоматическое сканирование на наличие индикаторов взлома, а также модуль самооценки, который проверяет правильность применения обновления безопасности.
Поставщик также прокомментировал атаку, заявив, что фокусировка внимания злоумышленника на одном устройстве свидетельствует о целевом характере, подчеркивая одновременно важность оперативных мер по устранению последствий.
Ученые из Амстердамского свободного университета смогли проэксплуатировать в реальных сценариях уязвимости временного выполнения ЦП для вызова утечки памяти из виртуальных машин, работающих в общедоступных облачных сервисах.
Исследование показывает, что L1TF (L1 Terminal Fault), также известная как Foreshadow (ошибка в процессорах Intel, раскрытая в январе 2018 года), и half-Spectre (гаджеты, которые считаются неэксплуатируемыми на процессорах нового поколения, поскольку они не могут напрямую передавать секретные данные), могут использоваться вместе для раскрытия данных из публичного облака.
В прошлом месяце ученые представили подробности о L1TF Reloaded - уязвимости, которая объединяет L1TF и half-Spectre для обхода широко применяемых программных средств защиты и приводит к утечке конфиденциальных данных из гипервизора и совладельца в Google Cloud.
Используя новую технику, основанную на отслеживании указателей через хост и гостевую систему, ученые смогли вызвать утечку всей информации, необходимой для ручного выполнения двумерных обходов таблицы страниц в ПО.
Благодаря этому можно преобразовывать произвольные виртуальные гостевые адреса в физические адреса хоста, что позволяет получить утечку любого байта в памяти жертвы через L1TF.
L1TF был раскрыт в 2018 году, в тот же день, когда стали известны печально известные уязвимости Spectre и Meltdown, и приводит к тому же результату: злоумышленник может извлечь секретные данные, к которым процессор может случайно получить доступ при выполнении инструкций и которые кэшируются в памяти.
При этом реальное влияние этих уязвимостей было минимальным, поскольку злоумышленнику потребовались бы возможности удаленного выполнения кода для запуска соответствующих инструкций в ЦП.
Однако L1TF Reloaded демонстрирует, что атака осуществима в отношении поставщиков публичных облачных услуг, которые, по сути, предоставляют своим клиентам «удаленное выполнение кода как услугу».
В облаке виртуализированные системы клиентов работают изолированно на одном и том же оборудовании и должны считаться ненадежными, требующими принятия всех разумных мер по защите от уязвимостей временного выполнения, таких как Spectre.
Исследователи провели свои испытания на однопользовательском узле в Google Cloud и продемонстрировали, что они могут добиться утечки ключа TLS сервера Nginx в атакуемой виртуальной машине в шумных условиях, не имея подробных сведений ни о хосте, ни о госте в среднем за 14,2 часа.
Атака ученых была направлена на гаджет Spectre в подсистеме KVM Linux, чтобы спекулятивно загрузить данные из оперативной памяти в кэш L1, а затем использовать L1TF для утечки секретных данных из кэша L1.
По сути, с помощью вредоносной виртуальной машины они смогли обеспечить утечку данных из хост-операционной системы, чтобы идентифицировать другие виртуальные машины, работающие на этой машине, из гостевых ОС - чтобы узнать, какие процессы запущены на жертвенных виртуальных машинах, а затем получить утечку закрытого ключа TLS с сервера Nginx.
Ученые также провели атаку на облако AWS, где им удалось украсть только неконфиденциальные данные хоста благодаря глубокой защите.
В свою очередь, Google, предоставившая ученым узел с индивидуальным арендатором для проведения испытаний, наградила исследователей вознаграждением в размере 151 515 долл., что является наивысшим уровнем и первым случаем такой выплаты для Google Cloud VRP.
Как отмечают исследователи, атака демонстрирует, что изолированное устранение уязвимостей временного выполнения неэффективно, когда их эксплуатация может быть комбинирована, чтобы не только обойти существующие средства защиты, но и создать мощные примитивы для атаки.
Причем такие меры, как XPFO и локальная память процесса (как показано AWS), а также предлагаемые изоляция адресного пространства или гипервизор без секретных данных, предотвратили бы эту атаку.
Исследователь TwoSevenOneThree (Zero Salarium) разработал новый метод и концептуальный инструмент под названием EDR-Freeze, который позволяет реализовать обход решений безопасности из пользовательского режима с помощью системы отчетов об ошибках Windows (WER) от Microsoft.
Представленная технология не требует уязвимого драйвера и способна переводить работу агентов безопасности, таких как EDR, в состояние гибернации.
Используя фреймворк WER вместе с API MiniDumpWriteDump, исследователь нашел способ приостановить на неопределенный срок активность EDR и антивирусных процессов.
Существующие методы отключения EDR основаны на технике BYOVD, когда злоумышленники берут легитимный, но уязвимый драйвер ядра и используют его для повышения привилегий.
К основным недостаткам атак BYOVD относятся необходимость доставки драйвера в целевую систему, обход защиты выполнения и удаление артефактов на уровне ядра, которые могут раскрыть операцию.
EDR-Freeze описывается как гораздо более скрытый метод, не требующий драйвера ядра, работающий полностью в пользовательском режиме и использующий легитимные компоненты Windows, которые по умолчанию присутствуют в операционной системе.
WerFaultSecure представляет собой компонент отчетов об ошибках Windows, работающий с привилегиями Protected Process Light (PPL), предназначенный для сбора аварийных дампов конфиденциальных системных процессов для отладки и диагностики.
MiniDumpWriteDump - это API в библиотеке DbgHelp, который генерирует снимок памяти и состояния процесса (минидамп).
При этом все потоки целевого процесса приостанавливаются и возобновляются после завершения задания.
EDR-Freeze задействуетль TwoSevenOneThree (Zero Salarium) разработал который временно приостанавливает все потоки в целевом процессе на время записи дампа.
Во время этого процесса злоумышленник приостанавливает сам процесс WerFaultSecure, поэтому дампер никогда не возобновляет работу с целью, оставляя процесс AV в состоянии «комы».
Помимо описания самого механизма исследователь также разработал инструмент, обеспечивающий автоматизацию всей атаки, тестирование
которого было успешно проведено на Windows 11 24H2 и завершилось приостановкой процесса Защитника Windows.
