39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
BreachForums, в очередной раз, пал, на этот раз результате атаки с использованием 0-day PHP, которая позволила скомпрометировать «устаревшее и неисправленное ПО» форума (если верить сообщениям админов).
После того, как на прошлой неделе BreachForums (BF) ушел в оффлайн, новый админ, по всей видимости, взял на себя управление, обещая возродить сайт независимо от любых «подозрительных личностей» из прошлых версий.
Новый владелец - пользователь Momondo - также утверждает, что является представителем «первоначальной» команды, что подразумевает прямую связь с основателем рынка и администратором OG Pompompurin.
Помпомпурин же, 20-летний Конор Брайан Фицпатрик из Нью-Йорка, был арестован в 2023 году в ходе операции ФБР, что привело к дальнейшей чехарде администраторов и адресов сайта, ни один из которых не смог продержаться на длительное время.
Momondo попытался представил объяснение тому, с чем столкнулись сотни тысяч пользователей BF, опубликовав пояснения на очередном новом адресе веб-сайта, на этот раз с расширением .SX.
Из объяснений стало известно, что BreachForums (breachforums.st) использовал устаревшую и неисправленную версию ПО форума MyBB.
В виду игнорирования критических обновлений безопасности и исправлений инфраструктура могла оказаться уязвимой, что позволило третьим лицам или правоохранительным органам получить потенциальный несанкционированный доступ.
Momondo также дал понять, что он дистанцирован от последней команды админов сайта, включая недавнего владельца BreachForum «Anastasia», которая с треском провалила запуск четвертой версии рынка, обещанный на прошлый четверг, 24 апреля.
Фактически, вместо перезагрузки BreachForums на целевой странице сайта в четверг появилось уведомление, якобы от Анастасии, с предложением продать резервную копию базы данных BreachForums (от 10 апреля) и исходный код всего за 2000 долларов.
Возвращаясь к последним событиям, и Momondo, и Anastasia так или иначе упоминали о возможной причастности ФБР к атаке, однако исследователи Cybernews полагают виновной Dark Storm Team, которая периодически атаковала сайт BF незадолго до ожидаемого перезапуска.
Dark Storm Team, пропалестинская хактивистская банда, предположительно Script Kiddies, известная своими недавними DDoS-атаками на аккаунт Илона Маска X, допускала публичные нападки на Anastasia, транслируя все в Telegram.
Тем не менее, Momondo, дабы еще больше прояснить ситуацию, во втором посте раскрыл уязвимость PHP и объяснил, почему решил выйти из нынешней команды, выражая крайнюю неблагонадежность нынешнего руководства и мер безопасности.
Кроме того, Momondo отказался также от сотрудничества с представителями Shiny Hunters, действия которых, по его мнению, ставят под угрозу целостность и безопасность всего сообщества BF.
Напомним, ранее BreachForums после первого захвата ФБР в 2023 году был реанимировал его вторым админом, Блафометом, но в мае 2024 года ФБР снова прикрыли его.
С тех пор за третью версию Breached взялись Shiny Hunters и еще один известный завсегдатай форума, USDoD.
Потом все они исчезли из поля зрения и, по всей видимости, также были арестованы ФБР.
Сами спецслужбы пока ника мне комментируют ситуацию.
В свою очередь, администраторы BreachForums публично заверили, что ни один член команды не был арестован, а инфраструктура остается в безопасности.
Но будем посмотреть.
Исследователи VulnCheck выкатили отчет по уязвимостям за первый квартал 2025 года, наметив основные тренды их раскрытия и эксплуатации.
В общем было выявлено 159 CVE, которые эксплуатировались в реальных условиях, по сравнению со 151 в четвертом квартале 2024 года.
При этом сохраняется тенденция 2024 года, отражающая стремительный рост числа эксплуатируемых уязвимостей: 28,3% были использованы в течение 1 дня с момента их раскрытия CVE.
Это означает, что 45 уязвимостей безопасности были использованы в реальных атаках в течение дня после их раскрытия.
Четырнадцать других уязвимостей были использованы в течение месяца, а еще 45 уязвимостей были использованы в течение года.
Большинство эксплуатируемых уязвимостей было выявлено в CMS (35), за которыми следуют сетевые периферийные устройства (29), операционные системы (24), ПО с открытым исходным кодом (14) и серверное ПО (14).
Аутсайдерами среди поставщиков решений, уязвимости в которых эксплуатировались в течение изучаемого периода: Microsoft Windows (15), Broadcom VMware (6), Cyber PowerPanel (5), Litespeed Technologies (4) и маршрутизаторы TOTOLINK (4).
В среднем еженедельно раскрывалось 11,4 KEV, а в месяц — 53.
Из 159 уязвимостей 25,8% были признаны ожидающими или проходящими анализ NIST (NVD), а 3,1% был присвоен новый статус «Отложенный».
2 KEV, о которых было сообщено публично, имеют зарезервированные, но неопубликованные CVE, а еще 1 - был отклонен.
Исследователи Qrator Labs сообщают об обнаружении одного из самых крупных ботнетов, который включал более чем 1,33 млн устройств, используемых в DDoS-атаках на порталы онлайн-ставок.
В ботнет в основном входили устройства, расположенные в Бразилии (51,1%), Аргентине (6,1%), России (4,6%), Ираке (3,2%) и Мексике (2,4%).
Ботнет очень похож на тот, который Qrator наблюдала в прошлом году.
Он идеально вписывается в тенденцию, которую исследователи выделили в отчете за 2024 год: рост числа массивных ботнетов DDoS, созданных с помощью устройств, расположенных в развивающихся странах.
Они связали эту тенденцию с медленным темпом замены устаревших устройств, которые больше не получают обновлений, в сочетании с постоянным улучшением подключения.
Такие условия особенно распространены в развивающихся регионах из-за экономических ограничений.
Помимо основной находки в своем отчете Qrator Labs отметила основные тренды по DDoS за первый квартал:
- Общее количество DDoS-атак L3-L4 в первом квартале 2025 года выросло более чем вдвое по сравнению с первым кварталом 2024 года (+110%).
