41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Почти 60 000 экземпляров n8n в сети остаются незащищенными от уязвимости максимальной степени серьезности, получившей название Ni8mare.
n8n представляет собой платформу автоматизации рабочих процессов с открытым исходным кодом, которая позволяет подключать различные приложения и сервисы с помощью готовых коннекторов и визуального интерфейса на основе узлов без написания кода.
Платформа широко используется в разработке ИИ для автоматизации сбора данных, создания ИИ-агентов и конвейеров RAG, имеет более 100 млн. загрузок на Docker Hub и более 50 000 еженедельных скачиваний на npm.
Поскольку n8n служит центральным узлом автоматизации, она часто хранит ключи API, токены OAuth, учетные данные баз данных, доступ к облачному хранилищу, секреты CI/CD и бизнес-данные, что делает его привлекательной целью для злоумышленников.
Упомянутая уязвимость отслеживается как CVE-2026-21858 и связана с некорректной проверкой входных данных, позволяя удаленным неаутентифицированным злоумышленникам получить контроль над локально развернутыми экземплярами n8n после получения доступа к файлам на базовом сервере.
Уязвимый рабочий процесс может предоставить доступ неавторизованному удаленному злоумышленнику, что потенциально может привести к утечке информации в системе и способствовать дальнейшей компрометации в зависимости от конфигурации развертывания и использования рабочего процесса.
Экземпляр n8n потенциально уязвим, если в нем активен рабочий процесс с триггером отправки формы, принимающим элемент файла, и узлом завершения формы, возвращающим бинарный файл.
Обнаружившие Ni8mare в начале ноября исследователи Cyera отмечают, что уязвимость заключается в путанице типов содержимого при анализе данных в n8n, что может быть использовано для раскрытия секретов, хранящихся на экземпляре, подделки сессионных cookie для обхода аутентификации, внедрения конфиденциальных файлов в рабочие процессы или даже выполнения произвольных команд.
В свою очередь, Shadowserver задетектировала 105 753 незащищенных экземпляра в открытом доступе, при этом 59 558 оставались незащищенными по состоянию на воскресенье. Из них более 28 000 IP относились к США и более 21 000 располагались в Европе.
Для предотвращения потенциальных атак администраторам рекомендуется как можно скорее обновить свои экземпляры n8n до версии 1.121.0 или более поздней.
Несмотря на то, что разработчики n8n заявляют об отсутствии обходного пути для Ni8mare, администраторы могут блокировать потенциальные атаки, ограничивая или отключая общедоступные конечные точки веб-перехватчиков и форм.
Разработчики n8n также представили шаблон для сканирования экземпляров на наличие потенциально уязвимых рабочих процессов.
Подкатил первый в этом году Patch Tuesday от Microsoft с исправлениями для 114 уязвимостей, в том числе одной активно используемой и двух публично раскрытых 0-day.
Patch Tuesday устраняет восемь критических уязвимостей, 6 из которых представляют собой RCE, а 2 - EoP.
Общее распределение по категориям выглядит следующим образом: 57 - EoP, 3 - обоход функции безопасности, 22 - RCE, 22 - раскрытие информации, 2 - DoS, 5 - подмена данных.
Активно эксплуатируемая 0-day, исправленная в январском Patch Tuesday, отслеживается как CVE-2026-20805 и затрагивает диспетчер окон рабочего стола, приводя к раскрытию информации.
Как поясняет Microsoft, раскрытие конфиденциальной информации неавторизованному пользователю в Desktop Windows Manager позволяет авторизованному злоумышленнику получить доступ к информации локально.
Компания заявляет, что успешная эксплуатация этой уязвимости позволяет злоумышленникам считывать адреса памяти, связанные с удаленным портом ALPC.
В случае успешной реализации этой уязвимости злоумышленником может быть раскрыта информация, представляющая собой адрес участка удаленного порта ALPC, то есть памяти пользовательского режима.
Она была выявлена Центром анализа угроз Microsoft (MSTIC) и Центром реагирования на угрозы безопасности Microsoft (MSRC), однако подробности ее исправления в реальных условиях не сообщаются.
Среди публично раскрытых 0-day - CVE-2026-21265 и CVE-2023-31096.