Описанная новая атака объединяет предполагаемое поведение MiniDumpWriteDump и WerFaultSecure, так что это скорее недостаток реализации, нежели уязвимость в Windows.
Защититься от EDR-Freeze можно, отслеживая, указывает ли WER на идентификатор конфиденциального процесса, такого как LSASS или инструменты безопасности.
Для этой цели исследователь Стивен Лим представил утилиту, которая сопоставляет WerFaultSecure с процессами конечных точек Microsoft Defender.
Тем не менее, в самой Microsoft пока никак не комментируют недостаток и вообще непонятно, будут ли она как-то реагировать. Но будем посмотреть.
Тем временем, на фоне последних резонансных атак и активизировавшихся действий силовиков монолит хакерской группы Scattered Spider (0ktapus или UNC3944) даже после объединения с ShinyHunters и Lapsus$ постепенно начинает разваливаться.
Помимо четверых пойманных во Франции и парочки задержанных в Великобритании в руки спецслужбам попал еще один участник пауков, который решился сам сдаться полиции Лас-Вегаса.
17 сентября 2025 года несовершеннолетний подозреваемый сам явился в Центр содержания под стражей несовершеннолетних округа Кларк.
Явке с повинной предшествовало расследование с участием опергруппы по киберпреступлениям ФБР в Лас-Вегасе, в результате которого детективам удалось установить личность подростка.
Подозреваемый, предположительно, участвовал в наделавших много шуму взломах нескольких казино и отелей в Лас-Вегасе в 2023 году. Ему были предъявлены шесть обвинений в совершении тяжких преступлений.
В общем, любая история рано или поздно заканчивается...
Так что вся тема с выходом Scattered Lapsus$ Hunters - только начало конца, но будем, конечно, посмотреть.
Государственная канцелярия интернет-информации КНР (CAC) заняла жесткую позицию по вопросу поставок чипов NVIDIA для вычислений ИИ, потребовав от местных компаний, включая Huawei, Cambricon, Alibaba, Baidu и др., прекратить закупки.
По данным Financial Times, компаниям было приказано прекратить испытания и отменить будущие заказы на RTX Pro 6000D, которые Nvidia разработанные специально для Китая.
Мотивируется все тем, что страна наращивает усилия по развитию своей внутренней промышленности в рамках снижения зависимости от США, чтобы иметь возможность конкурировать в гонке за ИИ.
Nvidia начала производство чипов H20 специально для китайского рынка после того, как бывший президент США Джо Байден запретил компании экспортировать в КНР свою самую мощную продукцию, чтобы сдержать прогресс Пекина в области ИИ.
Тем не менее, Nvidia заявляла о получении одобрения со стороны администрации президента США Дональда Трампа на продажу в Китае своих процессоров H20, используемых в разработках ИИ.
Nvidia и Advanced Micro Devices (AMD) даже согласились платить властям США в обмен на экспортные лицензии 15% выручки от продажи процессоров в Китае - H20, а также MI308 компании AMD.
Однако в прошлом месяце китайские власти обвинили США в попытке внедрить бэкдоры в чипы NVIDIA.
Так что стороны пришли к выводу, что китайские ИИ-чипы достигли уровня, сопоставимого или превосходящего уровня продукции Nvidia, разрешённой для экспорта.
Китайские производители намерены утроить общий объём производства ИИ-ускорителей в следующем году, а внутреннего предложения будет достаточно для удовлетворения спроса, считают эксперты.
Как мы не раз прогнозировали, вслед за информационно-коммуникационной неизбежна глобальная технологическая сегментация, особенно в сфере таких перспективных технологий, как ИИ и пр. Продолжаем следить.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы. На этот раз:
1. Исследователи Radware обнаружили zero-click атаку, которая может привести к утечке данных входящих сообщений из учетной записи Gmail, использующей почтовый агент Deep Research ChatGPT, путем простой отправки одного вредоносного электронного письма на учетную запись жертвы.
2. Многие современные модели маршрутизаторов до сих пор остаются уязвимы к 10-летней Wi-Fi-атаке под названием Pixie Dust.
Атака позволяет злоумышленникам узнать WPS-PIN маршрутизатора и получить доступ к его Wi-Fi-сети.
Исследователи NetRise установили, что из 24 современных устройств 20 всё ещё подвержены Pixie Dust.
3. Инженер-программист нашел две две проблемы, связанные с утечкой IP-адреса при использовании Linux-клиентов PureVPN (GUI v2.10.0, CLI v2.0.1) на Ubuntu 24.04.3 LTS (ядро 6.8.0, iptables-nft).
4. Опубликовано описание уязвимости CVE-2025-55241, которая позволяет злоумышленникам получить права глобального администратора любого клиента Azure Entra ID. Она была исправлена в начале месяца в экстренном обновлении безопасности Azure.
5. Злоумышленники используют уязвимость в Case Theme User, плагине WordPress, входящем в комплект различных коммерческих тем.
Ошибка позволяет злоумышленникам удалённо получить доступ к любой учётной записи на сайтах, зная адрес электронной почты пользователя.
По данным Wordfence, плагин установлен более чем на 12 000 веб-сайтов. Эксплуатация началась в конце августа и продолжается.
6. Подкатили обновления от GitLab (с исправлением 6 уязвимостей для основного продукта), Jenkins (7 обновлений для основных файлов проекта), Atlassian (5 обновлений в рамках сентябрьского PatchTuesday, одно из них - Confluence RCE).
7. Неисправленные уязвимости делают HMI-интерфейсы Novakon уязвимыми для удаленного взлома.
Исследователи CyberDanube обнаружили, что они подвержены пяти типам уязвимостей, которые можно эксплуатировать удаленно без аутентификации.
8. Исследователи Positive Technologies вновь представили сентябрьский ТОП «В тренде VM», куда попали уязвимости в архиваторах WinRAR и 7-Zip, SAP NetWeaver и TrueConf Server, которые либо уже эксплуатируются, либо будут эксплуатироваться в ближайшее время.
9. Fortra выпустила обновления, закрывающие максимально серьезную уязвимость в сервлете лицензии GoAnywhere MFT, которая может быть использована при атаках с внедрением команд.
CVE-2025-10035 вызвана десериализацией недоверенных данных и может быть эксплуатирована удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем.
Проблема исправлена в GoAnywhere MFT 7.8.4 и Sustain Release 7.6.3.