- Наибольшее количество DDoS-атак L3-L4 было направлено на сегменты «ИТ и телекоммуникации» (26,8%), «Финтех» (22,3%) и «Электронная коммерция» (21,5%).
- Самая мощная DDoS-атака L3-L4 в первом квартале 2025 года достигла пика всего в 232 Гбит/с, что составляет лишь малую долю от рекорда предыдущего года в 1140 Гбит/с.
- Несмотря на это, нет никаких признаков снижения интенсивности атак — средние значения битрейта и скорости передачи пакетов значительно выше, чем зафиксировано в прошлом году.
- Самая длинная атака DDoS L3-L4 квартала длилась всего 9,6 часов. Для сравнения, рекорд 2024 года был установлен атакой, которая длилась почти 19 дней.
- В первом квартале 2025 года атаки L7 DDoS чаще всего были направлены на сегменты «Fintech» (54%), «E-commerce» (14,4%) и «IT&Telecom» (8,1%).
- На уровне микросегмента основными целями DDoS-атак L7 были «Банки» (31,6%), «Платежные системы» (12,2%) и «Интернет-ритейл» (7,1%).
- Самая продолжительная атака L7 в первом квартале длилась около 30 часов.
- Основными источниками атак L7 DDoS в первом квартале 2025 года остались те же страны, что и в прошлом году: Россия (28,2%), США (14,4%) и Бразилия (6,1%).
- Средняя активность плохих ботов в первом квартале соответствовала прошлогодним показателям. Однако в марте наблюдался резкий рост - на 28% по сравнению с февралем.
- В марте произошли самые крупные и быстрые атаки вредоносных ботов, а также попытка атаки через CDN.
- Количество автономных систем, ответственных за перехваты BGP, сократилось на 17,6% по сравнению с первым кварталом 2024 года. Между тем, количество автономных систем, вовлеченных в утечки маршрутов, осталось практически неизменным (–1,6%).
- Число глобальных инцидентов BGP резко сократилось: за весь первый квартал фиксировалось всего 3 глобальных утечки маршрутов BGP и ни одного перехвата BGP. Для сравнения, в 2024 году исследователи наблюдали в среднем 3,6 глобальных инцидента в месяц.
Более подробная инфографика и цифры - в отчете.
Исследователи F6 обнаружили новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков.
Главное отличие: вместо перехвата NFC-данных карты жертвы злоумышленники создают на его устройстве клон собственной карты.
Предпринимая попытки зачислить на свой счёт через банкомат, вся сумма отправляется на карту дропа.
Аналитики F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий этого софта составил 432 млн рублей.
Каждый день с января по март преступники совершали в среднем по 40 успешных атак.
Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.
В феврале 2025 года F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в т.н. «обратной» схеме.
Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров.
При использовании первых версий NFCGate дропы подходили к банкомату, чтобы снять деньги жертвы.
Обратная версия NFCGate пропускает этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги себе, но на самом деле – преступникам.
Как и прежде, атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию.
Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.
Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой.
Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.
Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платёжной системы по умолчанию смартфон незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом».
Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане.
Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа.
Злоумышленники используют одну карту как минимум для трёх-четырёх атак.
Другие особенности новой схемы и рекомендации - в отчете.
Cisco подтверждает, что некоторые продукты затронуты критической уязвимостью удаленного выполнения кода Erlang/OTP CVE-2025-32433.
Уязвимость, обнаруженная группой исследователей из Рурского университета в Бохуме (Германия), отслеживается как CVE-2025-32433 и описывается как проблема обработки сообщений протокола SSH, которая может позволить неавторизованному злоумышленнику получить доступ к уязвимым системам и выполнить произвольный код.
Исследователи предупредили, что эксплуатация уязвимости может привести к полной компрометации хостов, что позволит третьим лицам получить несанкционированный доступ к конфиденциальным данным и манипулировать ими, а также к атакам типа DoS.
CVE-2025-32433 был исправлен в OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Предыдущие версии затронуты.
Вскоре после того, как существование уязвимости стало известно, сообщество специалистов по кибербезопасности обнаружило, что эксплуатация CVE-2025-32433 тривиальна, а технические подробности и PoC-эксплойты стали общедоступными в течение 24 часов.
Исследователи Qualys полагают, что после обнаружения ошибки многие устройства могут быть уязвимы для атак, учитывая, что большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, те, которые используются в устройствах OT/IoT и периферийных вычислительных устройствах, подвержена риску взлома.
Arctic Wolf также проанализировала потенциальное воздействие и указала, что помимо Ericsson и Cisco, которые связывают Erlang с несколькими продуктами, это ПО используют National Instruments, Broadcom, EMQ Technologies, Very Technology, Apache Software Foundation и Riak Technologies.
Однако для них обычно требуется отдельная установка Erlang/OTP.
В своюочередь, Cisco продолжает оценку воздействия CVE-2025-32433, изучая ряд продуктов для маршрутизации, коммутации, унифицированных вычислений, управления сетями и сетевых приложений.
На данный момент компания точно подтверждает, что затронуты продукты ConfD, Network Services Orchestrator (NSO), Smart PHY, Intelligent Node Manager и Ultra Cloud Core.
Сетевой гигант отметил, что, хотя уязвимости подвержены ConfD и NSO (выпуск исправлений ожидается в мае), они не уязвимы для удаленного выполнения кода из-за своей конфигурации.
Исследователи Cybernews вскрыли серьезное нарушение конфиденциальности, связанное с утечкой из WorkComposer, приложения для мониторинга сотрудников, которым пользуются более 200 000 человек в тысячах компаний.
Приложение предназначено для отслеживания производительности путем регистрации активности и регулярного создания снимков экрана рабочих хостов сотрудников.
Как обнаружили исследователи, все они в количестве более 21 млн. изображений оказались в незащищенном хранилище Amazon S3, транслируя кадр за кадром то, как сотрудники проводят свой день на рабочих местах.
Так что в слитых скринах оказалась масса крайне конфиденциальных данных, включая полноэкранные снимки электронных писем, внутренних чатов и деловых документов, а также страницы входа в систему, учетные данные, ключи API и др. информацию, которую можно использовать для атак на компании по всему миру.
