39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Наблюдая за недавними многочисленными утечками в отношении «враждебных» западным странам APT и банд вымогателей, мы неоднократно упоминали о причастности к этим сливам спецслужб, которые подобным образом легализовывали свои оперативные материалы.
И, наконец-то, подкатили пруфы, причем с первых полос ведущих европейских изданий.
Журналисты Le Monde и Zeit выкатили свой компромат, но не по хакерам, а в отношении деятельности секретной оперативной группы ФБР США под названием Группа 78.
Как сообщается, основной целью подразделения является создание «невыносимых» условий для жизни российских киберпреступников, используя абсолютно незаконные формы и методы.
По мнению их европейских коллег, критиковавших этот откровенный беспредел, это должно было побудить хакеров покинуть пределы российской юрисдикции, что делало их уязвимыми для экстрадиционных процедур.
В противном случае - просто парализовать их работу в России через дискредитацию.
Собственно, инициированные через журналистский корпус или же под легендой групп-конкурентов утечки служат отличным инструментов для подрыва репутации киберпреступников перед окружением и в среде российских правоохранителей.
В материале отмечается, что наиболее возмущение у представителей парижской прокуратуры вызвала масштабная утечка в Telegram, жертвой которой стала банда вымогателей BlackBasta, чья переписка стала достоянием широкой общественности.
Вместе с тем, точных доказательств причастности к этому Группы 78, кончено же, нет.
Тем не менее, европейцы считают, что именно Группа 78 по самые уши вмешалась в официальное расследование в отношении BlackBasta, чем фактически нивелировали эффективность судебных мер.
В общем, ЧТД.
Исследователи Symantec сообщают об атаке китайской группы Jewelbug на российского поставщика ИТ-услуг, в результате которой хакеры проникли в сеть и находились с января по май 2025 года.
Jewelbug также пересекается с кластерами угроз, известными как CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
По данным исследователей, группа активна по крайней мере с 2023 года и, в первую очередь, нацелена на правительственные учреждения, технологий, логистику, производства, телеком, ИТ и ритейл в Азиатско-Тихоокеанском региона и Латинской Америке.
В арсенале задействуется вредоносное ПО VARGEIT и COBEACON (Cobalt Strike Beacon). Кроме того, хакеры распространяли продвинутый бэкдор FINALDRAFT (Squidoor), способный заражать как Windows-, так и Linux-системы.
Сообщает, что в ходе названного инцидента злоумышленники имели доступ к репозиториям кода и системам сборки ПО, которые они потенциально могли использовать для проведения атак на цепочки поставок, нацеленных на клиентов компании в России.
Примечательно, что для эксфильтрации хакеры применяли Яндекс iCloud.
Помимо этого Jewelbug использовала модифицированный Microsoft Console Debugger («cdb.exe»), который можно использовать для запуска шелл-кода и обхода белого списка приложений, а также исполняемых файлов, DLL-библиотек и завершения работы решений по безопасности.
Злоумышленник также сбросывал учетные данные, обеспечивал устойчивость с помощью запланированных задач и попытках скрыть следы своей деятельности путем очистки журналов событий Windows.
Исследователи также обращают внимание и на другой инцидент, связанный со взломом крупной южноамериканской правительственной организации в июле 2025 года.
В атаке задействовался ранее недокументированный бэкдор, который, как сообщается, находится в стадии разработки. Вредоносная ПО использует API Microsoft Graph и OneDrive для C2 и способна собирать системную информацию, файлы и загружать эту информацию в OneDrive.
Использование API Microsoft Graph позволяет злоумышленникам скрываться среди обычного сетевого трафика и оставлять минимум криминалистических артефактов, что затрудняет анализ после инцидента и увеличивает время обнаружения злоумышленников.
Среди других жертв Jewelbug отмечены: поставщик ИТ-услуг из Южной Азии и тайваньская компания(в октябре и ноябре 2024 года), при этом в атаке на последнюю хакеры использовали DLL Hijacking для внедрения полезных нагрузок, включая традиционный ShadowPad.
Цепочка заражения также характеризуется использованием инструмента KillAV для отключения ПО безопасности и общедоступного EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи ядра в античит-драйвере ECHOAC в рамках, по-видимому, атаки BYOVD.
Также использовались LSASS и Mimikatz для сброса учетных данных, свободно распространяемые PrintNotifyPotato, Coerced Potato и Sweet Potato для обнаружения и повышения привилегий, а также утилита SOCKS-туннелирования EarthWorm, которая использовалась такими китайскими группами, как Gelsemium, Lucky Mouse и Velvet Ant.
При этом Symantec так и не удалось не установить начальный вектор заражения, который использовался для взлома организаций во всех отмеченных инцидентах.
Безусловно, новые артефакты указывают на расширение географического таргета группы, однако ничего нового с точки зрения практики российского инфосека по части активности китайцев Symantec особо не открыли.
Буквально вчера дали обзор в отношении F5 (ранее F5 Networks), одной из из крупнейших американских технологических компаний и членом индекса S&P 500, которая на этой неделе сообщила об инциденте, который претендует на звание крупнейшего взлома года.
Подробности утечки постоянно менялись с момента ее раскрытия, но больше всего запомнилась масса успокоительных сообщений:
- среди «украденных» дефектов не было критических уязвимостей и RCE,
- несанкционированных модификаций исходного кода не обнаружено,
- нет признаков доступа к исходным кодам NGINX,
- нет признаков эксплуатации украденных дефектов.
Однако вместо успокоительных сообщений клиентам F5, по всей видимости, в пору начинать пить успокоительные в таблетированной форме, ведь как сообщают в GreyNoise, уже наблюдается всплеск сканирований устройств BIG-IP вскоре после того, как был раскрыт взлом.
Продолжаем следить.
Сделаем небольшой обзор по наиболее актуальным масштабным атакам, в том числе с использованием недавно раскрытых уязвимостей:
1. Злоумышленники задействуют исправленную в конце сентября 0-day (CVE-2025-20352, CVSS 7,7) в в протоколе сетевого управления (SNMP) устройств Cisco IOS и IOS XE для развертывания руткита.