Пока уязвимость не отмечена как активно эксплуатируемая, но вспоминая активность Clop и учитывая широкую клиентуру на 9000 организации по всему миру, определенно что-то случится.
Но будем посмотреть.
Исследователи Лаборатории Касперского продолжают радовать все новыми отчетами, на этот раз раскрывая активную кампанию Head Mare с использованием цепочки из нескольких бэкдоров и SSH-туннелей для проникновения в инфраструктуру жертв.
В конце июня - начале июля в ЛК задетектили рассылку вредоносных писем среди клиентов компании, которые содержали вложение с бэкдором PhantomRemote, позволяющим удаленно выполнять команды на зараженном устройстве.
Во вложении к письму находится файл со следующим содержимым: DLL-библиотека - бэкдор, документ-приманка Microsoft Excel и архив в формате zip.
Для сокрытия кода во вложении использовалась техника polyglot, позволяющая объединять несколько файлов разных форматов в один без потери их работоспособности.
DLL, содержащаяся в polyglot-файле, - это бэкдор PhantomRemote, написанный на Visual C++. После запуска PowerShell-скриптом он подключается к командному серверу и раз в секунду запрашивает команды для выполнения на зараженном хосте.
Основная вредоносная функциональность находится в функции DllEntryPoint и выполняется при загрузке библиотеки в память.
Она использует WinAPI для работы со службой WinHTTP, при помощи которой бэкдор отправляет HTTP-запросы.
Сначала после заражения системы с помощью вложения из вредоносного письма атакующие проводят разведку имени хоста и подключенных сетевых интерфейсов.
Затем оператор дает PhantomRemote команду на скачивание архива, в котором находится обновленная версия бэкдора без архива и документа xls. Далее оператор создает запланированную задачу чтобы закрепить новую версию бэкдора в системе.
После закрепления в системе атакующие осуществляют разведку файлов пользователей различными способами.
Обнаружив PhantomRemote, исследователи смогли провести ретроспективный анализ, благодаря которому выявить инциденты с использованием модифицированных версий того же бэкдора с измененными адресами C2 и рабочими директориями.
Позднее стало ясно, что использование PhantomRemote было лишь первым этапом заражения.
Атакующие заранее подготовили набор дополнительных компонентов и использовали цепочку бэкдоров PhantomCSLoader и PhantomSAgent для закрепления в системе.
Они написаны на разных языках программирования PowerShell, С++, С#, используют схожую модель взаимодействия с C2, но различаются по внутренним механизмам работы.
Вероятно, злоумышленники рассчитывали, что даже если один из компонентов будет обнаружен, то другой продолжит работать в системе.
Инциденты с этими бэкдорами фиксировались до августа. Причем в ряде случаев, помимо бэкдоров, злоумышленники также устанавливали обратный SSH-туннель для удаленного доступа к скомпрометированной инфраструктуре.
Попавшие в поле зрения ЛК инциденты в основном затронули российские организации, однако также выявлены атаки на ряд организаций в Беларуси.
С высокой долей вероятности в ЛК относят описанную кампанию к активности группировки Head Mare. Однако на деле ситуация оказывается сложнее.
Дело в том, что текущая кампания частично пересекается по времени с обнаруженной в августе 2025 года другой кампанией, где примененялся троян PhantomPyramid.
Полученные артефакты указывают на неоднородность группы: вероятно, она состоит из нескольких подгрупп, действующих относительно автономно.
Подробный технический разбор и IOCs - в отчете.
Исследователи из Лаборатории Касперского продолжают отслеживать инциденты, связанные с резонансными атаками на цепочку поставок.
Как отмечается, подобные случаи компрометации стали частым явлением и «трендовым» направлением у злоумышленников.
За последний месяц произошло два крупных инцидента, которые привели созданию вредоносных модулей, зависимостей и отдельных пакетов, а 16 сентября 2025 года стало известно о новой волне заражения npm-пакетов при помощи самораспространяющегося зловреда Shai-Hulud.
Собственно, в новом отчете специалисты ЛК разобрали технические особенности масштабного заражения npm с использованием червя Shai-Hulud.
Как известно, Shai-Hulud нацелен на кражу конфиденциальных данных, раскрытие приватных репозиториев организаций и учетных данных жертвы для заражения других пакетов и дальнейшего распространения.
Вследствие инцидента было заражено свыше 500 пакетов, в число которых попал пакет с более чем двумя миллионами загрузок в неделю - ctrl/tinycolor, и даже библиотеки известной компании CrowdStrike.
В результате разработчики, внедрившие в свои проекты вредоносные пакеты, рисковали потерять конфиденциальные данные, а их собственные библиотеки могут быть инфицированы Shai-Hulud.
Этот самораспространяющийся зловред активно захватывает учетные записи и секреты для создания новых зараженных модулей, распространяя угрозу по цепочке зависимостей.
Проведя ряд исследований, в ЛК смогли обнаружить первый пакет, с которого началось распространение Shai-Hulud, - ngx-bootstrap версии 18.1.4. Именно он стал отправной точкой распространения данной инфекции.
Кроме того, ресерчеры заметили, что в ряде случаев в одном и том же пакете находилось несколько версий, содержащих вредоносный код.
Причем вредоносный скрипт делает скрытые репозитории организаций публичными, что представляет серьезную угрозу для их владельцев, так как возникает риск раскрытия исходных кодов библиотек, продуктов и т.д., а также утраты еще большего количества данных.
В общем, настоятельно рекомендуем ознакомиться с результатами исследования в части погружения в техническую плоскость вредоносной активности червя, эксфильтрации секретов и механизма саморепликации, а также выявленных ЛК особенностей заражения и IOCs.
🟦Академическое исследование на тему безопасности Bluetooth в автомобилях 🔎вскрывает 128 уязвимостей
Исследователи в августе 2025 представили новый open-source фреймворк BlueToolkit для автоматизированного тестирования безопасности Bluetooth Classic, которым воспользовались ресёрчеры для 📄 масштабного анализа автомобильных систем.
Фреймворк использует конфигурационные YAML-файлы для добавления новых тестов, поддерживает различное аппаратное обеспечение (ESP32, Nexus 5) и интегрирует эксплойты из разрозненных репозиториев, таких как BrakTooth и BlueBorne.