21 февраля Cybernews уведомили WorkComposer, после чего 19 марта с поставщиком связался CERT, а к 1 апреля доступ удалось залочить.
Официальных комментариев пока не последовало.
Тем не менее, как полагают исследователи клиенты и сам поставщик WorkComposer теперь могут столкнуться с нарушениями GDPR или CCPA (или других законодательных требований).
На практике это уже первый случай - в ходе предыдущего расследования Cybernews была раскрыта утечка WebWork, включавшая более 13 млн. снимков экрана с личными и другими конфиденциальными данными пользователей.
🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
Ресерчеры из Лаборатории Касперского выкатили увесистый отчет по результатам исследования каналов распространения мегапопулряного в киберподполье стилера Lumma.
С развитием модели MaaS входной барьер для начинающих киберпреступников значительно снизился, а стилеры стали одним из самых доходных инструментов в арсенале злоумышленников.
Среди подобных предложений наиболее выделяется стилер Lumma, впервые представленный в 2022 году злоумышленником с ником Lumma.
Изначально он распространялся под названием LummaC2 со стартовой ценой 250 долл., но смог быстро набрать популярность в даркнете.
По состоянию на март 2025 года число связанных с ним предложений в даркнете и Telegram-каналах продолжает расти, а клиентская база стилера насчитывает более тысячи активных подписчиков.
Обычно доставка Lumma обычно требует взаимодействия с пользователем, который должен, например, перейти по ссылке или запустить выполнение вредоносных команд.
Недавно в ходе обработки одного из обращений команда реагирования на киберинциденты Лаборатории Касперского (GERT) обнаружила в системе клиента стилер Lumma.
Анализ показал, что причиной инцидента послужили действия пользователя: его обманом заставили запустить вредоносную команду через поддельную CAPTCHA.
Несмотря на то, что ЛК уже рассматривали этот метод распространения в одной из предыдущих статей, с тех пор удалось обнаружить новые детали этой кампании.
В новом отчете исследователи подробно изучили процесс заражения в сценарии с поддельной CAPTCHA, и представили индикаторы компрометации.
Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.
По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.
При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.
Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.
Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.
После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.
После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.
По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.
Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.
Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.
Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.
Исследователи Palo Alto Networks сообщают о пугающей простоте, с которой северокорейские «ИТ-шники» задействуют технологию deepfake в режиме реального времени для проникновения в организации через удаленные рабочие места.
В ходе экспериментов исследователям потребовалось чуть больше часа без какого-либо предварительного опыта, чтобы понять и освоить технологию создания deepfake в реальном времени, используя легкодоступные инструменты и бюджетное оборудование.
Такая доступность технологии позволяет злоумышленникам легко воссоздавать убедительные синтетические личности и действовать незамеченными, обходя при этом существующие ограничения.
Как отмечают в Palo Alto, в последнее время фиксируется настоящий всплеск инцидентов с использованием deepfakes в реальном времени в ходе собеседований.
Задокументировали случаи, когда соискатели представляли синтетические видеопотоки, используя идентичные виртуальные задние фоны для разных профилей кандидатов.
Кроме того, как отмечает Pragmatic Engineer, выявлен кейс, когда в ходе найма в польскую компанию по разработке ИИ собеседование проходил один и тот же кандидат, но под разными личностями.
Причем второй раз он уже имел более четкие ответы на задаваемые вопросы.
По мнению Palo Alto, указанные Pragmatic Engineer обстоятельства этого собеседования указывают на причастность к афере северокорейских ИТ-работников.
В целом, они постоянно демонстрируют значительный интерес к методам манипулирования личностью.
Убедиться в этом исследователи смогли, когда расследовали взлом Cutout.pro, сервиса обработки изображений с использованием ИИ.
Тогда им удалось выявить множество адресов электронной почты, вероятно, связанных с деятельностью ИТ-специалистов из КНДР.
Теперь же северокорейские хакеры усовершенствовали свою методологию проникновения, внедрив технологию deepfake в реальном времени, получая два операционных преимущества.
Во-первых, это позволяет одному оператору проводить собеседования на одну и ту же должность несколько раз, используя разные синтетические персоны.
Во-вторых, это помогает им избегать идентификации и попадания в розыскные сводки.
Так что угроза синтетической идентичности, типичная для северокорейских операций, представляет собой развивающуюся проблему и становится все более актуальной для организаций по всему миру.
Исследователи Лаборатории Касперского обращают внимание в новом отчете на фишинговые атаки с использованием HTML в SVG.
Традиционно злоумышленники совершенствуют фишинговые атаки, практикуя все более изощренные методы обмана пользователей и обхода защитных механизмов.
Для этих целей задействуют хитрые способы перенаправления пользователя в URL-адресах, добавляя адрес вредоносного сайта в аргументы к внешне безобидной ссылке, вставляют ссылки в PDF, рассылают HTML-вложения, размещая в них фишинговый сайт целиком или открывающий его JavaScript.
Недавно в ЛК заметили новый тренд, связанный с тем, что злоумышленники начали распространять вложения в формате Scalable Vector Graphics (SVG), который обычно используется для хранения изображений.
Если открыть такой файл в текстовом редакторе, можно увидеть XML-разметку, которую можно редактировать.
Поскольку в основе формата SVG лежит XML, в отличие от JPEG или PNG, он поддерживает JavaScript и HTML.
Благодаря этому дизайнерам удобнее работать с неграфическим контентом: текстом, формулами, интерактивными элементами и т.д.
Однако злоумышленники пользуются этим в своих целях, вставляя в файл с изображением скрипт со ссылкой на фишинговую страницу.
В начале 2025 года исследователи ЛК задетектили фишинговые письма, которые очень напоминали атаки с вложенным HTML, но при этом содержали SVG-файл.
Если открыть код письма, можно увидеть, что вложение относится к типу image.
При этом, открыв файл в текстовом редакторе, становится понятно, что он представляет собой, по сути, HTML-страницу, в которой нет даже упоминания векторной графики.
