39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Cyera сообщают, что все версии OpenSSH, выпущенные за последние 15 лет, подвержены уязвимости, приводящей к получению полного доступа к корневой оболочке, а атаки невозможно обнаружить с помощью анализа логов.
Уязвимость отслеживается как CVE-2026-35414 (CVSS 8.1) и описывается как некорректная обработка параметра authorized_keys principals в определенных сценариях, связанных с центрами сертификации (CA), использующими символы запятой.
По данным Cyera, из-за этой ошибки запятая в имени основного сертификата SSH приводит к обходу контроля доступа OpenSSH, позволяя пользователям аутентифицироваться как root на уязвимом сервере, при условии наличия у них действительного сертификата от доверенного центра сертификации.
Уязвимость заключается в ошибке повторного использования кода, из-за которой простая запятая в основном сертификате была случайно интерпретирована парсером как разделитель списка, в результате чего учетная запись с низкими привилегиями превратилась в корневые учетные данные.
Сервер считает аутентификацию легитимной, а это значит, что данная атака не регистрирует сбой аутентификации в журналах, что делает обнаружение на основе журналов крайне ненадежным.
Как поясняет Cyera, CVE-2026-35414 затрагивает список субъектов, который включает имена пользователей, под которыми владелец сертификата может проходить аутентификацию, и субъекты authorized_keys, содержащие ключи, используемые серверами для подтверждения доверия к сертификатам.
Проблема заключается в том, что функция, обрабатывающая согласование списков шифров и ключей для обмена, сравнивает разделенные запятыми списки шифров во время обмена ключами, разделяет их по запятой и включает аутентификацию, если хотя бы один из фрагментов совпадает со значением субъекта.
Так что если сертификат содержит имя principaldeploy, root, OpenSSH разделяет запятую и предоставляет полный доступ с правами root.
Вторая функция, которая также проверяет авторизацию, рассматривает тот же субъект как единую строку и запрещает доступ. Однако, если строка совпадает, последующие параметры приводят к тому, что проверка субъекта полностью пропускается.
По данным Cyera, успешная эксплуатация уязвимости может предоставить злоумышленнику корневой доступ ко всем серверам организации, если на них запущен уязвимый протокол.
CVE-2026-35414 была устранена в начале апреля в версии OpenSSH 10.3, в связи с чем рекомендуется провести аудит сред и как можно скорее обновиться до исправленной версии.
По данным Shadowserver более 10 000 экземпляров Zimbra Collaboration Suite (ZCS) в сети уязвимы для продолжающихся атак, использующих уязвимость межсайтового скриптинга (XSS).
Zimbra - это популярный пакет программного обеспечения для электронной почты и совместной работы, которым пользуются сотни миллионов пользователей по всему миру, включая госучреждения и предприятия.
Уязвимость отслеживается как CVE-2025-48700 и затрагивает ZCS 8.8.15, 9.0, 10.0 и 10.1, позволяя неавторизованным злоумышленникам получить доступ к конфиденциальной информации после выполнения произвольного JavaScript-кода в рамках пользовательской сессии.
В июне 2025 года Synacor выпустила обновления для ее устранения, предупредив, что эксплойты не требуют взаимодействия с пользователем и могут быть активированы при просмотре пользователем специально созданного вредоносного электронного письма в пользовательском интерфейсе Zimbra Classic.
На этой неделе CISA отметила CVE-2025-48700 как активно используемую злоумышленниками и добавила в свой каталог KEV, полагаясь на доказательства активной эксплуатации.
В Shadowserver также предупредили, что более 10 500 серверов Zimbra, оказавшихся в открытом доступе, остаются без обновлений, большинство из них находятся в Азии (3794) и Европе (3793).
При этом, как показывает практика, уязвимости в Zimbra часто использовались в атаках и за последние годы для взлома тысяч уязвимых почтовых серверов. Так что избежать новой атаки на цепочку мудаков вряд ли получится и на этот раз. Но будем посмотреть.
6️⃣ Первый след (апрель 2017 года): артефакты Fast16 былb обнаружен в апреле 2017 года после утечки данных. Хакерская группировка Shadow Brokers опубликовала в открытом доступе секретные инструменты 🇺🇸АНБ США. Документ содержал упоминание драйвера fast16 и прямое указание для американских операторов игнорировать этот компонент. В инструкции была написана фраза «*** Здесь не на что смотреть, продолжайте работу ***». Подобный маркер подтверждает принадлежность вредоносного кода к союзным правительственным структурам.
7️⃣ Обнаружение кода: Аналитики компании обнаружили в архивах безобидный на первый взгляд файл svcmgmt.exe. Неизвестный пользователь загрузил этот образец на платформу VirusTotal около 10 лет назад. Долгое время файл не привлекал внимания ИБ-специалистов. Анализ показал скрытое наличие внутри этого носителя скомпилированного вредоносного драйвера из 2005 года.
8️⃣ Годы невидимости: На протяжении десятилетия Fast16 успешно обходила проверки антивирусных систем и оставалась невидимой. Платформа VirusTotal до сих пор демонстрирует почти нулевой уровень обнаружения этого кода. Лишь один поисковый механизм классифицирует файл как подозрительный с крайне низкой степенью уверенности. Разработанный фреймворк оказался на голову выше обычных шпионских руткитов своего времени.
9️⃣ Начало 2026 года: Исследователи SentinelLabs проводят глубокий реверс-инжиниринг кода и выясняют истинную цель программы. Исследователи обнаружили наличие 101 правила для динамической модификации кода прямо в оперативной памяти компьютера. Данные алгоритмы были целенаправленно написаны для точечного искажения критически важных чисел и расчетов в симуляторах физических процессов.
🔟 Публикация отчета: SentinelLabs публикует полное исследование 23 апреля 2026 года.
Авторы отчета выражают обоснованную тревогу по поводу успешного сокрытия программы на протяжении нескольких десятилетий. Подобный прецедент вынуждает полностью пересмотреть историческое понимание эволюции киберсаботажа. Экспертный анализ подтверждает факт полноценного развертывания сложнейших государственных киберопераций против физических целей еще в середине двухтысячных годов. Результаты компьютерного моделирования на десятках стратегических объектов могли подвергаться тайным искажениям на протяжении долгих лет.
✋ Сколько сейчас таких объектов заражено по всему миру? — только одному Богу известно.
✋ @Russian_OSINT
Китайская кибершпионская UAT-4356 так и не покинула Cisco ASA, отыскав способ остаться на межсетевых экранах даже после двух волн обновлений, вышедших в 2024 и 2025 гг.
Cisco заявляет, что UAT-4356 развернул новый бэкдор под названием FIRESTARTER, который использовал ранее неизвестный механизм сохранения, чтобы пережить процесс обновления.
Новый бэкдор был обнаружен CISA: по меньшей мере одно федеральное агентство США было заражено бэкдором в рамках широкомасштабной шпионской кампании по взлому межсетевых экранов Cisco ASA, первоначально отслеживаемой как ArcaneDoor.
В мае 2024 года Cisco устранила две уязвимости в своей платформе межсетевых экранов Adaptive Security Appliance (ASA), которые использовались в качестве 0-day в рамках APT-кампании.
Год спустя компания устранила еще две 0-day, связанные с той же кампанией, отслеживаемые как CVE-2025-20333 и CVE-2025-20362, которые затрагивали веб-сервер VPN межсетевого экрана ASA и программное обеспечение Secure Firewall Threat Defense (FTD).
В сентябре 2025 года CISA выпустила экстренную директиву, призывающую федеральные агентства немедленно обновить уязвимые устройства Cisco в своих средах. В ноябре CISA обновила рекомендации, включив в них дополнительные меры по смягчению последствий.
В четверг CISA вновь обновила документ ED 25-03, предупреждая, что установка обновлений на уязвимые межсетевые экраны Cisco не удаляет вредоносное ПО, развернутое на них.
Под директиву попали устройства серий Firepower 1000, 2100, 4100, 9300 и Secure Firewall серий 200, 1200, 3100, 4200 и 6100.
Обновленная директива CISA сопровождается инструкциями по созданию дампов памяти и подробным анализом бэкдора Firestarter, который был идентифицирован как вредоносное ПО, использованное в этих атаках.
Firestarter была развернута до 25 сентября, продолжала работать после устранения уязвимости и предоставила злоумышленникам удаленный доступ и управление уязвимым межсетевым экраном.