Он работает по принципу black-box через Over The Air (OTA), позволяя провести глубокую оценку In-Vehicle Infotainment (IVI) систем, чтобы выявить проблемы в безопасности.
🚘Согласно результатам исследования, в ходе которого было протестировано 22 автомобиля от 14 ведущих производителей (выпущенных в период с 2015 по 2023 год) было обнаружено 128 уязвимостей.
🖥 Проведён 891 тест: выявлен 21 недостаток в проектировании протоколов и 46 ошибок в их реализации на уровне конкретных вендоров.
В рамках исследования описываются четыре атаки, наиболее опасной из которых является User Account Takeover. С помощью Man-in-the-Middle атакующие могут перехватывать SMS или HFP (Hands-Free Profile) данные для обхода двухфакторной аутентификации и захвата интернет-аккаунтов жертвы.
✅ Если судить только по результатам тестов Bluetooth, то картина следующая:
1️⃣ Skoda: Показала наименьшее количество уязвимостей в среднем. Модель Skoda Enyaq (2023) оказалась единственным автомобилем из 22, у которого не было обнаружено ни одной уязвимости (0 положительных тестов из 30 проведенных).
2️⃣ Tesla: Модель Tesla Model Y (2023) показала очень хороший результат — всего 2 уязвимости.
3️⃣ Audi: Две протестированные модели (A5 и e-tron 2020 года) показали умеренное количество уязвимостей (4 и 6).
🛡 Самые уязвимые в рамках исследования:
4️⃣ Toyota: Модель Toyota Corolla (2023) показала 9 уязвимостей.
5️⃣ BMW: Модель BMW X2 (2021) показала 10 уязвимостей.
6️⃣ Renault: Модель Renault Megane (2021) стала "антилидером" с 13 уязвимостями.
👆Полученные данные говорят о серьезных системных проблемах безопасности Bluetooth в автомобильной сфере. Даже абсолютно новые машины оснащаются технологиями с уже известными и неисправленными уязвимостями, фактически наследуя риски десятилетней давности.
❗️ https://github.com/sgxgsx/BlueToolkit
✋ @Russian_OSINT
Microsoft Threat Intelligence обнаружила новый вариант вредоносного ПО XCSSET для macOS, который использовался в ходе целевых ограниченных атак и включал обновленный функционал.
XCSSET - это модульное вредоносное ПО для macOS, которое реализует кражу широкого профиля данных и криптоактивов с зараженных устройств.
Вредоносное ПО предназначено для заражения проектов Xcode, которые обычно используются разработчиками программного обеспечения, и запускается во время сборки проекта Xcode.
В Microsoft полагают, что этот способ заражения и распространения основан на совместном использовании файлов проекта разработчиками, создающими приложения для Apple или macOS.
В новом варианте исследователи отметили несколько изменений.
Теперь он пытается выкрасть данные из браузера Firefox, устанавливая модифицированную версию инструмента HackBrowserData с открытым исходным кодом, который используется для расшифровки и экспорта данных браузера из хранилищ данных браузера.
Новый вариант также включает обновление компонента перехвата буфера обмена, которое отслеживает буфер macOS на предмет шаблонов регулярных выражений, связанных с адресами криптокошельков.
При обнаружении криптоадреса он подменяет его подконтрольным злоумышленнику. В результате любая транзакция криптовалюты на зараженном устройстве переправляется злоумышленникам.
Вредоносное ПО также включает новые методы сохранения, включая создание записей LaunchDaemon, которые выполняют полезную нагрузку ~/.root и создают поддельный файл System Settings.app в /tmp для маскировки своей активности.
Новый вариант пока не получил широкого распространения, Microsoft наблюдала его лишь в единичных атаках. Исследователи также поделились своими результатами с Apple и работают с GitHub над удалением связанных с ним репозиториев.
Для защиты от этого типа вредоносного ПО рекомендуется поддерживать macOS и приложения в актуальном состоянии, особенно учитывая, что XCSSET ранее эксплуатировал уязвимости, включая 0-day.
Microsoft рекомендует разработчикам всегда проверять проекты Xcode перед их сборкой, особенно если ими с вами поделились другие.
Cisco предупреждает еще о двух 0-day в межсетевых экранах, которые активно используются в атаках.
Первая CVE-2025-20333 позволяет аутентифицированным удаленным злоумышленникам выполнять произвольный код на устройствах, на которых работает уязвимое программное обеспечение Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD).
Другая уязвимость (CVE-2025-20362) позволяет удаленным злоумышленникам получать доступ к ограниченным конечным точкам URL без аутентификации.
Как отмечает Cisco PSIRT, компании известно о попытках эксплуатации этой уязвимости, в связи с чем настоятельно рекомендует клиентам перейти на исправленную версию программного обеспечения для ее устранения.
Cisco также выразила благодарность Австралийскому центру кибербезопасности, Канадскому центру кибербезопасности, Национальному центру кибербезопасности Великобритании (NCSC) и Агентству кибербезопасности и безопасности инфраструктуры США (CISA) за помощь в расследовании 0-day атак, анцеленных на CVE-2025-20333 и CVE-2025-20362.
Несмотря на то, что Cisco напрямую не связывала это с этими атаками, она исправила третью критическую уязвимость (CVE-2025-20363) в межсетевом экране ASA/FTD и Cisco IOS, которая может позволить неаутентифицированным злоумышленникам удаленно выполнять произвольный код.
Текущие исправления появились спустя несколько недель после того, как в конце августа GreyNoise обнаружила две широкомасштабные кампании с 25 000 уникальными IP-адресами, нацеленными на порталы входа в систему ASA и Cisco IOS Telnet/SSH.
Причем GreyNoise ранее сообщала, что подобная разведдеятельность предшествует раскрытию новых уязвимостей, влияющих на проверяемые продукты в 80% случаев.
Собственно, выводы исследователей оказались верными.
В самой Cisco пока это никак не комментируют, но будем следить.
Исследователи из Google TIG и Mandiant сообщают о задействовании вредоносного ПО Brickstorm китайскими хакерами в долгосрочных кампаниях по кибершпионажу, нацеленных на американские компании в технологическом и юридическом секторах.
Brickstorm - это бэкдор на базе Go, задокументированный Google в апреле 2024 года и использовавшийся китайской APT, известной как UNC5221, в ходе атаки 2023 года на MITRE.
