39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
На протяжении длительного времени отслеживали ситуацию на рынке spyware и, можно полагать, что все прогнозы относительно его трансформации четко претворяются в жизнь.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Linux Incident Response & Security
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
Эксперты курса:
Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз.
Антон Степанов - Lead Incident Responder, неоднократно принимал участие в расследовании резонансных инцидентов.
Сергей Канибор - R&D / Container Security в Luntry, специализируется на безопасности контейнеров и Kubernetes. Багхантер.
Исследователи Trend Micro сообщают о новым мощном ботнете под названием RondoDox, который нацелен на 56 уязвимостей в более чем 30 различных устройствах, включая недостатки, впервые обнаруженные в рамках Pwn2Own.
Злоумышленник фокусируется на широком спектре уязвимых устройств, включая цифровые видеорегистраторы, сетевые видеорегистраторы, системы видеонаблюдения и веб-серверы, и действует с июня.
Взломанные устройства задействуются для майнинга, DDoS и взлома корпоративных сетей.
Ботнет RondoDox использует стратегию, которую исследователи Trend Micro называют «шотом эксплойтов», когда одновременно используются многочисленные эксплойты для максимального заражения, даже если активность очень фонит.
С тех пор как FortiGuard Labs обнаружила RondoDox, ботнет, по всей видимости, расширил список эксплуатируемых уязвимостей, в который вошли CVE-2024-3721 и CVE-2024-12856.
В отчете Trend Micro упоминается, что RondoDox эксплуатирует CVE-2023-1389 в Wi-Fi-маршрутизаторе TP-Link Archer AX21, которая была первоначально продемонстрирована на Pwn2Own Toronto 2022.
Исследователи безопасности отмечают, что разработчик ботнета уделяет пристальное внимание эксплойтам, продемонстрированным во время событий Pwn2Own, и быстро использует их в качестве оружия, как это сделала Mirai с CVE-2023-1389 в 2023 году.
Среди выявленных после 2023 года ошибок, включенных RondoDox в свой арсенал: Digiever (CVE-2023-52163), QNAP (CVE-2023-47565), LB-LINK (CVE-2023-26801), TRENDnet (CVE-2023-51833), D-Link (CVE-2024-10914), TBK (CVE-2024-3721), Four-Faith (CVE-2024-12856), Netgear (CVE-2024-12847), AVTECH (CVE-2024-7029), TOTOLINK (CVE-2024-1781, CVE-2025-5504 и CVE-2025-1829), Tenda (CVE-2025-7414), Meteobridge (CVE-2025-4008), Edimax (CVE-2025-22905), Linksys (CVE-2025-34037) и TP-Link (CVE-2023-1389)
Trend Micro также обнаружила, что RondoDox поддерживает эксплойты для 18 уязвимостей, связанных с внедрением команд, которым не присвоен идентификатор уязвимости (CVE).
Они затрагивают сетевые хранилища D-Link, цифровые видеорегистраторы TVT и LILIN, маршрутизаторы Fiberhome, ASMAX и Linksys, камеры Brickcom и другие неопознанные конечные устройства.
Недавно RondoDox расширил свое распространение, используя инфраструктуру «загрузчик как услуга», которая объединяет RondoDox с полезными нагрузками Mirai/Morte, что делает обнаружение и устранение уязвимостей более актуальными.
RondoDox нацелен на ARM, MIPS и различные архитектуры Linux.
Он способен запускать DDoS-атаки с использованием HTTP, UDP и TCP-пакетов, эмулируя известные игровые платформы или выдавая себя за VPN-сервисы, чтобы скрыть вредоносный трафик и избежать обнаружения.
Другие технические подробности - в отчете.
Юридическая фирма Williams & Connolly стала жертвой атаки китайских хакеров, которые некоторые ее системы и получили доступ к аккаунтам электронной почты адвокатов с помощью неизвестной 0-day.
Это авторитетная юридическая фирма со штаб-квартирой в Вашингтоне и известна тем, что представляет интересы политических деятелей и чиновников, включая Барака Обаму и чету Клинтонов, а также крупные компании, в том числе Intel, Samsung, Google, Disney и Bank of America.
Согласно заявлению компании, расследование при содействии CrowdStrike показало, что хакеры воспользовались неким нулем, чтобы получить доступ к определенному перечню учетных записей электронной почты адвокатов.
При этом в Williams & Connolly не нашли никаких доказательств кражи конфиденциальных данных клиентов или взлома других частей ее ИТ-системы.
Расследование показало, что к атаке, скорее всего, причастна неназванная китайская APT, которая, как известно, в последнее время атаковала юридические фирмы и другие компании.
Несмотря на то, что в официальном заявлении компании Китай не упоминается, журналисты The New York Times выяснили, что китайские хакеры атаковали не только Williams & Connolly, но также и другие юридические фирмы.
Изданию также стало известно, что компания Williams & Connolly сообщала клиентам, что хакеры вряд ли продадут или опубликуют полученную ими информацию.
Как полагают некоторые эксперты, вероятно, инцидент связан с активностью группы UNC5221, об атаках которой на сектор юридических услуг, в том числе с использованием нулей и бэкдора BrickStorm, предупреждали исследователи Mandiant.
В среднем хакеры проводили в атакуемых сетях почти 400 дней.
Это та же группа, что и атаковала MITRE в 2023 году. Причем UNC5221 часто отождествляют с Silk Typhoon, но исследователи не считают их идентичными.
В некоторых случаях хакеры полагались на 0-day в продукте Ivanti. Вероятно, как и в этом инциденте.
Но про Ivanti - сегодня суть позже.
Исследователи Imperva раскрыли подробности уже исправленной уязвимости в популярном сервере figma-developer-mcp Model Context Protocol (MCP), которая позволяет злоумышленникам выполнять код.
CVE-2025-53967 (CVSS: 7,5) представляет собой ошибку внедрения команд и обусловлена несанкционированным использованием входных параметров в вызове child_process.exec, что позволяет злоумышленнику внедрять произвольные системные команды.
Сервер создаёт и выполняет команды оболочки, используя непроверенный пользовательский ввод непосредственно в строках командной строки, что создаёт возможность внедрения метасимволов оболочки (|, >, && и т.д.).
Успешная эксплуатация может привести к удалённому выполнению кода с привилегиями серверного процесса.
Учитывая, что сервер Framelink Figma MCP предоставляет различные инструменты для выполнения операций в Figma с использованием кодирующих агентов на базе ИИ, таких как Cursor, злоумышленник может обмануть клиент MCP и заставить его выполнить непреднамеренные действия с помощью косвенного внедрения подсказки.
Компания Imperva обнаружила и уведомила об этой проблеме в июле 2025 года, описав CVE-2025-53967 как «упущение в проекте» в части механизма отката, которое позволяет злоумышленникам выполнить удаленный код, подвергая разработчиков риску раскрытия данных.
По словам исследователей, уязвимость внедрения команд возникает во время создания инструкции командной строки, используемой для отправки трафика на конечную точку API Figma.
Последовательность эксплуатации реализуется в несколько этапов. Сначала клиент MCP отправляет запрос Initialize конечной точке, чтобы получить mcp-session-id, который используется в последующей связи с сервером MCP.
Затем клиент отправляет запрос JSONRPC на сервер MCP с методом tools/call для вызова инструментов, таких как get_figma_data или download_figma_images.
По сути, проблема кроется в src/utils/fetch-with-retry.ts, который сначала пытается получить содержимое с помощью стандартного API fetch, а если это не удается, переходит к выполнению команды curl через child_process.exec, что приводит к уязвимости внедрения команд.
Поскольку команда curl создается путем прямой интерполяции значений URL и заголовка в строку команды оболочки, злоумышленник может создать специально разработанный URL или заголовок, который внедрит произвольные команды оболочки, что привести приводит к RCE на хост-машине.
Применительно к PoC в ходе атаки удалённый злоумышленник в той же сети (например, общедоступная сеть Wi-Fi или скомпрометированное корпоративное устройство) может активировать уязвимость, отправив серию запросов на уязвимый MCP.