Первая представляет собой уязвимость обхода функции безопасности, связанной с истечением срока действия сертификата безопасной загрузки.
Microsoft предупреждает, что срок действия сертификатов Windows Secure Boot, выданных в 2011 году, подходит к концу, и системы, которые не были обновлены, подвержены повышенному риску обхода безопасной загрузки злоумышленниками.
Исправления обновляют затронутые сертификаты для сохранения цепочки доверия безопасной загрузки и позволяют продолжать проверку компонентов загрузки.
Компания ранее сообщала об этой уязвимости в июньском уведомлении по сертификатам Windows Secure Boot и обновлениям центра сертификации.
Другая 0-day (CVE-2023-31096) связана с повышением привилегий в драйвере программного модема Windows Agere.
Ранее в октябрьском патче пользователей предупреждали об активно используемых уязвимостях в стороннем драйвере модема Agere, поставляемом с поддерживаемыми версиями Windows, и отмечалось, что они будут устранены в будущем обновлении.
Уязвимости были использованы для получения административных привилегий в скомпрометированных системах. В рамках январских обновлений Microsoft удалила уязвимые драйверы agrsm64.sys и agrsm.sys из Windows.
Полное описание каждой уязвимости и затронутых систем - здесь.
📲 В Х появилось видео уязвимости 1-click в Telegram, которая позволяет раскрыть IP через специально замаскированный username.
Злоумышленник отправляет сообщение с текстом, который визуально выглядит как обычное упоминание username (синяя подсветка, как у настоящего профиля). Под этим текстом скрыта гиперссылка на специальный адрес вида t.me/proxy?server=...&port=...&secret=... (MTProxy-ссылка).
🚠При нажатии на username устройство жертвы вместо открытия профиля автоматически инициируется соединение с контролируемым хакером прокси-сервером. Вектор атаки приводит к компрометации реального IP-адреса цели.
Критики смеются над тем, что "хакер" на видео взломал себя сам внутри LAN. Для них это выглядит как дилетантство, но они не учитывают, что это лишь демонстрация PoC в безопасной среде, а в реальности злоумышленник использует внешний IP.
Примечательно, что некоторые комментаторы пишут: архитектурная особенность Telegram известна специалистам минимум с 2023 года и не является новой уязвимостью, а скорее «фичей», которую разработчики не спешат исправлять.
♋️Не кликайте на 👺usernames в сообщениях от неизвестных пользователей. Для защиты от подобных атак с целью раскрытия IP могут использоваться "технологии туннелирования с шифрованием".
✋ @Russian_OSINT
Исследователи Huntress полагают, что эксплойт для трех 0-day в VMware ESXi, исправленных в марте 2025 года, был разработан более чем за год до публичного раскрытия информации.
Три уязвимости отслеживаются как CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 и получили название ESXicape.
Они позволяют привилегированным злоумышленникам выполнять произвольный код и выходить за пределы виртуальной машины для компрометации гипервизора.
В прошлом году Broadcom предупреждала, что все три уязвимости задействовались злоумышленниками в качестве 0-day, но не предоставив тогда никакой информации об этих атаках.
Теперь же, согласно данным Huntress, стало известно, что в декабре 2025 года злоумышленник попытался использовать уязвимости VMware ESXi в атаке, вероятно, с применением ransomware.
Первоначальный доступ к целевой среде был получен через взломанный VPN-сервер SonicWall.
Затем хакеры, используя учетную запись администратора домена, получили доступ к основному контроллеру домена и развернули набор инструментов для эксплуатации уязвимостей ESXi.
В ходе атаки они модифицировали брандмауэр Windows, блокируя доступ жертвы к внешним сетям, собрали данные для эксфильтрации, а затем запустили эксплойт, который позволил выйти за пределы виртуальной машины и развернуть бэкдор на гипервизоре ESXi.
Судя по характеру уязвимости VMware, в Huntress предполагают, что она была реализована выкосопрофессиональным актором, предположительно, действующим в китайскоязычном регионе.
При этом выявленный набор инструментов потенциально был разработан под нули более чем за год до публичного раскрытия информации VMware.
На основании временных меток в бинарных файлах эксплойта, Huntress полагает, что эксплойт мог быть создан еще в феврале 2024 года, а инструментарии для связи VSOCK - вероятно, в ноябре 2023 года.