Вредоносное ПО поддерживает функции веб-сервера, инструмента для манипулирования файлами, дроппера, ретранслятора SOCKS и инструмента выполнения команд оболочки.
По данным Google, злоумышленники использовали Brickstorm для скрытого извлечения данных из сетей своих жертв. Среднее время обнаружения составляло 393 дня.
Исследователи подтвердили, что атакам подверглись организации в юридическом и технологическом секторах, поставщики SaaS, а также аутсорсеры бизнес-процессов (BPO).
Дело в том, что компрометация таких объектов позволяет злоумышленникам разработать 0-day эксплойты для дальнейшего нацеливание на последующих жертв, особенно тех, которые не защищены решениями EDR.
Исследователи приписывают наблюдаемые атаки кластеру угроз UNC5221, который ранее уже отметился умелым препарированием 0-day в продуктах Ivanti в ходе атак на правительственные учреждения с помощью специализированного вредоносного ПО Spawnant и Zipline.
Исследователям GTIG пока не удалось с уверенностью определить первоначальный вектор доступа, но исследователи полагают, что здесь задействована эксплуатация уязвимостей нулевого дня на периферийных устройствах.
Brickstorm развертывается на устройствах, которые не поддерживают EDR, включая конечные точки VMware vCenter/ESXi, где он устанавливает связь с C2, маскируясь под Cloudflare, Heroku и другой легитимный трафик.
Закрепившись, злоумышленник попытался повысить привилегии, используя вредоносный фильтр Java Servlet Filter (Bricksteal) на vCenter для захвата учетных данных, а также клонируя виртуальные машины Windows Server для извлечения секретов.
Украденные учетные данные затем используются для горизонтального перемещения и закрепления, что включает в себя включение SSH на ESXi и изменение скриптов запуска init.d и systemd.
Основной оперативной целью Brickstorm является кража электронных писем через приложения Microsoft Entra ID Enterprise Apps с использованием прокси-сервера SOCKS для проникновения во внутренние системы и репозитории кода, сохраняя при этом высокий уровень конспирации.
Наблюдения Google показывают, что UNC5221 в основном ориентирован, прежде всего, на разработчиков, администраторов и лиц, находящихся на горизонте экономических и военных интересов Китая.
После завершения атаки вредоносное ПО удаляется, что затрудняет проведение криминалистической экспертизы. Процесс ещё больше осложняется тем, что UNC5221 никогда не использует дважды одни и те же домены C2 или образцы вредоносного ПО.
Тем не менее Mandiant выпустила бесплатный сканер, копирующий правила YARA Brickstorm для устройств Linux и BSD. В отчёт также включены правила YARA для Bricksteal и Slaystyle.
Исследователи Binarly раскрыли две новые ошибки в прошивке оборудования Supermicro, включая Baseboard Management Controller (BMC), которые позволяют вредоносной прошивке обходить защиту Root of Trust и фактически обеспечивать создание устойчивых бэкдоров.
Supermicro - производитель серверов, материнских плат и оборудования для ЦОДов. BMC - это микроконтроллер на материнских платах серверов Supermicro, который позволяет осуществлять удалённый мониторинг и управление системой, даже если она выключена.
Специалисты Binarly обнаружили обход уязвимости (CVE-2024-10237), которую Supermicro исправила в январе этого года, а также другую уязвимость, идентифицированную как CVE-2025-6198.
Как отмечается, она позволяет потенциальным злоумышленникам получить полный и постоянный контроль как над системой BMC, так и над основной ОС сервера.
Обе уязвимости могут быть использованы для обновления систем BMC с помощью неофициальной прошивки, но исследователи утверждают, что CVE-2025-6198 также может быть использована для обхода BMC RoT (Root of Trust) - функции безопасности, подтверждающей загрузку системы с легитимной прошивкой.
Внедрение вредоносной прошивки обеспечивает сохранение работоспособности после перезагрузок и переустановок ОС, высокоуровневый контроль над сервером и надежный обход проверок безопасности.
Для исправления CVE-2024-10237 Supermicro добавила проверки для ограничения пользовательских записей fwmap, которые представляют собой таблицу инструкций внутри образа прошивки, которую можно использовать для манипулирования образами прошивки.
Однако исследователи Binarly пришли к выводу, что возможность внедрения вредоносный fwmap реализуется до того, как система загрузит оригинал поставщика, объявив подписанные области таким образом, чтобы злоумышленник мог переместить или заменить фактическое содержимое, сохранив при этом целостность дайджеста.
Это означает, что вычисленный хеш равен подписанному значению и проверка подписи проходит успешно, даже если части в образе прошивки были поменяны местами или заменены.
В результате BMC принимает и прошивает образ, внедряя потенциально вредоносный загрузчик или ядро, при этом все по-прежнему выглядит подписанным и действительным.
Исследователи сообщили о проблеме в Supermicro. Компания подтвердила наличие уязвимости, которая теперь обозначена как CVE-2025-7937.
Вторая ошибка, обнаруженная Binarly, CVE-2025-6198, возникает в виду некорректной логики проверки в функции auth_bmc_sig, выполняемой в среде OP-TEE прошивки материнской платы X13SEM-F.
Поскольку подписанные области определены в самом загруженном образе, злоумышленники могут модифицировать ядро или другие части, перемещать исходные данные в неиспользуемое пространство прошивки, сохраняя дайджест действительным.
Исследователи продемонстрировали перепрошивку и запуск настроенного ядра, показав, что аутентификация ядра не выполняется во время загрузки, а это означает, что функция Root of Trust защищает процесс лишь частично.
Эксплуатация уязвимости приводит к тому же результату, что и обход, позволяя внедрить вредоносную прошивку или понизить версию существующего образа до менее безопасного.
Supermicro выпустила исправления для прошивок затронутых моделей, а Binarly - экспериментальные PoC для обеих ошибок, так что теперь определенно следует принять срочные меры для защиты потенциально уязвимых систем.
Особенно с учетом того, что подобные уязвимости могут быть особенно опасны, в некоторых случаях приводя к массовому выходу серверов из строя, а также в виду наличия реальных рейсов их эксплуатации в дикой природе.
Cisco выпустила обновления для устранения серьезной 0-day в программном обеспечении Cisco IOS и IOS XE, которая в настоящее время активно задействуется в атаках.