В качестве альтернативы злоумышленник может обманным путём заставить жертву посетить специально созданный сайт в рамках атаки с перепривязкой DNS.
Уязвимость устранена в версии 0.6.3 figma-developer-mcp, выпущенной 29 сентября 2025 года.
В качестве мер по снижению риска рекомендуется избегать использования child_process.exec с ненадежными входными данными и переходить на child_process.execFile, который исключает риск интерпретации оболочки.
SonicWall официально объявила, что все клиенты, использовавшие ее облачный сервис резервного копирования для хранения файлов конфигурации брандмауэра, пострадали от недавней утечки данных.
Инцидент произошел в начале сентября и был раскрыт пару недель спустя.
Тогда компания заявила, что хакеры похитили файлы резервной копии конфигурации брандмауэра, хранившиеся с помощью сервиса MySonicWall у менее 5% клиентов.
В обновлении от 8 октября компания сообщила, что злоумышленники получили доступ к файлам настроек всех межсетевых экранов, которые были настроены на резервное копирование файлов в облачную службу резервного копирования MySonicWall.
Файлы содержат зашифрованные учетные данные и данные конфигурации, так что пока шифрование остается активным, владение этими файлами может повысить риск целенаправленных атак.
Компания в настоящее время уведомляет всех затронутых партнеров и клиентов, а также выпустила инструменты, которые помогут в оценке и устранении последствий.
Кроме того, SonicWall опубликовала список затронутых устройств на портале MySonicWall, а к расследованию инцидента подключили специалистов из Mandiant.
В компании настоятельно рекомендовали всем партнёрам и клиентам войти в систему и проверить свои устройства, а также сбросить все пароли и следовать представленным инструкциям, в том числе по смягчению последствий.
Но, главное, помимо разработки модели машинного обучения, детектирующую атаки типа DLL Hijacking, специалисты Лаборатории Касперского внедрили ее в SIEM-платформу Kaspersky Unified Monitoring and Analysis Platform (KUMA), предварительно протестировав ее в Kaspersky MDR.
Собственно, в рамках отдельной статьи в ЛК поведали, как модель машинного обучения для обнаружения целевых атак с применением техники DLL Hijacking работает в KUMA и какие реальные инциденты удалось обнаружить с ее помощью.
Работа модели в общем случае сводится к поэтапной проверке всех DLL-библиотек, загружаемых процессами в системе, с последующей валидацией в облаке Kaspersky Security Network (KSN).
Такой подход позволяет объединить локальные атрибуты (путь, имя процесса, хэши файлов) с глобальной базой знаний и поведенческими признаками, что существенно повышает качество детектирования и снижает вероятность ложных срабатываний.
Модель может работать в одном из двух режимов: на корреляторе или на коллекторе.
Коррелятор - это компонент SIEM, выполняющий анализ и сопоставление событий на основании заранее заданных правил или алгоритмов.
Если детектирование настроено на корреляторе, модель проверяет события, на которые уже сработало какое-либо правило. Это уменьшает объем запросов в KSN и увеличивает скорость отклика модели.
Коллектор - это программный или аппаратный компонент SIEM-платформы, обеспечивающий сбор, нормализацию и доставку в ядро платформы событий из различных источников.
Если детектирование настроено на коллекторе, модель обрабатывает все события загрузки библиотек различными процессами, если они соответствуют следующим условиям: известен путь к файлу процесса, путь к библиотеке или есть хэши файла и библиотеки.
Этот метод потребляет больше ресурсов, а ответ модели занимает больше времени, чем на корреляторе.
Однако он может быть полезен при ретроспективном поиске угроз, поскольку позволяет проверять все события, залогированные KUMA.
Важно отметить, что модель не ограничивается бинарной оценкой «вредоносно/не вредоносно», а ранжирует свои ответы по степени уверенности, что позволяет использовать ее как гибкий инструмент в SOC-практике.
Встраивание модели в коррелятор KUMA обеспечивает автоматизацию процесса поиска атак типа DLL Hijacking и делает возможным их масштабное выявление без необходимости вручную анализировать сотни или тысячи загружаемых библиотек.
Более того, в сочетании с правилами корреляции и источниками телеметрии модель можно использовать не просто как отдельный модуль, а как часть комплексной защиты от атак на инфраструктуру.
Как отмечают в ЛК, благодаря внедрению модели в продукт стало возможным выявлять попытки DLL Hijacking, которые до этого могли оставаться незамеченными.
В дальнейшем ее точность будет только расти за счет накопления данных и обновления алгоритмов в KSN, что делает этот механизм надежным элементом проактивной защиты корпоративных систем.
Но даже на этапе пилотирования модель доказала свою эффективность, обнаружив несколько инцидентов с применением DLL Hijacking, с разбором которых рекомендуем ознакомиться непосредственно в отчете (IOCs также прилагаются).
Google DeepMind анонсировала нового ИИ-агента CodeMender для автоматического обнаружения и устранения уязвимостей в исходном коде, который создан на основе более крупной системы GLM от Google Gemini и дополняет линейку уже работающих ИИ-систем Big Sleep и OSS-Fuzz.
DeepMind заявила, что ИИ-агент разработан в концепции реактивного и проактивного реагирования, устраняя новые уязвимости сразу же после их обнаружения, а также переписывая существующие кодовые базы с целью устранения целых классов уязвимостей в процессе.
По данным DeepMind, за последние шесть месяцев, пока велась разработка CodeMender, уже внедрено 72 исправления безопасности в проекты с открытым исходным кодом, некоторые из которых содержали до 4,5 млн. строк кода.
CodeMender фактически использует модели Gemini Deep Think от Google для отладки, маркировки и устранения уязвимостей, выявляя основную причину проблемы.
Помимо этого ИИ-агент также анализирует различия между исходным и измененным кодом, чтобы убедиться, что предлагаемые изменения не приводят к регрессиям, и при необходимости выполняет самокоррекцию.
Google намерена планомерно обращаться к сопровождающим критически важные проекты с открытым исходным кодом, с патчами от CodeMender, собирать отзывы, чтобы этот инструмент можно было использовать для сохранения безопасности кодовых баз.
Как полагают в Google, автоматически создавая и применяя высококачественные исправления безопасности, CodeMender поможет разработчикам сосредоточиться на том, что у них получается лучше всего - создании хорошего ПО.
Исследователи из Калифорнийского университета в Ирвайне смогли разработать новый метод прослушки и извлечения данных из изолированных сетей, для реализации которого требуется лишь компьютерная мышь.
Экспериментальный проект под названием Mic-E-Mouse продемонстрировал, что высококачественные оптические мыши, в большинстве случаев используемые геймерами и дизайнерами, могут использоваться для детектирования аудиосигналов через вибраций стола.
Несмотря на то, что подобная концепция звучит как нечто из фантастических фильмов, в реальности все сводится к простым физическим законам.
Современные мыши, особенно с сенсорами с разрешением 20 000 точек на дюйм и молниеносной частотой опроса, невероятно чувствительны.
Когда кто-то разговаривает у стола, звуковые волны вызывают микровибрации на его поверхности. Оптический датчик мыши незаметно улавливает их так же, как он отслеживает едва заметные движения руки, и передаёт данные на компьютер.
Исследователи в ходе тестов пришли к выводу, что этот шум удивительно легко преобразовавается в речь.
Извлекая необработанные пакеты движений мыши, отфильтровывая нерелевантные вибрации и пропуская данные через нейросеть, команда ученых смогла восстановить разборчивую речь с точностью до 61%.
Так что в случае, если злоумышленники смогут воспроизвести результаты исследования, то это может стать новым серьезных вектором атаки, ведь сам процесс сбора данных достаточно незаметен для обычного пользователя.
Кроме того, любые легитимные приложения, запрашивающие высокочастотные данные мыши, например, игры или фоторедактор, теоретически могут быть задействованы для записи и потоковой передачи этих сигналов.
При этом мыши обычного потребительского уровня с высокоточными датчиками доступны по цене менее 50 долларов, а в будущем и по более доступной цене.