Она пытается установить перехватчик - способ перехвата и изменения нормальной работы - в Lina, основной движок устройства для обработки сетевых данных и функций безопасности.
Он позволяет выполнять произвольный шелл-код, предоставляемый участниками APT-атак, включая развертывание Line Viper.
Как поясняет сама Cisco, бэкдор напоминает загрузчик RayInitiator, ранее подробно описанный компонент кампании ArcaneDoor, и обеспечивает сохранение активности за счет изменения списка монтирования для Cisco Service Platform (CSP), что позволяет программам выполняться во время загрузки.
После перезагрузки Firestarter восстанавливает исходный список и удаляет троянизированную копию, а это значит, что вредоносную ПО можно удалить с помощью принудительной перезагрузки, которая включает в себя отключение устройства от сети, сообщает компания.
Cisco связала атаки с UAT-4356 и опубликовала новое предупреждение в отношении продолжающейся эксплуатации CVE-2025-20333 и CVE-2025-20362.
Citizen Lab раскрыла две сложные кибершпионские кампании, нацеленные на уязвимости в глобальных телекоммуникационных сетях для отслеживания пользователей мобильных телефонов.
Расследование началось в конце 2024 года после обнаружения аномальной активности в журналах межсетевых экранов, содержащих сигналы, при дополнительной поддержке исследователей из Cellusys.
Анализируя сигнальный трафик, данные маршрутизации и записи телекоммуникационной инфраструктуры совместно с такими партнерами Telenor Linx и P1 Security, исследователи впервые связали реальную активность атак с глобальными сетями операторов связи.
Основное внимание в отчете уделяется двум группам угроз, получившим названия STA1 и STA2, которые, как предполагается, связаны с коммерческими поставщиками услуг кибершпионажа для госузаказчиков.
STA1 представляет собой длительную, тщательно скоординированнаую операцию с использованием протоколов SS7 (3G) и Diameter (4G) для отслеживания местоположения.
В одном из случаев в ноябре 2024 года злоумышленник атаковал высокопоставленного руководителя, переключаясь между различными операторами связи в разных странах, включая Камбоджу, Швецию, Италию и Уганду.
Злоумышленник неоднократно переключался между протоколами и применял различные методы для обхода межсетевых экранов телекоммуникационных компаний, получая данные о местоположении.
В ходе кампании также производились манипуляции с идентификаторами сигналов и маршрутами, чтобы скрыть свое происхождение.
Инфраструктура, связанная с такими операторами, как 019Mobile (Израиль), Tango Networks UK и Airtel Jersey, фигурировала в качестве точек входа или транзита.
Citizen Lab отмечает, что эти сети, вероятно, использовались не по назначению, а посредством доступа третьих лиц или подмены данных, а не путем прямого участия.
Исторические данные телеметрии показывают аналогичную активность, начиная как минимум с 2022 года, с сотнями попыток отслеживания, связанных с одной и той же инфраструктурой.
В STA2 использовался другой подход с сочетанием атаки с использованием сигналов с эксплуатацией на уровне устройства.
В начале 2025 года исследователи обнаружили бинарное SMS, содержащее скрытые команды SIM Toolkit (STK), предназначенные для использования уязвимости браузера S@T, устаревшей функции SIM-карт.
Эта атака в стиле SIMjacker позволяет злоумышленникам незаметно получать данные о местоположении без взаимодействия с пользователем.
Вредоносное SMS-сообщение использует специальные заголовки, поэтому обрабатывается непосредственно SIM-картой и никогда не отображается пользователю.
После выполнения оно собирает данные с базовых станций сотовой связи и отправляет их обратно через скрытое SMS-сообщение в системы, контролируемые злоумышленником. Цепочка атаки также включала зондирование SS7 и запросы Diameter.
Citizen Lab связала STA2 с масштабной кампанией, включавшей более 15 000 попыток отслеживания местоположения с 2022 года.
Замеченная активность тесно пересекается с инфраструктурой и моделями, ранее связанными со швейцарской Fink Telecom Services (FTS), которая фигурировала в предыдущих расследованиях, связанных с операциями по наблюдению за телекоммуникационными сетями.
В основе атак структурные уязвимости в телекоммуникационных протоколах: в SS7 полностью отсутствует аутентификация, а функции безопасности Diameter часто не применяются на практике.
Это позволяет злоумышленникам выдавать себя за доверенных операторов, направлять вредоносные запросы через легитимных поставщиков услуг межсетевого взаимодействия и смешивать трафик слежки с обычной роуминговой активностью.
Киберподполье активно нацелилось на критическую уязвимость в плагине Breeze Cache для WordPress, которая позволяет загружать произвольные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2026-3844 и тягалась более чем 170 раз злоумышленниками. Активность удалось задетектить решением Wordfence для защиты экосистемы.
Плагин кэширования Breeze Cache для WordPress от Cloudways имеет более 400 000 активных установок и предназначен для повышения производительности и скорости загрузки за счет снижения частоты загрузки страниц посредством кэширования, оптимизации файлов и очистки базы данных.
Уязвимость получила критическую оценку серьезности 9,8 из 10 и была обнаружена исследователем Хунгом Нгуеном.
Исследователи Defiant утверждают, что проблема связана с отсутствием проверки типа файла в функции fetch_gravatar_from_remote, что позволяет неавторизованному злоумышленнику загружать произвольные файлы на сервер, может привести к RCE и полному захвату сайта.
Однако, по словам исследователей, успешная эксплуатация возможна только при включенном дополнении Host Files Locally - Gravatars, что не является состоянием по умолчанию.
CVE-2026-3844 затрагивает все версии Breeze Cache, включая 2.4.4. Cloudways исправила эту уязвимость в версии 2.4.5, выпущенной ранее на этой неделе.
Согласно статистике WordPress, с момента выхода последней версии плагин был загружен примерно 138 000 раз. Однако неизвестно, сколько конкретно сайтов уязвимо, поскольку нет данных о количестве сайтов, у которых включена опция Host Files Locally - Gravatars.
Учитывая активную эусплутатацию, владельцам сайтов с Breeze Cache на борту рекомендуется как можно скорее обновить плагин до последней версии или временно отключить его (или хотя бы Host Files Locally - Gravatars).
И еще одна новая атака на цепочку поставок, нацеленная на экосистему Node Package Manager (npm), нацеленная на кражу учетных данных разработчиков и распространение вредоносного кода через пакеты, опубликованные с скомпрометированных учетных записей.
Угрозу обнаружили исследователи Socket и StepSecurity сразу в нескольких пакетах от Namastex Labs, компании, предоставляющей решения на основе ИИ для повышения прибыльности.
Socket отметила, что методы, используемые для кражи учетных данных, утечки и самораспространения, схожи с атаками CanisterWorm, проводимыми TeamPCP, но имеющиеся доказательства не позволяют с уверенностью установить их авторство.
По данным Socket, в результате атаки уже были скомпрометированы 16 пакетов Namastex: automagik/genie (4.260421.33-4.260421.39), pgserve (1.1.11–1.1.13), @fairwords/websocket (1.0.38-1.0.39), fairwords/loopback-connector-es (1.4.3-1.4.4), openwebconcept/theme-owc@1.0.3 и openwebconcept/design-tokens@1.0.3.
Они используются в инструментах для агентов ИИ и в работе с базами данных, поэтому атака нацелена на важные конечные точки, а не на массовое заражение. Однако из-за своей червеобразной структуры, при соблюдении определенных условий, распространение может происходить быстро.
Исследователи обнаружили, что внедренный вредоносный код собирает конфиденциальные данные, связанные с различными секретами, такими как токены, ключи API, ключи SSH, учетные данные для облачных сервисов, систем CI/CD, реестров и платформ LLM, а также конфигурации Kubernetes/Docket.
Кроме того, программа пытается извлечь конфиденциальные данные Chrome и Firefox, включая данные криптовалютных кошельков, таких как MetaMask, Exodus, Atomic Wallet и Phantom.
В свою очередь, в StepSecurity утверждают, что вредоносное ПО представляет собой «червя цепочки поставок», который может находить токены для публикации в npm и внедряться «в каждый пакет, который может быть опубликован с помощью этого токена.
Вредоносные версии pgserve были впервые опубликованы 21 апреля в 22:14 UTC, и в тот же день последовали еще две вредоносные версии.
Если токены публикации обнаружены в скомпрометированной системе в переменных окружения или в конфигурационном файле ~/.npmrc, вредоносный скрипт определяет пакеты, которые жертва может публиковать, добавляет полезную нагрузку и повторно публикует их в npm с увеличенным номером версии.