Ошибка позволяет злоумышленникам с низким уровнем привилегий вызывать DoS, также может быть использована с высокими привилегиями для RCE.
Новую кампанию Operation ZeroDisco раскрыли исследователи Trend Micro, обнаружив злоумышленника, использующего уязвимость для развертывания Linux-руткита на старых уязвимых устройствах, включая устройства Cisco 9400, 9300 и устаревшие серии 3750G.
Помимо CVE-2025-20352, хакеры использовали модифицированный эксплойт для CVE-2017-3881 - уязвимости Telnet, приводящей к RCE, которая позволяла выполнять чтение и запись в память.
По данным Trend Micro, руткит отслеживает UDP-пакеты, отправляемые на любой порт устройства, даже закрытый, что позволяет злоумышленникам настраивать или активировать функции бэкдора. Он также модифицирует память iOSd для установки универсального пароля.
Руткит также скрывает элементы текущей конфигурации в памяти, позволяет обходить списки контроля доступа (ACL), применяемые к VTY, отключает историю журнала и сбрасывает временные метки записи текущей конфигурации, чтобы скрыть изменения.
Как отмечает Trend Micro, в настоящее время не существует универсального автоматизированного инструмента, позволяющего надёжно определить, был ли коммутатор Cisco успешно скомпрометирован в рамках ZeroDisco.
2. За последнюю неделю в ходе масштабной кампании было взломано более сотни устройств SonicWall SSLVPN в 16 средах.
Специалисты Huntress утверждают, что злоумышленники использовали действительные учётные данные для аутентификации и захвата устройств.
Все успешные аутентификации проходили с одного и того же IP-адреса (202.155.8[.]73). На некоторых устройствах злоумышленники перемещались по сети жертвы и расширяли свой доступ.
Huntress полагает, что атаки связаны с недавним взломом SonicWall, когда хакеры похитили резервные копии конфигурации устройств из облачного сервиса компании.
3. Gladinet выпустила обновления для бизнес-решения CentreStack (16.10.10408.56683), призванные устранить уязвимость локального включения файлов (CVE-2025-11371), которую злоумышленники использовали в качестве уязвимости нулевого дня с конца сентября.
Исследователи Huntress раскрыли информацию об эксплуатации уязвимости на прошлой неделе, заявив, что она представляла собой обходной путь для смягчения последствий, реализованный Gladinet для уязвимости десериализации, приводящей к RCE - CVE-2025-30406.
Уязвимость локального включения файлов (LFI) позволяла злоумышленникам читать файл Web.config в полностью исправленных развертываниях CentreStack, извлекать машинный ключ, а затем использовать его для эксплуатации уязвимости CVE-2025-30406.
В обновлении к первоначальному сообщению Huntress поделилась более подробной технической информацией в отношении CVE-2025-11371, включающей в себя минимальный прототип эксплойта.
Инцидент F5 обрастает интересными подробностями.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
Ну раз уж зашло тема микромягких, то, конечно же, нельзя пройти мимо октябрьского PatchTuesday с исправлениями для 172 уязвимостей, в том числе 6 0-day.
В общей массе устранено 8 критических уязвимостей, 5 из которых - это RCE, а три - EoP.
Если по всем категориям - то 80 уязвимостей связаны с повышением привилегий, 11 - обходом функций безопасности, 31 - RCE, 28 - раскрытием информации, 11 - DoS и 10 - спуфингом.
Следует также отметить, что это последний PatchTuesday для Windows 10, далее - расширенная поддержка (ESU) за отдельный прайс на год (для предприятий на три).
Среди упомянутых нулей:
- CVE-2025-24990: уязвимость драйвера модема Windows Agere, приводящая к EoP и административным привилегиям. По итогу ltmdm64.sys был удалён, работа соответствующего оборудования факс-модема поддерживаться не будет.
- CVE-2025-59230: уязвимость диспетчера подключений удаленного доступа Windows позволяет авторизованному злоумышленнику локально повышать привилегии.
Как отмечает Microsoft, злоумышленники должны «вложить измеримые усилия в подготовку или реализацию», чтобы успешно воспользоваться уязвимостью. Она была обнаружена Microsoft MSTIC и MSRC.
- CVE-2025-47827: обход безопасной загрузки в ОС IGEL до версии 11, который возможен в виду того, что модуль igel-flash-driver неправильно проверяет криптографическую подпись.
В конечном итоге, из непроверенного образа SquashFS можно смонтировать созданную корневую файловую систему. Ошибка была обнаружена Заком Дидкоттом и публично раскрыта на GitHub. Причем MITRE сама присвоила ей CVE.
Далее следуют публично эксплуатируемые недостатки, в числе которых:
- CVE-2025-0033: уязвимость в процессорах AMD EPYC с SEV-SNP, которая может повлиять на целостность памяти.
Она связана с состоянием гонки во время инициализации RMP и может позволить вредоносному или скомпрометированному гипервизору изменить записи RMP до их блокировки, что потенциально повлияет на целостность гостевой памяти SEV-SNP.
При этом уязвимость не раскрывает данные в открытом виде или секреты, а для её использования требуется привилегированный доступ к гипервизору.
Microsoft заявляет, что обновления безопасности для этой уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD ещё не готовы.
Проблема была публично раскрыта AMD вчера, обнаружение приписывается ученым из Швейцарской высшей технической школы Цюриха.
- CVE-2025-24052: уязвимость драйвера модема Windows Agere, приводящая к EoP и аналогичная CVE-2025-24990, но для ее эксплуатации не обязательно использовать модем. CVE не приписывается ни одному исследователю.
- CVE-2025-2884: уязвимость чтения за пределами допустимого диапазона в эталонной реализации TCG TPM2.0, могла привести к раскрытию информации или отказу в обслуживании TPM.
Проблема затрагивает вспомогательную функцию CryptHmacSign эталонной реализации CG TPM2.0, которая подвержена чтению за пределами буфера из-за отсутствия проверки схемы подписи с помощью алгоритма ключа подписи.