Так что более широкое использование уязвимых мышей значительно расширяет поверхность атаки в контексте передовых сенсорных технологий.
💨 Уязвимость CVE-2025-59489 потенциально затрагивает миллионы пользователей, взаимодействующих с движком Unity
В игровом движке Unity найдена уязвимость CVE-2025-59489 (CVSS Score: 8.4), которая потенциально затрагивает приложения, созданные на версиях с 2017.1 и новее для операционных систем Android, Windows, macOS и Linux. Важно отметить, что для платформ iOS, игровых консолей (Xbox, PlayStation, Switch), UWP, Quest и WebGL не было найдено подтверждений тому, что уязвимость на них эксплуатируема.
Эксплуатация ошибки с официальным идентификатором CVE-2025-59489 приводит к тому, что игра запускает посторонний код или предоставляет атакующему доступ к информации на устройстве. Происходит это во время запуска игры. Злоумышленник может передать игре параметры запуска, и уязвимые версии Unity Runtime обработают среди прочих несколько команд, предназначенных для отладки: -xrsdk-pre-init-library, -dataFolder , overrideMonoSearchPath, -monoProfiler. По этим командам движок Unity загружает любые указанные в параметрах запуска библиотеки функций, включая посторонние. На Windows загружаются dll-файлы, на Android и Linux – библиотеки .so, на MacOS – .dylib.
Таким образом, приложение с низкими привилегиями может запустить игру, и уже от имени игры загрузить и запустить вредоносную библиотеку. Последняя получит такие же права и доступы, как сама игра.
Эксплуатация этой уязвимости служит для повышения привилегий и обхода средств защиты. Неизвестное приложение в современных ОС чаще всего изолировано от других и лишено прав доступа к полезной информации. Но запускать уже имеющиеся в системе приложения он все же может. Дальше игра запускает по полученной команде вредоносную библиотеку – и эта библиотека уже считается частью игры. Она имеет те же права и доступы, что и сама игра, а также может проскочить «под радаром» некоторых антивирусов. Игры порой требуют относительно высоких привилегий в системе, поэтому для атакующего это дорога если не в администраторы устройства, то как минимум в «уважаемые пользователи».
Redis выпустила исправления для уязвимости максимальной степени серьезности, которая позволяет злоумышленникам получить удаленное выполнение кода на десятках тысяч уязвимых экземпляров.
Redis (Remote Dictionary Server) - это хранилище структур данных с открытым исходным кодом, используемое примерно в 75% облачных сред, функционирующее как база данных, кэш и брокер сообщений, а также хранящее данные в оперативной памяти для сверхбыстрого доступа.
CVE-2025-49844 вызвана 13-летней проблемой использования памяти после освобождения, обнаруженной в исходном коде Redis, и может быть использована аутентифицированными злоумышленниками с помощью специально созданного скрипта Lua (функция включена по умолчанию).
Успешная эксплуатация позволяет выйти из песочницы Lua, запустить использование после освобождения, установить обратную оболочку для постоянного доступа и добиться удаленного выполнения кода на целевых хостах Redis.
После взлома хоста Redis злоумышленники могут выкрасть учетные данные, внедрить вредоносное ПО или майнеры, извлечь конфиденциальные данные из Redis, перейти на другие системы в сети или использовать украденную креды для доступа к другим облачным сервисам.
Проблему раскрыли исследователи Wiz на конференции Pwn2Own Berlin в мае 2025 года, присвоив ей название RediShell.
Ресерчеры отметили, что она предоставляет злоумышленнику полный доступ к хостовой системе, что позволяет извлекать, стирать или шифровать конфиденциальные данные, перехватывать ресурсы и облегчать горизонтальное перемещение в облачных средах.
Для успешной эксплуатации уязвимости злоумышленникам необходимо заполучить аутентифицированный доступ к экземпляру Redis, однако из 330 000 размещенных в сети экземпляров по меньшей мере 60 000 не требуют аутентификации.
RediShell представляет собой критическую уязвимость безопасности, которая затрагивает все версии Redis, поскольку её основная причина кроется в базовом интерпретаторе Lua.
Сочетание широкого распространения (примерно 75% облачных сред используют Redis), небезопасных конфигураций по умолчанию и серьёзности уязвимости создаёт острую необходимость в немедленном устранении проблемы.
Медлить не стоит, ведь киберподполье достаточно часто атакует Redis через ботнеты, заражая их вредоносным ПО и криптомайнерами.
Как помниться, в июне 2024 года на незащищенные доступные из сети серверы Redis нацеливался ботнет P2PInfect, доставляя майнеры и ransomware, а еще раньше они подвергались вредоносному воздействию Redigo, HeadCrab и Migo.
Так что Redis и Wiz настоятельно рекомендовали администраторам немедленно обновить свои экземпляры, отдавая приоритет тем из них, которые подвержены Интернет-угрозам.
3 октября были выпущены Redis версий 7.22.2-12, 7.8.6-207, 7.4.6-272, 7.2.4-138 и 6.4.2-131 с исправлениями уязвимости. Redis также выпустил версии OSS/CE 8.2.2, 8.0.4, 7.4.6 и 7.2.11, а также Stack версий 7.4.0-v7 и 7.2.0-v19.
Для дополнительной защиты следует также включить аутентификацию, отключить выполнение скриптов Lua и других ненужных команд, запустить Redis с использованием учетной записи пользователя без прав root, включить ведение журнала и мониторинг, а также ограничить доступ только авторизованными сетями и реализовать управление доступом на уровне сети с помощью брандмауэров и VPC.
Пока нет никаких доказательств того, что уязвимость CVE-2025-49844 эксплуатировалась в реальных условиях. Но будем посмотреть.
Исправленная к настоящему времени уязвимость в Zimbra Collaboration использовалась в качестве 0-day в начале этого года в ходе кибератак, нацеленных на бразильских военных.
CVE-2025-27915 (CVSS: 5,4) представляет собой уязвимость XSS в классическом веб-клиенте, которая возникает в результате недостаточной очистки HTML-контента в файлах календаря ICS, также известных как файлы iCalendar, что приводит к выполнению произвольного кода.
iCalendar используются для хранения календарной информации и расписания (встреч, событий и задач) в виде простого текста, а также для обмена ею между различными приложениями-календарями.
Уязвимость возникает из-за недостаточной очистки HTML-контента в файлах ICS, что позволяет злоумышленникам выполнять произвольный JavaScript-код в сеансе жертвы.
Когда пользователь просматривает сообщение электронной почты, содержащее вредоносную запись ICS, встроенный в него JavaScript-код выполняется через событие ontggle внутри тега <details>.
Это позволяет злоумышленнику запускать произвольный JavaScript-код в сеансе жертвы, что потенциально приводит к несанкционированным действиям, таким как настройка фильтров электронной почты для перенаправления сообщений на контролируемый злоумышленником адрес.
В результате злоумышленник может выполнять несанкционированные действия в учётной записи жертвы, включая перенаправление электронной почты и кражу данных.
Уязвимость была устранена компанией Zimbra в версиях 9.0.0 Patch 44, 10.0.13 и 10.1.5, выпущенных в январе 2025 года. Однако в рекомендациях не упоминается, что она эксплуатировалась в реальных атаках.
Но, согласно отчету StrikeReady Labs, атаки начались в начале января, до того, как Zimbra выпустила патч.
Наблюдаемая активность на практике была связана с действиями неизвестных злоумышленников, которые подделывали Управление протокола ВМС Ливии для атак на бразильских военных, используя вредоносные файлы, зашифрованные с использованием Base64.
Файл ICS содержал код JavaScript, предназначенный для комплексной кражи данных, перехватывающий учётные данные, электронные письма, контакты и общие папки на внешний сервер («ffrk[.]net»).
Он также искал письма в определённой папке и добавлял вредоносные правила фильтрации электронной почты Zimbra с именем «Correo» для пересылки сообщений на адрес spam_to_junk@proton.me.
StrikeReady утверждает, что вредоносный код реализован для выполнения в асинхронном режиме и в различных выражениях немедленно вызываемых функций (IIFE).