Недавно зараженные пакеты при установке выполняют тот же процесс, что и предыдущие, обеспечивая рекурсивное распространение.
Исследователи отметили, что, в случае обнаружения учетных данных PyPI система применяет аналогичный метод к пакетам Python, используя полезную нагрузку на основе файлов .pth, что делает эту атаку многоэкосистемной.
Разработчикам следует рассматривать все указанные версии пакетов как вредоносные.
Socket и StepSecurity предоставили соответствующие IOCs, рекомендуя где обнаружены затронутые пакеты, удалить их из систем разработки и CI/CD, ротировать все учетные данные и секретные данные, а также поискать внутренние зеркала пакетов, артефакты и кэши.
Socket также рекомендует проверять наличие связанных пакетов с тем же файлом public.pem, тем же хостом веб-перехватчика или тем же шаблоном postinstall.
Исследователи JFrog и Socket передают, что bitwarden/cli?activeTab=versions">интерфейс командной строки Bitwarden был взломан в рамках недавно обнаруженной и продолжающейся кампании Checkmarx, связанной с атакой на цепочку поставок.
Затронутая версия пакета - bitwarden/cli/overview/2026.4.0">@bitwarden/cli@2026.4.0bitwarden/cli/overview/2026.4.0">, а вредоносный код был реализован в файле bw1.js, который входит в состав пакета.
Атака была совершена с использованием скомпрометированного GitHub Action в конвейере CI/CD Bitwarden, что соответствует схеме, наблюдаемой в других затронутых репозиториях в рамках этой кампании.
В свою очередь, в JFrog отметили, что вредоносная версия пакета «крадет токены GitHub/npm, файлы .ssh, .env, историю командной оболочки, GitHub Actions и облачные секреты, а затем передает эти данные в частные домены и в виде коммитов GitHub.
Вредоносная версия больше недоступна для загрузки с npm, но Socket заявляет, что взлом произошел по тому же пути, что и в случае с GitHub Actions, выявленном в ходе кампании Checkmarx.
Злоумышленники используют украденные токены GitHub для внедрения нового рабочего процесса GitHub Actions, который перехватывает секреты, доступные для запуска рабочего процесса.
Затем использует полученные учетные данные npm для распространения вредоносных версий пакета, позволяющих пользователям считывать вредоносное ПО.
По мнению исследователя Аднана Хана, злоумышленник использовал вредоносный алгоритм для публикации вредоносного интерфейса командной строки Bitwarden, что можно считать первым случаем компрометации пакета, использующего функцию доверенной публикации NPM.
Предполагается, что за последней атакой на Checkmarx стоит TeamPCP.
OX Security в своем отчете по атаке сообщает, что обнаружила в пакете строку Shai-Hulud: The Third Coming, что позволяет наводит на мысль о том, что это, вероятно, следующий этап одноименной кампании атак на цепочки поставок, о которой стало известно в прошлом году.
Последний инцидент с Shai-Hulud - лишь последний в длинной цепочке угроз, направленных на разработчиков по всему миру.
Пользовательские данные публично попадают на GitHub, часто оставаясь незамеченными, поскольку инструменты безопасности обычно не помечают данные, отправляемые туда.
Это значительно повышает риск: любой, кто ищет информацию на GitHub, потенциально может найти и получить доступ к этим учетным данным. В этот момент конфиденциальные данные перестают находиться в руках одного злоумышленника - они становятся общим достоянием.
Bitwarden подтвердила инцидент и локализовала вредоносный пакет, который был кратковременно распространен через канал доставки npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 (восточное время) 22 апреля 2026 года в связи с более масштабным инцидентом в цепочке поставок Checkmarx.
В ходе расследования не было обнаружено доказательств доступа к данным хранилища конечных пользователей или угрозы их неприкосновенности, а также компрометации производственных данных или производственных систем.
После обнаружения проблемы доступ к системе был аннулирован, вредоносный npm-релиз был признан устаревшим, и немедленно были начаты мероприятия по устранению проблемы.
Как заявляют в Bitwarden, проблема затронула механизм распространения CLI через npm в течение этого ограниченного периода времени, а не целостность легитимного кода CLI Bitwarden или хранящихся данных хранилища. Пользователи, которые не загрузили пакет из npm в указанный период, не пострадали.
Bitwarden завершила проверку внутренних сред, путей выпуска и связанных систем, и на данный момент не выявлено дополнительных затронутых продуктов или сред. В связи с этим инцидентом будет назначена CVE для Bitwarden CLI версии 2026.4.0. Так что будем следить.
Более 1300 серверов Microsoft SharePoint, находящихся в открытом доступе, остаются незащищенными для уязвимости, связанной с подменой IP, которая использовалась как 0-day и до сих пор активно реализуется в продолжающихся атаках.
Уязвимость зарегистрирована как CVE-2026-32201 и затрагивает SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition (последнюю локальную версию, использующую модель «непрерывного обновления»).
Microsoft устранила эту уязвимость в рамках Patch Tuesday в апреле. Успешная эксплуатация позволяет злоумышленникам без привилегий осуществлять подмену сетевых данных, используя уязвимость в проверке входных данных в атаках низкой сложности, не требующих взаимодействия с пользователем.
Несмотря на то, что Microsoft обозначила уязвимость как 0-day, тем не менее пока не раскрыла, как именно она использовалась в атаках, и не связала эту вредоносную деятельность с конкретным злоумышленником или хакерской группой.
В свою очередь, Shadowserver предупредила, что более 1300 серверов Microsoft SharePoint в открытом доступе все еще уязвимы. С момента выпуска Microsoft исправлений для CVE-2026-32201 на прошлой неделе было обновлено лишь менее 200 систем.
В тот же день, когда Microsoft выпустила исправления для CVE-2026-32201, CISA добавила ее в свой каталог (KEV), отметив, что этот тип уязвимости является частым вектором атак для злонамеренных киберпреступников и представляет наиболее значительные риски.
Microsoft выпустила внеплановые обновления для устранения критической уязвимости повышения привилегий в ASP.NET Core.
Уязвимость отслеживается как CVE-2026-40372 и затрагивает криптографические API защиты данных ASP.NET Core.
Она позволяет неавторизованным злоумышленникам получать системные привилегии на затронутых устройствах путем подделки аутентификационных файлов cookie.
Microsoft обнаружила уязвимость после сообщений пользователей о сбоях расшифровки в их приложениях после установки обновления .NET 10.0.6, выпущенного в рамках PatchTuesday в этом месяце.
Как отмечают разработчики, в пакетах NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 обнаружена ошибка, из-за которой управляемый аутентифицированный шифратор вычисляет свой тег проверки HMAC по неправильным байтам полезной нагрузки, а затем в некоторых случаях отбрасывает вычисленный хеш.
В таких случаях некорректная проверка позволяет злоумышленнику подделывать полезные данные, которые проходят проверку подлинности DataProtection, а также расшифровывать ранее защищенные полезные данные в файлах cookie аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т.д.
В случае если злоумышленник использовал поддельные вредоносные ПО для аутентификации в качестве привилегированного пользователя в течение уязвимого периода, он мог заставить приложение выдать себе легитимно подписанные токены (для обновления сессии, ключ API, ссылка для сброса пароля и т. д.).
Эти токены остаются действительными после обновления до версии 10.0.7, если не будет произведена смена набора ключей DataProtection.
Как пояснила Microsoft в своем уведомлении по безопасности, эта уязвимость также может позволить злоумышленникам раскрывать файлы и изменять данные, но они не могут повлиять на доступность системы.
На этой неделе разработчики предупредили всех клиентов, чьи приложения используют ASP.NET Core Data Protection, о необходимости как можно скорее обновить пакет Microsoft.AspNetCore.DataProtection до 10.0.7, а затем повторно развернуть приложение, чтобы исправить процедуру проверки и обеспечить автоматическое отклонение любых поддельных данных.
Более подробная информация о затронутых платформах, пакетах и конфигурации приложений содержится в первоначальном сообщении.
В понедельник Microsoft выпустила еще один набор внеплановых обновлений для устранения проблем, затрагивающих системы Windows Server после установки обновлений за апрель 2026 года. Впрочем, исправление своих же исправлений - вполне обычная практика микромягких.
Исследователь impulsive (weezerOSINT) сообщает, что общедоступные страницы Notion могут раскрывать адреса электронной почты всех участников через неаутентифицированный API-запрос. Причем эта уязвимость известна с 2022 года и сохраняется до сих пор.