Как отмечает Huntress, набор инструментов для эксплуатации уязвимостей в целом поддерживает 155 сборок ESXi, охватывающих версии от 5.1 до 8.0.
Так что рекомендуется как можно скорее установить исправления для этих уязвимостей VMware ESXi.
Ведь телеметрия Shadowserver Foundation показывают, что по состоянию на начало января более 30 000 экземпляров ESXi, подключенных к сети, все еще могут быть уязвимы для CVE-2025-22224.
Кроме того, эти развертывания также могут быть подвержены и другим ошибкам.
Instagram заявляет об исправлении ошибки, позволявшей злоумышленникам массово рассылать запросы на сброс паролей по электронной почте.
Все это произошло на фоне слухов о том, что данные более чем 17 млн. аккаунтов утекли в даркнет.
Как заявили представители экстремистской Meta, взлома систем не было, а аккаунты пользователей в Instagram остаются в безопасности.
Просто следует игнорировать эти электронные письма.
Ажиотаж по поводу предполагаемой утечки данных Instagram начался после того, как представители Malwarebytes выпустили предупреждение о том, что киберпреступники смогли выкрасть данные 17,5 миллионов аккаунтов.
Все они впоследствии попали в общий доступ на многочисленных хакерских форумах, при этом автор публикации утверждал, что они были собраны в результате неподтвержденного слива через API Instagram в 2024 году.
В общей сложности предоставленные данные содержат информацию по 17 017 213 профилям аккаунтов Instagram, включая номера телефонов, имена пользователей, фамилии, физические адреса, адреса электронной почты и идентификаторы Instagram.
В свою очередь, исследователи в X высказали предположения [1, 2], что собранные данные относятся к инциденту с парсингом через API 2022 года, но не предоставили никаких четких доказательств.
При этом в Meta оперативно опровергли какие-либо инциденты, связанные с API, как в 2022, так и в 2024 году.
Тем не менее, все помнят, как ранее Instagram уже сталкивался с парсингом через API, например, с использованием ошибки 2017 года, которая была задействована для сбора и продажи личной информации предположительно 6 млн. аккаунтов.
Пока достоверно неясно, являются ли недавние слитые данные из Instagram компиляцией утечки 2017 года или же новым сливом дополнительных данных, собранных за последние пару лет.
Единственная хорошая новость, что в просочившихся данных нет паролей, во всяком случае пока.
Так или иначе ошибку в Meta признали и исправили, а пользователи уже получили письма с запросом на сброс паролей, что, под все видимости, указывает на начало отработки слитого массива со стороны киберподполья, а значит - следует ожидать обновления статуса инцидента.
Но будем посмотреть.
Подкатил весьма показательный обзор уязвимостей 2025 года от Джерри Гамблина.
В прошлом году было зарегистрировано более 48 000 уязвимостей (без учета отклоненных), которым были присвоены идентификаторы CVE, что на 20,6% больше, чем в 2024 году (39 962).
При этом общее число CVE с 1999 года в настоящее время составило - 308 920!
Рост в годовом исчислении колеблется, но 21%-ный рост в 2025 году является самым значительным по сравнению с предыдущим годом.
Это указывает на то, что, несмотря на улучшение инструментов, темпы обнаружения опережают возможности по устранению.
При этом в пиковый день, 26 февраля, за 24 часа было опубликовано почти 800 CVE.
По мнению исследователя, такие всплески создают огромные «интервалы риска», когда группы специалистов по ИБ перегружены данными.
Несмотря на столь внушительный рост, медианный балл CVSS остался стабильным - 6.60, что указывает на концентрацию в категории уязвимостей средней степени серьезности.
Но зафиксировано и значительное количество уязвимостей с баллами от 7,0 до 8,9.
В общей массе критических проблем оказалось 3984, к высокосерьезным уязвимостям отнесено 15003 CVE, а на долю средних и низких пришлось 25551 и 1557 соответственно.
Доминирование CWE-79 с более чем 8000 записями вызывает тревогу.
Несмотря на то, что XSS известен уже десятилетия, он остается наиболее распространенным классом уязвимостей. В сочетании с CWE-74, CWE-862 и CWE-89 веб-уязвимости составили огромную часть ландшафта угроз.