Уязвимость отслеживается как CVE-2025-20352, связана с переполнением буфера на базе стека в подсистеме простого протокола сетевого управления (SNMP) уязвимого ПО, затрагивая все устройства с включенным SNMP.
Аутентифицированные удалённые злоумышленники с низкими привилегиями могут воспользоваться этой уязвимостью для вызова DoS на устройствах без обновлений.
Злоумышленники с высокими привилегиями, с другой стороны, могут получить полный контроль над системами, работающими под управлением уязвимого программного обеспечения Cisco IOS XE, выполнив код от имени пользователя root.
Злоумышленник может воспользоваться этой уязвимостью, отправив специально созданный SNMP-пакет на уязвимое устройство по сетям IPv4 или IPv6.
Cisco PSIRT стало известно об успешной эксплуатации этой уязвимости после того, как были скомпрометированы учётные данные локального администратора.
Cisco настоятельно рекомендует клиентам перейти на исправленную версию ПО для устранения этой уязвимости. При этом обходных путей устранения этой уязвимости, помимо применения выпущенных сегодня исправлений, не существует.
Тем не менее, в Cisco также заявили, что администраторы, которые не могут немедленно обновить уязвимое ПО, могут временно смягчить проблему, ограничив доступ SNMP к уязвимой системе для доверенных пользователей.
Помимо нуля Cisco устранила 13 других уязвимостей безопасности, в том числе две, для которых доступен PoC.
Первая из них - XSS в Cisco IOS XE, отмеченная как CVE-2025-20240, - может быть использована неаутентифицированным удаленным злоумышленником для кражи файлов cookie с уязвимых устройств.
Вторая, отлеживаемая как CVE-2025-20149, представляет собой уязвимость типа DoS и позволяет аутентифицированным локальным злоумышленникам принудительно перезагружать уязвимые устройства.
Британская NCA арестовала подозреваемого, связанного с ransomware-атакой, которая привела к масштабным сбоям в работе европейских аэропортов и затронувшей ПО Multi-User System Environment (MUSE) компании Collins Aerospace.
Как сообщается в официальном релизе, сотрудники NCA при поддержке Юго-восточного ROCU вчера вечером арестовали в Западном Сассексе мужчину в возрасте около сорока лет по подозрению в совершении преступлений, предусмотренных Законом о неправомерном использовании компьютерных технологий.
Несмотря на определенные сподвижки расследование инцидента находится еще на ранней стадии, а подозреваемый был освобожден под условный залог.
Корпорация RTX (ранее Raytheon Technologies), владелец Collins Aerospace со штатом более 186 000 сотрудников и выручкой более 80 млрд. долл., подтвердила сам инцидент и факт использования программы-вымогателя.
В своем заявлении, поданном в SEC, RTX отмечает, что целью хакеров стала именно система регистрации и обработки багажа MUSE, которая работает изолированно от корпоративной сети.
Несмотря на то, что в RTX не раскрывают других подробностей инцидента, исследователь Кевин Бомонт GossiTheDog/115254672566587831">заявилGossiTheDog/115254672566587831">, что злоумышленники использовали «невероятно простую» версию программы-вымогателя под названием Hardbit.
Однако, согласно другим источникам, отмечается, что в атаке задействовался вирус-вымогатель Loki.
Оба штамма обычно используются в формате RaaS и, как правило, в атаках, не имеющих широкого охвата, так что их применение весьма необычно для данного инцидента.
Но подробностей все равно пока мало, продолжаем следить.
Cloudflare вновь рапортует об отражении новой мощной DDoS-атаки, достигшей рекордных 22,2 Тбит/с и 10,6 млрд. пакетов в секунду.
Причем такие рекордные DDoS-атаки становятся все более частыми: всего три недели назад компания Cloudflare удалось отбить мощную атаку мощностью 11,5 Тбит/с и 5,1 Bpps - самую крупную из публично объявленных на тот момент.
За два месяца до этого компания столкнулась с ещё одной рекордной атакой, мощность которой достигла 7,3 Тбит/с.
Последняя DDoS-атака, также масштабная, длилась 40 секунд и на сегодняшний день является крупнейшей из когда-либо предотвращенных.
Несмотря на короткий период воздействия, объем трафика, направленного на жертву, был колоссальным и примерно эквивалентен одновременной потоковой передаче одного миллиона видео в формате 4K.
Скорость передачи пакетов 10,6 бит/с можно перевести примерно в 1,3 обновления веб-страницы в секунду от каждого человека на планете.
Большой объем пакетов существенно затрудняет обработку запросов брандмауэрами, маршрутизаторами и балансировщиками нагрузки, даже если общая пропускная способность поддается управлению.
Cloudflare не разглашает подробности последних двух DDoS-атак.
Тем не менее XLab Qi'anxin приписала DDoS-атаку мощностью 11,5 ТБ ботнету AISURU.
По данным исследователей, AISURU заразил более 300 000 устройств по всему миру, причем резкий всплеск заражений произошел в апреле 2025 года после взлома сервера обновления прошивки маршрутизатора Totolink.
Ботнет также нацелен на уязвимости в IP-камерах, DVR/NVR, чипах Realtek и маршрутизаторах T-Mobile, Zyxel, D-Link и Linksys.
GitHub внедряет комплекс мер для защиты от атак на цепочку поставок на платформе после ряда недавних резонансных инцидентов.
Среди них кибератаки, которые начались с компрометации репозиториев GitHub, а затем распространились на NPM, включают s1ngularity в конце августа, GhostAction в начале сентября и кампанию в стиле червя, получившую название Shai-Hulud, начавшуюся на прошлой неделе.
Атаки привели к компрометации тысяч учетных записей и частных репозиториев, краже конфиденциальных данных и значительным затратам на устранение последствий.
Несмотря на то, что GitHub достойно быстро отреагировала, минимизируя последствия инцидентов, администрация платформы признают, что превентивные меры были бы более эффективными.
По итогу для снижения подобных рисков GitHub объявила о постепенном внедрении следующих мер:
- двухфакторная аутентификация (2FA) для локальной публикации,
- внедрение гранулярных токенов со сроком действия 7 дней,
- расширение внедрения проверенных издательских систем,
- отмена поддержка классических токенов и TOTP 2FA (переход на 2FA на базе FIDO),
- сокращение срока действия токенов публикации,
- доступ к публикации по умолчанию для запрета токенов,
- удаление возможности обхода 2FA для локальной публикации.