Notion - широко используемая платформа для повышения производительности и совместной работы, оценивается примерно в 11 млрд. долл., поддерживает создание документации, внутренних вики-сайтов и управление проектами.
Уязвимость позволяет любому пользователю извлекать данные пользователей, включая имена, электронные адреса и изображения профилей, без входа в систему или взаимодействия с платформой.
Исследователь описал, как API бэкэнда Notion приводит к утечке персональных данных, связанных с общедоступными страницами. В частности, утечка реализуется из-за того, как Notion обрабатывает метаданные разрешений.
Общедоступные страницы содержат UUID редакторов в своих структурах разрешений блоков, которые можно получить без аутентификации. Они могут быть отправлены на конечную точку /api/v3/syncRecordValuesMain, которая возвращает связанные данные пользователя, включая его адрес электронной почты.
Для подтверждения проблемы исследователь протестировал общедоступную страницу сообщества Notion, извлек 13 UUID пользователей и успешно соотнес 12 из них с адресами электронной почты.
Полученные данные, как сообщается, включали внутренние учетные записи сотрудников Notion, учетную запись производственной службы (svc-notion-prod@makenotion.com) и как минимум одного внешнего сотрудника.
Причем этот процесс не требует токенов аутентификации, файлов cookie или специальных привилегий, достаточно лишь одного специально сформированного POST-запроса.
Исследователь предупредил, что тысячи общедоступных страниц Notion, легко обнаруживаемых поисковыми системами, могут содержать адреса электронной почты участников.
В корпоративных средах, где большие команды совместно работают над общими документами, одна такая страница может раскрыть сотни корпоративных учетных записей электронной почты.
Исследователь также отмечает, что данные можно дополнить с помощью еще одной неаутентифицированной конечной точки, getLoginOptions, которая показывает, использует ли учетная запись аутентификацию на основе пароля или единый вход (SSO).
Такая комбинация может предоставить злоумышленникам тщательно отобранный список целей для подбора учетных данных или фишинговых кампаний.
Упомянутая уязвимость была впервые обнаружена на HackerOne 28 июля 2022 года, где она была классифицирована как «информативная» и не привела к исправлению, присвоению CVE или вознаграждению за обнаружение.
Как сообщает impulsive, ему удалось самостоятельно повторно обнаружить проблему. После уведомления она была помечена как дубликат. Вместе с тем, актуальное исследование подтвердило, что поведение уязвимости осталось неизменным.
В ответ на это заявление в Notion отметили, что такое поведение задокументировано и пользователи получают предупреждения при публикации страниц. Однако все же заключили, что текущая реализация недостаточна.
Так что Notion изучает способы решения проблемы, включая удаление персональных данных из общедоступных конечных точек или внедрение проксирования электронной почты, аналогично подходу GitHub к публичным коммитам.
Однако impulsive опроверг доводы по поводу предупреждения. В ходе последующего тестирования с использованием новой учетной записи интерфейс «Опубликовать в интернете» также не содержал упоминаний о раскрытии адресов электронной почты или утечке данных через API.
Диалоговое окно публикации, как сообщается, включает только базовые элементы управления и предварительный просмотр, без указания на то, что информация об участниках становится доступной извне.
Кроме того, даже если страница помечена как «Частная» в интерфейсе, базовые вызовы API все равно могут раскрыть связанные с ней данные пользователей, если страница была опубликована.
Исследователи из Лаборатории Касперского вновь обращают внимание новые технологии и фреймворки, которые злоумышленники активно берут на вооружение, как в случае с Mythic, о котором сообщали ранее.
Одним из характерных примеров такого инструментария стал AdaptixC2 - относительно новый open-source-проект для постэксплуатации, который за короткое время привлек внимание профсообщества наступательной кибербезопасности.
Интерес к нему объясняется не только доступностью исходного кода, но и широкими возможностями расширения: фреймворк поддерживает BOF-файлы, включая асинхронные, и вокруг него уже сформировалась отдельная экосистема модулей, расширений и внешних BOF-коллекций.
При этом AdaptixC2 все чаще используется в реальных инцидентах, в том числе в APT-атаках и кампаниях с применением шифровальщиков, о исследователи ЛК неоднократно рассказывали.
В AdaptixC2 для снижения вероятности обнаружения применяются различные механизмы сетевого взаимодействия и постэксплуатации, направленные на обход средств мониторинга трафика, таких как IDS, и решений класса NDR.
Однако даже в подобных условиях сетевое детектирование нередко остается одним из наиболее результативных способов выявления присутствия агента и его активности.
Одновременно с этим ряд стандартных техник постэксплуатации на хосте реализован таким образом, что обнаружить вредоносную активность по артефактам может быть затруднительно.
В связи с этим необходим расширенный мониторинг действий в системе с использованием решения класса EDR. Также в ЛК отмечают, что стандартных методов защиты может быть недостаточно.
Так что, в своем отчете исследователи ЛК детально рассмотрели способы обнаружения фреймворка AdaptixC2 на основе его сетевого взаимодействия с управляющим сервером, а также детектирование постэксплуатационной активности на конечной точке.
Новый вариант вредоносной ПО NGate, похищающей данные NFC-платежей, нацелен на пользователей Android, скрываясь в троянизированной версии HandyPay, легитимного инструмента для обработки мобильных платежей.
NGate был впервые был задокументирован в середине 2024 года и ориентирован на кражу информации в отношении платежных карт с помощью чипа ближней бесконтактной связи (NFC) мобильного устройства.
Данные отправляются злоумышленнику, который создает виртуальные карты, используемые для несанкционированных покупок или снятия наличных в банкоматах с поддержкой NFC.
В более ранних версиях вредоносная ПО использовала инструмент с открытым исходным кодом NFCGate для захвата, передачи и воспроизведения информации о платежных картах.
В своем исследовании ESET подробно описала новый вариант приложения HandyPay, в который внедрен вредоносный код для осуществления операций по краже данных.
Исследователи обнаружили, что код нового вредоносного ПО NGate содержит эмодзи, что может указывать на использование инструмента генеративного ИИ в процессе разработки.
Приложение HandyPay доступно в Google Play с 2021 года и поддерживает передачу данных между устройствами на основе NFC.
В ESET полагают, что причиной перехода с NFCGate на HandyPay, скорее всего, являются финансовые факторы, но ключевую роль играет и обход защиты.
Исследователи подчеркивают высокую стоимость инструментов ретрансляции NFC, таких как NFU Pay и TX-NFC, а также то, что они создают «шум» на зараженных устройствах.
NFU Pay предлагает свой продукт почти за 400 долл. в месяц, в то время как TX-NFC стоит около 500 долл. HandyPay, с другой стороны, значительно дешевле, требуя всего лишь 9,99 евро в месяц.
Помимо низкой цены, HandyPay изначально не требует никаких разрешений, а лишь устанавливается в качестве приложения для платежей по умолчанию, что помогает злоумышленникам избежать подозрений.
Что касается таргета, ESET заметила, что кампания с использованием этого последнего варианта активна с ноября 2025 года и нацелена в основном на устройства Android в Бразилии.
Задействуется два метода распространения, один из которых реализуется через загрузку приложения под названием Proteção Cartão, предлагающего функционал по защите карт, с использованием фейковой страницы Google Play.
Второй способ подразумевает сайт лотереи, где посетители «выигрывают приз» и перенаправляются в WhatsApp для его получения, что в конечном итоге приводит к загрузке вредоносного APK-файла.
После установки приложение предлагает пользователям установить его в качестве приложения для платежей NFC по умолчанию, запрашивает PIN-код карты и просит приложить карту к телефону для считывания.
Вся собранная таким образом информация отправляется на электронный адрес злоумышленника, который жестко закодирован в приложении.
Пока одни делят поляну, другие, наоборот, объединяют усилия.
В частности, хакерская группа TeamPCP передает украденные в ходе атак на цепочку поставок Trivy и Checkmarx KICS учетные данные группе вымогателей Vect.
Затем они используются для взлома крупных корпоративных сетей, развертывания ransomware и вымогательства огромных сумм выкупа.
В прошлом месяце TeamPCP намекала на возможное объединение с группой вымогателей для ускорения монзтизации своих успешно реализованных масштабных кампаний.
Новые тенденции заметили в Dataminr и KELA [1 и 2]. Исследователи отметил, что Vect заключила партнерские соглашения с BreachForums и TeamPCP.