CERT/CC назначила ей CVE от своего имени. Ошибка была приписана Trusted Computing Group (TCG) и анонимному исследователю.
👾 CVE database.
• Оказывается, что у ребят из Wiz есть актуальная и очень объемная база данных, которая содержит перечень уязвимостей с прицелом на облачные инфраструктуры.
• Каждая запись содержит информацию по наличию эксплойтов, технические детали, риски, рекомендацию по исправлению и еще кучу другой информации:
➡ https://www.wiz.io/vulnerability-database
• Однозначно добавляем ресурс в нашу коллекцию:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
➡fedi sec feeds — агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.).
S.E. ▪️ infosec.work ▪️ VT
💚«Лаборатория Касперского» изучила, откуда россияне узнают новости про кибербезопасность и ИТ
1️⃣ Наибольшее доверие у тех, кто интересуется новостями об инфобезе и ИТ, вызывают Telegram-каналы — 39%.
2️⃣На втором месте телевидение (32%).
3️⃣ На третьем — российские новостные сайты (24%).
Эксперты компании отмечают: независимо от того, какие ресурсы предпочитает пользователь, важно проверять информацию, чтобы защититься от фейков и мошенничества.
💻 Узнавать новости о кибербезопасности и ИТ большинство предпочитает в виде коротких постов (66%), а также видео, телевизионных передач и документальных фильмов (56%). Читать статьи и другие длинные тексты любят 27% респондентов, а каждый пятый слушает подкасты, радио- и аудиоматериалы.
Подробнее тут.
✋ @Russian_OSINT
Группа ученых из Калифорнийского университета (Беркли), Вашингтонского университета, Калифорнийского университета (Сан-Диего) и Университета Карнеги-Меллона раскрыли подробности новой атаки по побочным каналам, которая затрагивает устройства Android от Google и Samsung.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Как мы и предполагали, продолжился слив от псевдогруппы неуловимых хакеров под лейблом KittenBusters в отношении деятельности иранской APT35, а фактически - вышла новая часть легализованных материалов спецслужб, что, вероятно, по задумке организаторов, должно притормозить работу хакеров.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
Неустановленный злоумышленник задействует устаревший режим Internet Explorer в Microsoft Edge для запуска вредоносного кода в браузере пользователя и получения контроля над его устройством.
Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.
Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.
Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.
По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.
Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.
Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.
Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.
Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.
Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.
Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.
Linux Incident Response & Security
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
Эксперты курса:
Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз.
Антон Степанов - Lead Incident Responder, неоднократно принимал участие в расследовании резонансных инцидентов.
Сергей Канибор - R&D / Container Security в Luntry, специализируется на безопасности контейнеров и Kubernetes. Багхантер.
Исследователи Trend Micro сообщают о новым мощном ботнете под названием RondoDox, который нацелен на 56 уязвимостей в более чем 30 различных устройствах, включая недостатки, впервые обнаруженные в рамках Pwn2Own.
Злоумышленник фокусируется на широком спектре уязвимых устройств, включая цифровые видеорегистраторы, сетевые видеорегистраторы, системы видеонаблюдения и веб-серверы, и действует с июня.
Взломанные устройства задействуются для майнинга, DDoS и взлома корпоративных сетей.
Ботнет RondoDox использует стратегию, которую исследователи Trend Micro называют «шотом эксплойтов», когда одновременно используются многочисленные эксплойты для максимального заражения, даже если активность очень фонит.
С тех пор как FortiGuard Labs обнаружила RondoDox, ботнет, по всей видимости, расширил список эксплуатируемых уязвимостей, в который вошли CVE-2024-3721 и CVE-2024-12856.
В отчете Trend Micro упоминается, что RondoDox эксплуатирует CVE-2023-1389 в Wi-Fi-маршрутизаторе TP-Link Archer AX21, которая была первоначально продемонстрирована на Pwn2Own Toronto 2022.
Исследователи безопасности отмечают, что разработчик ботнета уделяет пристальное внимание эксплойтам, продемонстрированным во время событий Pwn2Own, и быстро использует их в качестве оружия, как это сделала Mirai с CVE-2023-1389 в 2023 году.
Среди выявленных после 2023 года ошибок, включенных RondoDox в свой арсенал: Digiever (CVE-2023-52163), QNAP (CVE-2023-47565), LB-LINK (CVE-2023-26801), TRENDnet (CVE-2023-51833), D-Link (CVE-2024-10914), TBK (CVE-2024-3721), Four-Faith (CVE-2024-12856), Netgear (CVE-2024-12847), AVTECH (CVE-2024-7029), TOTOLINK (CVE-2024-1781, CVE-2025-5504 и CVE-2025-1829), Tenda (CVE-2025-7414), Meteobridge (CVE-2025-4008), Edimax (CVE-2025-22905), Linksys (CVE-2025-34037) и TP-Link (CVE-2023-1389)
Trend Micro также обнаружила, что RondoDox поддерживает эксплойты для 18 уязвимостей, связанных с внедрением команд, которым не присвоен идентификатор уязвимости (CVE).
Они затрагивают сетевые хранилища D-Link, цифровые видеорегистраторы TVT и LILIN, маршрутизаторы Fiberhome, ASMAX и Linksys, камеры Brickcom и другие неопознанные конечные устройства.
Недавно RondoDox расширил свое распространение, используя инфраструктуру «загрузчик как услуга», которая объединяет RondoDox с полезными нагрузками Mirai/Morte, что делает обнаружение и устранение уязвимостей более актуальными.
RondoDox нацелен на ARM, MIPS и различные архитектуры Linux.
Он способен запускать DDoS-атаки с использованием HTTP, UDP и TCP-пакетов, эмулируя известные игровые платформы или выдавая себя за VPN-сервисы, чтобы скрыть вредоносный трафик и избежать обнаружения.
Другие технические подробности - в отчете.