В браузере такой файл будет выглядеть как HTML-страница со ссылкой якобы на аудиофайл.
При переходе по ссылке пользователь попадает на фишинговую страницу, маскирующуюся под сервис Google Voice.
Аудиодорожка вверху страницы представляет собой некликабельную картинку.
При попытке прослушать сообщение, нажав на кнопку Play Audio, пользователь попадает на фейковую страницу ввода логина и пароля от корпоративной почты.
Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.
В другом примере, отдаленно напоминающем уведомление от сервиса электронной подписи, злоумышленники выдают SVG-вложение за документ, который необходимо изучить и подписать.
В отличие от первого варианта, где SVG-файл выполнял роль HTML-страницы, в данном кейсе в него вставлен JavaScript, который при попытке открыть файл загружает браузер с фишинговым сайтом, содержащим фальшивую форму авторизации в сервисах Microsoft.
По данным телеметрии ЛК, в марте 2025 года количество рассылок с SVG-вложениями значительно выросло. Всего за первый квартал 2025 года было обнаружено 2825 таких писем.
В апреле тенденция к росту продолжилась: за первую половину месяца мы обнаружили 1324 письма с SVG-вложениями - более двух третей от мартовского показателя.
Несмотря на то, что пока подобные атаки выглядят сравнительно примитивно, использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целевых атаках.
Исследователи из Positive Technologies связали активность группы Team46 (замеченную в прошлом году при атаке на российского оператора ж/д-перевозок) с хакерами TaxOff, отслеживая обе в качестве единой группы.
В марте 2025 года Позитивы расследователи атаку, в которой использовалась 0-day для браузера Chrome, атрибутировав инцидент к группировке TaxOff, ранее уже попадавшей в поле зрения.
В атаке использовалось фишинговое письмо со ссылкой, при переходе на которую жертва активировала 1-click exploit (CVE-2025-2783) и устанавливала бэкдор Trinper, которым традиционно орудовала группировка TaxOff.
В ходе исследования этого инцидента им удалось выйти на более раннюю атаку, совершенную в октябре 2024 года, которая начиналась с фишингового письма, по структуре и стилистике до боли похожего на письмо из новой атаки.
По ссылке https[://]mil-by[.]info/#/i?id=[REDACTED] из письма скачивается архив с ярлыком, запускающим powershell.exe с командой, которая ранее также фигурировала в атаках Team46.
Powershell-скрипт, который скачивался после ее выполнения, и скрипт после деобфускации также похожи на скрипты из арсенала Team46.
Для нейминга документа-приманки на компьютере жертвы обе группировки применяли один и тот же паттерн: umawbfez-bkw5-f85a-3idl-3z4ql69v8it0.pdf и 399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf.
В обоих случаях при скачивании файла использовался User-Agent Edge, а при скачивании полезной нагрузки - User‑Agent Яндекс Браузера.
Также в обоих случаях имя компьютера передавалось через параметр query.
Отличалась лишь полезная нагрузка.
Ранее атакующие для ее запуска применяли уязвимость DLL-Hijacking для Яндекс.Браузера (CVE-2024-6473) с подменой библиотеки Wldp.dll.
В новом кейсе использовался системный компонент rdpclip.exe, также уязвимый к DLL-Hijacking, с подменой системной библиотеки winsta.dll.
При этом библиотека winsta.dll представляет собой загрузчик бэкдора Trinper'a группировки TaxOff.
Бэкдор использовал управляющий сервер common-rdp-front.global.ssl.fastly.net.
В аналогичной атаке, зафиксированной в сентябре 2024 года, рассылался архив с ярлыком Ростелеком.pdf.lnk, который также запускал powershell.exe с характерной для Team46 командой.
Документ-приманка в данной атаке включал указание номера телефона в конце страницы, также выполнен в стиле Team46: некорректный, содержащий случайно набранный на клавиатуре набор цифр.
Полезной нагрузкой в данной атаке являлся файл AdobeARM.exe, представляющий собой загрузчик бэкдора из первой известной Позитивам атаки Team46, описанный исследователями из Dr.Web.
Причем ранее ПТ обнаружили этот бэкдор, также имеющий имя AdobeARM.exe, на одной системе с бэкдором Trinper во время одного из инцидентов, а анализ показал, что загрузчик TaxOff функционально идентичен загрузчику Trojan.Siggen27.11306 Team46.
Кроме того, обе группировки использовали синтаксически похожие домены с мимикрией под легитимные сервисы с дефисами в названии: ms‑appdata‑fonts.global.ssl.fastly[.]net (Team46) и fast‑telemetry‑api.global.ssl.fastly[.]net (TaxOff).
По итогу, исследователи заключили, что Team46 и TaxOff являются одной и той же APT-группой, для которой Позитивы теперь выбрали единое наименование - Team46.
Критическая уязвимость в устройствах XPort Lantronix может быть использована для удаленного взлома систем в критически важных секторах, прежде всего энергетической инфраструктуры.
Согласно сообщению CISA, в Lantronix XPort, продукте, который обеспечивает удаленное подключение и управление устройствами, была обнаружена серьезная ошибка, связанная с отсутствием аутентификации.
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к интерфейсу конфигурации устройства.
По данным CISA, XPort используется по всему миру в таких секторах, как производство, транспорт, водоснабжение и энергетика, а также в работе светофоров, промышленноости и систем наблюдения.
По словам исследователя Microsec Сувика Кандара, обнаружившего уязвимость, изученный продукт по большей части имеет широкое распространение в нефтегазовой отрасли.
Исследователь смог идентифицировать более 1400 экземпляров XPort, доступных через Интернет, в том числе более 300, развернутых в нефтегазовой инфраструктуре, в том числе, в системах управления топливом на АЗС.
Он предупредил, что злоумышленник может воспользоваться уязвимостью для получения полного удаленного контроля над целевым устройством, включая его конфигурацию и рабочие параметры.
Хакеры также смогут проникнуть в другие подключенные системы сети и вызвать серьезные проблемы в работе критической инфраструктуры.