Анализ показывает, что в 2025 году наибольшее количество уязвимостей было обнаружено в ядре Linux (3649), за ним следуют Windows 10 (623) и Android (509), в macOS - 362.
Вообще, если смотреть по поставщикам, то в первой пятерке помимо Linux затисались Microsoft и Adobe, как и в предыдущие годы, а Code-Projects и Apple замыкают список. И только за ними идут IBM и Google.
Примечательно, что ситуация на рынке CNA кардинально изменилась.
Компании, занимающиеся безопасностью WordPress (Patchstack, Wordfence), теперь превосходят таких крупных технологических гигантов, как Microsoft и Google, порождая «Эффект WordPress».
Как оказалось, на Patchstack и Wordfence приходится более 10 000 CVE в совокупности, огромная масса уязвимостей сместилось с проблем «ядра ОС» на проблемы «сторонних плагинов».
В общем, в 2025 году количество выявленных уязвимостей достигло рекордного уровня и главный вывод прост: невозможно исправить всё.
При таком объёме обновлений единственный выход - расставлять приоритеты и по возможности автоматизировать.
Позитивы продолжают давать аналитику по кибертрендам и киберпрогнозам на 2026 год, в новом отчете - основное внимание уделили технологическим трендам, которые, по их мнению, способны изменить правила игры в сфере ИБ.
Тренд первый: применение AI, ML в российских решениях для кибербезопасности.
Он стал ключевым в 2025 году. Основная цель - повысить качество ключевых функций продуктов, снизить количество рутинных операций, сократить время реакции на инциденты, а также - их анализа.
При этом важно понимать, что есть разные пути внедрения технологий, но независимо от их выбора они должны быть безопасными. Например, использование коммерческих LLM с передачей телеметрии на заграничные серверы - это серьезная угроза безопасности.
AI-модели лишь начинают использоваться в качестве компонентов средств защиты и пока не стали гейм-чейнджерами для клиентов, но новый год, судя по тому, какие задачи уже смог взять на себя AI, может стать переломным.
Тренд № 2: возвращение в «облака».
После 2022 года многие компании стали ярыми противниками «облаков» на фоне санкционной политики и отзыва зарубежными вендорами лицензий. В 2024 год тренд на использование «облаков» начал разворачиваться, а в 2025-м усиливаться.
Одновременно с этим растет доверие к российским облачным сервисам, а на фоне дефицита серверов и оборудования они иногда являются единственным решением для бизнеса.
Вендоры в сфере ИБ также используют облачные платформы для дополнительных услуг - будь то расширенные данные threat intelligence или применение AI- и ML-технологий, требующих высокопроизводительных серверов, которые не всегда есть на стороне клиента.
MDR-, MSS-провайдеры также являются частью тренда: они строят кибербезопасность под ключ из «облака», передавая провайдерам данные с сенсоров SOC. Так что «облачный» тренд сохранится в ближайшие годы и это направление будет развиваться быстрее других в сфере ИТ и ИБ.
Тренд третий: результативность и измеримая кибербезопасность.
На фоне громких кибератак последних лет и 2025 года, в частности, у многих компаний возник запрос на то, чтобы регулярно получать объективное понимание защищенности и измерять результат применения той или иной технологии или функции в целом.
Это свидетельствует о повышении уровня зрелости компаний и о продолжающемся переходе от бумажной безопасности к практико-ориентированной, как вывод: тенденция будет только усиливаться в ближайшие годы.
Тренд четвертый: упрощение технологий ИБ.
За последние несколько лет количество компаний, создавших подразделение ИБ, возросло многократно, в том числе и за счет небольших организаций.
Вместе с тем дефицит кадров только усиливается, а порог входа в сферу ИБ снижается, - вендорам необходимо адаптировать свои продукты и под новых, менее подготовленных специалистов.
И, наконец, AI станет ключевым инструментом в борьбе с хакерами.
Если раньше выявлять массовые атаки удавалось по простым сигнатурам и известным уязвимостям, то современные техники злоумышленников позволяют избегать привычных методов обнаружения и быстро увеличивать площадь атаки.