Чтобы избежать обнаружения, скрипт был устроен таким образом, что он скрывает определенные элементы пользовательского интерфейса и срабатывает только в том случае, если с момента его последнего выполнения прошло более трех дней.
StrikeReady не смогла с высокой степенью уверенности приписать эту атаку какой-либо известной группе угроз. При этом эксплуатация не носила широкомасштабного характера.
В отчете StrikeReady приводятся IOCs и деобфусцированная версия кода JavaScript, использовавшаяся для атак.
🗞 Paged Out #7.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, на днях был опубликован 7-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Похоже, что успешно обкатанный спецслужбами механизм легализации разведданных в отношении деятельности APT теперь будет работать как конвейер.
На этот раз вслед за китайскими и северокорейскими группировками под пресс отправили иранскую APT35 (Charming Kittens, Phosphorus и Newscaster), которая является одной из наиболее активных группы в сфере кибершпионажа и, как считается, связана с подразделением 1500 КСИР.
Согласно отработанному сценарию некая таинственная группа, в данном случае - называющая себя KittenBusters, выкатила на GitHub архивы, содержащие подробные сведения в отношении APT35.
Анонсированную утечку на сегодняшний день называют одним из самых значительных сливов, касающихся деятельности иранских прогосударственных хакеров.
Она включает сотни файлов с отчётами об атаках за последние несколько лет, ежедневные опержурналы, внутреннюю переписку, образцы вредоносного ПО и фотографии с установочными данными сотрудников, предположительно, связанных с деятельность группы.
При этом некто Аббас Рахрови, также известный как Аббас Хоссейни, заявлен в качестве лидера Charming Kittens.
В документах раскрыты его паспортные данные, а также сеть подставных компаний, через которые он якобы организует деятельность группы.
Одна из представленных папок с наименованием All_Proxy_Shell_Targets содержит подпапки для Ирана, Южной Кореи, Кувейта, Турции, Саудовской Аравии и Ливана.
Судя по всему, в файлах документируются факты эксплуатации серверов Microsoft Exchange с использованием уязвимостей ProxyShell, что в целом согласуется с тактикой Charming Kitten.
Наиболее интересная папка «Отчёты об атаках» с документами на персидском языке, многие из которых содержат фразу «گزارش عملکرد ماهانه» (ежемесячный отчёт об эффективности) в названиях файлов.
Отдельные ежедневные отчёты операторов с именами вроде Маджида, Мехьяра и Хоссейна содержат подробную информацию о результатах выполнения повседневных задач: мониторинг аккаунтов в соцсетях, сбор данных через OSINT, настройка фишинговой инфраструктуры.
В отчётах даже указывается отработанное количество часов, что указывает на некую бюрократическую рутину, с которой приходится сталкиваться участникам APT.
Дополнительные папки с метками «Malware_and_Logs» и «CMPGN_PST» содержат информацию об используемом в операциях инструментарии и журналы основных событий отработанных кампании.
Наиболее чувствительной информацией, конечно же, следует считать данные на участников APT (фигурируют даже бейджи с различных конференции, не говоря про личные аккаунты и прочее), что может считаться критическим провалом в ее деятельности по части OpSec.
Уровень детализации утечки свидетельствуют о том, что её инициатор имел систематический доступ к внутренним системам в течение длительного периода.
Действующие от имени KittenBusters обещают, что в будущем будут публиковаться все новые материалы. Тем не менее, уже сейчас расчет на серьёзный удар по иранской разведке, следует полагать, определенно сработал.
Однако эффект, как в случае предыдущих подобных сливов, будет иметь ограниченный по времени характер.
Но будем посмотреть.
У Microsoft вновь поломался Defender for Endpoint, который теперь ошибочно помечает прошивку BIOS некоторых устройств как устаревшую, предлагая пользователям обновить ее.
Согласно сервисному предупреждению от Редмонда, эта известная проблема затрагивает устройства Dell и вызвана ошибкой логики Defender for Endpoint.
Ошибка кода в логике Microsoft Defender для конечных точек, отвечающей за выявление уязвимостей для устройств Dell, приводит к возникновению названных проблем.
Компания уже разработала исправление этой ошибки и в настоящее время готовит его к развертыванию, но так и не раскрывает регионы или число клиентов, которые оказались затронуты текущими проблемами Defender XDR.
Но это еще не все.
Буквально на днях инженеры Microsoft также устранили «черный экран», возникавший на устройствах macOS, получивших обновления после 29 сентября.
Сбои в работе были вызваны взаимной блокировкой в корпоративной системе безопасности Apple, которая возникает, когда несколько поставщиков безопасности пытаются прослушивать события.
Немного ранее в этом месяце Редмонд разобрался с другими ложными сработками, из-за которых служба защиты от спама ошибочно блокировала попытки открыть URL-адреса пользователями Microsoft Teams и Exchange Online.
Тогда проблема была вызвана тем, что антиспамовый модуль ошибочно помечал URL-адреса, содержащиеся в других URL, как потенциально вредоносные, что также приводило к помещению некоторых писем в карантин.
Так что вечно можно смотреть на три вещи: как микромягкие пилят патч, как они пилят новый патч для предыдущего и, наконец, устраняют ошибки, возникшие в результате этих патчей.
Исследователи из Positive Technologies выкатили отчет с результатами анализа ландшафта угроз для российских организаций и прогнозами по актуальным киберугрозам на 2026 год.
Выделим наиболее ключевые показатели и тренды.
На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников: в период с июля 2024 по сентябрь 2025 года на страну пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.
Ожидается, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, а в 2026 году может увеличиться еще на 30-35%.
В число основных драйверов кибератак на российские организации вошли: роль на международной арене, развитие высокотехнологических отраслей, энергетическая и промышленная значимость, а также геополитическая напряженность и стремительная цифровизация.
Именно два последних будут оказывать основное влияние на ландшафт киберугроз в 2026 году, особенно на фоне импортозамещения сфере IT.
В части методов атак социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными, включая многоступенчатые фишинговые кампании, задействование ИИ, многофункциональные RAT, «тихие» TTPs, легитимные ПО и инструменты living off the land.
По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с применением вредоносного ПО выросла с 56% до 71%, а доля атак с использованием социнженерии - с 49% до 60%.
Кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных (56% успешных атак) и нарушениям бизнес-процессов (до 40%). Кроме того, ожидается рост атак на цепочки поставок.
На фоне импортозамещения возрастают риски утечек исходного кода отечественного ПО и персональных данных пользователей. По мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства.
Переориентация в мотивах ряда группировок и согласие жертв платить выкупы вымогателям - основные факторы, способствующие эскалации финансово мотивированных атак (33% всех атак).
Появились так называемые гибридные группы. Продолжая сопровождать атаки политической риторикой, они шифруют и похищают данные, после чего требуют выкуп за ее восстановление или неразглашение.
В 2026 году ожидается рост шантажа с использованием утечек персданных.
Злоумышленники начнут оказывать давление на жертву, ссылаясь на возможные санкции. В первую очередь, под удар попадает малый и средний бизнес.
Один из ключевых факторов эскалации кибершпионажа - экономическая и технологическая трансформация, вызванная санкциями и уходом иностранных компаний с российского рынка. Второй важный фактор - модернизация ОПК РФ.
С июля 2024-го по сентябрь 2025 года на организации в России совершали атаки не менее 22 кибершпионских групп. На их долю пришлось 22% всех успешных кибератак.
В 2026 году активность и цели кибершпионов будут напрямую зависеть от геополитической ситуации, что также относится и к эскалации хактивизма в России (российские организации стали жертвами 18 хактивистских группировок, на их долю пришлось 19% успешных атак).
Наибольший интерес для хактивистов представляют государственные сервисы, топливно-энергетический комплекс, транспортная инфраструктура, телекоммуникации, финансовый сектор. На первый план вышли деструктивные атаки с шифровальщиками и вайперами.
Промышленность и госучреждения лидируют по количеству атак (17% и 11% всех успешных кибератак ) и в 2026 году ситуация не изменится, даже в случае урегулирования острых геополитических вопросов.