Касаемо энергетической отрасли, в частности, заправочных станций, эксплуатация проблемы может повлиять на системы автоматического измерения уровня топлива в резервуарах (ATG), что может привести к сбоям в обслуживании и финансовым потерям.
Учитывая характер развертывания и количество выявленных экземпляров, уязвимость представляет значительную угрозу для кибербезопасности энергетического сектора, особенно систем подачи и распределения газа и ГСМ.
Lantronix был извещен о проблеме, но, судя по сообщениям CISA, так и не выпустил исправление.
Вместо этого поставщик посоветовал клиентам перейти на другой продукт - XPort Edge, который не подвержен уязвимости.
Представители Vx-underground решили потрепать нервишки разрабам Bubble io, платформы для создания функциональных приложений на основе ИИ без необходимости написания кода, угрожая слить 0-day эксплойт для обнаруженной критической баги.
Дело в том, что в 2024 году два исследователя обнаружили критическую уязвимость в решении, о чем незамедлительно уведомили поставщика, однако по какой-то причине отчет остался без внимания.
Впоследствии они даже выступали с докладом по уязвимости, опубликовали PoC и даже написали статью, но и после этого достучаться до поставщика не удалось.
Так что клиентов Bubble, в числе которых Danone, SeaGate, Unity, Shopify, Paramount Pictures, HubSpot, Amazon, PWC, Yamaha, L'Oreal, да и саму компанию, ожидают увлекательные выходные, судя по описанию уязвимости.
Но будем посмотреть.
Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия).
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
Исследователи BI.ZONE выявили новую кампанию Fairy Wolf, в рамках которой злоумышленники маскировали стилер Unicorn под легитимные файлы.
Атакующие распространяли архив с названием Тех.схема-№4533, внутри которого находился Проект№4533.pdf.lnk.
Фишкой было то, что LNK содержал текст популярной в сети песни бодибилдеров Даниила Изместьева и Виктора Костырева.
Цепочка заражения начиналась с запуска LNK-файла и загрузки с использованием утилиты mshta.exe вредоносного HTA-файл, замаскированного под PDF, с ihsue[.]telehram[.]org.
Загруженный sbtotakz.pdf включал VBS-скрипт, который отвечал за создание на диске ряда файлов с различным функционалом:
- crash_report.vbs — обходит директории пользователя и собирает файлы с заданными расширениями;
- service_report.vbs — собирает файлы с заданными расширениями на съемных носителях;
- core_stablity_report.vbs — собирает учетные данные мессенджера Telegram и браузеров;
- utility_report.vbs — отвечает за эксфильтрацию собранных данных;
- update_logging.vbs — отвечает за закрепление в системе и в качестве механизма самозащиты пересоздает на диске перечисленные выше файлы.
Дополнительно скрипт создает в реестре (в ветках Search Band, Core и Servers, расположенных в Software\Yandex Service) ключи WB, MX, KM, GE, GF и др., куда записывает зашифрованный код VBS-функций. Эти функции затем используются вышеуказанными скриптами.
Закрепление в системе происходит через модификации раздела реестра CurrentVersion\Run и добавление задания в планировщике задач.
Стилер собирает файлы размером менее 100 МБ с целевыми расширениями, а также извлекает содержимое папки %APPDATA%\Telegram Desktop\tdata и учетные данные браузеров Яндекс, Google Chrome, Edge, Opera.
Информация обо всех скопированных файлах и дате их последних изменений сохраняется в текстовых файлах apgs, ipgs, opgs, которые сверяются при каждом последующем запуске.
Эксфильтрация выполняется через POST-запрос на URL, cгенерированный методом DGA.
Исследователи ARMO обнаружили серьезную брешь в системе безопасности среды выполнения Linux, связанную с интерфейсом io_uring, которая позволяет руткитам работать в системах незамеченными, обходя передовое защитное ПО.
Дабы продемонстрировать практичность и осуществимость атак, использующих io_uring для обхода безопасности, исследователи даже разработали экспериментальный руткит под названием Curing.
io_uring - это интерфейс ядра Linux для эффективных асинхронных операций ввода-вывода.
Он был представлен в 2019 году в Linux 5.1 для решения проблем производительности и масштабируемости традиционной системы ввода-вывода.
Вместо того чтобы полагаться на системные вызовы, приводящие к зависаниям процессов, io_uring задействует кольцевые буферы, общие для программ и ядра системы, для постановки в очередь запросов ввода-вывода, которые при этом обрабатываются асинхронно.
По данным ARMO, обнаруженная проблема возникает из-за того, что большинство инструментов безопасности отслеживают подозрительные системные вызовы и перехваты (например, ptrace или seccomp), полностью игнорируя все, что связано с io_ring, что открывает опасную серую зону.
Исследователи объясняют, что io_uring поддерживает широкий спектр операций посредством 61 типа операций, включая чтение/запись файлов, создание и принятие сетевых подключений, порождение процессов, изменение прав доступа к файлам и чтение содержимого каталогов, что делает его мощным вектором руткита.
Риск настолько велик, что Google вовсе отключила эту функцию по умолчанию в Android и ChromeOS, которые используют ядро Linux и наследуют многие из его уязвимостей.
Разработанный ARMO Curing - специализированный руткит, который использует io_uring для извлечения команд с удаленного сервера и выполнения произвольных операций без активации системных вызовов.
Тестирование Curing с использованием нескольких известных средств обеспечения безопасности во время выполнения показало, что большинство из них не смогли обнаружить его активность.
Анализ ARMO доступных в настоящее время инструментов безопасности среды выполнения Linux показал, что и Falco, и Tetragon не видят операций на основе io_uring, поскольку они в значительной степени зависят от перехвата системных вызовов.
Тестируя коммерческие инструменты, ARMO также подтвердила неспособность обнаружить вредоносное ПО на основе io_uring и взаимодействия ядра, которые не включают системные вызовы.
Однако ARMO не поделилась тем, какие коммерческие именно программы они тестировали.
Для желающих самостоятельно протестировать свою среду на предмет этой угрозы, ARMO представила Curing в открытом доступе на GitHub.
