39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи сообщают о появлении новой версии вредоносного ПО SparkCat в магазинах приложений Apple App Store и Google Play Store, спустя более года после обнаружения трояна, нацеленного на обе мобильные ОС.
Как сообщалось ранее, вредоносная ПО скрывается в, казалось бы, безобидных приложениях, таких как корпоративные мессенджеры и службы доставки еды, незаметно сканируя фотогалереи жертв в поисках фраз для восстановления криптокошельков.
По данным Лаборатории Касперского, два зараженных приложения в App Store и одно в Google Play Store в основном нацелены на пользователей крипты в Азии.
Однако версия для iOS использует иной подход, поскольку она сканирует мнемонические фразы криптовалютных кошельков на английском языке, что делает эту версию потенциально более широкодоступной, поскольку она способна охватывать пользователей независимо от их региона.
Улучшенная версия SparkCat для Android включает в себя несколько уровней обфускации по сравнению с предыдущими версиями, включая использование виртуализации кода и кроссплатформенных языков программирования для обхода анализа.
Более того, версия для Android сканирует ключевые слова на японском, корейском и китайском языках, что указывает на ориентацию на азиатский рынок.
Впервые SparkCat был задокументирован ЛК в феврале 2025 года, когда стало известно о его способности использовать модель оптического распознавания символов (OCR) для извлечения отдельных изображений, содержащих фразы восстановления кошелька, из фотобиблиотек на сервер, контролируемый злоумышленником.
Последние усовершенствования вредоносного ПО указывают на, что это активно развивающаяся угроза, не говоря уже о технических возможностях злоумышленников, стоящих за этой операцией.
Ранее в Лаборатории Касперского высказывались предположения, что вредоносная деятельность является делом рук оператора, говорящего на китайском языке.
Обновлённый вариант SparkCat запрашивает доступ к просмотру фотографий в галерее смартфона пользователя в определённых сценариях — точно так же, как и самая первая версия трояна. Он анализирует текст в сохранённых изображениях с помощью модуля OCR.
Если вредоносной ПО удается найти релевантные ключевые слова, она отправляет изображение злоумышленникам. Учитывая сходство текущего образца с предыдущим, в ЛК считают, что разработчики новой версии вредоносного ПО - одни и те же лица.
Решения Лаборатории Касперского детектируют угрозу как: HEUR:Trojan.AndroidOS.SparkCat и HEUR:Trojan.IphoneOS.SparkCat.
Drift столкнулась с инцидентом на 280 млн. зеленых после того, как злоумышленник в ходе спланированной и сложной операции захватил контроль над его административными полномочиями в Совете Безопасности.
Elliptic и TRM Labs (1 и 2 соответственно) связали атаки с северокорейскими хакерами, основываясь на многочисленных внутрисетевых индикаторах.
Среди них: использование Tornado Cash, время развертывания CarbonVote (09:30 по пхеньянскому времени), схемы межсетевого взаимодействия и быстрое крупномасштабное отмывание денег, как это было в случае с Bybit.
Как пояснили исследователи, злоумышленник использовал надежные одноразовые коды и предварительно подписанные транзакции, чтобы отсрочить исполнение и нанести удар с высокой точностью в точно выбранное время.
Drift подчеркивает, что хакер не использовал никаких уязвимостей в своих программах или смарт-контрактах, и ни одна из исходных фраз не была скомпрометирована.
Drift Protocol - это торговая платформа DeFi, построенная на блокчейне Solana, которая выступает в качестве некастодиальной биржи, предоставляя пользователям полный контроль над своими средствами при взаимодействии с внутрисетевыми рынками.
По состоянию на конец 2024 года платформа заявляла о наличии 200 000 трейдеров, поддерживающих общий объем торгов более 55 млрд. долл. и пиковый ежедневный объем в 13 млн. долл.
Согласно отчету Drift, ограбление планировалось в период с 23 по 30 марта: злоумышленник создал учетные записи с устойчивыми одноразовыми кодами и получил одобрение 2 из 5 мультиподписей от членов Совета Безопасности, чтобы достичь необходимого порога.
Это позволило им предварительно подписывать вредоносные транзакции, которые не выполнялись немедленно, а 1 апреля злоумышленник совершил легальную транзакцию и немедленно выполнил предварительно подписанные вредоносные транзакции, передав себе административный контроль в течение нескольких минут.
Получив административный контроль, хакеры внедрили вредоносный актив, сняли лимиты на вывод средств и в конечном итоге опустошили средства.
По оценкам Drift Protocol, убытки составили около 280 млн. долл., в то время как в PeckShieldAlert указывают на 285 млн. долл.
В связи с обнаружением необычной активности в протоколе, Drift выпустила публичное предупреждение для пользователей, заявив о начале расследования и настоятельно призвавая их не вносить средства до дальнейшего уведомления.
В результате атаки пострадали депозиты для заимствования/кредитования, депозиты в хранилищах и торговые фонды, и все функции протокола фактически заморожены. Drift заявил, что DSOL не пострадал, а активы страхового фонда защищены.
В настоящее время платформа сотрудничает со сторонними специалистами, криптобиржами и правоохранительными органами для отслеживания и изъятия украденных средств. В Drift обещают опубликовать подробный отчет по результатам расследования в ближайшие дни.
Две уязвимости в Progress ShareFile, решении для безопасной передачи файлов корпоративного уровня, могут быть объединены в цепочку, позволяя осуществлять несанкционированную кражу файлов из затронутых сред.
Подобные решения являются привлекательной целью для злоумышленников, использующих программы-вымогатели, как это уже было в случае с атаками банды вымогателей Clop, которая успешно монетизирована их через уязвимости в Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer и Cleo.
Исследователи watchTowr обнаружили уязвимость обхода аутентификации (CVE-2026-2699) и удаленного выполнения кода (CVE-2026-2701) в компоненте Storage Zones Controller (SZC), присутствующем в ветке 5.x Progress ShareFile.
SZC предоставляет клиентам больший контроль над своими данными, позволяя им хранить их на собственной инфраструктуре (либо локально, либо у стороннего облачного провайдера) или в системах Progress.
После того, как watchTowr сообщила о проблемах, их устранили в Progress ShareFile 5.12.4, выпущенной 10 марта.
В последнем отчете watchTowr пояснила, что атака может инициироваться с уязвимости обхода аутентификации CVE-2026-2699, которая предоставляет доступ к административному интерфейсу ShareFile из-за некорректной обработки HTTP-перенаправлений.
Проникнув внутрь, злоумышленник может изменить параметры конфигурации зоны хранения, включая пути к файлам и параметры, имеющие важное значение для безопасности, такие как пароль зоны и связанные с ним секреты.
Используя вторую CVE-2026-2701 злоумышленники могут получить возможность удаленного выполнения кода на сервере, злоупотребляя функциями загрузки и извлечения файлов для размещения вредоносных ASPX-веб-оболочек в корневом каталоге приложения.
Исследователи отмечают, что для работы эксплойта злоумышленникам необходимо сгенерировать действительные HMAC-подписи, а также извлечь и расшифровать внутренние секреты.
Однако это достижимо после эксплуатации уязвимости CVE-2026-2699 благодаря возможности устанавливать или контролировать значения, связанные с парольной фразой.
Согласно сканированию watchTowr, в открытом доступе находится около 30 000 экземпляров Storage Zone Controller.
В свою очередь, ShadowServer Foundation отслеживает 700 доступных через интернет экземпляров Progress ShareFile, большинство из которых расположены в США и Европе.
WatchTowr сообщила о своих выводах в Progress в период с 6 по 13 февраля, а полная цепочка эксплойтов была подтверждена 18 февраля в Progress ShareFile 5.12.4. Разработчик выпустил обновления безопасности в версии 5.12.4, которая вышла 10 марта.
К настоящему времени активной эксплуатации уязвимостей в реальных условиях не наблюдалось, однако с учетом опыта Clop и выходом в паблик технических подробностей цепочки атаки, уязвимые версии ShareFile Storage Zone Controller следует немедленно обновить.
Исследователи McAfee в Google Play обнаружили новый вредоносный код для Android под названием NoVoice, скрытый в более чем 50 приложениях, которые были загружены не менее 2,3 млн. раз.
В числе вредоносных приложений - программы для очистки файлов, фотогалереи и игры. Все они не требовали подозрительных разрешений и поддерживали заявленную функциональность.
После запуска зараженного приложения вредоносная ПО попыталась получить root-доступ к устройству, используя старые уязвимости Android, для которых были выпущены исправления в период с 2016 по 2021 год.
Атрибутировать NoVoice исследователи McAfee не смогли, но отметили сходство с трояном Triada для Android, о котором ранее сообщали исследователи Лаборатории Касперского.
По данным McAfee, злоумышленник спрятал вредоносные компоненты в пакете com.facebook.utils, смешав их с классами легитимного SDK Facebook.
Зашифрованный файл (enc.apk), скрытый внутри файла изображения PNG с помощью стеганографии, извлекается (h.apk) и загружается в системную память, при этом удаляются все промежуточные файлы для устранения следов.
McAfee отмечает, что злоумышленник избегает заражения устройств в определенных регионах, таких как Пекин и Шэньчжэнь в Китае, и cvju внедриnm 15 проверок для эмуляторов, отладчиков и VPN.