Благодаря чему Vect существенно снизила порог входа для злоумышленников, занимающихся ransomware, стимулируя операторов к совершению атака, в том числе за счет использования уже существующих уязвимостей для расширения масштабов воздействия.
Исследователи констатируют, что подобное очетание масштабных краж учетных данных в цепочках поставок, развития сервисов RaaS и массовой мобилизации в даркнете представляет собой беспрецедентную модель «промышленного» развертывания программ-вымогателей.
Причем в числе пострадавших на сайте Vect уже значатся Guesty (утечка около 700 ГБ данных, прямо связанная с кампанией TeamPCP LiteLLM/Trivy), USHA International Limited (данные сотрудников и базы данных SAP) и S&P Global (предполагаемая утечка пока не подтверждена).
Будем следить.
Вышел PoC для критической RCE-уязвимости в protobuf.js, широко используемой реализации протокола Protocol Buffers от Google на JavaScript.
Инструмент пользуется огромной популярностью в реестре Node Package Manager (npm), его скачивают в среднем около 50 млн. раз в неделю.
Задействуется для межсервисного взаимодействия, в приложениях реального времени, а также для эффективного хранения структурированных данных в базах данных и облачных средах.
В отчете Endor Labs отмечено, что уязвимость удаленного выполнения кода в protobuf.js вызвана небезопасной генерацией динамического кода. Уязвимости пока не присвоен CVE, и в настоящее время она отслеживается как GHSA-xq3m-2v4x-88gg (идентификатор, присвоенный GitHub).
Как поясняет Endor Labs, библиотека создает функции JavaScript из схем protobuf путем конкатенации строк и их выполнения через конструктор Function(), но она не проверяет идентификаторы, полученные из схем, такие как имена сообщений.
Это позволяет злоумышленнику предоставить вредоносную схему, которая внедряет произвольный код в сгенерированную функцию, которая затем выполняется, когда приложение обрабатывает сообщение, используя эту схему.
Что открывает путь к RCE на серверах или в приложениях, загружающих схемы, созданные под влиянием злоумышленника, предоставляя доступ к переменным среды, учетным данным, базам данных и внутренним системам, и даже позволяя осуществлять горизонтальное перемещение внутри инфраструктуры.
Атака также может затронуть компьютеры разработчиков, если они загружают и декодируют ненадежные схемы локально. Уязвимость затрагивает protobuf.js 8.0.0/7.5.4 и ниже. Endor Labs рекомендует обновиться до версий 8.0.1 и 7.5.5, в которых эта проблема устранена.
Патч очищает имена типов, удаляя небуквенно-цифровые символы, что предотвращает закрытие синтетической функции злоумышленником.
Однако Endor Labs отмечает, что более долгосрочным решением было бы полностью прекратить передачу доступных злоумышленнику идентификаторов через Function.
Исследователи предупреждают, что эксплуатация уязвимости довольно очевидна, и что минимальный PoC, как отмечено в предупреждении это полностью подтверждает. Однако на сегодняшний день активной эксплуатации уязвимости в реальных условиях не наблюдалось.
Об уязвимости сообщил исследователь Endor Labs Кристиан Стайку 2 марта, а разработчики выпустили патч на GitHub 11 марта. Исправления для пакетов npm стали доступны 4 апреля для ветки 8.x и 15 апреля для ветки 7.x.
Помимо обновления до исправленных версий, Endor Labs также рекомендует проверять транзитивные зависимости, рассматривать загрузку схем как ненадежный ввод и отдавать предпочтение предварительно скомпилированным/статическим схемам в производственной среде.
В демоне PackageKit обнаружена новая уязвимость, получившая название Pack2TheRoot, которая позволяет локальным пользователям Linux устанавливать или удалять системные пакеты и получать права root.
Уязвимость отслеживается как CVE-2026-41651 (CVSS 8,8 из 10) и сохраняется в демоне PackageKit уже почти 12 лет.
Ранее некоторая информация об уязвимости была опубличена вместе с PackageKit 1.3.5, устраняющей ее. Однако технические подробности и PoC до сих пор не раскрыты, оставляя временной лаг для распространения исправлений.
Согласно расследованию Deutsche Telekom, причиной ошибки является механизм, используемый PackageKit для обработки запросов на управление пакетами.
В частности, исследователи обнаружили, что команды типа pkcon install могут выполняться без аутентификации при определенных условиях в системе Fedora, что позволяет им устанавливать системный пакет.
Используя Claude Opus, исследователи дополнительно изучили потенциал использования этого поведения и, собственно, обнаружили уязвимость CVE-2026-41651.
Red Team компании Deutsche Telekom сообщила о своих выводах разработчикам Red Hat и PackageKit 8 апреля, заявив с уверенностью, что все дистрибутивы, в которых PackageKit предустановлен и включен по умолчанию, уязвимы для CVE-2026-41651.
Согласно уведомлению по безопасности, уязвимость присутствовала в версии PackageKit 1.0.2, выпущенной еще в ноябре 2014 года, и затрагивает все версии вплоть до 1.3.4.
Проведенные исследователями тесты подтвердили, что злоумышленник может использовать CVE-2026-41651 в следующих дистрибутивах: Ubuntu Desktop 18.04 (EOL), 24.04.4 (LTS), 26.04 (LTS beta); Ubuntu Server 22.04 – 24.04 (LTS); Debian Desktop Trixie 13.4; RockyLinux Desktop 10.1; • Fedora 43 Desktop и Fedora 43 Server.
Однако этот список не является исчерпывающим, и любой дистрибутив Linux с PackageKit, следует рассматривать как потенциально уязвимый для атак.
Пользователям следует как можно скорее обновить PackageKit до версии 1.3.5 и убедиться, что любое другое ПО, использующее этот пакет в качестве зависимости, переведено в безопасную версию.
Несмотря на то, что подробности о характере эксплуатации не разглашаются, исследователи отметили наличие явных признаков компрометации, поскольку эксплуатация приводит к ошибке утверждения в демоне PackageKit и его сбою. Даже если systemd восстановит работу демона, сбой будет виден в системных журналах.
Пользователям браузеров Firefox и Tor рекомендуется установить последние обновления для устранения ошибки, которая позволяет злоумышленникам отслеживать действия в интернете.
Уязвимость проявляется в обычном режиме просмотра веб-страниц, в окнах приватного просмотра и, в случае Tor, в разных сессиях Tor.
Проблема обнаружена командой FingerprintJS и затрагивает IndexedDB, API Firefox, который позволяет сайтам сохранять данные в браузере пользователя для последующих посещений.
Она позволяет злоумышленнику создать базу данных IndexedDB в браузере пользователя при посещении вредоносного веб-сайта или просмотре вредоносной рекламы.
Суть ошибки заключается в том, что IndexedDB каждый раз возвращает содержимое этой базы данных в одном и том же порядке, что создает универсальный фингерпринт, идеально подходящий для отслеживания.
Оператор сайта или сети сайтов сможет различать пользователей и отслеживать их, запрашивая контент из IndexedDB и сопоставляя «порядок в базе данных» с известным идентификатором.
Уязвимость была исправлена в Firefox 150, Firefox ESR 140.10 и Tor Browser 15.0.10, выпущенных на прошлой неделе, и отслеживается как CVE-2026-6770.
FingerprintJS утверждает, что ошибка затрагивает как Firefox, так и браузер Tor, поскольку содержится в ядре Firefox, Gecko и обусловлена тем, как реализована база данных IndexedDB.
Mozilla не сообщила, как именно была устранена эта проблема, но исследователи утверждают, что IndexedDB не должна раскрывать свой внутренний порядок хранения данных или должна возвращать контент в соответствии с заранее заданным порядком.
Ошибка довольно серьёзная, но осталась практически незамеченной, потому что на прошлой неделе все были слишком взволнованы новостью о том, что компания, занимающаяся разработкой ИИ, обнаружила 271 уязвимость в Firefox, которых даже нет в примечаниях к патчу и которые, веротяноя, на самом дел не так уж и важны.
🦠 Малварь "Fast16" могла быть нацелена на ⚠️ ядерную программу Ирана ещё до появления Stuxnet
Исследователи SentinelOne пишут про новую малварь 🦠 Fast16, которая является вредоносной программой суперкласса для киберсаботажа. Она была создана в 2005 году предположительно спецслужбами США или их 🇮🇱союзниками.