Юридическая фирма Williams & Connolly стала жертвой атаки китайских хакеров, которые некоторые ее системы и получили доступ к аккаунтам электронной почты адвокатов с помощью неизвестной 0-day.
Это авторитетная юридическая фирма со штаб-квартирой в Вашингтоне и известна тем, что представляет интересы политических деятелей и чиновников, включая Барака Обаму и чету Клинтонов, а также крупные компании, в том числе Intel, Samsung, Google, Disney и Bank of America.
Согласно заявлению компании, расследование при содействии CrowdStrike показало, что хакеры воспользовались неким нулем, чтобы получить доступ к определенному перечню учетных записей электронной почты адвокатов.
При этом в Williams & Connolly не нашли никаких доказательств кражи конфиденциальных данных клиентов или взлома других частей ее ИТ-системы.
Расследование показало, что к атаке, скорее всего, причастна неназванная китайская APT, которая, как известно, в последнее время атаковала юридические фирмы и другие компании.
Несмотря на то, что в официальном заявлении компании Китай не упоминается, журналисты The New York Times выяснили, что китайские хакеры атаковали не только Williams & Connolly, но также и другие юридические фирмы.
Изданию также стало известно, что компания Williams & Connolly сообщала клиентам, что хакеры вряд ли продадут или опубликуют полученную ими информацию.
Как полагают некоторые эксперты, вероятно, инцидент связан с активностью группы UNC5221, об атаках которой на сектор юридических услуг, в том числе с использованием нулей и бэкдора BrickStorm, предупреждали исследователи Mandiant.
В среднем хакеры проводили в атакуемых сетях почти 400 дней.
Это та же группа, что и атаковала MITRE в 2023 году. Причем UNC5221 часто отождествляют с Silk Typhoon, но исследователи не считают их идентичными.
В некоторых случаях хакеры полагались на 0-day в продукте Ivanti. Вероятно, как и в этом инциденте.
Но про Ivanti - сегодня суть позже.
Исследователи Imperva раскрыли подробности уже исправленной уязвимости в популярном сервере figma-developer-mcp Model Context Protocol (MCP), которая позволяет злоумышленникам выполнять код.
CVE-2025-53967 (CVSS: 7,5) представляет собой ошибку внедрения команд и обусловлена несанкционированным использованием входных параметров в вызове child_process.exec, что позволяет злоумышленнику внедрять произвольные системные команды.
Сервер создаёт и выполняет команды оболочки, используя непроверенный пользовательский ввод непосредственно в строках командной строки, что создаёт возможность внедрения метасимволов оболочки (|, >, && и т.д.).
Успешная эксплуатация может привести к удалённому выполнению кода с привилегиями серверного процесса.
Учитывая, что сервер Framelink Figma MCP предоставляет различные инструменты для выполнения операций в Figma с использованием кодирующих агентов на базе ИИ, таких как Cursor, злоумышленник может обмануть клиент MCP и заставить его выполнить непреднамеренные действия с помощью косвенного внедрения подсказки.
Компания Imperva обнаружила и уведомила об этой проблеме в июле 2025 года, описав CVE-2025-53967 как «упущение в проекте» в части механизма отката, которое позволяет злоумышленникам выполнить удаленный код, подвергая разработчиков риску раскрытия данных.
По словам исследователей, уязвимость внедрения команд возникает во время создания инструкции командной строки, используемой для отправки трафика на конечную точку API Figma.
Последовательность эксплуатации реализуется в несколько этапов. Сначала клиент MCP отправляет запрос Initialize конечной точке, чтобы получить mcp-session-id, который используется в последующей связи с сервером MCP.
Затем клиент отправляет запрос JSONRPC на сервер MCP с методом tools/call для вызова инструментов, таких как get_figma_data или download_figma_images.
По сути, проблема кроется в src/utils/fetch-with-retry.ts, который сначала пытается получить содержимое с помощью стандартного API fetch, а если это не удается, переходит к выполнению команды curl через child_process.exec, что приводит к уязвимости внедрения команд.
Поскольку команда curl создается путем прямой интерполяции значений URL и заголовка в строку команды оболочки, злоумышленник может создать специально разработанный URL или заголовок, который внедрит произвольные команды оболочки, что привести приводит к RCE на хост-машине.
Применительно к PoC в ходе атаки удалённый злоумышленник в той же сети (например, общедоступная сеть Wi-Fi или скомпрометированное корпоративное устройство) может активировать уязвимость, отправив серию запросов на уязвимый MCP.
В качестве альтернативы злоумышленник может обманным путём заставить жертву посетить специально созданный сайт в рамках атаки с перепривязкой DNS.
Уязвимость устранена в версии 0.6.3 figma-developer-mcp, выпущенной 29 сентября 2025 года.
В качестве мер по снижению риска рекомендуется избегать использования child_process.exec с ненадежными входными данными и переходить на child_process.execFile, который исключает риск интерпретации оболочки.
На западе активно раздувают скандал вокруг масштабного взлома систем передачи секретной информации Великобритании, который долгое время скрывался от общественности.
Как сообщает Times, китайские хакеры взломали секретные сети Великобритании и сохраняли к ним доступ более десяти лет, что категорически опровергают в самом правительстве до настоящего времени.
В частности, бывший генеральный директор NCSC Киран Мартин назвал это сообщение «категорически ложным».
Тем не менее, бывший старший советник премьер-министра Великобритании Бориса Джонсона Доминик Каммингс заявил, что кабинет министров скрыл крупный взлом в 2020 году, в результате которого Китай получил доступ к секретной информации.
Каммингс утверждает, что Пекин скомпрометировал правительственную систему, используемую для передачи особо секретных данных в Уайтхолле.
В результате в руки китайской стороны попали «огромные объемы» конфиденциальной информации, включая разведывательные сводки, дипломатическая почта и материалы спецслужб.
По словам экс-советника, о взломе его и Джонсона проинформировал тогдашний секретарь Кабинета министров.
Каммингс отметил, что похищенные данные включали материалы с грифом Strap - правительственная классификация для особо важных сведений, а также документы Секретариата национальной безопасности.