Затем вредоносная ПО связывается с сервером C2 и собирает информацию об устройстве, включая сведения об оборудовании, версию ядра, версию Android (и уровень исправлений), установленные приложения и статус root, чтобы выработать стратегию эксплуатации.
Вредоносная ПО опрашивает сервер С2 каждые 60 секунд и загружает различные компоненты для эксплойтов, предназначенных для получения root-прав в системе жертвы.
В целом, McAfee выделила 22 уязвимости, включая ошибки ядра и недостатки драйверов графического процессора Mali, которые предоставляют операторам root-доступ и позволяют отключить принудительное применение SELinux на устройстве, фактически лишая его средств защиты.
После получения root-прав на устройстве ключевые системные библиотеки, такие как libandroid_runtime.so и libmedia_jni.so, заменяются перехваченными обертками, которые перехватывают системные вызовы и перенаправляют их выполнение на код атаки.
Руткит обеспечивает многоуровневое сохранение активности, включая установку скриптов восстановления, замену обработчика сбоев системы загрузчиком руткита и хранение резервных полезных нагрузок на системном разделе.
Поскольку эта часть памяти не чистится при сбросе до заводских настроек, вредоносное ПО будет сохраняться. Кроме того, каждые 60 секунд проводится проверка целостности руткита с автоматической переустановкой отсутствующих компонентов.
На этапе постэксплуатации в каждое запущенное на устройстве приложение внедряется код, контролируемый злоумышленником. Развертываются два основных компонента: один обеспечивает скрытую установку или удаление приложений, а другой работает внутри любого приложения.
Последний служит основным механизмом кражи данных, и, как отметила компания McAfee, в первую очередь, нацелен на WhatsApp и позволяет злоумышленникам клонировать сессию.
Исследователям удалось восстановить только полезную нагрузку, ориентированную на WhatsApp, однако модульная конструкция NoVoice технически позволяет использовать и другие полезные нагрузки, нацеленные на любое приложение на устройстве.
Вредоносные приложения для Android, содержащие вредоносный код NoVoice, были удалены из Google Play. Однако пользователям, которые уже устанавливали зараженные программы, следует считать, что их устройства и данные находятся под угрозой.
Исследователи Лаборатории Касперского отловили на просторах Telegram новую MaaS под названием CrystalRAT, реализующую удаленный доступ, кражу данных, перехват нажатий клавиш и захват буфера обмена.
Вредоносная ПО появилась в январе и имеет многоуровневую модель подписки. Помимо канала в телеге, MaaS также активно продвигалась на YouTube через специальный маркетинговый канал, демонстрирующий её возможности.
Исследователи ЛК в своем отчете указывают значительное сходство CrystalRAT с WebRAT (Salat Stealer), включая тот же дизайн панели, код на языке Go и аналогичную систему продаж на основе ботов.
CrystalX также включает в себя обширный список функций, предназначенных для того, чтобы вызывать «раздражение» у пользователя или всячески мешать его работе. Несмотря на свою «веселую» сторону, CrystalX предлагает широкий спектр возможностей для кражи данных.
В ЛК отмечают, что CrystalX имеет удобную панель управления и автоматизированный инструмент для создания вредоносных ПО, поддерживающий различные параметры настройки, включая геоблокировку, настройку исполняемых файлов и функции защиты от анализа (защита от отладки, обнаружение виртуальных машин, обнаружение прокси и т.д.).
Сгенерированные полезные нагрузки сжимаются с помощью библиотеки zlib и шифруются симметричным потоковым шифром ChaCha20 для защиты.
Вредоносная ПО подключается к C2 через WebSocket и отправляет информацию о хосте для профилирования и отслеживания заражения.
Компонент сбора информации CrystalX (временно отключен в связи с подготовкой к обновлению), нацелен на браузеры на основе Chromium (через ChromeElevator), Yandex и Opera. Кроме того, собирает данные из настольных приложений, таких как Steam, Discord и Telegram.
Модуль удаленного доступа позволяет выполнять команды через CMD, загружать/скачивать файлы, просматривать файловую систему и управлять машиной в режиме реального времени с помощью встроенного VNC.
Вредоносная ПО также демонстрирует поведение, характерное для spyware, поскольку она может захватывать видео и аудио с микрофона.
Наконец, CrystalX включает в себя кейлоггер, который передает нажатия клавиш в реальном времени на С2, а также инструмент для копирования адресов, использующий регулярные выражения для обнаружения адресов кошельков в буфере обмена и их замены.
Что отличает CrystalX от конкурентов на рынке MaaS, так это богатый набор функций, позволяющих разыгрывать людей.
По данным ЛК, вредоносная ПО способна выполнять: менять обои и ориентацию экрана, отключать систему, переназначать кнопки мыши, отключать устройства ввода, выдавать фейковые уведомления, двигать курсором, скрывать различные компоненты и чатиться с жертвой.
Безусловно, все перечисленные фишки слабо монетизируют атаки, но точно делают продукт уникальным и весьма привлекательным с «маркетинговой» точки зрения.
Весьма вероятно, что подобный функционал, прежде всего, рассчитан на отвлечение внимания жертвы, пока модули кражи данных работают в фоновом режиме.
Технические подробности и IOCs - в отчете.
Тем временем, TeamPCP переключается с открытого программного обеспечения на среду AWS. После перероверки украденных учетных данных с помощью TruffleHog хакерская группа приступила к нацеливанию на сервисы AWS.
Как сообщает Wiz, злоумышленник, стоящий за масштабной мартовской кампанией, направленной на разработчиков ПО с открытым исходным кодом, использовал скомпрометированные учетные данные для доступа к средам AWS и кражи дополнительных данных.
TeamPCP (DeadCatx3, PCPcat и ShellForce) действует с 2024 года, первоначально сосредоточившись на облачных средах, в середине 2025 года группа переключилась на атаки на цепочки поставок, нацеленные на кражу учетных данных CI/CD в больших масштабах.
В последние две недели TeamPCP попала в заголовки новостных лент после взлома сканера уязвимостей Trivy от Aqua Security в рамках кампании, которая с тех пор распространилась на NPM, PyPI и OpenVSX.
По данным OpenSourceMalware, различные инциденты, приписываемые этой группе за последние недели, взаимосвязаны, поскольку все они были вызваны взломом Trivy, который, в свою очередь, произошел из-за неправильной смены учетных данных после взлома в феврале.
Вредоносное ПО, внедренное в пакеты Trivy и GitHub Actions, выполнялось при работе Trivy в нижестоящих конвейерах, что позволило TeamPCP скомпрометировать токены публикации разработчиков NPM, а также токен PyPI, принадлежащий гендиректору LiteLLM Крришу Дхолакии.
LiteLLM скачивают более 90 млн. раз в месяц, так что последствия его взлома были колоссальными. Среди прочего, был раскрыт токен Telnyx PyPI, что привело к внедрению вредоносного ПО в пакеты Telnyx PyPI.
По оценкам специалистов, в рамках этой кампании пострадали десятки тысяч репозиториев, поскольку вредоносное ПО TeamPCP было разработано для сбора учетных данных, токенов API, токенов SSH и других секретов из зараженных систем разработчиков.
Согласно отчету Wiz, хакерская группа не стала тратить время на проверку украденных учетных данных.
Они попросту задействовали инструмент с открытым исходным кодом TruffleHog, дабы убедиться, что украденные ключи доступа AWS, секреты приложений Azure и различные токены SaaS по-прежнему действительны и используются.
В течение 24 часов после подтверждения группа перешла к операциям по обнаружению уязвимостей в скомпрометированных средах AWS, перечисляя различные сервисы, уделяя особое внимание контейнерам, где хакеры составляли карты кластеров и определений задач. Она также атаковала менеджеры секретов AWS у жертв.
После подтверждения доступа и определения структуры, злоумышленники использовали различные методы для дальнейшего осуществления своей схемы, выполняя дополнительный код и получая доступ к другим частям среды жертвы.
Хакеры использовали рабочие процессы GitHub для выполнения кода в средах жертв, а также функцию ECS Exec для выполнения команд Bash и скриптов Python непосредственно в контейнерах, работающих в средах AWS.
Злоумышленники похищали исходный код, файлы конфигурации и встроенные секреты из репозиториев GitHub, а также получали доступ к хранилищам S3, Secrets Manager и базам данных для массовой кражи данных из сред AWS.
После взлома TeamPCP фокусирвяоалась на компрометации дополнительных секретных данных и извлечении огромных объемов данных из репозиториев кода и облачных ресурсов.
Извлеченные данные и скомпрометированные секреты потенциально передавались другим группам для осуществления целого ряда операций.
В частности, TeamPCP, вероятно, сотрудничает в рамках реализации монетизации доступа к скомпрометированным средам, с Lapsus$ и Vect Ransomware.
Как уже отмечали в Socket, Lapsus$ хвастались будущими операциями TeamPCP, как будто обладали инсайдерской информацией, а Vect прямо заявила на известном хакерском форуме о партнерстве с TeamPCP. Продолжаем следить.
По всей видимости, исходный код Cisco украли в результате взлома среды разработки, о чем сообщил анонимный источник.
Cisco Unified Intelligence Center, CSIRT и EOC локализовали утечку данных, связанную со вредоносным плагином GitHub Action из недавнего взлома Trivy.