Для обеспечения безопасности ИБ-вендорам следует развивать и внедрять технологии машинного обучения в свои решения. Тем более, что, по прогнозам исследователей, в 2026 году число успешных кибератак на Россию может вырасти на 30–35%.
Поглядим.
Дорогие подписчики!
Желаем всем добра, здоровья и благополучия!
Да прибудет с вами праведный инфосек!
Продолжаем обозревать кибертрендами уходящего года и прогнозы на будущее от Positive Technologies: новый подгон сделали исследователи из экспертного центра безопасности.
Из главного:
- Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее
Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура.
Наибольшее количество обращений поступало от ИТ-компаний и госорганизаций: на их долю пришлось по 24% атак.
Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Самая продолжительная кибератака длилась 3,5 года, а самая короткая - всего сутки.
В 43% компаний была выявлена деятельность известных APT, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов.
В 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%.
Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).
- Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня
В рамках исследований и киберразведки Позитивы в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее.
Если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.
Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор.
Данные по числу уведомлений об инцидентах (данные по России) составили: всего атак - 168 (в 2024 - 45), в том числе известных APT-группировок - 135 (21).
Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок.
Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas, эти группировки в основном нацелены на кражу или уничтожение данных.
Кроме того, продолжился рост числа целевых атак. Атакующие вновь начали использовать 0-day в атаках против российских компаний.
В частности, Team46 применила многоступенчатую уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR.
Отдельно можно выделить появление нового типа кейлоггера - программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.
- Тенденции ВПО в опенсорсе PyPI и NPM
В экосистеме PyPI в 2025 году зафиксирован значительный рост, количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).
Среди ключевых трендов - активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей.
Основными целями остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.
В NPM в 2025 году - наоборот, снизилось почти в 5 раз по сравнению с предыдущим годом.
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту.
Другие подробности и тренды - в отчете.
Исследователи из Лаборатории Касперского сообщают о кампании шпионажа с использованием уязвимостей высокого уровня, в ходе которой китайская APT отключала DNS-запросы для доставки бэкдора MgBot жертвам в Турции, Китае и Индии.
Активность фиксировалась в период с ноября 2022 по ноябрь 2024 и была связана с Evasive Panda (Bronze Highland, Daggerfly и StormBamboo).
Группа активна с 2012 года и в основном реализует AitM-атаки в отношении конкретных жертв, полагаясь на размещение загрузчиков в определенных местах и хранение зашифрованных частей вредоносного ПО на серверах, которые расшифровывались в ответ на DNS-запросы с конкретных сайтов.
В атаках, замеченных ЛК, использовались приманки под обновления стороннего ПО, включая SohuVA, сервис потокового видео от китайской Sohu, которые распространялись с «p2p.hd.sohu.com[.]cn», что указывает на DNS poisoning.
Исследователям также удалось выявить другие кампании, в которых Evasive Panda задействовала фейковые обновления для iQIYI Video от Baidu, а также IObit Smart Defrag и Tencent QQ.
Атака открывает путь для развертывания начального загрузчика, запускающего шеллкод, который, в свою очередь, загружает зашифрованный шеллкод второго этапа в виде файла изображения PNG, опять же посредством DNS poisoning с легитимного веб-сайта dictionary[.]com.
Evasive Panda манипулировала IP-адресом, связанным с dictionary[.]com, в результате чего системы жертв перенаправляли трафик на сайт по IP-адресу, контролируемому злоумышленником, на основе их местоположения и провайдера.
В настоящее время неизвестно, каким образом злоумышленник злоупотребляет DNS-ответами.
Предполагаются два сценария: либо провайдеры, используемые жертвами, были выборочно скомпрометированы для установки какого-либо сетевого имплантата на периферийные устройства, либо маршрутизатор или межсетевой экран, используемые жертвами, были взломаны с этой целью.
HTTP-запрос для получения шеллкода второго этапа также содержит текущий номер версии Windows для более четкого нацеливания и адаптирования стратегии в зависимости от ОС.
Стоит отметить, что Evasive Panda ранее использовала атаки типа watering hole для распространения вредоносного ПО для Apple macOS под названием MACMA.
Точная природа вредоносного ПО второго этапа неясна, но анализ ЛК показывает, что шеллкод первого этапа расшифровывает и запускает полученную полезную нагрузку.