Он заявил, что высокопоставленные чиновники скрыли информацию об инциденте. После брифинга участников предупредили, что разглашение некоторых деталей взлома будет считаться уголовным преступлением.
Несмотря на это, экс-советник выразил готовность поделиться известной ему информацией с членами парламента в случае начала расследования.
К делу подключилась также Bloomberg и, ссылаясь на слова двух бывших высокопоставленных лиц по вопросам безопасности и других британских чиновников, фактически подтвердила, что китайцы систематически и успешно взламывали секретные компьютерные системы.
Отмечая также, что призывы к расследованию могут быть связаны с давлением на премьер-министра Британии Кира Стармера из-за политики в отношении Пекина на фоне прекращения в суде уголовного дела в отношении двух китайских шпонов за недостаточностью доказательств.
Но, как всегда, будем посмотреть.
Ресерчеры из Лаборатории Касперского продолжают отслеживать активность APT-группы, известной как Mysterious Elephant (APT-K-47, Bitter), которая за последние два года значительно эволюционировала и стала более изощренной в своих атаках.
Основной целью атакующих являются правительственные организации и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Атаки группы сосредоточены преимущественно в Пакистане, Бангладеш и на Шри-Ланке.
Последняя кампания 2025 года демонстрирует существенное изменение в её TTPs с акцентом на обновление арсенала и опенсорс. Группа сконцентрировалась на краже конфиденциальных данных, пересылаемых через WhatsApp, в том числе документов, изображений и архивов.
Для получения первоначального доступа к своим целям злоумышленники теперь используют комбинацию из набора эксплойтов, фишинговых писем и вредоносных документов.
Стоит отметить, что Mysterious Elephant начала применять целевой фишинг, составляя фишинговые письма индивидуально для каждой жертвы и убедительно имитируя легитимную корреспонденцию.
Проникнув в систему, они задействуют ряд специально кастомизированных инструментов и утилит с открытым исходным кодом, в частности BabShell и MemLoader.
Группа также применяет PowerShell-скрипты для выполнения команд, внедрения дополнительных полезных нагрузок и закрепления в системе.
Они загружаются с командных серверов и часто задействуют легитимные инструменты системного администрирования, такие как curl и certutil, для загрузки и запуска вредоносных файлов.
Одним из инструментов, на которые перешла группа, является BabShell. Он написан на C++ и предназначен для создания реверс-шелла, позволяющего подключаться к скомпрометированной системе.
После запуска он собирает системную информацию, включая имя пользователя, имя компьютера и MAC-адрес, чтобы идентифицировать машину, после чего переходит в бесконечный цикл в ожидании команд, для каждой из которой создает отдельный поток.
BabShell выполняет инструкции командной строки и запускает дополнительные полезные нагрузки, получаемые с командного сервера.
Одним из новых модулей, используемых Mysterious Elephant и загружаемых через BabShell, является MemLoader HidenDesk, который представляет собой рефлективный PE-загрузчик, который загружает полезные нагрузки и выполняет их непосредственно в памяти.
Он применяет шифрование и сжатие для обхода механизмов обнаружения.
В последней кампании также применялся MemLoader Edge - еще одна разновидность загрузчика, который содержит встроенный образец VRat и шифрование наряду с иными методами обхода обнаружения.
Перехват коммуникаций в WhatsApp является ключевой особенностью модулей эксфильтрации (среди которых Uplo Exfiltrator, Stom Exfiltrator и ChromeStealer Exfiltrator) группы Mysterious Elephant.
Они предназначены для кражи конфиденциальных данных с систем и специально адаптированы под WhatsApp.
В них реализованы различные техники, такие как рекурсивный обход каталогов, XOR-дешифрование и кодирование по алгоритму Base64, для обхода обнаружения и передачи похищенной информации на С2.
Инфраструктура Mysterious Elephant представляет собой сеть доменов и IP-адресов, поддерживая подстановочные DNS-записи, VPS и облачные сервисы, что позволяет быстро масштабировать и адаптировать операции, снижая вероятность обнаружения.
Как отмечают исследователи, концентрация усилий группы на определенных организациях в сочетании с ее способностью адаптировать атаки под конкретных жертв подчеркивает серьезность этой угрозы, а использование как специально разработанных, так и общедоступных инструментов - высокий уровень технических знаний злоумышленников и готовность вкладываться в создание сложного вредоносного ПО.
Технический разбор нового инструментария и IOCs - в отчете.
Ресерчеры из Лаборатории Касперского анонсировали исследование по результатам анализа публичной активности хакеров в корреляции с их операциями.
Чтобы понять как выглядят кампании хакеров в 2025 году в ЛК проанализировали более 11 000 публикаций более чем 120 групп хакеров как в открытом сегменте, так и в даркнете, уделяя особое внимание тем, кто нацелен на страны Ближнего Востока и Северной Африки.
Основная цель исследования - выявить закономерности в операциях хакеров, включая методы атак, публичные предупреждения и заявленные намерения.
Анализ проводился исключительно с точки зрения кибербезопасности и основан на принципе нейтралитета.
Причем привычный стереотип, что большинство кампаний разворачивается на скрытых форумах в реальности не соответствует действительности: планирование и реализация в массе своей происходят открыто.
При этом Telegram стал своей города командным центром современных хакерских групп, обеспечивая наибольшую эффективность планирования атак и продвижения призывов к действию. На втором месте - X (ранее - Twitter).
Как отмечают Касперы, даже безотносительно хакеров, действующих в странах Ближнего Востока и Северной Африки, атаки рассматриваемых группировок носят глобальный характер и выходят далеко за пределы региона.
Жертвы атак есть по всей Европе и на Ближнем Востоке, а также в Аргентине, США, Индонезии, Индии, Вьетнаме, Таиланде, Камбодже, Турции и других странах.
Одной из примечательных особенностей постов и сообщений хакеров в даркнете является частое использование хэштегов (#слов).
Она часто служат политическими лозунгами, усиливают основной посыл сообщений, обеспечивают координацию действий или позволяют приписывать ответственность за атаки.