Cisco стала жертвой атаки после того, как злоумышленники использовали украденные учетные данные, полученные в результате недавней атаки на цепочку поставок Trivy для взлома среду разработки и кражи исходников, принадлежащих компании и ее клиентам.
Злоумышленники использовали вредоносный GitHub Action для кражи учетных данных и данных из среды сборки и разработки компании, что затронуло десятки устройств, включая некоторые рабочие станции разработчиков и лабораторные станции.
Хотя первоначальный взлом удалось локализовать, компания ожидает дальнейших последствий и последующих атак на цепочку поставок со стороны LiteLLM и Checkmarx.
В результате инцидента были украдены многочисленные ключи AWS, которые впоследствии использовались для несанкционированных действий в небольшом количестве учетных записей Cisco AWS.
После чего Cisco изолировала затронутые системы, начала их переустановку и к настоящему времени проводит масштабную ротацию учетных данных.
В ходе инцидента было клонировано более 300 репозиториев GitHub, включая исходный код продуктов компании, использующих ИИ, таких как AI Assistants, AI Defense, а также еще не выпущенных продуктов.
Предполагается, что часть украденных хранилищ принадлежит корпоративным клиентам, включая банки, компании, предоставляющие услуги аутсорсинга бизнес-процессов, и государственные учреждения США.
Несколько источников сообщили, что в компрометации Cisco CI/CD и учетных записей AWS участвовало более одного злоумышленника, проявлявшего различную степень активности.
В свою очередь, сама Cisco пока никак не комментирует инцидент.
Атака на цепочку поставок сканера уязвимостей Trivy произошла в этом месяце, злоумышленники скомпрометировали конвейер проекта на GitHub, распространив вредоносное ПО для кражи учетных данных через официальные релизы и действия GitHub.
Атака позволила украсть учетные данные CI/CD у организаций, использующих этот инструмент, предоставив злоумышленникам доступ к тысячам внутренних сред сборки.
Исследователи связали эти атаки на цепочки поставок с группой угроз TeamPCP, которая использовала собственный стилер под названием TeamPCP Cloud Stealer.
TeamPCP реализовала целую серию атак на цепочки поставок, нацеленных на платформы для разработчиков, включая GitHub, PyPi, NPM и Docker.
Группа также взломала пакет LiteLLM PyPI, затронув десятки тысяч устройств, и проект Checkmarx KICS для распространения того же вредоносного ПО, похищающего информацию.
👩💻 Kubenomicon.
• Интересный проект в стиле MITRE ATTACK для Kubernetes, который ориентирован на наступательную безопасность. С акцентом на то, как использовать каждую атаку.
• Initial access:
➡Using cloud credentials;
➡Compromised image In registry;
➡Kubeconfig file;
➡Application vulnerability;
➡Exposed sensitive interfaces;
➡SSH server running inside container.
• Execution:
➡Exec inside container;
➡New container;
➡Application exploit (RCE);
➡Sidecar injection.
• Persistence:
➡Backdoor container;
➡Writable hostPath mount;
➡Kubernetes cronjob;
➡Malicious admission controller;
➡Container service account;
➡Static pods.
• Privilege escalation:
➡Privileged container;
➡Cluster-admin binding;
➡hostPath mount;
➡Access cloud resources.
• Defense evasion:
➡Clear container logs;
➡Delete events;
➡Pod name similarity;
➡Connect from proxy server.
• Credential access:
➡List K8S secrets;
➡Access node information;
➡Container service account;
➡Application credentials in configuration files;
➡Access managed identity credentials;
➡Malicious admission controller.
• Discovery:
➡Access Kubernetes API server;
➡Access Kubelet API;
➡Network mapping;
➡Exposed sensitive interfaces;
➡Instance Metadata API.
• Lateral movement:
➡Access cloud resources;
➡Container service account;
➡Cluster internal networking;
➡Application credentials in configuration files;
➡Writable hostPath mount;
➡CoreDNS poisoning;
➡ARP poisoning and IP spoofing.
• Collection:
➡Images from a private registry;
➡Collecting data from pod.
• Impact:
➡Data destruction;
➡Resource hijacking;
➡Denial of service.
• Fundamentals:
➡Nodes;
➡Services;
➡etcd;
➡RBAC;
➡Kubelet;
➡Namespaces;
➡Secrets;
➡Interesting Files.
S.E. ▪️ infosec.work ▪️ VT
🈁 Пишут, что "исходный код Claude Code" от Anthropic утёк в открытый доступ через map-файл в npm-реестре.
https://github.com/instructkr/claude-code
По одной из версий, Anthropic случайно включили в публичный npm-пакет @anthropic-ai/claude-code (версия 2.1.88) файл cli.js.map (57–60 МБ). Source map содержал полную карту оригинального TypeScript-кода и ссылку на ZIP-архив со всеми исходниками (около 512 000 строк, 1900–2300 файлов), который лежал открыто в их Cloudflare R2-бакете. Anthropic уже отреагировали. Выпустили обновление, убрали source maps из пакета и почистили старые версии в npm.
Почитать по документации тут...(Claude Code's Codebase)
Генеральный директор Anthropic не лгал, когда сказал:
«У меня в Anthropic есть инженеры, которые не пишут ни строчки кода, они просто позволяют Клоду писать код, а сами редактируют его и просматривают».
Он показал нам живой пример. Надо отдать ему🫡уважение за такую честность.
F5 Networks переклассифицировала уязвимость типа «DoS в BIG-IP APM на критическую RCE, предупреждая о ее задействовании злоумышленниками для развертывания веб-оболочек на устройствах без обновлений.
BIG-IP APM (Access Policy Manager) - это централизованное решение для управления доступом через прокси-сервер, позволяющее администраторам обеспечивать безопасность и управлять доступом пользователей к сетям, облаку, приложениям и API своих организаций.
Уязвимость отслеживается как CVE-2025-53521 и может быть использована злоумышленниками без соответствующих привилегий для удаленного выполнения кода при атаке на системы BIG-IP APM с политиками доступа, настроенными на виртуальном сервере.
Помимо указания на то, что уязвимость используется злоумышленниками в реальных условиях, F5 опубликовала замеченные IOCs, посоветовав проверить диски, журналы и историю терминалов систем BIG-IP на наличие признаков вредоносной активности.
В связи с новой информацией, полученной в марте 2026 года, помимо переклассификации в F5 подтвердили, что первоначальное устранение уязвимости CVE было оценивается как эффективное решение проблемы RCE в исправленных версиях.
F5 настоятельно рекомендует ознакомиться с корпоративной политикой безопасности для получения рекомендаций по процедурам обработки инцидентов, включая, помимо прочего, передовые методы криминалистического анализа, специфичные для вашей организации.
В частности, перед попыткой восстановления системы необходимо изучить политики, чтобы убедиться в их соответствии процедурам сбора доказательств и криминалистического анализа при инциденте безопасности.
В свою очередь, Shadowserver в настоящее время отслеживает более 240 000 экземпляров BIG-IP в сети, однако нет информации о том, сколько из них имеют уязвимую конфигурацию или уже защищены от атак CVE-2025-53521.
Американская CISA также добавило эту уязвимость в свой список активно используемых недостатков KEV в пятницу, отмечая, что этот тип уязвимости является распространенным вектором атак для злонамеренных киберпреступников и представляет значительные риски.
В последние годы уязвимости BIG-IP использовались APT-структурами и киберпреступными группировками для взлома корпоративных сетей, развертывания вредоносного ПО, захвата устройств и кражи конфиденциальных документов из сетей жертв.
Что неудивитлельно и вполне ожидаемо, ведь F5 - это технологический гигант из списка Fortune 500, предоставляющий услуги более чем 23 000 клиентам по всему миру, включая 48 компаний из списка Fortune 50.
Продолжаем отслеживать все новые итерации в кейсе BreachForums: спустя несколько дней после возрождения, пятая версия печально известного форума была вновь взломана.
По данным D3Lab, это уже четвертая версия/клон BreachForums, попавшая в сеть.
Регистрационные данные и личные сообщения пользователей были слиты в сеть группой ShinyHunters, а Have I Been Pwned (HIBP) уведомила об утечке.
Согласно уведомлению HIBP, в результате утечки были раскрыты приблизительно 339 800 уникальных адресов электронной почты, а также связанные с ними имена пользователей и хеши паролей Argon2.
Сам взлом произошел в начале марта 2026 года, и данные быстро распространились по подпольным каналам, прежде чем стать более широко доступными.
Хакеры ShinyHunters, непосредственно принимавшие участие в создании ранних версий форума, обещали взламывать и сливать в сеть любую новую «поддельную» версию, что и произошла с BreachForums[.]bf.
В сообщении хакеры отвергли легитимность нынешних админов, заявив, что BreachForums фактически прекратил существование после изъятия данных ФБР 10 октября 2025 года, утверждая, что последующие версии, включая 5, управлялись самозванцами. И, пожалуй, даже с ксивами.
ShinyHunters также пригрозили опубликовать дополнительные данные из бэкэнда, включая личные сообщения, IP-адреса и полные резервные копии базы данных, если BreachForums продолжит свою работу.