Исследователи ARMO полагают, что проблему можно решить с помощью внедрения инструментария безопасности среды выполнения ядра KRSI, который позволяет прикреплять программы eBPF к событиям ядра, связанным с безопасностью.
Ответственные органы бьются за информационную безопасность (иногда друг с другом)
Читать полностью…
Исследователи Лаборатории Касперского сообщают о новой кампании группы Lazarus, получившей название Операция SyncHole и нацеленной с ноября прошлого года на организации в Южной Корее.
В ходе атак задействуется сложная тактика заражения через легитимные сайты (watering hole) и эксплуатации уязвимостей в южнокорейском ПО.
Жертвами Операции SyncHole стали как минимум шесть организаций в сферах IT, разработки, финансов, производства полупроводников и телекоммуникаций в Южной Корее.
Однако на самом деле потенциально пострадать могло гораздо больше компаний.
Оперативно ключевая информация была передана ЛК в Агентство по интернету и кибербезопасности Южной Кореи (KrCERT/CC) для быстрого реагирования, по результатам использованное в кампании ПО было обновлено до версий с устраненными уязвимостями.
В числе других выделенных особенностей Операции SyncHole - использование 0-day в Innorix Agent для горизонтального перемещения, а также новые разновидности вредоносных утилит: ThreatNeedle, загрузчик Agamemnon, wAgent, SIGNBT и COPPERHEDGE с обновленными возможностями.
Первый случай заражения был обнаружен в ноябре прошлого года, когда ЛК зафиксировала одну из разновидностей бэкдораобщают о новой кам- одного из флагманских зловредов группы Lazarus, использованного в атаке на южнокорейского разработчика ПО.
Зловред работал в памяти легитимного процесса SyncHost.exe в качестве подпроцесса Cross EX - легитимного ПО, разработанного в Южной Корее.
Скорее всего, это стало отправной точкой для компрометации еще пяти жертв.
В южнокорейском сегменте для доступа к онлайн-банкингу и государственным сайтам требуется установка специального защитного ПО, обеспечивающего защиту от кейлоггеров и цифровую подпись на основе сертификатов.
Подобные программы для реализации своих возможностей постоянно работают в фоновом режиме для взаимодействия с браузером.
Lazarus же продемонстрировала глубокое понимание этой специфики, разработав стратегию атак на южнокорейские организации, которая основана на сочетании уязвимостей в таком ПО с атаками типа watering hole.
Решение Cross EX обеспечивает работу вышеописанного защитного ПО в различных браузерах и запускается с пользовательскими правами, за исключением первого запуска после установки.
Хотя точный способ доставки вредоносного ПО через Cross EX остался неизвестен, в ЛК предполагают, что в ходе атаки злоумышленникам удалось повысить привилегии, поскольку в большинстве случаев процесс запускался с высоким уровнем целостности.
В самой ранней атаке этой операции группа Lazarus также воспользовалась уязвимостью в другом южнокорейском ПО - Innorix Agent, чтобы обеспечить возможность горизонтального перемещения и установить дополнительное вредоносное ПО на целевые машины.
Более того, для эксплуатации этой уязвимости злоумышленники разработали специализированный зловред, автоматизирующий процессы и повторяемые действия.
Во время анализа поведения вредоносного ПО исследователи обнаружили еще одну 0-day в Innorix Agent, позволяющую загружать произвольные файлы, успев уведомить KrCERT и поставщика, прежде чем ею воспользовались злоумышленники в реальных атаках.
Цепочка заражения активировалась после того, как пользователь атакуемой системы посещал ряд южнокорейских новостных сайтов, на этом этапе компрометация начиналась с бэкдора ThreatNeedle.
В целом, операция протекала в два этапа: в зависимости от используемого вредоносного ПО.
Первый этап включал цепочку выполнения с ПО ThreatNeedle и wAgent.
За ним последовал второй этап, в рамках которого применялись SIGNBT и COPPERHEDGE.
В целом исследователи выделили четыре различные цепочки выполнения вредоносного ПО, которые имели место как минимум в шести пострадавших организациях.
Технические подробности по каждой из них с разбором инструментария и индикаторы компрометации - в отчете.
ASUS выпустила исправление для ошибки AMI, которая позволяет хакерам выводить из строя серверы.
CVE-2024-54085 представляет собой уязвимость максимальной степени серьезности и затрагивает ПО MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International, используемое десятками поставщиками серверного оборудования, включая HPE, ASUS и ASRock.
Как отмечает Eclypsium, локальный или удаленный злоумышленник может воспользоваться уязвимостью, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish).
Эксплуатация позволяет злоумышленнику удаленно управлять взломанным сервером, удаленно развертывать вредоносное ПО, вносить изменения в прошивку, выводить из строя компоненты материнской платы (BMC или BIOS/UEFI), наносить потенциальный физический ущерб серверу и осуществлять бесконечные циклы перезагрузки, которые жертва не сможет остановить.
Хотя AMI выпустила бюллетень вместе с исправлениями 11 марта 2025 года, затронутым OEM-производителям потребовалось время для внедрения исправлений в свои продукты.
Так что на днях ASUS объявила о выпуске своих исправлений для CVE-2024-54085 для четырех моделей материнских плат, затронутых этой ошибкой.
Обновления и рекомендуемые версии прошивки BMC, до которых следует обновиться пользователям:
- PRO WS W790E-SAGE SE – версия 1.1.57 (здесь)
- PRO WS W680M-ACE SE – версия 1.1.21 (здесь)
- PRO WS WRX90E-SAGE SE – версия 2.1.28 (здесь)
- Pro WS WRX80E-SAGE SE WIFI – версия 1.34.0 (здесь)
Учитывая серьезность уязвимости и возможность ее удаленной эксплуатации, крайне важно как можно скорее выполнить обновление.
Подробные инструкции по безопасному обновлению прошивки MBC и устранению неполадок - здесь.
Продолжаем отслеживать трендовые уязвимости:
1. Исследователь безопасности Чжовэй Чжан опубликовал PoC для CVE-2024-53104, уязвимости нулевого дня, используемой Cellebrite для разблокировки устройств Android.