Российские IT- и телеком-компании (9% и 7%) остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак.
В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки.
Типичные проблемы - слабые парольные политики, отсутствие MFa, небезопасное хранение данных, использование устаревшего ПО, ошибки в разграничении доступа и недостаточная подготовка персонала в ИБ - останутся актуальными в 2026 году.
Исследователи Rapid7 выяснили, что взлом софтверного гиганта Red Hat является частью более масштабной кампании, нацеленной на облачные аккаунты AWS.
По данным Rapid7, Crimson Collective использует скомпрометированные учётные записи IAM для доступа к корпоративным средам AWS и их кражи для дальнейшего вымогательства.
Как известно, хакеры взяли на себя ответственность за недавнюю атаку Red Hat, заявляя о похищении 570 ГБ данных из тысяч частных репозиториев GitLab, и пытались заставить компанию-разработчика заплатить выкуп.
После раскрытия инцидента Crimson Collective объединились со Scattered Lapsus$ Hunters, дабы усилить градус вымогательства.
В свою очередь, исследователями Rapid7 раскопали дополнительную информацию о деятельности Crimson Collective, которая включает в себя компрометацию долгосрочных ключей доступа AWS и учетных записей управления идентификацией и доступом (IAM) для повышения привилегий.
Злоумышленники используют открытый инструмент TruffleHog для обнаружения уязвимых учётных данных AWS.
Получив доступ, они создают новых пользователей IAM и профили входа через вызовы API, а также генерируют новые ключи доступа.
Далее следует повышение привилегий путем назначения политики «AdministratorAccess» вновь созданным пользователям, что предоставляет Crimson Collective полный контроль над AWS.
Они используют этот уровень доступа для сканирования пользователей, экземпляров, контейнеров, местоположений, кластеров баз данных и приложений, чтобы затем спланировать варианты сбора и эксфильтрации данных.
Они изменяют главные пароли RDS (Relational Database Service), получая доступ к базе данных, создают моментальные снимки, а затем экспортируют их в S3 (Simple Storage Service) для извлечения данных с помощью вызовов API.
Rapid7 также фиксировала снимки томов EBS (Elastic Block Store), отмечая, что после этого запускались новые экземпляры EC2 (Elastic Compute Cloud).
Тома EBS затем подключались к разрешительным группам безопасности для упрощения передачи данных.
После завершения этого шага Crimson Collective отправляет жертвам записку о выкупе через AWS Simple Email Service (SES) во взломанной облачной среде, а также на внешние учетные записи электронной почты.
Исследователи отмечают, что Crimson Collective использовала несколько IP-адресов в своих операциях по краже данных и повторно использовала некоторые IP-адреса в разных инцидентах, что упрощало отслеживание, однако узнать что-либо подробнее о ней пока не смогли.
AWS предупредила клиентов, рекомендуя использовать краткосрочные учетные данные с минимальными привилегиями и применять ограничительные политики IAM.
На случай выявления каких-либо признаков компрометации учётных данных AWS представила соответствующую инструкцию или же обратиться в службу поддержки AWS.
Кроме того, чтобы смягчить эти атаки и предотвратить катастрофические нарушения из-за утечки секретов AWS, рекомендуется сканировать среду на предмет неизвестных угроз с помощью инструментов с открытым исходным кодом, таких как S3crets Scanner или других.
Три современных «богатыря» на поприще ransonware объединяются и создают беспрецедентный альянс вымогателей.
Триада включает, как вы уже могли догадаться, DragonForce, LockBit и Qilin.
Первая банда в апреле этого года уже запустила уникальный формат White Label, предоставляя партнерам доступ к инфраструктуре и возможность использования шифратора под собственным брендом.
Вторая, Qilin, отметилась как одна из наиболее активных в последние месяцы группа вымогателей, которая только в третьем квартале 2025 года препарировала более 200 жертв.
Одна из последних - Asahi, крупнейшая пивоваренная компания Японии, до сих пор невышедшая из нокаута.
И, наконец, LockBit, имевшая в лучшей своей форме более 2500 жертв на своем счету, куда без них.
После мощного удара спецслужб, нанесенного по инфраструктуре и частично проредившего ряды, банда смогла оправиться и не так давно 3 сентября 2025 года на RAMP в честь шестой годовщины RaaS представила LockBit 5.0 для систем Windows, Linux и ESXi.
Как полагают исследователи ReliaQuest, одиозная коалиция представляет собой попытку финансово мотивированных злоумышленников перейти на новый уровень организации «бизнеса» за счет кооперации в технологиях, ресурсах и инфраструктуре.
Кроме того, такой шаг поможет восстановить подпорченную в ходе Cronos репутацию LockBit среди операторов, что безусловно, приведет к резкой активизации атак на критически важную инфраструктуру и другие менее атакуемые сектора.
Звучит, конечно, многообещающе, но чем-то все же напоминает те самые мантры про Maze (помним, чем все закончилось). Так что будем посмотреть.
У Discord, по всей видимости, все не так однозначно, как заявляется: хакеры утверждают, что слямзили данные 5,5 млн. уникальных пользователей из экземпляра системы поддержки Zendesk, включая документы и отчасти платежную информацию.
Компания же опровергла заявления о том, что в результате утечки были раскрыты 2,1 миллиона фотографий из удостоверений личности, признавая лишь около 70 000 пользователей в качестве жертв утечки, документы которых использовались для подтверждения возраста.
Злоумышленники сообщили, что взлом произошел через службу поддержки Zendesk в Discord, однако компания не подтвердила это, ограничившись описанием инцидента сторонним сервисом, используемым для поддержки клиентов.
В конечно счете, в Discord категорически отказались от уплаты выкупа, заявляя, что «не будет вознаграждать виновных в незаконных действиях».
В ответ на это хакеры сообщили, что Discord утаивает всю серьезность взлома, ведь им удалось выкрасть 1,6 ТБ данных из экземпляра Zendesk компании.
По словам злоумышленников, они получили доступ к экземпляру Zendesk Discord на 58 часов, начиная с 20 сентября 2025 года.
Причем произошло это не из-за уязвимости или взлома Zendesk, а в виду компрометации учетной записи агента поддержки, работающего через стороннего поставщика услуг аутсорсинга бизнес-процессов (BPO), используемого Discord.
Внутренний экземпляр Zendesk в Discord предоставил им доступ к приложению поддержки, известному как Zenbar, которое позволяло им выполнять различные задачи, связанные с поддержкой, включая отключение MFa, поиск номеров телефонов и почты пользователей.
Используя доступ к платформе поддержки Discord, злоумышленники украли 1,6 терабайта данных, включая около 1,5 ТБ вложений к тикетам и более 100 ГБ расшифровок тикетов.
Речь идет примерно о 8,4 миллионах тикетов, затрагивающих 5,5 миллионов уникальных пользователей, и около 580 000 пользовательских данных, содержащих разноплановую платежную информацию.
Сами злоумышленники признались, что не уверены в том, сколько конкретно официальных документов было украдено, но полагают, что их было более 70 000, поскольку число пикетов на проверку возраста переваливало за 521 000 единиц.
Злоумышленники также поделились образцами украденных данных, которые включают разнообразную информацию: адреса почты, имена и идентификаторы Discord, номера телефонов, информацию об платежах, дату рождения, информацию по MFa, уровни подозрительной активности и другие внутренние сведения.
При этом платежную информацию ряда пользователей, предположительно, можно было получить через интеграцию Zendesk с внутренними системами Discord.
Она позволила выполнить миллионы API-запросов к внутренней базе данных Discord через платформу Zendesk для извлечения данных.
Хакеры вели частные переговоры с Discord в период с 25 сентября по 2 октября, снизив изначальную сумму выкупа с 5 миллионов долларов до 3,5 лимонов.
После того как Discord вышла из чата и сделала вышесказанное заявление об инциденте, злоумышленники были «крайне разгневаны» и теперь планируют опубликовать все данные, если их требования не будут выполнены.