Исследователи предупреждают об уязвимости в плагине Smart Slider 3 для WordPress, которым активно пользуются админы более чем 800 000 сайтов.
Она потенциально может быть использована для предоставления пользователям с уровнем подписки доступа к произвольным файлам на сервере.
Авторизованный злоумышленник может использовать проблему для доступа к конфиденциальным файлам, таким как wp-config.php, который содержит учетные данные базы данных, ключи и данные «соли», что создает риск кражи пользовательских данных и полного захвата сайта.
Smart Slider 3 - один из самых популярных плагинов WordPress для создания и управления слайдерами изображений и каруселями контента. Он поддерживает простой в использовании редактор с функцией перетаскивания и богатый набор шаблонов на выбор.
Уязвимость отслеживается как CVE-2026-3098 и была обнаружена исследователем Дмитрием Игнатьевым. Затрагивает все версии плагина Smart Slider 3 вплоть до 3.5.1.33.
Уязвимость получила средний уровень серьезности из-за необходимости аутентификации. Однако это ограничивает ее воздействие только сайтами с возможностью членства или подписки, что является распространенной функцией на многих современных платформах.
Уязвимость связана с отсутствием проверок прав доступа в действиях экспорта AJAX плагина, что позволяет любому авторизованному пользователю, включая подписчиков, вызывать их.
По данным исследователей Defiant, функция actionExportAll не проверяет тип файла и источник, что позволяет считывать произвольные файлы с сервера и добавлять их в архив экспорта.
Наличие одноразового кода (nonce) не предотвращает злоупотребления, поскольку его могут получить авторизованные пользователи.
В уязвимой версии эта функция не включает проверку типа файла или источника файла, а это означает, что можно экспортировать не только файлы изображений или видео, но и файлы .php.
В конечном итоге это позволяет авторизованным злоумышленникам с минимальным доступом (подписчики), читать любой произвольный файл на сервере, включая файл wp-config.php.
Игнатьев сообщил о своих находках в Wordfence 23 февраля, специалисты которой подтвердили работоспособность предоставленного PoC и проинформировали Nextendweb, разработчика Smart Slider 3.
Nextendweb подтвердила получение сообщения 2 марта и 24 марта выпустила исправление Smart Slider в версии 3.5.1.34.
Согласно статистике WordPress, только за последнюю неделю плагин был загружен 303 428 раз. Так что как минимум 500 000 сайтов на WordPress продолжают использовать уязвимую версию плагина Smart Slider 3 и подвержены атакам.
Пока CVE-2026-3098 не отмечена как активно используемая, но этот статус вскоре точно изменится. Будем следить.
Исследователи Defused сообщают о нацеливании киберподполья на критическую уязвимость в платформе FortiClient EMS от Fortinet.
SQL-уязвимость, CVE-2026-21643, позволяет неавторизованным злоумышленникам выполнять произвольный код или команды в незащищенных системах посредством атак низкой сложности, нацеленных на графический интерфейс пользователя FortiClientEMS с помощью специально сформированных HTTP-запросов.
Ошибка была обнаружена внутри компании Гвендалем Геньо из группы безопасности продуктов Fortinet и позволяет внедрять SQL-запросы через заголовок Site в HTTP-запросе.
Она затрагивает версию FortiClient EMS 7.4.4 и может быть устранена путем обновления до версии 7.4.5 или более поздней. По данным Shodan, в открытом доступе находится около 1000 экземпляров Forticlient EMS.
По данным Defused, CVE-2026-21643 в настоящее время отмечена как неиспользуемая в списках CISA и других учетах известных эксплуатируемых уязвимостей (KEV), но была впервые использована еще 4 дня назад.
Fortinet, в свою очередь, пока не обновила свое уведомление по безопасности и не отметила, что уязвимость используется злоумышленниками. И в целом игнорирует обращения по этому поводу, ничего не комментируя.
Исследователи Shadowserver в настоящее время отслеживают более 2000 экземпляров FortiClient EMS с открытыми в сети веб-интерфейсами, при этом более 1400 IP-адресов находятся в США и Европе.
Данные Shodan рисуют в целом по решениям Fortinet не менее печальную картину.
В общей сложности CISA указываает 24 активно используемые уязвимости в Fortinet, 13 из которых применялись в атаках с использованием ransomware.
Исследователи Cyera выявили три уязвимости в LangChain и LangGraph, которые в случае успешной эксплуатации могут привести к раскрытию данных файловой системы, секретов среды и истории переписки.
LangChain и LangGraph - это фреймворки с открытым исходным кодом, используемые для создания приложений, работающих на основе больших языковых моделей (LLM).
LangGraph построен на основе LangChain и предназначен для более сложных и нелинейных агентных рабочих процессов. Согласно статистике PyPI, LangChain, LangChain-Core и LangGraph были загружены более 52 млн., 23 млн. и 9 млн. раз только за прошлую неделю.
Если вкратце, то эти проблемы предлагают три независимых пути, которые злоумышленник может использовать для извлечения конфиденциальных данных из любой корпоративной среды LangChain, и отслеживаются как:
- CVE-2026-34070 (CVSS: 7.5): уязвимость обхода пути в LangChain (langchain_core/prompts/loading.py), которая позволяет получить доступ к произвольным файлам без какой-либо проверки через API загрузки подсказок, предоставляя специально созданный шаблон подсказки.
- CVE-2025-68664 (CVSS: 9.3): уязвимость в LangChain, связанная с десериализацией недоверенных данных, которая приводит к утечке ключей API и секретов окружения путем передачи в качестве входных данных структуры данных, которая обманывает приложение, заставляя его интерпретировать ее как уже сериализованный объект LangChain, а не как обычные пользовательские данные.
- CVE-2025-67644 (CVSS: 7.3): уязвимость SQL-инъекции в реализации контрольных точек LangGraph SQLite, позволяющая злоумышленнику манипулировать SQL-запросами через ключи фильтрации метаданных и выполнять произвольные SQL-запросы к базе данных.
Успешная эксплуатация уязвимостей позволяет злоумышленнику считывать конфиденциальные файлы, такие как конфигурации Docker, извлекать секреты с помощью внедрения командной строки и получать доступ к истории переписки, связанной с конфиденциальными рабочими процессами.
Подробности по CVE-2025-68664 также были опубликованы Cyata в декабре 2025 года, в результате чего она получила криптоним LangGrinch.
Уязвимости были устранены в версиях: langchain-core 1.2.22 (CVE-2026-34070), langchain-core 0.3.81 и 1.2.5 (CVE-2025-68664) и langgraph-checkpoint-sqlite 3.0.1 (CVE-2025-67644).
Полученные результаты еще раз подчеркивают, что механизмы ИИ не застрахованы от классических уязвимостей, потенциально ставя под угрозу целые системы.
Причем, прошлая критическая уязвимость, затрагивающая Langflow (CVE-2026-33017, CVSS: 9.3), получила активную эксплуатацию в течение 20 часов после публичного раскрытия, позволяя злоумышленникам им похищать конфиденциальные данные из сред разработчиков.
Как отметили в Horizon3.ai, уязвимость имеет ту же первопричину, что и CVE-2025-3248, и связана с выполнением произвольного кода неаутентифицированными конечными точками.
Исследователи Cyera обращают внимание на то, что LangChain не существует изолированно, находится в центре огромной сети зависимостей, которая простирается по всему стеку ИИ. Сотни библиотек используют LangChain в качестве обертки, расширяют его или зависят от него.
И когда в ядре LangChain обнаруживается уязвимость, проблема затрагивает не только непосредственных пользователей, но и распространяется на каждую последующую библиотеку, каждую обертку, каждую интеграцию, которая наследует уязвимый участок кода.
По всей видимости, Hikvision взломали и залочили. Ожидаем подробностей.
Читать полностью…
Позитивы с своем новом отчете рассматривают Mustard Tempest, IAB, стоящую за операцией FakeUpdates/SocGolish, которая, по всей видимости, делегировала свою инфраструктуру APT-группировке Cloud Atlas.
В рассмотренной исследователями цепочке Mustard Tempest обеспечивает компрометацию легитимных веб-ресурсов и использует их для доставки вредоносного ПО с помощью FakeUpdates (SocGholish).
Последующие стадии могут реализовываться аффилированными или независимыми операторами, использующими инфраструктуру Mustard Tempest как готовую точку входа в инфраструктуру жертвы.
На примере разобранной в отчете атаки стало понятно, как могут строиться вредоносные кампании. Их собирают по принципу конструктора из готовых модульных сервисов по модели MaaS.
В одной цепочке одновременно задействуются скомпрометированные легитимные сайты, инфраструктура распределения и перенаправления трафика, промежуточные загрузчики и финальная полезная нагрузка, предназначенная для кражи данных.
Такой подход позволяет разным операторам вредоносного ПО отвечать только за свой этап атаки, не контролируя всю цепочку целиком.
Дополнительный интерес представляет то, что в период, когда Mustard Tempest распространяла вредоносное ПО через схему FakeUpdates, с тех же доменов по отдельным URL также распространялось вредоносное ПО Cloud Atlas.
Это наблюдение выбивается из ранее публично описанных для Cloud Atlas техник и тактик.