🐛 Fast16 распространяется по сети по принципу самокопирующегося червя. Вредоносный код внедряет системный драйвер fast16.sys. Он искажает 🗣математические вычисления в программах физического моделирования. Подобные манипуляции вызывают незаметные инженерам дефекты при возведении реального оборудования.
1️⃣ Начало 2000-х: 🇮🇷Иран якобы активно развивал свой секретный ядерный проект AMAD. Иранские специалисты использовали западное программное обеспечение для высокоточного физического моделирования. Применение пакета LS-DYNA позволяло инженерам рассчитывать свойства взрывчатых веществ и параметры ядерных боеголовок.
2️⃣ Разработка кибероружия (до 2005 года): Спецслужбы (предположительно США или их союзников) разрабатывают сложнейшую архитектуру для скрытого киберсаботажа. Наличие в коде старых артефактов UNIX (RCS/SCCS) указывает на то, что это была высокопрофессиональная 🎩APTшка уровня Equation, а не работа обычных хакеров.
3️⃣ Создание и внедрение Fast16 (2005 год): Завершена компиляция ключевых компонентов вируса (включая драйвер fast16.sys и носитель svcmgmt.exe). Fast16 становится первым в истории сетевым «червем» на базе движка Lua, предназначенным для точечного саботажа, опередив появление Stuxnet как минимум на 5 лет.
4️⃣ Уникальный механизм саботажа (2005): Fast16 кардинально отличалась от обычных вирусов для шпионажа. Вредоносный код очень глубоко внедрялся на уровень системного ядра операционной системы. Там он незаметно изменял инструкции сопроцессора для вычислений с плавающей запятой в инженерных комплексах LS-DYNA, PKPM и MOHID. Математические ошибки приводили к необратимому 🚤искажению результатов исследований. Подобные манипуляции создавали угрозу потенциального 😷разрушения реальных физических объектов без ведома ученых.
5️⃣ Смена тактики на более агрессивную (2007 год): 🇺🇸США и 🇮🇱Израиль развертывают Stuxnet (операция «Олимпийские игры») для физического уничтожения иранских центрифуг. Fast16, вероятно, был более ранним и скрытным предшественником этой операции, нацеленным на срыв ядерной программы еще на этапе расчетов.
✋ @Russian_OSINT
Исследователи Positive Technologies выкатили отчет с аналитикой основных трендов развития Cybercrime as a service.
В рамках исследования был проведен анализ 38 источников, включая крупнейшие теневые площадки - форумы, маркетплейсы и Telegram-каналы, - на различных языках с разной тематической направленностью: всего за 2024-2025 более 4300 объявлений.
В ходе анализа изучались различные виды предлагаемых услуг, их стоимость, особенности спроса и предложения, а также выявлены ключевые тренды и сформированы прогнозы развития отдельных сегментов теневого рынка и киберпреступности в целом.
Главный фокус исследования - концепция as a service и ее влияние на современную киберпреступную экономику.
При этом анализируемые объявления не ограничивались исключительно подписочной моделью предоставления услуг, в поле зрения попали различные формы даркнет-взаимодействия, включая разовые транзакционные продажи, наем исполнителей, раздачи бесплатных инструментов и гибридные модели сотрудничества.
Отчет достаточно объемный, отметим лишь наиболее ключевые моменты:
- Сервисная модель остается крайне выгодной и будет усиливаться. Прибыль злоумышленников превышает на несколько порядков теоретическую стоимость атак, реализованных через купленные услуги. Это ключевой драйвер сервисной модели. Пока стоимость инструментов атаки снижается, а ущерб от инцидентов растет, финансовый стимул к развитию теневого рынка сохраняется.
- Порог входа в киберпреступность продолжит снижаться. Распространение сервисной модели и готовых инструментов позволяет проводить атаки даже участникам с ограниченными навыками. Специализация участников рынка позволяет злоумышленникам быть экспертами лишь в одной области, чтобы монетизировать свои навыки.
- Самые доступные предложения - это аренда инфраструктуры (медианная цена - 8$), DDoS-атаки (20$) и журналы стилеров (20$). Они доступны практически любому злоумышленнику и позволяют проводить массовые низкоквалифицированные атаки.
- Самые дорогие и труднодоступные услуги - эксплойты: медианная цена составляет 27 500$, а 35% предложений стоят дороже 100 000$. Однако распространение эксплойт-китов по подписке от 500$ в месяц снижает порог входа и в этот сегмент.
- Рынок демонстрирует признаки движения к модели cybercrime as a platform - единым экосистемам, объединяющим несколько этапов атаки в рамках одного сервиса.
- Происходит объединение сервисов в единые услуги. Так, постепенно сливаются продажа журналов инфостилеров и проверка учетных данных, а услуги вымогателей объединяются с продажей доступов.
- ИИ уже используется для персонализации фишинга, генерации кода, общения вымогателей с жертвами. В перспективе он усилит все этапы атаки, а автономные ИИ-агенты помогут собирать результаты выполнения услуг в полную атаку.
- Сегменты рынка будут развиваться неравномерно. Зрелые услуги - аренда инфраструктуры, вымогатели, фишинг, разработка и эксплуатация готового ВПО - продолжат развиваться как полноценный бизнес.
- Продолжат набирать популярность и развиваться услуги по обходу средств защиты, подписи и криптованию ВПО. Медианная цена на EDR-киллеры составляет 2250$, криптование вредоносного ПО - 150$ за файл или от 1000$ до 5000$ по подписке, сертификаты подписи кода - 2150$ за сертификат.
- Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты. Это может привести к выделению разведки в самостоятельный сервисный сегмент.
Исследователи ICS CERT из Лаборатории Касперского обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которая способна привести к компрометации устройств и утечке данных, представив результаты своего исследования на Black Hat Asia 2026.
Чипсеты Qualcomm Snapdragon широко используются как в пользовательских, так и в промышленных устройствах - включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей.
Уязвимость кроется в BootROM - загрузочной прошивке, встроенной на аппаратном уровне, и затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50.
Атака требует физического доступа к устройству - его необходимо подключить кабелем к оборудованию злоумышленника, а для современных смартфонов также может потребоваться перевод в специальный режим.
Для некоторых устройств даже может быть небезопасным подключение их к недоверенным USB-портам (например, зарядным станциям в аэропортах или отелях).
В случае успешной атаки злоумышленники потенциально могут получить доступ к данным, хранящимся на заражённом устройстве, включая такие компоненты, как камера и микрофон, реализовывать сложные сценарии атак и в отдельных случаях получить полный контроль над устройством.
ЛК уведомила производителя в марте 2025 года, после чего в апреле 2025 года поставщик подтвердил её, присвоив уязвимости CVE-2026-25262.
Важно отметить, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm упомянутых серий.
В ЛК изучили протокол Qualcomm Sahara - низкоуровневую систему взаимодействия, используемую при переходе устройства в режим экстренной загрузки (EDL), представляющий собой специальный режим восстановления, используемый при ремонте или перепрошивке устройств.
Протокол Sahara позволяет компьютеру подключаться к устройству и загружать ПО ещё до запуска на устройстве операционной системы.
Исследователи продемонстрировали, как уязвимость в этом процессе загрузки позволяет злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и, в ряде случаев, установить вредоносное ПО или бэкдоры в процессор приложений устройства.
В свою очередь, это может привести к полной компрометации устройства. Например, если речь идёт о смартфоне или планшете, злоумышленник при помощи установленного бэкдора может получить доступ к вводимым пользователем паролям, а затем - к хранящимся на устройстве файлам, контактам, данным о местоположении, а также к камере и микрофону.
Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён.
Эксперты отмечают, что риск не ограничивается сценариями повседневного использования - можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок.
Наиболее сложным этапом остаётся разработка эксплойта. Сама атака после этого может выполняться достаточно быстро и не требует от злоумышленника, имеющего физический доступ к устройству, какой-либо технической подготовки.
Как отмечают в ICS CERT, подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного времени.
При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать её, не выполняя фактического перезапуска.
В таких случаях гарантированно очистить состояние устройства можно только при полном отключении питания — например, после полной разрядки аккумулятора.
Технические подробности - в отдельном отчете.
• Нашел очень объемное руководство по изучению Docker для новичков. Весь материал представлен на русском языке и доступен совершенно бесплатно. Содержание следующее:
• Введение, Docker CLI и Dockerfile.
• Архитектура Docker:
➡Команды и флаги;
➡Dockerfile;
➡Рекомендации по Dockerfile;
➡Рекомендации по инструкциям;
➡Управление данными;
➡Сети.