Со стороны Discord дополнительные комментарии по этой ситуации не последовали, так что в перспективе данные будут реализованы всем заинтересованным в киберподполье и, вероятно, вывалятся в паблик.
Будем следить.
Весьма ценный экспонат засветился в киберподполье: взломан и реализуется Whosarat.com.
Ресурс позиционируется как онлайн база данных полицейских информаторов, агентуры в исправительных учреждениях и конфидентов УБН США.
Селлер предлагает полную базу, включающую конфиденциальную личную и даже оперативную информацию в отношении 30 000 лиц.
Утечка содержит сведения: полные установочные и контактные данные, фото, судимости, адреса, данные на кураторов, «послужной» список» и др.
Исследователи из Лаборатории Касперского тоже имеют в ИИ, в своем новом отчете рассказали, как они научили ML-модель детектировать DLL Hijacking.
Как известно, DLL Hijacking - это достаточно распространенная техника, при которой злоумышленники подменяют библиотеку, вызываемую легитимным процессом, на вредоносную.
Ею пользуются как авторы вредоносного ПО «массового поражения», например стилеров или банковских троянцев, так и APT- и киберпреступные группы, стоящие за целевыми атаками.
В последние годы число атак с применением DLL Hijacking значительно выросло.
Эта техника и различные ее вариации, такие как DLL Sideloading, активно задействуются в целевых атаках на организации в России, Африке, Южной Корее и других регионах мира.
С ее помощью также распространяется Lumma, один из наиболее активных стилеров в 2025 году.
Кроме того, DLL Hijacking оседлали злоумышленники, нацеливающиеся на пользователей популярных приложений, как это было в случае с DeepSeek.
При этом обнаружить атаку с подменой DLL не так просто: библиотека выполняется в адресном пространстве легитимного процесса, который ей доверяет.
Поэтому для защитного решения ее активность может выглядеть как активность доверенного процесса.
С другой стороны, слишком пристальное внимание к поведению доверенных процессов может негативно повлиять на общую производительность системы, так что приходится искать тонкий баланс между достаточной безопасностью и оптимальным удобством.
Поэтому там, где простые алгоритмы детектирования не справляются, на помощь может прийти ИИ, в том числе для решения задачи детектирования DLL Hijacking с помощью машинного обучения и, главное - повышения точности обнаружения.
Более чем двадцатилетний опыт работы ЛК в сфере применения машинного обучения для выявления вредоносной активности на различных стадиях позволил исследователям успешно справится и с этой задачей.
По итогам обучения и апробирования трех поколений моделей можно сказать, что в результате эксперимента удалось разработать модель, отличающую события, похожие на DLL Hijacking, от прочих событий.
Более того, довести ее до состояния, пригодного к применению на практике не только в наших внутренних системах, но и в коммерческих продуктах.
Как отмечают в ЛК, на данный момент модели работают в облаке, обрабатывая сотни тысяч (в месяц) уникальных файлов и детектируя тысячи файлов, использующихся в атаках типа DLL Hijacking, причем регулярно выявляют ранее неизвестные вариации таких атак.
Результаты работы моделей поступают на разбор аналитикам, которые их верифицируют и создают новые детекты на их основе.
Подробный разбор методики детектирования DLL Hijacking и сравнение моделей - в отчете.
Двое подростков в Лондоне были арестованы представителями полиции в рамках расследования по подозрению в причастности к серии хакерских атак на местные дошкольные учреждения.
Силовики провели операцию одновременно по местам проживания двух лиц в Бишопс-Стортфорде, Хартфордшир.
По данным столичной полиции, двое подростков 17 лет осуществили неправомерное использование компьютера и шантаж.
Наименования атакованных учреждений не называются, но аресты последовали сразу после ряда инцидентов с использованием ransomware, затронувших одно из дошкольных учреждений, Kido Schools.
Злоумышленники выкрали и слили конфиденциальную информацию на 8000 дошкольников, включая их фотографии и личные данные, а также сведения на близких родственников и сотрудников учреждения.
Тогда ответственность за атаку с использованием вируса-вымогателя на школы Kido взяла на себя новая банда вымогателей, называющая себя Radiant.
Несмотря на то, что Kido Schools управляет целой сетью из трех десятков филиалов по всему миру, обслуживающих более 15 000 семей, в том числе в США, Индии и Китае, хакеры, по всей видимости, нацелились именно на учреждения в Великобритании.
Банда вымогателей начала публиковать образцы профилей предполагаемых жертв кибератаки после того, как переговоры между с руководством Kido по поводу выкупа провалились.
Хакеры потребовали от Kido около 134 000 долларов в биткоинах.
На текущем момент банда опубликовала профили 20 детей, в каждом из которых имелось изображение лица ребёнка крупным планом, указан полный адрес, пол и дата рождения.
Однако после широкой общественной критики горе-преступники поспешили удалить данные со своего DLS, а затем были разоблачены и арестованы.
В общем история из разряда, когда в детском саде тебе не хватило запеканки.
Исследователи F6 представили исследование с отражением основных угроз, векторов атак и TTPs киберпреступников, которые атаковали российские компании в 2024–2025 годах.
В основу были положены результаты анализа инцидентов и оценки основных изменений ландшафта актуальных угроз с 1 июля 2024 года по 30 июня 2025 года.
Причем учитывались исключительно инциденты высокого уровня критичности, требовавшие реагирования.
Согласно данным исследования, среди выявленных угроз чаще всего встречались майнеры криптовалют (37% всех критичных инцидентов).
При этом, если во втором полугодии 2024 года их доля составляла 42%, то в первом полугодии 2025 года сократилась до 31% от общего числа критичных инцидентов.
На втором месте идут инциденты, связанные с управляемыми человеком атаками (15%), на третьем - использование бэкдоров (14%).
По сравнению с июлем ‑ декабрем 2024 года в январе - июне 2025-го наблюдается перераспределение инструментов атакующих.
Так, доля зафиксированных инцидентов с RAT за полугодие выросла с 4% до 13%. Кроме того, были зафиксированы инциденты с модульным вредоносным ПО, загрузчиками и дропперами.
В ходе реагирования на инциденты аналитики F6 пришли к вывожу, что наиболее часто реализуемым вектором атаки на российские организации оказались загрузки пользователями содержащих вредоносную нагрузку программ - 70% от общего количества инцидентов за 12 месяцев.
Более того, в первом полугодии 2025 года по сравнению с предыдущими шестью месяцами их доля выросла с 60 до 74%.
Также среди распространенных способов компрометации устройств можно выделить использование заражённых съёмных накопителей (9% в среднем за 12 месяцев) и целевые фишинговые кампании (5%).
Через вредоносные рассылки злоумышленники чаще всего распространяют шпионское ПО и стилеры - их общая доля в рассылках достигала 83%.
Наиболее изменчивым вектором атаки оказалась эксплуатация уязвимостей - ее доля с 30% во втором полугодии 2024 года упала до 5% в первом полугодии 2025-го.
В случае успешного проникновения в инфраструктуру жертвы злоумышленники переходят к следующему этапу атаки - закреплению, разведке и развитию активности.
В своем исследовании F6 систематизировала эти действия и описала тактики атакующих с 1 июля 2024 года по 30 июня 2025 года по матрице MITRE ATT&CK.
Чаще всего злоумышленники использовали тактику обхода защиты (TA0005: Defense Evasion, 30%). Она позволяет скрывать свое присутствие в инфраструктуре и минимизировать вероятность обнаружения, а часть функций реализуется через вредоносные ПО.
Следующими по распространенности в исследуемых инцидентах оказались тактики исполнения (TA0002: Execution, 17%) и закрепления (TA0003: Persistence, 17%).
Тактика исполнения применяется злоумышленниками для запуска программ на устройствах жертв для дальнейшей реализации атаки. Тактика закрепления обеспечивала сохранение доступа к инфраструктуре даже после перезагрузки системы или завершения сеанса пользователем.
В целом, как отмечают исследователи, представленное исследование демонстрирует, что злоумышленники стремятся повысить гибкость и устойчивость атак, используя более сложные многоступенчатые схемы проникновения и закрепления в инфраструктуре.