В предыдущих кампаниях группировка, как правило, использовала фишинговые документы, удаленные шаблоны и полезную нагрузку, размещенные на серверах, контролируемых самими атакующими, а не на скомпрометированных легитимных сайтах, уже задействованных другими хакерскими группировками.
С учетом этого можно рассматривать как минимум две гипотезы.
Первая связана с тем, что Cloud Atlas частично скорректировала свои TTPs, самостоятельно скомпрометировала легитимные веб-ресурсы и использовала их для доставки вредоносного ПО.
Вторая гипотеза указывает на то, что Cloud Atlas также изменила свои TTPs, однако не самостоятельно компрометировала веб-ресурсы, а приобрела доступ у Mustard Tempest.
При таком сценарии Mustard Tempest, помимо распространения вредоносного ПО через FakeUpdates, могут предоставлять доступ к своей инфраструктуре другим участникам хакерского сообщества на коммерческой или партнерской основе, чтобы те использовали такие ресурсы для размещения и доставки собственной вредоносной нагрузки вне сценария FakeUpdates.
Сложность в том, что одни и те же уязвимости и инфраструктуру активно используют как APT-группировки, так и обычные финансово мотивированные операторы MaaS.
В результате на одних и тех же ресурсах могут пересекаться сразу несколько групп разного уровня, профиля и мотивации.
Для исследователей это заметно повышает сложность анализа: становится труднее разграничивать роли отдельных участников атаки и корректно атрибутировать группировки.
Тем не менее, Позитивы постарались разобраться, а конкретика и технические подробности - в отчете.
Европейская служба кибербезопасности (CERT-EU) связала взлом облачных сервисов Европейской комиссии с активностью группировки TeamPCP, заявляя что в результате утечки были раскрыты данные как минимум 29 других организаций Европейского союза.
ЕК публично признала инцидент 27 марта после обращения журналистов за подтверждением того, что облачная среда Amazon главного исполнительного органа ЕС была взломана.
Двумя днями ранее Комиссия уведомила CERT-EU о взломе, заявив, что ее Центр кибербезопасности не получал уведомлений о неправомерном использовании API, потенциальной компрометации учетных записей или каком-либо аномальном сетевом трафике до 24 марта, через пять дней после первоначального вторжения.
10 марта группа TeamPCP использовала скомпрометированный ключ API Amazon Web Services с правами управления другими учетными записями AWS ЕК (украденный в ходе атаки на цепочку поставок Trivy) для взлома ее облачной среды Amazon.
На следующем этапе атаки они использовали TruffleHog для поиска дополнительных секретов, а затем прикрепили недавно созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, прежде чем провести дальнейшую разведку и украсть данные.
TeamPCP связывают также с недавними атаками на цепочки поставок, направленными на множество других платформ для разработки кода, таких как GitHub, PyPi, NPM и Docker.
Кроме того, они взломали LiteLLM PyPI в результате атаки, затронувшей десятки тысяч устройств, используя вредоносное ПО TeamPCP Cloud Stealer, предназначенное для кражи информации.
28 марта банда вымогателей ShinyHunters опубликовала украденный набор данных на своем DLS в даркнете в виде архива документов размером 90 ГБ (приблизительно 340 ГБ в несжатом виде), содержащего имена, адреса электронной почты и содержимое писем.
Анализ CERT-EU подтвердил, что злоумышленники похитили десятки тысяч файлов, содержащих личную информацию, имена пользователей, адреса электронной почты и содержимое электронных писем, и что в результате утечки данных потенциально пострадали 42 внутренних клиента ЕК и как минимум 29 других организаций ЕС, использующих хостинг europa.eu.
Набор слитых данных также содержит как минимум 51 992 файла, связанных с исходящими электронными письмами, общим объемом 2,22 ГБ.
В CERT-EU отметили, что в результате инцидента ни один сайт не был отключен или подвергнут каким-либо изменениям, равно как и не было обнаружено перемещения данных на другие учетные записи AWS Комиссии.
Анализ утекших баз данных и файлов продолжается и, вероятно, потребует «значительного количества времени». Так что пока Комиссия уведомила соответствующие органы по защите данных и находится в прямой связи с затронутыми организациями.
В еврочиновникам уже не привыкать: в феврале их также неплохо выпотрошили через взлом уязвимой EDM-платформы.
Cisco выпустила обновления безопасности для устранения ряда критических и серьезных уязвимостей, включая обход аутентификации интегрированного контроллера управления (IMC), который позволяет злоумышленникам получить административный доступ.
Cisco IMC, также известный как CIMC, представляет собой аппаратный модуль, встроенный в материнскую плату серверов Cisco, который обеспечивает внеполосное управление (даже если операционная система выключена или вышла из строя) для серверов UCS C-Series и E-Series через различные интерфейсы, включая XML API, веб-интерфейс (WebUI) и командную строку (CLI).
Уязвимость, CVE-2026-20093, затрагивает функцию смены пароля Cisco IMC и может быть удаленно использована неаутентифицированными злоумышленниками для обхода аутентификации и доступа к незащищенным системам с правами администратора.
Она обусловлена некорректной обработкой запросов на смену пароля. Злоумышленник может использовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию, изменить пароли любого пользователя в системе, включая администратора, и получить доступ к системе от имени этого пользователя.
Cisco (PSIRT) пока не обнаружила доказательств эксплуатации уязвимости в реальных условиях или нацеленного на нее PoC, но настоятельно рекомендует клиентам обновить ПО до исправленной версии, поскольку способов временного устранения уязвимости нет.
Исследователи CheckPoint предупреждают об обнаружении кампании, нацеленной на TrueConf с использованием 0-day, позволяющей выполнять произвольные файлы на всех подключенных устройствах.
Уязвимость отслеживается как CVE-2026-3502 и получила средний уровень серьезности. Она связана с отсутствием проверки целостности в механизме обновления ПО, что может быть использовано для замены легитимного обновления вредоносным вариантом.
TrueConf - это платформа для видеоконференций, которая может работать как сервер с самостоятельным размещением. Хотя она также поддерживает облачные развертывания, в целом она предназначена для закрытых, автономных сред.
По данным поставщика, cреди пользователей TrueConf - вооруженные силы, госучреждения, нефтегазовые корпорации и компании по управлению воздушным движением.
Исследователи отслеживают кампанию как TrueChaos с начала года и фиксируют основной таргет на государственные структуры в Юго-Восточной Азии.
По данным CheckPoint, злоумышленник, получивший контроль над локальным сервером TrueConf, может заменить ожидаемый пакет обновления произвольным исполняемым файлом, представленным как текущая версия приложения, и распространить его среди всех подключенных клиентов.
Поскольку клиент доверяет предоставленному сервером обновлению без надлежащей проверки, вредоносный файл может быть доставлен и запущен под видом легитимного обновления TrueConf.
Уязвимость затрагивает все версии TrueConf от 8.1.0 до 8.5.2. После уведомления CheckPoint поставщик выпустил исправление в версии 8.5.3 в марте 2026 года.
CheckPoint с умеренной степенью уверенности приписывает TrueChaos нейстановленной китайской APT, основываясь на TTPs, использовании Alibaba Cloud и Tencent для размещения инфраструктуры C2, а также данных о жертвах.
Атаки распространились через централизованно управляемый правительственный сервер TrueConf, затронув множество ведомств и распространяя вредоносные файлы посредством поддельных обновлений всем подключенным клиентам TrueConf.
Цепочка заражения включает в себя установку DLL-файлов и развертывание инструментов разведки (tasklist, tracert), повышение привилегий (обход UAC через iscicpl.exe) и обеспечение постоянного присутствия в системе.
Исследователям не удалось восстановить финальную полезную нагрузку, но они отметили, что сетевой трафик указывал на инфраструктуру управления и контроля Havoc.
Havoc представляет собой платформу управления и контроля с открытым исходным кодом, способную выполнять команды, управлять процессами, манипулировать токенами Windows, выполнять шелл-код и развертывать дополнительные полезные нагрузки.
Ранее Havoc использовалась китайской Amaranth-Dragon, подразделением APT-41 в атаках с аналогичным целевым охватом.
В отчете CheckPoint отмечены IOCs& К явным признакам взлома относятся наличие poweriso.exe или 7z-x64.dll, а также другие подозрительные артефакты, такие как %AppData%\Roaming\Adobe\update.7z или iscsiexe.dll.
❗️ Microsoft обвинила северокорейских хакеров во взломе Axios
Подразделение Microsoft Threat Intelligence считает, что за атакой на npm-пакет Axios (версии 1.14.1 и 0.30.4) стоит северокорейская хакерская группировка 🇰🇵Sapphire Sleet, которая осуществила масштабную атаку на цепочку поставок, скомпрометировав популярный путем внедрения фиктивной зависимости plain-crypto-js.
При автоматическом обновлении или установке этих версий скрытый компонент без участия пользователя загружает троян удаленного доступа (RAT), адаптированный под конкретную ОС (Windows, macOS или Linux), предоставляя злоумышленникам контроль над рабочими станциями разработчиков и системами CI/CD для последующей кражи криптовалютных активов. Для устранения угрозы организациям необходимо немедленно сделать откат Axios до безопасных версий (1.14.0 или 0.30.3), ротировать все потенциально скомпрометированные учетные данные и секреты, а также отключить автоматическое обновление минорных версий пакетов.