Google исправила уязвимость в феврале, а Amnesty International утверждает, что 0-day использовалась сербскими правоохранителями для разблокировки телефонов оппозиции и журналистов.
2. Microsoft выделила более 1,6 млн долларов в качестве призов во время своего первого в истории хакерского конкурса Zero Day Quest.
Исследователи представили более 600 уязвимостей в облачных и ИИ-сервисах Microsoft.
Компания отмечает, что мероприятие Zero Day Quest прошло успешно, и планирует проводить его ежегодно.
3. Varonis разработала PoC-инструмент под названием Cookie-Bite, который использует мошенническое расширение браузера для кражи файлов cookie для Azure Entra и доступа к облачным ресурсам с помощью атаки с перехватом сеанса.
4. WinZIP выкатила исправление для нового обхода Mark-of-the-Web (CVE-2025-33028).
По-видимому, это патч для неполного исправления прошлогоднего обхода MotW (CVE-2024-8811).
5. Tenable обнаружила EoP-уязвимость в Google Cloud Platform (GCP).
Проблема, которую Tenable назвала ConfusedComposer, уже исправлена.
6. Исследователь sharon.brizinov/how-i-made-64k-from-deleted-files-a-bug-bounty-story-c5bd3a6f5f9b">Шарон Бризинов рассказал, как ему удалось заработать более 64 000 долл. в качестве вознаграждения за обнаружение ошибок, охотясь за секретами и токенами в ранее удаленных файлах GitHub.
Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.
На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.
Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.
Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.
Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.
Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.
Среди основных возможностей панели:
- генерация новых имплантов;
- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;
- передача команд развернутым имплантам;
- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;
- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;
- система сущностей с многоуровневой абстракцией;
- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;
- возможность создания заметок для целей и связанных с ними хостов.
Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.
Все подробности - в отчете.
🐺 От Buhtrap до Watch Wolf.
• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.
• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.
• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.
• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.
➡ Скачать можно отсюда: https://bi.zone/upload/Buhtrap
S.E. ▪️ infosec.work ▪️ VT
Исследователи Symantec в новом отчете сообщают о новой кампании китайской APT Lotus Panda, нацеленной на ряд компаний в неназванной стране Юго-Восточной Азии в период с августа 2024 года по февраль 2025 года.
Целями атак стали: министерство, организация управления воздушным движением, оператор связи и строительная компания.
Атаки включали использование новых специальных инструментов, включая загрузчики, стилеры и SSH-утилита.
Кроме того, одной из целей атаки выступало информационное агентство, расположенное в другой стране Юго-Восточной Азии, и организация, занимающаяся авиаперевозками, расположенная в другом соседнем государстве.
По оценкам ИБ-подразделения Broadcom, кластер угроз является продолжением кампании, о которой исследователи сообщали еще в декабре 2024 года как о широкомасштабном кластере атак в Юго-Восточной Азии, проводившихся по крайней мере с октября 2023 года.
В свою очередь, в прошлом месяце Cisco Talos связала Lotus Panda с атаками, нацеленными на правительственный, производственный, телекоммуникационный и медийный секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване, с помощью бэкдора, известного как Sagerunex.
Сама Lotus Panda (Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip) имеет богатый опыт организации кибератак в отношении правительственных и военных организаций в этом регионе.
Группа действует с 2009 года, но впервые оказалась в центре внимания в июне 2015 года, когда Palo Alto приписала ей кампанию целевого фишинга с использованием уязвимости Microsoft Office (CVE-2012-0158) для распространения бэкдора Elise (Trensil), предназначенного для выполнения команд и операций с файлами.
В последующих атаках APT задействовала уязвимость Microsoft Windows OLE (CVE-2014-6332) с помощью вредоносного вложения в фишинговом письме, нацеливаясь на сотрудников МИД Франции на Тайване, для развертывания еще одного трояна, связанного с Elise, с условным названием Emissary.
В последней волне атак, наблюдаемых Symantec, злоумышленники использовали легитимные исполняемые файлы Trend Micro (tmdbglog.exe) и Bitdefender (bds.exe) для загрузки вредоносных DLL, которые использовались в качестве загрузчиков для расшифровки и запуска полезной нагрузки следующего этапа, встроенной в локально сохраненный файл.
Двоичный файл Bitdefender также использовался для загрузки другой DLL, хотя точная природа файла неясна.
Другим неизвестным аспектом кампании является начальный вектор доступа.
Атаки проложили путь обновленной версии Sagerunex, инструмента, используемого исключительно Lotus Panda.
Он обладает возможностями сбора информации о целевом хосте, ее шифрования и передачи на внешний сервер злоумышленника.
В атаках также задействованы инструмент обратного SSH и два стилера ChromeKatz и CredentialKatz, которые способны перехватывать пароли и файлы cookie, хранящиеся в браузере Google Chrome.
Злоумышленники также разворачивали общедоступный инструмент Zrok, используя функцию совместного использования инструмента для предоставления удаленного доступа к службам, которые были раскрыты внутри.
Помимо этого в атаках применял и другой легитимный инструмент под названием datechanger.exe, который способен изменять временные метки файлов, предположительно, чтобы запутать аналитиков при расследовании инцидента.
Обновленные индикаторы компрометации - в отчете.
Прошло не так много времени с момента раскрытия, а критическая ошибка Erlang/OTP SSH RCE уже обзавелась общедоступными эксплойтами.
Упоминаемая проблема отслеживается как CVE-2025-32433 и позволяет неавторизованным злоумышленникам удаленно выполнять код на уязвимых устройствах.
Исследователи из Рурского университета в Бохуме (Германия) в среду раскрыли ее, предупреждая, что все устройства, на которых запущен этот демон, уязвимы.
Как отмечает OpenWall, проблема вызвана ошибкой в обработке сообщений протокола SSH, которая позволяет злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Она была исправлена в версиях 25.3.2.10 и 26.2.4, но поскольку платформа широко используется в телекоммуникационной инфраструктуре, базах данных и системах высокой доступности, немедленное обновление устройств может оказаться непростой задачей.
Однако ситуация стала еще более серьезной, поскольку исследователи в частном порядке навали массово разрабатывать эксплойты, реализующие удаленное выполнение кода на уязвимых устройствах.