Наблюдается тенденцию к усложнению инструментов и методов атакующих, а это в свою очередь требует повышенного внимания к многоуровневой защите и своевременному детектированию новых классов угроз.
Подробная инфографика и аналитика - в отчете.
Подкатили новые подробности инцидента со взломом Red Hat, которого теперь шантажирует банда вымогателей ShinyHunters, выложившая образцы украденных отчетов о взаимодействии с клиентами (CER) на свой DLS.
При этом изначально новости об утечке появились на прошлой неделе, когда хакеры Crimson Collective публично заявили о краже почти 570 ГБ сжатых данных из 28 000 закрытых репозиториев Red Hat.
Украденные массивы, как анонсировалось, включают около 800 отчетов о взаимодействии с клиентами (CER), которые могут содержать конфиденциальную информацию о сети, инфраструктуре и платформах клиентов.
Злоумышленники пытались выкатить Red Hat требования о выкупе, но их тикет замылился где-то между юридическим отделом и службой безопасности, так и оставшись без внимания.
Red Hat позже подтвердила, что утечка затронула ее экземпляр GitLab, который использовался исключительно для консалтинговых задач Red Hat Consulting.
Вскоре после того, как информация о взломе была раскрыта, злоумышленники, известные как Scattered Lapsus$ Hunters, попытались связаться с Crimson Collective.
И буквально вчера Crimson Collective объявила о сотрудничестве с Scattered Lapsus$ Hunters, в том числе в части совместной реализации недавно запущенного DLS-сайта ShinyHunters для продолжения попыток вымогательства у Red Hat.
Одновременно с этим объявлением появилась соответствующая запись в отношении Red Hat на новом сайте ShinyHunters с предупреждением о том, что данные будут опубликованы 10 октября, если требования не будут согласованы.
Кроме того, злоумышленники опубликовали образцы украденных сертификатов соответствия стандартам безопасности (CER), в том числе принадлежащих Walmart, HSBC, Bank of Canada, Atos Group, American Express, Министерству обороны и Société Française du Radiotéléphone.
Все это указывает на то, что коллектив ShinyHunters перешел в формат работы вымогательства как услуги (EaaS), получая долю дохода от любых вымогательских платежей, полученных в результате атак других злоумышленников, аналогично тому, как действуют банды в рамках RaaS.
Это объясняет столь бурную активность банды и многочисленные атаки, совершаемые различными злоумышленниками, но под именем ShinyHunters, включая атаки, в том числе последние - на Oracle Cloud и PowerSchool.
Кроме того, на протяжении последних лет были произведены многочисленные аресты лиц, связанных с ShinyHunters, отметившихся атаками на Snowflake, PowerSchool, а также деятельностью Breached v2. Однако даже после этих арестов фиксировали новые атаки.
В свою очередь, сами ShinyHunters также подтверждают эти предположения, заявляя, что группа фактически не несет ответственности за конкретную утечку, а лишь выступает в качестве посредника при передаче украденных данных.
В общем, 10 октября крайний срок слива, чем все закончится - будем посмотреть.
Исследователи обращают внимание на масштабную волну сканирований, нацеленных на устройства Cisco, основной фокус которой направлена на межсетевые экраны ASA и VPN-шлюзы AnyConnect.
Причем это уже вторая подобная волна, зафиксированная за последние месяцы.
При том, что первая волна предшествовала обнаружению 0-day Cisco ASA.
Одновременно с этимют внимание на зафиксировала 500%-ный рост числа сканирований панелей авторизации Palo Alto Networks, что также обычно предшествует появлению активных эксплойтов.
Активность достигла пика 3 октября, когда в ней было задействовано более 1285 уникальных IP-адресов, ориентированных на профили GlobalProtect и PAN-OS.
Ранее ежедневно показатели сканирований не превышали 200 адресов.
Большинство наблюдаемых IP относились к США, меньшие кластеры базировались в Великобритании, Нидерландах, Канаде и России.
Исследователи утверждают, что один кластер активности сосредоточил свой трафик на целях в Соединенных Штатах, а другой - на Пакистане.
По данным GreyNoise, 91% IP-адресов были классифицированы как подозрительные. Ещё 7% были помечены как вредоносные.
Исследователи GreyNoise полагают, что эта активность носит целевой характер и может указывать на подготовку к будущим атакам с использованием новых эксплойтов для 0- или n-day, как это было уже с упомянутым Cisco ASA.
Тем не менее GreyNoise утверждает, что наблюдаемая корреляция все же слабее для наблюдаемых сканирований, сосредоточенных на продуктах Palo Alto Networks.
В Palo Alto пока также не обнаружили никаких признаков взлома. Но это только пока, все может измениться.
И, наконец, отмечен также рост числа попыток эксплуатации старой уязвимости обхода пути в Grafana, которая отслеживатемся как CVE-2021-43798 и использовалась в декабре 2021 года в ходе атак в качестве нуля.
GreyNoise зафиксировала 110 уникальных вредоносных IP-адресов, большинство из которых в Бангладеш, с которых осуществлялись атаки 28 сентября.
Цели в основном располагались в США, Словакии и на Тайване, причем соотношение пунктов назначения атак было одинаковым в зависимости от конкретного источника, что обычно указывает на автоматизацию.
Oracle идентифицировала и устранила 0-day в платформе E-Business Suite, которая эксплуатировалась в атаках Clop, нацеленных на кражу данных.
Кампания началась на прошлой неделе и была связана с бандой вымогателей Clop, а задействованная уязвимость отслеживается как CVE-2025-61882, о чем сообщил руководитель службы безопасности Oracle Роб Дюхарт.
Ошибка обнаружена в продукте Oracle Concurrent Processing из Oracle E-Business Suite (компонент: BI Publisher Integration) и имеет базовую оценку CVSS 9,8.
Она позволяет злоумышленникам выполнять неаутентифицированное удаленное выполнение кода и проста в эксплуатации.
Oracle подтвердила, что 0-day затрагивает Oracle E-Business Suite версий 12.2.3–12.2.14, и выпустила экстренное обновление для её устранения.
Компания отмечает, что клиентам необходимо сначала установить критическое обновление за октябрь 2023 года, прежде чем они смогут устанавливать новые обновления.
При этом компания явно не заявила, что это 0-day, но поделились IOCs, которые соответствуют эксплойту Oracle EBS, недавно распространенному злоумышленниками через Telegram.
В Mandiant также подтвердили, что именно эта уязвимость была использована бандой вымогателей Clop в ходе атак, которые произошли в августе 2025 года.
Clop воспользовались множественными уязвимостями в Oracle EBS, исправленными в обновлении за июль 2025 года и еще одной, исправленной на выходных - CVE-2025-61882, что позволило хакерам выкрасть большие объемы данных у нескольких жертв.
Сообщения об атаках Clop впервые появились на прошлой неделе, когда Mandiant и Google Threat Intelligence Group сообщили о попадании в поле зрения новой кампании, в рамках которой несколько компаний получили электронные письма, якобы отправленные злоумышленниками.
В них фигурировали требования выкупа и упоминание хакеров о том, что им удалось взломать приложение Oracle E-Business Suite жертвы и выкрасть данные из систем.
Позже сами Clop подтвердили, что именно они стояли за этими письмами, указав о задействовании нуля в Oracle для кражи данных.
Причем изначально Oracle связала кампанию Clop с уязвимостями, которые были исправлены в июле 2025 года, однако только позже разработчики смогли отыскать 0-day.
Кроме того, новость об этой уязвимости нулевого дня впервые пришла от Scattered Lapsus$ Hunters, которые в последнее время сами оказались в центре внимания из-за своих масштабных атак по краже данных у клиентов Salesforce.
Они опубликовали в Telegram два файла, которые, по их словам, связаны с атаками Clop. Один файл «GIFT_FROM_CL0P.7z» содержит исходный код Oracle, который, судя по именам файлов, связан с support.oracle.com.
И архив «ORACLE_EBS_NDAY_EXPLOIT_POC_SCATTERED_LAPSUS_RETARD_CL0P_HUNTERS.zip», который, судя по названию файла, был эксплойтом Oracle E-Business, который использовали Clop. Это тот же файл, который указан в индикаторах компрометации Oracle.