✋ @Russian_OSINT
Исследователи Check Point Research сообщают об обнаружении масштабную атаку методом перебора паролей на учетные записи Microsoft 365 государственных и частных организаций на Ближнем Востоке, за которой, как они предполагают, стоит проиранская APT-группировка.
Несмотря на то, что подобные кампании встречаются повсеместно, именно эта привлекла внимание исследователей, поскольку была направлена на муниципалитеты Израиля и ОАЭ, пострадавшие от ударов иранских беспилотников и ракет.
В первую очередь, эта кампания была направлена на муниципалитеты, которые играют решающую роль в ликвидации последствий ракетных обстрелов.
Кроме того, исследователи наблюдали некоторую корреляцию между целями этой кампании и городами, которые подверглись ракетным ударам со стороны Ирана в марте, что говорит о вероятной поддержки кинетических операций и мероприятий по оценке ущерба от бомбардировок.
Кампания началась в начале марта, как раз в тот момент, когда Иран начал восстанавливать свои позиции после первых ударов США и Израиля, в результате которых в конце февраля было ликвидировано руководство Ирана, включая десятки высокопоставленных правительственных чиновников, военных и сотрудников разведки.
По мере того, как Иран собирал свои хакерские группы и давал им новые инструкции, Check Point наблюдала за активностью по подбору паролей методом перебора.
В основном объектами атак были израильские организации. Организации в ОАЭ, Саудовской Аравии и Европе также подвергались атакам, но в гораздо меньшей степени. Работы проводились в три этапа в течение марта. При этом проработка по территориям продолжается до сих пор.
Помимо муниципальных органов власти кампания также охватила частные предприятия, связанные с войной, включая компании спутниковой, авиационной, энергетической и морской отраслей.
Как полагают в Check Point, эта кампания представляет собой довольно очевидную операцию по сбору развединформации. Вместе с тем, они также признают, что стопроцентной точности атрибутировать ее невозможно.
Но это никак не мешает Check Point приписать активность в своем отчете к Gray Sandstorm, иранской APT-группировке, которая использует перебор паролей в качестве первоначального способа доступа с 2021 года.
Таким образом, можно уже сейчас атрибутировать будущие атаки на американских технологических гигантов на Ближнем Востоке, инфраструктура которых объявлена целями потенциальных иранских ударов, начиная с 1 апреля.
В общем списке 18 компаний, которые, по данным иранской стороны, оказывают поддержку израильским и американским военным операциям: в том числе Google, Apple, Microsoft и NVIDIA.
По всей видимости, первыми все же будут реализованы атаки методом перебора дронов и ракет.
Google выпустила экстренные обновления для устранения еще одной уже четвертой с начала года исправленной 0-day в Chrome, которая используется в атаках.
CVE-2026-5281, согласно подробно описанной истории изменений Chromium, связана с уязвимостью типа «использование памяти после освобождения» в Dawn, базовой кроссплатформенной реализации стандарта WebGPU, используемой проектом Chromium.
Злоумышленники могут использовать ее для того, чтобы вызывать сбои в работе браузера, повреждение данных, проблемы с отображением или другое аномальное поведение.
Как заявляют в Google, у компании есть доказательства того, что злоумышленники использовали 0-day в реальных условиях, но подробности этих инцидентов не разглашаются.
Доступ к подробной информации об ошибке, как обычно, ограничен до тех пор, пока большинство пользователей не получат обновление с исправлением.
Google устранила уязвимость для пользователей стабильного канала настольных ПК. Новые версии уже доступны для Windows, macOS (146.0.7680.177/178) и Linux (146.0.7680.177).
Это уже четвёртая активно используемая 0-day в Chrome, исправленная с начала года.
Напомним, первая (CVE-2026-2441) представляла собой ошибку аннулирования итератора в CSSFontFeatureValuesMap (реализация значений характеристик шрифтов CSS в Chrome), которую Google устранила в середине февраля .
Две другие CVE в Chrome, использованные в атаках ранее в этом месяце: уязвимость записи за пределы допустимого диапазона в библиотеке 2D-графики Skia (CVE-2026-3909), а вторая - уязвимость некорректной реализации в движке V8 JavaScript и WebAssembly (CVE-2026-3910).
В прошлом году Google устранила в общей сложности 8 нулей, которые использовались злоумышленниками, многие из которых были обнаружены группой анализа угроз Google (TAG), известной отслеживанием и идентификацией уязвимостей нулевого дня, используемых в шпионских атаках.
Исследователи BI.ZONE обнаружили кампанию кибершпионажа, в которой вредоносные ПО распространялись под видом сервисов для регистрации устройств Starlink, а также приложений для обучения управлению беспилотными летательными аппаратами (БПЛА).
В рамках расследования Бизонам удалось выявить три кластера злоумышленников: Paper Werewolf (GOFFEE), Versatile Werewolf (HeartlessSoul) и ранее не описанный Eagle Werewolf.
Несмотря на общую цель и схожесть используемых подходов, субъекты угроз действовали автономно, без признаков прямой координации. При этом активно использовали новостную повестку для проведения таргетированных атак.
Первая, Paper Werewolf, помимо распространения вредоносного ПО, также нацеливается на телеграм‑аккаунты пользователей. Вероятно, в дальнейшем использует их как доверенные каналы для развития атак.
В ходе обнаруженной кампании хакеры создали специализированный ТГ-канал для распространения трояна EchoGather под видом приложения для управления Starlink в обход ограничений со стороны производителя, так как использование устройств в России ограничено.
Опубликованный в канале исполняемый файл является C#‑дроппером, который содержит в ресурсах нагрузку (EchoGather), закодированную Base64 и зашифрованную алгоритмом XOR.
Используя тот же телеграм‑канал, Paper Werewolf распространяла ссылку на промежуточный фишинговый ресурс, с помощью которого атакующие получали доступ к телеграм‑аккаунту жертвы.
В рамках кампании, связанной с БПЛА, Paper Werewolf использовала сетевой ресурс battleflight[.]org для распространения EchoGather через размещаемый на нем C#‑дроппер, замаскированный под установщик симулятора для обучения пилотированию БПЛА.
Запуск EchoGather RAT осуществляется в процессе установки приложения BattleFlight. В конце установки появляется сообщение об ошибке.
Другая, Versatile Werewolf, применяла в атаках инструменты, созданные с использованием генеративного ИИ, что ускоряет их разработку.
В ходе обнаруженной кампании Versatile Werewolf использовала сетевой ресурс stardebug[.]app для распространения ВПО через вредоносный MSI‑установщик, связанный с StarDebug - альтернативным приложением для управления терминалами спутниковой связи компании Starlink.
Финальной полезной нагрузкой выступает обфусцированный троян удаленного доступа на JavaScript, написанный с применением генеративного ИИ под названием SoullessRAT.
И, наконец, третья - Eagle Werewolf скомпрометировала тематический телеграм‑канал для распространения вредоносного ПО в рамках своей кампании.
Обнаруженную активность по кампании по регистрации устройств Starlink Бизонам удалось связать с более ранней атакой, описанной Positive Technologies.
После ретроспективного исследования выявленную вредоносную активность выделили в отдельный кластер - Eagle Werewolf, активный с мая 2023 года.
Eagle Werewolf атакует преимущественно гос-и проморганизации, а также физлиц, связанных с производством БПЛА. Метод первоначального доступа - таргетированные фишинговые рассылки, а в феврале стал использоваться также тематический ТГ‑канал для распространения ВПО.
В арсенале группы следующие вредоносные ПО: C#-дроппер (использовался в старых кампаниях), Rust-дроппер, Go-дроппер, Go2Tunnel (инструмент для создания SSH‑туннеля) и AquilaRAT.
Технические подробности и разбор каждого кластера, включая IOCs - в отчете.
В результате крупной атаки на цепочку поставок, направленной против широко используемой библиотеки JavaScript Axios, разработчики на короткое время подверглись воздействию скрытого RAT.
Инцидент произошел в период с 30 по 31 марта 2026 года, когда злоумышленники получили контроль над учетной записью npm, принадлежащей сопровождающему проекта Axios jasonsaayman.
Исследователи из Socket и независимые аналитики выявили, что два измененных релиза, axios@1.14.1 и axios@0.30.4, были опубликованы с разницей в 39 минут, оба вне обычного рабочего процесса релизов проекта на основе GitHub.
Злоумышленник изменил адрес электронной почты учетной записи на ProtonMail и использовал украденный токен npm для обхода механизма доверенной публикации репозитория.
Axios - один из наиболее распространенных HTTP-клиентов в экосистеме JavaScript, насчитывающий сотни миллионов загрузок в месяц и широко используемый во фронтенд-фреймворках, бэкенд-сервисах и корпоративных приложениях.
Его популярность значительно усилила потенциальный ущерб, поскольку проекты, использующие разрешительные диапазоны версий, могли автоматически загружать вредоносные обновления во время обычной установки.
Примечательно, что злоумышленники не модифицировали исходный код Axios. Вместо этого они добавили единственную «фантомную» зависимость, plain-crypto-js@4.2.1, которая никогда не импортируется легитимной библиотекой.
Этот пакет, опубликованный незадолго до атаки с отдельного временного аккаунта (nrwise@proton.me), был разработан исключительно для выполнения скрипта postinstall во время установки npm.