В заявлении также подчеркивается, что безопасность экосистемы является коллективной обязанностью, и ожидается, что разработчики самостоятельно также примут меры по снижению рисков в цепочке поставок, используя опции безопасности, доступные на платформе.
Насколько эффективными окажутся представленные меры будем посмотреть, но, как показывает практика, киберподполье также быстро к ним адаптируется, порой даже быстрее, чем их жертвы.
Агентство ЕС по кибербезопасности ENISA связало недавний инцидент, затронувший Collins Aerospace и приведший к сбоям в работе нескольких крупных аэропортов по всей Европе, с ransomware-атакой
ENISA отмечает, что штамм программы-вымогателя был идентифицирован в ходе инициированного расследования, однако какой-либо дополнительной информации пока не раскрывается.
Кибератаке подверглась инфраструктура американской компании Collins Aerospace, принадлежащей RTX (ранее Raytheon).
Collins Aerospace - это один из крупнейших мировых поставщиков решений для аэрокосмической и оборонной промышленности. Недавно компания отхватила контракт с НАТО на поставку решений ва сфере РЭБ.
Решения Collins задействуются в аэропортах и обеспечивают регистрацию пассажиров и учет багажа.
Собственно, в результате атаки процедуры регистрации и посадки в крупных аэропортах были вынужденно переведены в ручной режим.
Инцидент затронул аэропорты Великобритании, Германии, Бельгии и Ирландии, включая лондонский Хитроу, аэропорт Брюсселя и берлинский Бранденбург.
Если в Хитроу подавляющее большинство его рейсов продолжают выполняться и задержки незначительны, то аэропорт Брюсселя столкнулся с существенными перебоями и, как сообщается, в понедельник запросил у авиакомпании отмену около 140 рейсов.
Национальный центр кибербезопасности Великобритании на выходных также выдал заявление по поводу инцидента, заявляя о начале расследования совместно с Министерством транспорта страны в расследовании инцидента.
При этом, как передает BBC, более тысячи компьютеров могли быть повреждены и их удалённое восстановление невозможно. Кроме того, хакеры продолжали оставаться внутри сети даже после восстановиления и перезапуска систем.
Исследователь Кевин Бомонт также отслеживал GossiTheDog/115237859265778614">инцидент и полагает, что атака затронула службы связи и обработки информации ARINC, в частности системы SelfServ vMUSE.
Он отметил, что десятки систем, связанных с ARINC, по всей видимости, открыты для глобальной сети, а в некоторых из них, по-видимому, отсутствуют необходимые механизмы безопасности.
Бомонт также отметил, что в результате инцидента пользователи системы ARINC в аэропортах не смогли войти в свои учетные записи.
Ранее компания Collins заявляла, что находится на завершающей стадии завершения обновления ПО, необходимого для повторного запуска систем, но неясно, произошло ли это до или после того, как компания обнаружила, что хакеры все еще находятся внутри ее систем.
Пока неясно, кто стоит за атакой, но в DataBreaches предполагают, что она может быть связана с группировкой ShinyHunters, партнер которой, банда Scattered Spider, отметилась своими атаками на авиационную отрасль.
Scattered Spider и ShinyHunters недавно объявили о своем уходе, но индустрия скептически относлась к их заявлениям, а факты свидетельствуют об обратном.
Так что будем следить.
Исследователи из Лаборатории Касперского представили аналитический отчет с традиционно богатой инфографикой в отношении ландшафта угроз для систем промышленной автоматизации во втором квартале 2025 года.
Во изученном периоде доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, снизилась на 1,4 п.п. по сравнению с предыдущим кварталом (и на 3,0 п.п. по сравнению с 2024) и составила 20,5%.
В региональном разрезе процент компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, составил от 11,2% в Северной Европе до 27,8% в Африке.
В большинстве исследованных регионов показатели снизились по сравнению с предыдущим кварталом. Рост наблюдался только в Австралии и Новой Зеландии, а также в Северной Европе.
Сектор биометрии лидирует в рейтинге отраслей и инфраструктур ОТ, исследованных в данном отчете, по проценту компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты.
Причем процент компьютеров АСУ ТП, на которых были заблокированы вредоносные объекты, снизился во всех отраслях.
Защитные решения Лаборатории Касперского в системах ICS заблокировали вредоносное ПО из 10 408 различных семейств вредоносных программ разных категорий.
Увеличилась лишь доля компьютеров АСУ, на которых были заблокированы запрещенные интернет-ресурсы (в 1,2 раза больше, чем в предыдущем квартале) и вредоносные документы (в 1,1 раза больше).
Основными источниками угроз для компьютеров в технологической инфраструктуре организации продолжают оставаться:
- Интернет (посещение вредоносных или взломанных интернет-ресурсов, вредоносный контент, распространяемый через мессенджеры, облачные сервисы хранения и обработки данных и CDN);
- почтовые клиенты (фишинговые письма);
- съемные носители информации.
Причем доля компьютеров АСУ, на которых были заблокированы угрозы от почтовых клиентов, продолжила расти.
Основными категориями угроз от почтовых клиентов, заблокированных на компьютерах АСУ, являются вредоносные документы, шпионское ПО, вредоносные скрипты и фишинговые страницы.
Этот показатель увеличился во всех регионах, кроме России. Напротив, средний мировой показатель по другим источникам угроз снизился. Более того, показатели достигли минимальных значений со второго квартала 2022 года.
Согласно статистике по вредоносным объектам для первоначального заражения, компьютеров АСУ ТП, на которых были заблокированы запрещенные интернет-ресурсы, увеличился до 5,91%.
Доля компьютеров АСУ, на которых были заблокированы вредоносные документы, растёт второй квартал подряд - показатель достиг 1,97% (+0,12 п.п.), а по вредоносным скриптам и фишинговым страницам - снизился до 6,49% (+0,67 п.п.).
По вредоносному ПО следующего этапа - доля компьютеров АСУ, на которых были заблокированы вредоносные объекты всех категорий, снизилась: spyware 3,84% (- 0,36 п.п.), ransomware 0,14% (- 0,02 п.п.), майнеры 0,63% (-0,15 п.п.) и веб-майнеры: 0,30% (- 0,23 п.п.).