Наиболее распространёнными темами являются политические заявления и названия групп хакеров, но в некоторых случаях хэштеги указывают на географические местоположения, например, конкретные страны или города.
Хэштеги также отображают альянсы и динамику.
В 2025 году ЛК выявила 2063 уникальных тега: 1484 из них появились впервые, и многие были напрямую связаны с определёнными группами или совместными кампаниями.
Большинство тегов носят временный характер, около двух месяцев, а «популярные» теги сохраняются дольше, если их поддерживают альянсы; баны каналов способствуют оттоку аудитории.
С оперативной точки зрения, сообщения о завершённых атаках доминируют в хэштегированном контенте (58%), и среди них DDoS - «рабочая лошадка» (61%).
Всплески угрожающей риторики сами по себе не предсказывают новых атак, но время имеет значение: когда публикуются угрозы, они обычно относятся к действиям в ближайшей перспективе, то есть на той же неделе или месяце.
Такая тенденция указывает на то, что раннее выявление и упреждение потенциальных атак посредством помощью мониторинга открытых каналов может быть весьма полезным на практике.
В полной версии отчета подробно изложены следующие выводы относительно того, сколько времени обычно проходит до сообщения об атаке после публикации угрозы, как теги используются для координации атак, а также закономерности в разных кампаниях и регионах.
Группа ученых из Калифорнийского университета в Сан-Диего и Мэрилендского университета в Колледж-Парке выкатили результаты самого полного на сегодняшний день публичного исследования геостационарной спутниковой связи.
Исследователям удалось перехватить и шпионить за спутниковым трафиком с помощью простого устройства стоимостью 800 долларов, установленного на крыше их здания.
За три года работы над проектом стало понятно, что почти половина перехваченного трафика была незашифрованной, в том числе связанного с КИИ, корпоративными и правительственными коммуникациями, голосовыми вызовами и SMS, Wi-Fi-сетями, сетями на борту самолетов.
Все эти данные может пассивно отслеживать любой желающий через обычное оборудование, которое, как показал эксперимент, позволило задетектить 411 транспондеров на 39 геостационарных спутниках и принимать IP-трафик с 14% всех спутников Ku-диапазона в мире.
Как отмечают исследователи, в мире тысячи геостационарных спутниковых ретрансляторов и данные с одного ретранслятора могут покрывать территории размером до 40% поверхности Земли.
Для восстановления сетевых пакетов из необычных стеков протоколов разных поставщиков исследователи разработали и задействовали собственный экстрактор-анализатор IP-пакетов Dontlookup DVB-S2(X) (доступен на GitHub).
В общем, исследователи продемонстрировали возможности перехвата звонков мобильных операторов, текстовых сообщений, а также секретных коммуникаций военных и госструктур.
По мере идентификации поставщиков того или иного перехваченного трафика им направились соответствующие уведомления, пока что после доклада исследовательской группы лишь компания T-Mobile начала шифровать свои спутниковые соединения.
Технические подробности доступны в полной версии отчета (PDF), а также отчасти отражены в статье Энди Гринберга и Мэтта Берджесса на WIRED.
Продолжаются тектонические сдвиги на рынке spyware, на этот раз затронувшие даже гиганта отрасли с 20-ти летним стажем.
Через ведущие международные издания слили заслужившую звания «лаборатории прослушки» компанию First WAP с ее системой Altamides.
Материал под названием Surveillance Secrets - это результат совместного журналистского расследования при координации Lighthouse Reports и в партнерстве с иатльянской IrpiMedia.
В работе приняли участие журналисты Paper Trail Media, The Center for Investigative Reporting, ZDF, Der Spiegel, Tamedia, Der Standard, Haaretz, Tempo, KRIK, Investigace, Le Monde и NRK.
Altamides позиционируется на рынке весьма серьезно в качестве платформы для мониторинга за телефонами, посредством которой отслеживались перемещения более 14 000 целевых телефонных номеров (более 1,5 миллионов пингов).
Если верить утечкам, начиная с 2007 года Altamides задействовалась для негласной слежки за известными политическими деятелями, знаменитостями, журналистами и активистами в 168 странах.
Среди жертв нашли жену бывшего президента Сирии Башара Асада, музыканта Джареда Лето и высокопоставленных представителей бизнеса, в том числе Энн Воджицки, соучредительницу 23andMe и бывшую жену одного из соучредителей Google.
В ряде случае отслеживание предшествовало убийству, похищению или задержанию владельца контролируемой трубки.
Работа системы строится на злоупотреблении протоколом SS7 с применением богатой палитры софта для перехвата телефонных звонков и sms-сообщений, зеркалирования аккаунтов WhatsApp и контроля интернет-трафика.
Соединение по SS7 реализуется через индонезийского оператора связи и национального оператора Лихтенштейна, с которым у компании были давние отношения еще с начала своего пути.
First Wap была основана Йозефом Фуксом, австрийцем, эмигрировавшим в Индонезию в 1990-х годах и ранее работавшим инженером в Siemens.
Изначально она специализировалась на SMS, но впоследствии стала лидером в отслеживании местоположения мобильных телефонов.
Компания зарегистрирована в Индонезии и имеет офис в Дубае, что позволяет ей пользоваться более мягкими правилами экспорта, а её руководство дислоцируется в Европе.
По словам бывшего сотрудника, First Wap никогда не испытывала проблем с клиентами: система успешно продавалась правительствам и спецслужбам в Нигерии, Малайзии, Сингапура, ОАЭ, Индонезии, Узбекистана, Саудовской Аравии и даже Белоруссии.
Altamides также использовали частные детективные агентства, включая британскую Kcs Group, которая, в свою очередь, также подгоняла ей свою клиентуру.
В общем, теперь покатится First Wap по накатанной NSO Group дорожке, а мы будем следить.