Анализ показал, что вредоносная зависимость развернула многоступенчатую цепочку заражения. Встроенный в неё дроппер (setup.js) использовал многоуровневую обфускацию для сокрытия функциональности, а затем связался с сервером C2 по адресу sfrclak[.]com:8000 для получения платформоспецифических полезных нагрузок.
Вредоносное ПО доставило:
- Mach-O RAT на macOS, замаскированный под файл системного кэша (/Library/Caches/com.apple.act.mond);
- Вредоносную ПО на основе PowerShell для Windows, выполняемую с помощью скрытого скрипта VBScript и переименованного интерпретатора (%PROGRAMDATA%\wt.exe);
- Бэкдор на основе Python для Linux, сохраненный в /tmp/ld.py.
В итоге была получена полностью функциональная удаленная вредоносная программа (RAT), способная осуществлять разведку системы, выполнять команды и развертывать полезную нагрузку, а также периодически отправлять сигналы на инфраструктуру злоумышленника.
Чтобы избежать обнаружения, вредоносная ПО использовала методы противодействия, удалив себя, свой вредоносный файл package.json и заменив его чистым файлом-приманкой. Фактически это позволило стереть видимые следы из папки node_modules, сделав традиционные проверки ненадежными.
Во многих случаях единственным оставшимся индикатором компрометации является неожиданное присутствие каталога plain-crypto-js или артефактов на уровне ОС, оставленных полезной нагрузкой второго этапа.
Атака была тщательно спланирована. Сначала была опубликована безобидная версия plain-crypto-js для подтверждения её безопасности, а через несколько часов - версия, предназначенная для атаки.
Затем вредоносные релизы Axios были выпущены после того, как зависимость достаточно устарела, чтобы избежать подозрений со стороны автоматизированных сканеров.
Обе скомпрометированные версии Axios были удалены npm примерно за три часа, а вредоносная зависимость была заменена на заполнитель безопасности.
Однако короткого периода уязвимости оказалось достаточно, чтобы представлять серьезную угрозу, особенно для конвейеров CI/CD и автоматизированных сборок.
Разработчикам рекомендуется проверить наличие axios@1.14.1, axios@0.30.4 или plain-crypto-js, и если они обнаружены, сменить все учетные данные и выполнить полную очистку системы.
Как мы и предполагали, хакеры достаточно оперативно приступили к эксплуатации критической CVE-2026-3055 в устройствах Citrix NetScaler ADC и NetScaler Gateway.
Citrix впервые сообщила об уязвимости в бюллетене от 23 марта, наряду с серьезной уязвимостью, связанной с состоянием гонки, отслеживаемой как CVE-2026-4368. Проблема затрагивает версии двух продуктов до 14.1-60.58, версии старше 13.1-62.23 и версии старше 13.1-37.262.
Поставщик подчеркнул, что уязвимость затрагивает только устройства, настроенные как поставщики идентификационных данных SAML (IDP), и отметил, что принимать меры требуется только от администраторов, управляющих локальными устройствами.
В ответ на это сообщение ряд ИБ-компаний отметили, что CVE-2026-3055 представляет значительный риск в виду технического сходства с широко используемыми уязвимостями CitrixBleed и CitrixBleed2 2023 и 2025 годов соответственно.
В свою очередь, watchTowr в субботу заметила разведактивность, нацеленную на уязвимые экземпляры, и предупредила о неизбежности эксплуатации уязвимостей в реальных условиях.
На следующий день исследователи подтвердили, что злоумышленники начали использовать уязвимость с 27 марта для извлечения идентификаторов сеансов администрирования аутентификации, что позволяет полностью захватить контроль над устройствами NetScaler.
Анализ watchTowr показывает, что CVE-2026-3055 фактически охватывает как минимум две отдельные ошибки, связанные с перехватом данных из памяти, а не одну.
Первая затрагивает конечную точку /saml/login, обрабатывающую аутентификацию SAML, а вторая - конечную точку /wsfed/passive, используемую для пассивной аутентификации WS-Federation.
Исследователи наглядно продемонстрировали, что уязвимость может быть использована для получения доступа к «конфиденциальной информации, включая идентификаторы аутентифицированных административных сессий».
В watchTowr отдельно отметили неполное раскрытие со стороны Citrix информации о проблеме безопасности в своем бюллетене, что ими рассматривается как «неискреннее» поведение.
Они также поделились скриптом на Python, который помогает выявлять уязвимые хосты в их средах. Вместе с тем, в бюллетене Citrix до сих пор не упоминается об использовании CVE-2026-3055.
По состоянию на 28 марта, по данным ShadowServer Foundation, в сети находятся 29 000 экземпляров NetScaler и 2250 экземпляров Gateway, но какой процент из них уязвим к CVE-2026-3055 пока непонятно. Будем следить.
Apple добавила в macOS скрытую функцию безопасности, предупреждающую пользователей о возможных атаках ClickFix. Она была незаметно реализована в macOS 26.4, выпущенную на прошлой неделе.
Принцип заключается во введении всплывающего окна на экране всякий раз, когда пользователь пытается скопировать и вставить команды из браузера в окно Терминала.
Такое всплывающее окно призвано привлечь внимание менее технически подкованных пользователей macOS к новой технике атаки.
ClickFix впервые была обнаружена в реальных условиях в 2024 году. Злоумышленники используют веб-сайты с поддельными ошибками или неработающими CAPTCHA, которые предлагают пользователям скопировать и вставить фрагмент кода в окно командной строки терминала.
Блок кода обычно содержит закодированные или замаскированные команды операционной системы, которые загружают и устанавливают вредоносное ПО.
Первоначально атаки были направлены на Windows, но в прошлом году расширились на macOS и впоследствии на Linux. При этом ClickFix на macOS стала особенно популярна к концу 2025 года.
В настоящее время это один из наиболее распространенных методов распространения вредоносного ПО, столь же популярный, как электронная почта и загрузка бесплатного программного обеспечения с ловушками.
Huntress сообщила, что более половины инцидентов с вредоносным ПО, отслеженных ею в прошлом году, произошли через ClickFix.
Всплывающее окно, изображенное ниже, не блокирует пользователям возможность вставки команд, но выдаст предупреждение тем, кто не знаком с методом ClickFix.
Помимо этого в ответ на Coruna и DarkSword Apple теперь также отправляет уведомления на экран блокировки iPhone и iPad с более старыми версиями iOS и iPadOS, предупреждая пользователей о веб-атаках с призывом установить обновление.
Это произошло спустя неделю после того, как Apple выпустила бюллетень, в котором просила пользователей старых версий iOS и iPadOS обновить свои устройства в связи с обнаружением новых эксплойт-комплектов.
Но обольщаться по поводу «яблочной» заботы не стоит.
Согласно недавно рассекреченным судебным документам, Apple предоставляла правоохранительным органам США подлинные данные анонимизированного адреса электронной почты iCloud, сгенерированного с помощью функции «Скрыть мою электронную почту».
В документах подробно описывается расследование ФБР по поводу электронного письма с угрозами, отправленного 28 февраля 2026 года Алексис Уилкинс, которая в своем заявлении под присягой указана как подруга директора ФБР Кеша Пателя.
Согласно показаниям под присягой, Уилкинс получила сообщение с адреса созданного с помощью функции Apple. После обращения агентов к Apple, компания предоставила все исчерпывающие данные пользователя, связывающие псевдоним с основным Apple ID.
В числе дополнительных технических данных, предоставленных Apple, были указаны устройства, связанные с учетной записью, такие как iPhone 17 Pro, iPad Mini и Apple Watch Ultra 3.
Все эти сведения, наряду с журналами и метаданными в сервисах Apple, включая IP и историю активности учетной записи, помогли следователям установить причастность к инциденту.
С прошлой недели наблюдаем Кеша Пателя в лентах соцмедиа, куда сливается разная личная информация на директора ФБР США после того, как проиранская Handala расчехлила его электронную почту.
Заингнорить и списать все представленные пруфы на нейронки, очевидно, неподъемная задача, так что ФБР не осталось иного выбора, как подтвердить факт взлома.
При этом, согласно заявлению бюро, украденные данные были получены уже давно и не содержали никакой правительственной информации.
Напомним, в пятницу Handala также официально объявила на одном из своих сайтов, что Патель был добавлен в список их жертв, утверждая, что им удалось проникнуть в «т.н. «сверхзащищенные» системы ФБР» всего за несколько часов.
Хакеры связали свою атаку с ответом на конфискацию со стороны ФБР ее доменов и объявлением правительством США вознаграждения в размере до 10 млн. долл. за информацию о членах группы. Однако хакерам удалось первее взломать директора ФБР в Gmail.
Как заявили хакеры из Handala, им удалось выгрести всю личную и конфиденциальную информация Пателя, включая электронные письма, переписку, документы и даже секретные файлы.
Вместе с тем, пока неясно к какому периоду времени относится заявленная утечка. Есть мнение, что слитые данные могли быть получены до того, как Патель занял пост директора ФБР.
В свою очередь, в ФБР сообщают, что им известно о том, что хакеры «нацелились на личную электронную почту директора Пателя». Агентство якобы приняло все необходимые меры безопасности для минимизации любых негативных последствий.