• Docker Compose:
➡docker compose;
➡docker-compose.yml.
• Разработка приложения:
➡Подготовка и настройка проекта;
➡API;
➡Админка;
➡Клиент;
➡Проверка работоспособности приложения.
• "Контейнеризация" приложения:
➡Dockerfile;
➡Docker Compose.
• Помимо руководства на сайте есть множество другого полезного материала (шпаргалки, ссылки и т.д.). Хоть данный ресурс и предназначен больше для разработчиков, тем не менее, возможно вы сможете найти для себя что-то полезное.
S.E. ▪️ infosec.work ▪️ VT
Apple выпустила внеплановые обновления для устройств iPhone и iPad для исправления уязвимости в службе уведомлений, которая позволяла уведомлениям, помеченным для удаления, оставаться на устройстве.
Уязвимость отслеживается как CVE-2026-28950 и была исправлена 22 апреля 2026 года в iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8.
Apple отметила, что ошибка была исправлена за счет улучшения механизма удаления данных, но не предоставила при этом никакой дополнительной информации.
Кроме того, компания не пояснила, использовалась ли эта уязвимость в атаках или почему она была устранена вне обычного цикла обновлений безопасности.
Apple также не предоставила никаких технических подробностей о том, как долго данные уведомлений оставались на устройстве или как их потенциально можно восстановить.
Вместе с тем, совсем недавно журналисты обозревали, как агентам ФБР США удалось восстановить копии сообщений Signal на iPhone подозреваемого, даже после того, как они были удалены из приложения.
Согласно официальным протоколам судебного заседания, представленным защитой обвиняемых, восстановленные данные были получены не из хранилища зашифрованных сообщений Signal, а из памяти уведомлений iPhone.
Как утверждается, сообщения были восстановлены с телефона обвиняемого через внутреннюю память уведомлений Apple, причем приложение Signal было удалено, но входящие уведомления сохранились во внутренней памяти.
В Signal высоко оценили оперативную реакцию Apple по устранению уязвимости, которая представляла угрозу безопасности для всех частных разговоров пользователей.
В уведомлении Apple этот случай не упоминается, но описание сохранения уведомлений на устройстве очень точно соответствует типу сохранения данных, описанному в том отчете.
Так что всем пользователям яблочных устройств рекомендуется как можно скорее накатить последние обновления, дабы предотвратить сохранение нежелательных удаленных данных уведомлений на их устройствах.
🥷💴 Криптостилер FakeWallet распространяется через 🍏iOS-приложения в App Store
Как сообщает Securelist, в марте 2026 года были обнаружена 26 фишинговых приложений в App Store, мимикрирующих под популярные криптокошельки. При запуске они открывают в браузере пользователя страницы, стилизованные под App Store и распространяющие троянизированные версии соответствующих кошельков. Зараженные приложения нацелены на фразы восстановления или приватные ключи кошелька. Согласно метаданным из обнаруженных троянцев, кампания активна как минимум с осени 2025 года.
Мимикрия осуществлялась под следующие популярные кошельки:
💠MetaMask
💠Ledger
💠Trust Wallet
💠Coinbase
💠TokenPocket
💠imToken
💠Bitpie
Так как практически все фишинговые приложения были доступны только пользователям китайского App Store и сами зараженные кошельки распространялись с фишинговых страниц на 🇨🇳китайском языке, мы можем сделать вывод, что кампания нацелена преимущественно на пользователей из Китая. При этом сами вредоносные модули не имеют встроенных региональных ограничений, а отображаемые некоторыми из них фишинговые уведомления подстраивались под язык, используемый скомпрометированными приложениями, так что и пользователи за пределами Китая могут оказаться под прицелом злоумышленников.
Новая вредоносная ПО GoGra для Linux использует API Microsoft Graph для обеспечения связи.
Вредоносная ПО разработана группой Harvester, ориентированной на кибершпионаж, и, как полагают исследователи, имеющей государственное происхождение. GoGra считается очень скрытной благодаря использованию API Microsoft Graph для доступа к данным почтовых ящиков.
Harvester действует как минимум с 2021 года и, как известно, использует собственные вредоносные инструменты, такие как бэкдоры и загрузчики, в кампаниях, направленных на телекоммуникационные, правительственные и ИТ-компании в Южной Азии.
Исследователи Symantec проанализировали образцы нового бэкдора GoGra для Linux, полученные с VirusTotal, и обнаружили, что первоначальный доступ осуществляется путем обмана и запуска ELF-бинарных файлов, замаскированных под PDF-файлы.
В Symantec отмечают, что версия бэкдора GoGra для Linux использует жестко закодированные учетные данные Azure Active Directory (AD) для аутентификации в облаке Microsoft и получения токенов OAuth2, что позволяет ему взаимодействовать с почтовыми ящиками Outlook через API Microsoft Graph.
На начальном этапе атаки вредоносный дроппер на основе Go развертывает полезную нагрузку i386, обеспечивая постоянное присутствие в системе через systemd и запись автозапуска XDG, выдающую себя за легитимный системный монитор Conky для Linux и BSD.
По данным исследователей, вредоносная ПО каждые две секунды проверяет папку почтового ящика Outlook под названием Zomato Pizza. Она использует OData-запросы для идентификации входящих писем с темами, начинающимися с Input.
Вредоносная ПО расшифровывает содержимое этих сообщений, закодированное в base64 и зашифрованное с помощью AES-CBC, и выполняет полученные команды локально.
Результаты выполнения затем шифруются с помощью AES и отправляются оператору в ответных электронных письмах с темой «Вывод».
Чтобы снизить вероятность обнаружения вредоносным ПО, программа отправляет HTTP-запрос DELETE для удаления исходного электронного письма с командой после его обработки.
Symantec подчеркивает, что штамм GoGra для Linux имеет практически идентичный код с версией вредоносного ПО для Windows, включая те же опечатки в строках и именах функций, а также тот же ключ AES.
Это четко свидетельствует о том, что оба вредоносных кода были созданы одним и тем же разработчиком, что указывает на принадлежность к группе Harvester.
Symantec рассматривает появление Linux GoGra как признак того, что Harvester расширяет свой набор инструментов и сферу применения, чтобы охватить более широкий спектр систем.
Исследователи Лаборатории Касперского задокументировали новую вредоносную программу для стирания данных под названием Lotus, которая задействовалась в течение прошлого года в ходе целенаправленных атаках на энергетические и коммунальные системы в Венесуэле.
Вредоносная ПО была загружена на общедоступную платформу в середине декабря с компьютера в Венесуэле, попав в поле зрения исследователей ЛК.
Перед этапом нанесения решающего удара злоумышленник использует два пакетных скрипта, которые подготавливают систему к финальной атаке, ослабляя средства защиты и препятствуя нормальной работе.
По данным исследователей, вредоносная ПО Lotus отключает механизмы восстановления, перезаписывает содержимое физических дисков и систематически удаляет файлы на затронутых томах, в конечном итоге оставляя систему в невосстанавливаемом состоянии».
Учитывая временные рамки, наблюдаемая активность совпадает с геополитической напряженностью в регионе, кульминацией которой в этом году 3 января стал захват тогдашнего президента Венесуэлы Николаса Мадуро.
Примерно в середине декабря 2025 года государственная нефтяная компания Petróleos de Venezuela (PDVSA) подверглась кибератаке, которая вывела из строя ее системы доставки. Компания обвинила в инциденте США.
Следует отметить, что в открытом доступе нет никаких доказательств того, что системы PDVSA были нейтрализованы в результате атаки, как нет подробностей о характере самой атаки.
В отчете Лаборатории Касперского сообщается, что атаки начинаются с выполнения пакетного скрипта (OhSyncNow.bat), который отключает службу Windows UI0Detect и выполняет проверку XML-файла для координации выполнения на системах, подключенных к домену.
При выполнении определенных условий запускается скрипт второго этапа (notesreg.bat).
Он сканирует пользователей, отключает учетные записи через смену паролей, завершает активные сессии, отключает все сетевые интерфейсы и деактивирует кэшированные данные для входа.
Затем вредоносный код считывает диски и запускает команду diskpart clean all, чтобы перезаписать их нулями. Как обнаружили в ЛК, он также использует robocopy для перезаписи содержимого каталогов.
На следующем этапе программа вычисляет свободное пространство и использует утилиту fsutil для создания файла, который заполняет диск, затрудняя восстановление стертых данных.