Все это наводит на вопросы о том, как злоумышленники из Scattered Lapsus$ Hunters получили доступ к эксплойту и сотрудничают ли они в каком-либо качестве с Clop.
Так что будем следить.
Продолжаем знакомить с наиболее трендовыми уязвимостями и обусловленными ими угрозами. Новая подборка включает:
1. Исследователи PAN Unit42 обнаружили три новые уязвимости в маршрутизаторах TOTOLINK. Самая серьёзная из них связана с внедрением команды unauth.
2. DrayTek выпустила обновления для своих популярных моделей маршрутизаторов Vigor для исправления CVE-2025-10547.
Она позволяет злоумышленникам взломать маршрутизаторы Vigor, используя специально созданные HTTP- или HTTPS-запросы, отправляемые на веб-панель управления устройства. Для эксплуатации уязвимости не требуются действительные учётные данные.
3. Oracle связала продолжающуюся кампанию с вымогательством со стороны известной банды Clop с уязвимостями E-Business Suite (EBS), которые были исправлены в июле 2025 года.
При этом компания не указала конкретную задействовавшуюся уязвимость, но в рамках своего критического обновления тогда устранила девять ошибок в E-Business Suite, три из которых (CVE-2025-30745, CVE-2025-30746 и CVE-2025-50107) можно использовать удаленно, не требуя ввода учетных данных пользователя.
4. Устранены критические уязвимости в компонентах WebGPU и Video браузера Chrome, а также в компонентах Graphics и JavaScript Engine браузера Firefox.
Google перевела Chrome 141 в стабильную версию с 21 исправлением безопасности.
Две из них, CVE-2025-11205 и CVE-2025-11206, представляют собой серьезные проблемы с переполнением буфера кучи, влияющие на компоненты WebGPU и Video в Chrome.
Mozilla выпустила Firefox 143.0.3 с исправлениями двух серьезных дефектов в компонентах Graphics и JavaScript Engine.
Первая, CVE-2025-11152 - проблема целочисленного переполнения, может привести к выходу из песочницы, вторая CVE-2025-11153 - ошибка JIT-компиляции.
5. Исследователи Clutch Security раскрыли подробности серьезной уязвимости (CVE-2025-59363 с CVSS 7,7) в One Identity OneLogin Identity and Access Management (IAM).
Успешная эксплуатация уязвимости может позволить злоумышленнику с действительными учётными данными API OneLogin получить доступ к клиентским секретам всех приложений OIDC, настроенных в клиенте OneLogin.
Проблема связана с тем, что конечная точка списка приложений - /api/2/apps - была настроена на возврат большего объема данных, чем ожидалось, включая значения client_secret в ответе API, а также метаданные, связанные с приложениями в учетной записи OneLogin.
После раскрытия 18 июля 2025 уязвимость была устранена в OneLogin 2025.3.0, свидетельств эксплуатации в реальных условиях не получено.
6. Разработчики Red Hat выкатили бюллетень, анонсировав серьезная уязвимость в службе Red Hat OpenShift AI, которая позволяет злоумышленникам повысить привилегии и получить контроль над всей инфраструктурой при определенных условиях.
CVE-2025-10725 имеет оценку CVSS 9,9, тем не менее Red Hat классифицировала её как «важную», но не «критическую», поскольку для взлома среды требуется аутентификация удалённого злоумышленника.
Проблема затрагивает следующие версии: Red Hat OpenShift AI 2.19, Red Hat OpenShift AI 2.21 и Red Hat OpenShift AI (RHOAI).
Отраслевые эксперты также высказывают предположения, что недавний инцидент со взломом закрытых репозиториев GitLab компании может быть связан с CVE-2025-10725, однако в Red Hat категорически отвергают эти гипотезы.
Но будем посмотреть.
После неудавшейся январской попытки правительство Великобритании вновь пытается затянуть удавку не шее Apple в надежде заполучить доступ к зашифрованным данным пользователей в облаке.
По данным Financial Times, британские чиновники в сентябре направили в адрес Apple новый официальный, но уже откорректированный запрос с более узкой областью применения, требуя доступа к зашифрованным облачным данным только для пользователей из Великобритании.
Ранее Лондон требовал предоставить техническую возможность доступа к данным пользователей Apple в iCloud по всему миру, что вызвало острую негативную реакцию со стороны властей США, да и, пожалуй, за пределами штатов.
Разработчики Apple были вынуждены ограничить в Великобритании функционал iCloud Advanced Data Protection, обеспечивавший облачное хранилище сквозным шифрованием.
После чего Apple подала жалобу на январский запрос в Трибунал по надзору за деятельностью правоохранительных органов.
Рассмотрение дела было назначено на январь 2026 года. Новая инициатива британского правительства может привести к возобновлению процесса.
После давления со стороны Вашингтона власти Великобритании отозвали то требование и теперь ограничили запрос только британскими пользователями.
В Apple подчёркивают, что конфиденциальность - у них в приоритете, так что компания не собирается идти на компромисс, а правозащитники предполагают: если приказ вступит в силу, аналогичные требования могут быть предъявлены и к другим технологическим компаниям.
Тем временем источники FT утверждают, что вопрос доступа к пользовательским данным вновь поднимался во время июльского визита президента США Дональда Трампа в Лондон.
Несмотря на это, представители британского правительства заявляют, что Соединенные Штаты больше не настаивают на полном отказе от этого требования.
Вот и порешали. Будем следить.
Ранее мы уже рассказывали про метода атаки Battering RAM, который был разработан группой бельгийских учёных и основывается на вредоносном модуле памяти, который можно использовать для взлома конфиденциальности современных облачных сервисов.
Он устанавливается между оперативной памятью (RAM) и материнской платой и позволяет злоумышленникам взломать функции безопасности процессоров Intel и AMD, используемых в облачных серверах.
Его стоимость составляет всего лишь 50 долларов США.
Аналогичное устройство WireTap разработала другая команда исследовательской из Технологического института Джорджии и Университета Пердью, продемонстрировав, что пассивный интерпозер DIMM может быть использован для взлома механизма DCAP Intel SGX.
Атака WireTap также требует физического доступа к серверу, использующему SGX, и задействует интерпозер, которое можно создать с использованием общедоступной электроники менее чем за 1000 долларов США.
Технология Intel SGX (Software Guard Extensions) встроена в некоторые процессоры и предназначена для защиты конфиденциальных данных и кода от несанкционированного доступа или подмены, даже если остальная часть системы скомпрометирована.
После установки интерпозер позволил учёным замедлить и собрать трафик шины DDR4, а затем взять под контроль анклав SGX, очистив кэш. Затем учёные атаковали криптографический механизм безопасности SGX и извлекли ключ аттестации машины в течение 45 минут.
Исследователи объяснили, что скомпрометированный ключ затем может быть использован для злоупотребления конфиденциальностью многочисленных развертываний, включая сети смарт-контрактов Phala и Secret, а также централизованную систему хранения блокчейнов Crust.
В ходе атак на Phala и Secret ученые смогли извлечь ключи для шифрования данных контракта, подделав котировки в пользовательском анклаве, что позволило им расшифровать состояние смарт-контракта по всей сети.
В контексте Crust исследователи продемонстрировали, что злоумышленник может использовать скомпрометированный ключ и модифицированный анклав для подделки доказательств хранения, тем самым нарушая целостность и корректность действий сетевого узла.
Ученые отмечают, что атаку WireTap можно смягчить, отказавшись от использования детерминированного шифрования памяти, обеспечив достаточную энтропию внутри каждого блока шифрования, установив более высокие скорости шины и предоставив единый главный ключ для всех анклавов SGX из единой системы с усиленной защитой.
Они сообщили о своих результатах Intel, которая в своем заявлении на этой неделе признала факт атаки, но отметила на необходимость наличия у злоумышленника физического доступа к оборудованию с интерпозером шины памяти, а это уже выходит за рамки ее модели угроз.