Доля компьютеров АСУ, на которых были заблокированы черви и вирусы, также снизилась до 1,22% (- 0,09 п.п.) и 1,29% (- 0,24 п.п.), равно как и вредоносное ПО AutoCAD - снизилось до 0,29% (- 0,05 п.п.).
Более подробная информация о промышленных угрозах - в полной версии отчета.
Разработчики LastPass предупреждают о широкомасштабной кампании, нацеленной на кражу информации у пользователей macOS.
Злоумышленники выдают себя за известные бренды для заражения пользователей macOS LastPass инфокрадом Atomic.
В рамках цепочки заражения они задействуют мошеннические репозитории GitHub, якобы предоставляющие ПО macOS от различных компаний, используя поисковую оптимизацию (SEO) для продвижения ссылок на них.
В случае с LastPass мошеннические репозитории перенаправляли потенциальных жертв на репозиторий, который загружал вредоносное ПО Atomic infostealer.
LastPass обнаружила два ресурса на GitHub, выдававших себя за бренд.
Они были опубликованы на платформе совместного использования кодов, принадлежащей Microsoft, 16 сентября и с тех пор были удалены.
Оба сообщения были опубликованы пользователем под именем modhopmduck476 и содержали ссылки, якобы позволяющие пользователям установить LastPass на MacBook, но перенаправлявшие на одну и ту же вредоносную страницу.
Страница, на которой заявлялось о предложении LastPass Premium на MacBook, перенаправляла на macprograms-pro[.]com, где пользователям предлагалось скопировать и вставить команду в окно терминала.
Команда инициирует запрос CURL к закодированному URL-адресу, в результате чего полезная нагрузка Update загружается в каталог Temp.
Полезной нагрузкой был Atomic macOS Stealer (AMOS), который использовался в многочисленных атаках с 2023 года.
В августе CrowdStrike предупреждала об увеличении числа мошеннических рекламных объявлений с вариантом AMOS под названием SHAMOS.
LastPass обнаружил злоумышленников, выдающих себя за финансовые учреждения, менеджеры паролей, технологические компании, инструменты ИИ, криптокошельки и др.
Для уклонения от обнаружения злоумышленники использовали несколько имен пользователей GitHub для создания других фейковых страниц, которые следовали схожему шаблону именования, где использовались название целевой компании и терминология, связанная с Mac.
Кампания, за которой наблюдает LastPass, продолжается по крайней мере с июля.
Тогда же исследователь Deriv Дхирадж Мишра предупреждал, что пользователи Homebrew подвергаются атакам с использованием вредоносной рекламы и поддельными репозиториями GitHub.
Атаки полагались на доверие пользователей к Google Ads и GitHub и приводили к установке официального приложения Homebrew, скрывая при этом выполнение вредоносной нагрузки в фоновом режиме.
Вредоносный ботнет SystemBC возродился после прошлогодней облавы Европола и теперь заражает новые устройства. На этот раз операторов прокси-ботнета интересуют уязвимые VPS, а не на домашние пользователи.
По данным Black Lotus Labs компании Lumen Technology, ежедневно поддерживается в среднем до 1500 ботов, обеспечивая канал для вредоносного трафика.
SystemBC существует как минимум с 2019 года и используется различными злоумышленниками, включая несколько группировок, занимающихся распространением ransomware, для доставки полезных нагрузок.
Это позволяет злоумышленникам направлять вредоносный трафик через зараженный хост и скрывать C2, затрудняя обнаружение. Сама прокси-сеть SystemBC рассчитана на большие объёмы трафика
При этом ни клиенты, ни операторы SystemBC особо не переживают насчет обеспечения скрытности: IP-адреса ботов никак не защищены (например, посредством обфускации или ротации).
Взломанные серверы расположены по всему миру и имеют как минимум одну неисправленную критическую уязвимость, а некоторые из них содержат десятки проблем безопасности: в среднем до 20.
Причем одна из систем, в Алабаме, согласно Censys, и вовсе содержала 161 уязвимость.
SystemBC имеет более 80 серверов C2, которые подключают клиентов к зараженному прокси-серверу и конектят другие службы прокси-сети.
Одна вредоносная служба под названием REM Proxy использует около 80% ботов SystemBC, предоставляя многоуровневые услуги своим клиентам в зависимости от требуемого качества прокси-сервера.
Почти 80% сети SystemBC из 1500 ежедневных ботов состоит из скомпрометированных VPS-систем от нескольких крупных коммерческих провайдеров.
По данным Black Lotus Labs, это обеспечивает более длительный, чем обычно, период жизни заражения: почти 40% систем остаются зараженными более месяца.
Исследователи утверждают, что операторы SystemBC чаще всего используют его для подбора учетных данных WordPress, которые, скорее всего, продают брокерам, внедряющим на сайты вредоносный код.
Используя VPS-системы, SystemBC обеспечивает своей клиентуре стабильный трафик больших объемов, что невозможно в сетях домашних прокси-серверов на базе устройств SOHO.
Запустив вредоносное ПО SystemBC в имитированной среде, исследователи наблюдали, как один конкретный IP-адрес генерирует свыше 16 ГБ прокси-данных всего за 24 часа, что на порядок превышает тот, который обычно наблюдается в типичных прокси-сетях.
Судя по глобальной IP-телеметрии, один адрес, 104.250.164[.]214, по-видимому, является ядром деятельности по вовлечению новых жертв, а также содержит все 180 образцов вредоносного ПО SystemBC.
Подробный технический анализ SystemBC, а также IOCs - в отчете.
Продолжаем следить за ситуацией, связанной с атакой на цепочку поставок Shai-Hulud, в результате которой был развернут червь в репозитории npm.
Согласно последним данным, инцидент теперь охватил более 500 пакетов.
Причем червь связан с той же группой, которая ранее осуществила атаку на цепочку поставок npm, известной как S1ngularity.
Как и в предыдущей атаке, злоумышленники нацелены на кражу токенов доступа, загружая их в публичные репозитории GitHub.
Червь не затрагивает Windows, а работает только на системах macOS и Linux.
В свою очередь, компания UpGuard уже выявила как минимум 17 крупных компаний, пострадавших от кражи токенов.
Но, по всей видимости, это еще не конец, продолжаем наблюдение.