После подготовки среды для уничтожения данных и выполнения некоторых действий по очистке, пакетный скрипт расшифровывает и запускает вайпер Lotus в качестве конечной полезной нагрузки.
Lotus работает на более низком уровне, взаимодействуя с дисками посредством вызовов IOCTL, получая геометрию диска, очищая записи журнала USN, удаляя точки восстановления и перезаписывая физические сектора, а не только логические тома.
Вредоносная ПО реализует следующий алгоритм действий:
- Предоставляет все привилегии, содержащиеся в его токене, для получения доступа административного уровня.
- Удаляет все точки восстановления Windows, используя API восстановления системы.
- Осуществляет стирание данных с физических дисков путем восстановления геометрии диска и перезаписи всех секторов нулями.
- Очищает журнал USN, удаляя следы активности файловой системы.
- Удаляет файлы, обнуляя их содержимое, переименовывая их случайным образом и удаляя (или планируя удаление при перезагрузке, если система заблокирована).
- Повторяет циклы очистки диска и удаления точек восстановления несколько раз.
- После окончательного удаления данных обновляются свойства диска с помощью команды IOCTL_DISK_UPDATE_PROPERTIES.
Технические подробности, IOCs и рекомендации - в отчете.
Исследователи F6 и Positive Technologies выкатили отчеты по результатам отслеживания активности PhantomCore, которая является одной из наиболее активных групп на российском ландшафте угроз.
Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных.
Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций.
В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды.
Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite).
Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями.
Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой.
Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают:
- использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой);
- создание и эксфильтрация снимков экрана;
- хищение файлов по полученному от сервера шаблону;
- определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер;
- сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее.
В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак.
В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore.
При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа.
Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi.
В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО.
PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний.
Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).
Французская платформа ANTS, обрабатывающая процедуры выдачи паспортов, видов на жительство и водительских прав, взломана, а данные украдены.
Власти обнаружили инцидент 15 апреля и предупредили, что он мог привести к утечке персональных данных из личных и профессиональных аккаунтов на портале ants.gouv.fr.
МВД Франции официально подтвердило факт утечки и проводит расследование масштабов и последствий для пострадавших пользователей.
Власти уведомляют пострадавших пользователей. Согласно уведомлению об утечке данных, раскрытые данные не включают загруженные документы и не предоставляют доступа к учетным записям пользователей.
ANTS также уведомила об инциденте в Французское управление по защите данных (CNIL), прокуратуру и агентство по кибербезопасности.
В свою очередь, в киберподполье на продажу выставлен большой набор данных, украденный у ANTS, который включает 19 млн. записей с именами, адресами почты, номерами телефонов, данными о рождении, адресами, семейным положением и метаданными учетных записей.
Ransomware Payouts King использует эмулятор QEMU в качестве бэкдора обратного SSH для запуска скрытых виртуальных машин на скомпрометированных системах и обхода защиты конечных точек.
Поскольку решения безопасности на хосте не могут сканировать внутренние виртуальные машины, злоумышленники могут использовать их для выполнения вредоносных ПО, хранения вредоносных файлов и создания скрытых туннелей удаленного доступа по SSH.
Исследователи Sophos задокументировали две кампании, в ходе которых злоумышленники использовали QEMU в качестве части своего арсенала для сбора учетных данных домена.
Одна из кампаний, отслеживаемая как STAC4713, была впервые обнаружена в ноябре 2025 года и связана с Payouts King. Другая, STAC3725, была обнаружена в феврале этого года и полагалась на CitrixBleed 2 (CVE‑2025‑5777) в экземплярах NetScaler ADC и Gateway.
Исследователи отмечают, что злоумышленники, стоящие за кампанией STAC4713, связаны с группой угроз GOLD ENCOUNTER, которая, как известно, нацелена на гипервизоры и шифровальные программы для сред VMware и ESXi.
По данным Sophos, злоумышленник создавал запланированную задачу с именем TPMProfiler для запуска скрытой виртуальной машины QEMU от имени системы.
Использовались файлы виртуальных дисков, замаскированные под базы данных и DLL-файлы с настройкой переадресации портов для обеспечения скрытого доступа к зараженному хосту через обратный SSH-туннель.
На виртуальной машине была установлена Alpine Linux 3.22.0, которая включает в себя инструменты для атаки, такие как AdaptixC2, Chisel, BusyBox и Rclone.
Первоначальный доступ был получен через открытые VPN-соединения SonicWall, в то время как в более поздних атаках наблюдалась эксплуатация CVE-2025-26399 в системе веб-поддержки SolarWinds.
После заражения злоумышленники использовали VSS (vssuirun.exe) для создания теневой копии, а затем с помощью команды print по протоколу SMB скопировали файлы NTDS.dit, SAM и SYSTEM во временные каталоги.
В более поздних инцидентах использовались другие первоначальные пути доступа. В феврале GOLD ENCOUNTER использовала незащищенный SSL VPN-туннель Cisco, а в марте, выдавая себя за ИТ-специалистов, обманом заставили сотрудников через Microsoft Teams загрузить и установить QuickAssist.
В обоих случаях злоумышленники использовали легитимный исполняемый файл ADNotificationManager.exe для установки Havoc C2 (vcruntime140_1.dll), а затем с помощью Rclone перенаправили данные на удаленный SFTP-сервер.
Согласно отчету Zscaler, Payouts King, вероятно, связан с бывшими партнерами BlackBasta, судя по использованию им аналогичных методов первоначального доступа: рассылка спама, фишинг в Microsoft Teams и злоупотребление Quick Assist.
Этот штамм имеет мощные механизмы обфускации и защиты от анализа, обеспечивает постоянное присутствие в системе с помощью запланированных задач и завершает работу средств безопасности, используя низкоуровневые системные вызовы.
В схеме шифрования Payouts King используется AES-256 (CTR) с RSA-4096 и прерывистым шифрованием для больших файлов. В оставленных записках с требованием выкупа жертвам указываются DLS-сайты в даркнете.
В рамках STAC3725 после взлома устройств NetScaler злоумышленники развертывали ZIP-архив с вредоносным файлом, который устанавливал службу AppMgmt, создавал нового локального администратора (CtxAppVCOMService) и устанавливал клиент ScreenConnect для обеспечения постоянного присутствия в системе.
ScreenConnect подключался к удаленному ретрансляционному серверу и устанавливал сессию с системными привилегиями, затем загружал и распаковывал пакет QEMU, который запускал скрытую виртуальную машину Alpine Linux, используя пользовательский образ диска .qcow2.
Вместо использования готового набора инструментов, злоумышленники вручную устанавливали и компилировали инструменты, включая Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute и Metasploit, внутри виртуальной машины.
Наблюдаемая активность включала сбор учетных данных, сканирование имен пользователей Kerberos, разведку Active Directory и подготовку к эксфильтрации через FTP-серверы.
Эпичное сражение двух банд вымогателей закончилось взаимным сливом данных.
Банда вымогателей Krybit взломала сайт конкурирующей группы 0APT после того, как на прошлой неделе последняя пригрозила раскрыть личные данные членов Krybit.
Как отметили в Barricade, 0APT слила в открытый текст учетные данные для доступа к панели управления вымогательской программой Krybit, а также биткойн-адреса и имена жертв, а Krybit ответила взаимностью, опубликовав все содержимое серверов 0APT.
Силовики и исследователи после употребления попкорна теперь могут приступать к своей партии и одержать уверенную победу в этом поединке. Так что будем посмотреть.
🇺🇸 Хакеры из АНБ США начали использовать ИИ-модель 🈁Mythos от Anthropic
Cтало известно, что Агентство национальной безопасности США получило в свой арсенал самую мощную и передовую ИИ-модель Mythos Preview, которая уже используется ведомством для решения своих задач. Как отмечает Axios, потребности правительства в обеспечении кибербезопасности стоят выше ситуации с конфликтом Пентагона с Anthropic.
Пока неясно, как именно АНБ в настоящее время использует Mythos, но другие организации, имеющие доступ к модели, используют ее преимущественно для сканирования собственных систем на наличие уязвимостей (защита), которые могут быть использованы злоумышленниками.
Не исключено, что Mythos в пилотных целях может использоваться АНБ для усиления своего наступательного потенциала при проведении киберопераций.
Представители Anthropic и Пентагона от комментариев отказались. АНБ и Аппарат директора Национальной разведки на запросы о комментариях не ответили.
✋ @Russian_OSINT