Ведомство списывает атаку на более ранний инцидент и заявляет, что «информация, о которой идет речь, носит исторический характер и не является правительственной»
Тем не менее, группа хактивистов Handala ранее взламывала среду Microsoft медицинского технологического гиганта Stryker, по результатам застерла данные почти с 80 000 устройств.
Так что пока непонятно, кому верить. Вероятно, на пороге слива имеются и иные данные. Будем посмотреть.
25 марта 2026 года Snow из SnowTeam опубликовал на TierOne рекламу нового типа «DLS».
Новый сервис называется Leak Bazaar и, по всей видимости, является новой ступенью в эволюции вымогательства.
Основная суть заключается не в реализации банального агрегирования данных, а, прежде всего, в возможности их обработки, превращая в нечто более понятное, более избирательное, точное и доступное при этом для широкой аудитории.
Когда злоумышленник крадет большой объем корпоративных данных, а жертва отказывается платить, эти данные не всегда легко конвертируются в деньги.
Публичное раскрытие информации может быть полезно в качестве тактики давления, но необработанный дамп часто слишком велик, слишком неорганизован и слишком неравномерен по качеству, чтобы иметь какую-либо ценность, кроме принуждения.
Зачастую украденные массивы содержат системные файлы, дубликаты, устаревшие записи, некорректные экспорты, нерелевантные бинарные файлы и большие дампы баз данных, которые теоретически могут содержать ценную информацию, но требуют доработки, прежде чем их использовать.
Типичный дамп базы данных может содержать крайне конфиденциальные финансовые данные, но если он хранится в экспортированных файлах SQL, SAP или Oracle без среды для его восстановления и интерпретации, большая часть его ценности остается недоступной.
Leak Bazaar заявляет, что может раскрыть эту скрытую ценность, преобразуя сложные данные в чистые выходные файлы, такие как электронные таблицы и структурированные выписки.
Предлагаемая SnowTeam бизнес-модель Leak Bazaar на самом деле предлагает не DLS, не выделенный ЦОД и не специализированный сайт для накопления утечек в традиционном понимании, а по сути сервисный слой для постэксфильтрационной обработки.
Исследователи Лаборатории Касперского в своем новом масштабном отчете Kaspersky Security Services представили аналитику со статистическими данными по управляемому обнаружению и реагированию на инциденты в аспекте регионов и отраслей за 2026 год.
Кроме того, также впервые в него включены данные по оценке компрометации и консалтингу в области SOC, открывая более полное представление о различных аспектах корпоративной информационной безопасности во всем мире.
Раскрываются TTPs и инструменты, наиболее часто используемые злоумышленниками, а также даются практические рекомендации организациям любого размера по подготовке к реальным угрозам.
Исследователи отмечают, что реализация услуг Kaspersky MDR и IR осуществляется в глобальном масштабе. Большинство клиентуры базируется в СНГ (34,7%), на Ближнем Востоке (20,1%) и Европе (18,6%).
Как и в предыдущем году, в 2025 году инфраструктура MDR получала и обрабатывала в среднем 15 000 телеметрических событий на каждый хост ежедневно, генерируя в результате оповещения о безопасности.
Эти оповещения сначала обрабатываются логикой обнаружения на основе ИИ, после чего аналитики SOC Kaspersky обрабатывают их по мере необходимости.
В общей сложности в 2025 году было сгенерировано около 400 000 оповещений. После отсеивания ложных срабатываний 39 000 оповещений были дополнительно исследованы.
Распределение запросов на устранение последствий кибератак по отраслям несколько изменилось по сравнению с предыдущими годами.
Государственные (18,5%) и промышленные (16,6%) организации по-прежнему являются наиболее подверженными кибератакам, требующим реагирования на инциденты.
Однако в этом году в ИТ-секторе наблюдался рост числа запросов на реагирование, и он в итоге занял третье место в общем рейтинге распределения по отраслям, вытеснив финансовые организации, которые подвергались атакам реже, чем в 2024 году.
Это в равной степени справедливо и для атак меньшего масштаба, которые можно локализовать и устранить автоматизированными средствами - единственное отличие заключается в том, что финансовые организации чаще сталкиваются с инцидентами средней и низкой степени серьезности.
Ключевые выводы и тенденции кибератак в 2025 году:
- Число инцидентов высокой степени серьезности снизилось, следуя тенденции с 2021 года. Большинство из них приходится на APT-атаки и red teaming.
- Наиболее часто используемые в реальных условиях уязвимости были связаны с продуктами Microsoft. Половина всех выявленных CVE приводила к RCE, в некоторых случаях, как правило, без аутентификации.
- Использование уязвимостей в общедоступных приложениях, действительных учетных записях и доверительных отношениях остается наиболее распространенным первоначальным вектором атаки, и их общая доля увеличилась, составив более 80% всех атак в 2025 году. В частности, атаки через доверительные отношения развиваются: их доля выросла с 12,8% в 2024 году до 15,5%. Они также становятся более сложными: так, злоумышленники последовательно скомпрометировали более двух организаций, чтобы в конечном итоге получить доступ к третьей цели.
- Стандартные утилиты Windows остаются популярным инструментом LOL, минимизируя риски обнаружения при доставке на скомпрометированную систему. Наиболее популярными LOLBins в инцидентах высокой степени серьезности были powershell.exe (14,4%), rundll32.exe (5,9%) и mshta.exe (3,8%). Среди наиболее популярных легитимных инструментов - Mimikatz (14,3%), PowerShell (8,1%), PsExec (7,5%) и AnyDesk (7,5%).
Настоятельно рекомендуем ознакомиться с полной версией глобального отчета за 2026 год, который содержит дополнительную информацию о кибератаках, включая реальные случаи, выявленные экспертами Лаборатории Касперского.
Отчет включает всесторонний анализ первоначальных векторов атаки в соответствии с MITRE ATT&CK, а также полный список уязвимостей, обнаруженных ЛК в ходе реагирования на инциденты.
Упоминая Coruna, не можем не отметить новый отчет исследователей из Лаборатории Касперского, которым по итогу удалось отыскать взаимосвязи используемых в платформе эксплойтов и уязвимостей с Операцией Триангуляция.
Напомним, 4 марта Google и iVerify выдали отчеты (1 и 2 соответственно) о технически сложном наборе эксплойтов для компрометации устройств Apple iPhone.
По данным Google, инструментарий впервые был замечен в целевых атаках, организованных клиентом неназванного поставщика шпионского ПО.
Позднее набор использовался другими злоумышленниками в атаках типа watering hole на Украине, а также в финансово мотивированных кампаниях в Китае.
Кроме того, исследователи обнаружили отладочную версию набора, анализ которой выявил внутренние имена эксплойтов и авторское название фреймворка - Coruna.
В результате исследования выяснилось, что фреймворк эксплуатирует ряд ранее исправленных уязвимостей, в том числе CVE-2023-32434 и CVE-2023-38606. Обе заслуживают особого внимания, так как изначально они использовались в качестве 0-day в Операции Триангуляция.
Последняя представляет собой сложную APT-кампания в отношении мобильных устройств на базе iOS. ЛК смогла обнаружить ее в ходе мониторинга трафика в собственной корпоративной сети Wi-Fi, когда заметили подозрительную активность, исходящую от iOS-смартфонов.
В процессе расследования выяснилось, что в этой кампании был задействован сложный шпионский имплант и множество 0-day эксплойтов.
Расследование заняло более полугода, в течение которого исследователи ЛК публиковали свои находки, связанные с этой атакой. Эксперты GReAT ЛК также представили результаты своего расследования на 37-й конференции Chaos Communication Congress (37C3).
Полное описание уязвимостей CVE-2023-32434 и CVE-2023-38606 уже давно стало достоянием общественности, благодаря чему сторонние исследователи смогли разработать собственные эксплойты, не имея доступа к исходному коду Операции Триангуляция.
Несмотря на это, в ЛК решили провести тщательный анализ эксплойтов из состава фреймворка Coruna.
Поскольку некоторые ссылки для распространения набора эксплойтов, упомянутые в отчете Google, оставались активными на момент его публикации, исследователям удалось собрать, расшифровать и изучить все компоненты Coruna.
Как выяснилось, эксплойт для уязвимостей ядра CVE-2023-32434 и CVE-2023-38606 в составе Coruna фактически является обновленной версией того же самого эксплойта, который применялся в Операции Триангуляция.
Более того, в составе Coruna исследователи заприметили еще четыре дополнительных эксплойта уровня ядра, отсутствовавшие в Операции Триангуляция - причем два из них были разработаны уже после обнаружения кампании.
Все упомянутые эксплойты построены на базе единого фреймворка и содержат общий код. Сходства в коде эксплойтов уровня ядра также прослеживаются и в других компонентах Coruna.
Такие артефакты позволяют сделать четкий вывод, что этот набор эксплойтов не был составлен из разрозненных частей, а спроектирован единым образом.
В ЛК полагают, что Coruna - не что иное, как обновленная версия того же фреймворка, который, как минимум частично, применялся в Операции Триангуляция.
Так что исследование задействованных в Coruna эксплойтов и уязвимостей в ЛК решили продолжить, а пока представили обобщенный обзор этого набора и цепочки атак.
Все технические подробности, как обычно - в отчете. Продолжаем следить.