Исследователи из Лаборатории Касперского выкатили весьма годный отчет на фоне завершения эпохи Windows 10 с обзором изменений в криминалистических артефактах в новой Windows 11 (24H2), который может пригодиться коллегам по цеху.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Oracle выпустила экстренные обновления безопасности для исправления еще одной уязвимости E-Business Suite (EBS), которая может быть проэксплуатирована удаленно неавторизованными злоумышленниками.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
Ученые из Швейцарской высшей технической школы Цюриха обнаружили уязвимость в управлении памятью процессоров AMD, которая позволила им нарушить целостность конфиденциальных вычислений и получила название RMPocalypse.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Исследователи Zimperium сообщают о масштабной вредоносной операции, нацеленной на на российских пользователей с помощью нового шпионского ПО для Android, распространяемого через Telegram под видом фейковый версий WhatsApp, Google Photos, TikTok и YouTube.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
На протяжении длительного времени отслеживали ситуацию на рынке spyware и, можно полагать, что все прогнозы относительно его трансформации четко претворяются в жизнь.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Исследователи из Positive Technologies выкатили отчет с результатами анализа ландшафта угроз для российских организаций и прогнозами по актуальным киберугрозам на 2026 год.
Выделим наиболее ключевые показатели и тренды.
На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников: в период с июля 2024 по сентябрь 2025 года на страну пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.
Ожидается, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, а в 2026 году может увеличиться еще на 30-35%.
В число основных драйверов кибератак на российские организации вошли: роль на международной арене, развитие высокотехнологических отраслей, энергетическая и промышленная значимость, а также геополитическая напряженность и стремительная цифровизация.
Именно два последних будут оказывать основное влияние на ландшафт киберугроз в 2026 году, особенно на фоне импортозамещения сфере IT.
В части методов атак социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными, включая многоступенчатые фишинговые кампании, задействование ИИ, многофункциональные RAT, «тихие» TTPs, легитимные ПО и инструменты living off the land.
По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с применением вредоносного ПО выросла с 56% до 71%, а доля атак с использованием социнженерии - с 49% до 60%.
Кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных (56% успешных атак) и нарушениям бизнес-процессов (до 40%). Кроме того, ожидается рост атак на цепочки поставок.
На фоне импортозамещения возрастают риски утечек исходного кода отечественного ПО и персональных данных пользователей. По мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства.
Переориентация в мотивах ряда группировок и согласие жертв платить выкупы вымогателям - основные факторы, способствующие эскалации финансово мотивированных атак (33% всех атак).
Появились так называемые гибридные группы. Продолжая сопровождать атаки политической риторикой, они шифруют и похищают данные, после чего требуют выкуп за ее восстановление или неразглашение.
В 2026 году ожидается рост шантажа с использованием утечек персданных.
Злоумышленники начнут оказывать давление на жертву, ссылаясь на возможные санкции. В первую очередь, под удар попадает малый и средний бизнес.
Один из ключевых факторов эскалации кибершпионажа - экономическая и технологическая трансформация, вызванная санкциями и уходом иностранных компаний с российского рынка. Второй важный фактор - модернизация ОПК РФ.
С июля 2024-го по сентябрь 2025 года на организации в России совершали атаки не менее 22 кибершпионских групп. На их долю пришлось 22% всех успешных кибератак.
В 2026 году активность и цели кибершпионов будут напрямую зависеть от геополитической ситуации, что также относится и к эскалации хактивизма в России (российские организации стали жертвами 18 хактивистских группировок, на их долю пришлось 19% успешных атак).
Наибольший интерес для хактивистов представляют государственные сервисы, топливно-энергетический комплекс, транспортная инфраструктура, телекоммуникации, финансовый сектор. На первый план вышли деструктивные атаки с шифровальщиками и вайперами.
Промышленность и госучреждения лидируют по количеству атак (17% и 11% всех успешных кибератак ) и в 2026 году ситуация не изменится, даже в случае урегулирования острых геополитических вопросов.
Российские IT- и телеком-компании (9% и 7%) остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак.
В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки.
Типичные проблемы - слабые парольные политики, отсутствие MFa, небезопасное хранение данных, использование устаревшего ПО, ошибки в разграничении доступа и недостаточная подготовка персонала в ИБ - останутся актуальными в 2026 году.
Исследователи Rapid7 выяснили, что взлом софтверного гиганта Red Hat является частью более масштабной кампании, нацеленной на облачные аккаунты AWS.
По данным Rapid7, Crimson Collective использует скомпрометированные учётные записи IAM для доступа к корпоративным средам AWS и их кражи для дальнейшего вымогательства.
Как известно, хакеры взяли на себя ответственность за недавнюю атаку Red Hat, заявляя о похищении 570 ГБ данных из тысяч частных репозиториев GitLab, и пытались заставить компанию-разработчика заплатить выкуп.
После раскрытия инцидента Crimson Collective объединились со Scattered Lapsus$ Hunters, дабы усилить градус вымогательства.
В свою очередь, исследователями Rapid7 раскопали дополнительную информацию о деятельности Crimson Collective, которая включает в себя компрометацию долгосрочных ключей доступа AWS и учетных записей управления идентификацией и доступом (IAM) для повышения привилегий.
Злоумышленники используют открытый инструмент TruffleHog для обнаружения уязвимых учётных данных AWS.
Получив доступ, они создают новых пользователей IAM и профили входа через вызовы API, а также генерируют новые ключи доступа.
Далее следует повышение привилегий путем назначения политики «AdministratorAccess» вновь созданным пользователям, что предоставляет Crimson Collective полный контроль над AWS.
Они используют этот уровень доступа для сканирования пользователей, экземпляров, контейнеров, местоположений, кластеров баз данных и приложений, чтобы затем спланировать варианты сбора и эксфильтрации данных.
Они изменяют главные пароли RDS (Relational Database Service), получая доступ к базе данных, создают моментальные снимки, а затем экспортируют их в S3 (Simple Storage Service) для извлечения данных с помощью вызовов API.
Rapid7 также фиксировала снимки томов EBS (Elastic Block Store), отмечая, что после этого запускались новые экземпляры EC2 (Elastic Compute Cloud).