Среди них - Питер Гирнус из Zero Day Initiative и представители Horizon3, которые заявили, что уязвимость оказалась на удивление легко эксплуатируемой.
Вскоре после этого ProDefense опубликовала PoC на GitHub, затем еще один эксплойт был анонимно размещен на Pastebin, и оба быстро распространились через соцсети.
Так что теперь, когда эксплойты пошли в массы, злоумышленники достаточно быстро начнут сканировать уязвимые системы и эксплуатировать их.
Согласно данным Shodan, обнаружено более 600 000 IP-адресов, работающих под управлением Erlang/OTP.
Однако исследователи полагают, что большинство этих устройств работают под управлением CouchDB, который не подвержен уязвимости.
Представитель Apache CouchDB также подтверждает, что в CouchDB не используются функции SSH-сервера или клиента из Erlang/OTP, поэтому опасений по поводу CVE-2025-32433 нет.
Тем не менее, это не приуменьшает значимости угрозы и потенциально объемного числа атак. Будем следить.
Китайская APT-группа совершила ошибку, некорректно настроив на непродолжительное время один из серверов, а в Hunt Intelligence смогли оперативно ей воспользоваться и поглядеть на раскрытый таким образом инструментарии, задействованный в ее атаках.
Исследователи полагают, что сервер, вероятно, управлялся APT, отслеживаемой как RedGolf (которая пересекается с APT41), и был связан с вредоносным ПО KeyPlug.
Работавший менее суток сервер привел к утечке, предположительно, включающей скрипты эксплойтов для брандмауэров и VPN Fortinet, веб-оболочек PHP и скриптов сетевой разведки, нацеленных на крупную японскую компанию.
Как отмечают исследователи, помимо представления об инструментарии, найденные артефакты запечатлели логику работу группы: сканирование, фильтрацию, подготовку и постановку задач, все это отобразилось через рабочие скрипты.
В общем, достаточно редкая возможность увидеть, как APT-шники готовят доступ и задействуют инфраструктуру для проведения «тихой работы» в отрезке между первоначальным входом и реализацией долгосрочных целей.
Подробный разбор - в отчете.
Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.
Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.
Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.
По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.
В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.
Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.
Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.
Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.
В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).
При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.
Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.
Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.
Исследователи Positive Technologies сообщают о новой волне атак APT Cloud Atlas, нацеленных на российские компании в сфере военно-промышленного комплекса.
Выявить их удалось в рамках расследования инцидента на одном из таких предприятий, что позволило своевременно обнаружить начало новой кибератаки, отследить миграцию С2-инфраструктуры и эволюцию вредоносных документов, а также проинформировать потенциальных будущих жертв.
При изучении попавшего в поле зрения документа было установлено, что при его открытии зараженный узел реализует соединение с управляющим центром APT Cloud Atlas officeconfirm.technoguides[.]org, который был идентифицирован в ноябре 2024 года.
Полагаем, что день и время отправки вредоносного документа - пятница, конец рабочего дня - были выбраны группировкой с расчетом на открытие документа невнимательным сотрудником, в спешке.
Вероятно, по замыслу атакующие намеревались комфортного перемещаться в зараженной инфраструктуре между невыключенными компьютерами в течение выходных дней.
Последующий детальный анализ вредоносного файла подтвердил сокрытие в нем информации об управляющей инфраструктуре в потоке 1Table документа Microsoft Office - характерная техника АРТ Cloud Atlas.
В январе 2025 года исследователи обнаружили другой вредоносный документ Microsoft Office, также содержавший информацию об указанном управляющем центре в потоке 1Table.
Он был отправлен в адрес опытно-конструкторского подразделения предприятия ОПК РФ. Целевое предприятие было незамедлительно проинформировано о готовящейся кибератаке.
Однако спустя несколько дней, в конце января 2025 года, внимание Позитивов привлек схожий по адресанту, тематике и структуре документ, отличавшийся управляющим центром, инкапсулированным в поток 1Table документа Microsoft Office, - cyberservice24[.]com.
Сбор и анализ сетевых артефактов, оставленных Cloud Atlas, позволил группе киберразведки установить вредоносную инфраструктуру, на которую мигрировали атакующие для проведения новой волны кибератак.
При исследовании новой инфраструктуры было обнаружено, что на сервере 45.140.169[.]16 на стандартном TCP-порте 993 был активирован протокол IMAP с TLS-сертификатом для домена block-monitor[.]net.
На начальных стадиях новой волны кибератак сервер, вероятно, использовался для рассылки вредоносных электронных писем.
Использование TLS-сертификата обеспечивало шифрование тела сообщений и вложений, что помогало группировке оставаться незамеченной для систем обнаружения и предотвращения вторжений на сетевом периметре атакуемых предприятий.
При этом MX-запись (DNS) для домена block-monitor[.]net отсутствовала, АРТ-группировка не планировала получать ответные письма и вступать в переписку с жертвами.
Наблюдение за вредоносной инфраструктурой позволило в режиме реального времени отследить весь масштаб новой киберактивности Cloud Atlas, вскрыть факты использования электронной почты ранее зараженных предприятий для отправки вредоносных документов Microsoft Office в адрес контрагентов (BEC-атаки).
Обнаруженные артефакты в совокупности указывают на то, что Cloud Atlas для формирования вредоносных файлов использует непубличные характерные для государственного сектора документы Microsoft Office, вероятнее всего, украденные у ранее зараженных предприятий.
Перед использованием в кибератаках из документов удаляются метаданные во избежание раскрытия информации, которая позволит идентифицировать скомпрометированные группировкой учреждения и предприятия.
Рекомендации, индикаторы и MITRE ATT&CK - в отчете.
Исследователи Лаборатории Касперского совместно со специалистами Т-Технологий в ходе расследования киберинцидента обнаружили новый сложный бэкдор, нацеленный на компьютеры, подключенные к сетям ViPNet.
Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.
Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.
Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.
Имя данного файла различается от архива к архиву.
Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.
Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.
Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.
Последние инциденты зафиксированы в апреле 2025 года.
При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.