Тома EBS затем подключались к разрешительным группам безопасности для упрощения передачи данных.
После завершения этого шага Crimson Collective отправляет жертвам записку о выкупе через AWS Simple Email Service (SES) во взломанной облачной среде, а также на внешние учетные записи электронной почты.
Исследователи отмечают, что Crimson Collective использовала несколько IP-адресов в своих операциях по краже данных и повторно использовала некоторые IP-адреса в разных инцидентах, что упрощало отслеживание, однако узнать что-либо подробнее о ней пока не смогли.
AWS предупредила клиентов, рекомендуя использовать краткосрочные учетные данные с минимальными привилегиями и применять ограничительные политики IAM.
На случай выявления каких-либо признаков компрометации учётных данных AWS представила соответствующую инструкцию или же обратиться в службу поддержки AWS.
Кроме того, чтобы смягчить эти атаки и предотвратить катастрофические нарушения из-за утечки секретов AWS, рекомендуется сканировать среду на предмет неизвестных угроз с помощью инструментов с открытым исходным кодом, таких как S3crets Scanner или других.
Три современных «богатыря» на поприще ransonware объединяются и создают беспрецедентный альянс вымогателей.
Триада включает, как вы уже могли догадаться, DragonForce, LockBit и Qilin.
Первая банда в апреле этого года уже запустила уникальный формат White Label, предоставляя партнерам доступ к инфраструктуре и возможность использования шифратора под собственным брендом.
Вторая, Qilin, отметилась как одна из наиболее активных в последние месяцы группа вымогателей, которая только в третьем квартале 2025 года препарировала более 200 жертв.
Одна из последних - Asahi, крупнейшая пивоваренная компания Японии, до сих пор невышедшая из нокаута.
И, наконец, LockBit, имевшая в лучшей своей форме более 2500 жертв на своем счету, куда без них.
После мощного удара спецслужб, нанесенного по инфраструктуре и частично проредившего ряды, банда смогла оправиться и не так давно 3 сентября 2025 года на RAMP в честь шестой годовщины RaaS представила LockBit 5.0 для систем Windows, Linux и ESXi.
Как полагают исследователи ReliaQuest, одиозная коалиция представляет собой попытку финансово мотивированных злоумышленников перейти на новый уровень организации «бизнеса» за счет кооперации в технологиях, ресурсах и инфраструктуре.
Кроме того, такой шаг поможет восстановить подпорченную в ходе Cronos репутацию LockBit среди операторов, что безусловно, приведет к резкой активизации атак на критически важную инфраструктуру и другие менее атакуемые сектора.
Звучит, конечно, многообещающе, но чем-то все же напоминает те самые мантры про Maze (помним, чем все закончилось). Так что будем посмотреть.
У Discord, по всей видимости, все не так однозначно, как заявляется: хакеры утверждают, что слямзили данные 5,5 млн. уникальных пользователей из экземпляра системы поддержки Zendesk, включая документы и отчасти платежную информацию.
Компания же опровергла заявления о том, что в результате утечки были раскрыты 2,1 миллиона фотографий из удостоверений личности, признавая лишь около 70 000 пользователей в качестве жертв утечки, документы которых использовались для подтверждения возраста.
Злоумышленники сообщили, что взлом произошел через службу поддержки Zendesk в Discord, однако компания не подтвердила это, ограничившись описанием инцидента сторонним сервисом, используемым для поддержки клиентов.
В конечно счете, в Discord категорически отказались от уплаты выкупа, заявляя, что «не будет вознаграждать виновных в незаконных действиях».
В ответ на это хакеры сообщили, что Discord утаивает всю серьезность взлома, ведь им удалось выкрасть 1,6 ТБ данных из экземпляра Zendesk компании.
По словам злоумышленников, они получили доступ к экземпляру Zendesk Discord на 58 часов, начиная с 20 сентября 2025 года.
Причем произошло это не из-за уязвимости или взлома Zendesk, а в виду компрометации учетной записи агента поддержки, работающего через стороннего поставщика услуг аутсорсинга бизнес-процессов (BPO), используемого Discord.
Внутренний экземпляр Zendesk в Discord предоставил им доступ к приложению поддержки, известному как Zenbar, которое позволяло им выполнять различные задачи, связанные с поддержкой, включая отключение MFa, поиск номеров телефонов и почты пользователей.
Используя доступ к платформе поддержки Discord, злоумышленники украли 1,6 терабайта данных, включая около 1,5 ТБ вложений к тикетам и более 100 ГБ расшифровок тикетов.
Речь идет примерно о 8,4 миллионах тикетов, затрагивающих 5,5 миллионов уникальных пользователей, и около 580 000 пользовательских данных, содержащих разноплановую платежную информацию.
Сами злоумышленники признались, что не уверены в том, сколько конкретно официальных документов было украдено, но полагают, что их было более 70 000, поскольку число пикетов на проверку возраста переваливало за 521 000 единиц.
Злоумышленники также поделились образцами украденных данных, которые включают разнообразную информацию: адреса почты, имена и идентификаторы Discord, номера телефонов, информацию об платежах, дату рождения, информацию по MFa, уровни подозрительной активности и другие внутренние сведения.
При этом платежную информацию ряда пользователей, предположительно, можно было получить через интеграцию Zendesk с внутренними системами Discord.
Она позволила выполнить миллионы API-запросов к внутренней базе данных Discord через платформу Zendesk для извлечения данных.
Хакеры вели частные переговоры с Discord в период с 25 сентября по 2 октября, снизив изначальную сумму выкупа с 5 миллионов долларов до 3,5 лимонов.
После того как Discord вышла из чата и сделала вышесказанное заявление об инциденте, злоумышленники были «крайне разгневаны» и теперь планируют опубликовать все данные, если их требования не будут выполнены.
Со стороны Discord дополнительные комментарии по этой ситуации не последовали, так что в перспективе данные будут реализованы всем заинтересованным в киберподполье и, вероятно, вывалятся в паблик.
Будем следить.