Предполагается, что злоумышленники генерируют уникальный зашифрованный второй файл шеллкода для каждой жертвы.
Ключевым аспектом операций является использование вторичного загрузчика (libpython2.4.dll), который использует переименованную, более старую версию python.exe, загружаемую из сторонних источников.
После запуска он загружает и расшифровывает вредоносное ПО следующего этапа, считывая содержимое файла с именем C:\ProgramData\Microsoft\eHome\perf.dat. Он содержит расшифрованную полезную нагрузку, загруженную на предыдущем шаге.
По всей видимости, злоумышленник использовал сложный процесс для получения этого этапа из ресурса, где он изначально был зашифрован с помощью XOR-шифрования.
Затем злоумышленник расшифровал этот этап с помощью XOR-шифрования, а впоследствии зашифровал и сохранил его в файл perf.dat, используя собственную гибридную архитектуру интерфейса программирования приложений для защиты данных (DPAPI) от Microsoft и RC5.
Использование собственного алгоритма шифрования - это попытка усложнить анализ, гарантирующая, что зашифрованные данные могут быть расшифрованы только в той системе, где шифрование было изначально выполнено.
Расшифрованный код представляет собой вариант MgBot, внедряемый вторичным загрузчиком в svchost.exe.
Модульный имплант MgBot способен собирать файлы, данные из буфера и браузеров, логировать нажатия клавиш, записывать аудио.
Как отмечает ЛК, Evasive Panda в очередной раз показала передовые возможности, обходя меры безопасности с помощью новых методов и инструментов, сохраняя при этом длительное присутствие в целевых системах.
В киберподполье засветились новые новогодние подарки: предположительно, взломана база данных Condé Nast и слита база данных WIRED с более 2,3 млн. записей, ожидается слив еще до 40 млн. записей в отношении других ресурсов Condé Nast.
20 декабря некто Lovely вывалил в даркнет базу данных, предложив доступ к ней за 2,30 доллара и обвинив Condé Nast в игнорировании сообщений об уязвимостях. Якобы почти месяц хакер пытался убедить администраторов устранить уязвимости на своих сайтах.
Но, терпение закончилось (или не договорились), так что пришлось переходить к методу кнута.
Lovely также поделился другими украденными данными по изданиям Condé Nast, включая, судя по аббревиатурам, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com и Condé Nast Traveler.
Condé Nast пока не подтвердила факт взлома, но анализ утечки указывает на то, что ряд записей принадлежат подлинным подписчикам WIRED.
Набор данных содержит 2 366 576 записей и 2 366 574 уникальных адреса электронной почты с временными метками от 26 апреля 1996 года до 9 сентября 2025 года.
Каждая запись содержит уникальный внутренний идентификатор подписчика, адрес электронной почты и другие регданные, такие как имя и фамилия, номер телефона, физический адрес, пол и дата рождения.
В записях также содержатся отметки времени создания и обновления учетной записи, информация о последней сессии, а также поля, специфичные для WIRED, такие как отображаемое имя пользователя и даты создания и обновления учетной записи.
Приблизительно 284 196 записей (12,01%) содержат как имя, так и фамилию, 194 361 запись (8,21%) содержит физический адрес, 67 223 записи (2,84%) содержат дату рождения, и 32 438 записей (1,37%) содержат номер телефона.
Значительно меньшая часть включает более полные профили, содержащие 1529 записей (0,06%), в которых указаны полное имя, дата рождения, номер телефона, адрес и пол.
Исследователи Hudson Rock также подтвердили подлинность записей пользователей wired.com, используя журналы вредоносного ПО, содержащие ранее скомпрометированные учетные данные.
Примечательно, что до утечки Lovely позиционировал себя исследователем и даже обращался к Dissent Doe из DataBreaches.net за помощью в ответственном раскрытии уязвимостей изданию Condé Nast.
Согласно данным DataBreaches, в конце ноября этот человек действительно обратился к ним за помощью в установлении контакта со службой безопасности Condé Nast по поводу уязвимостей, которые, предположительно, позволяли злоумышленникам просматривать и изменять информацию об учетных записях пользователей.
Первоначально Lovely заявил, что скачал лишь небольшое количество записей, чтобы предоставить доказательства изданию Condé Nast, включая записи, которые, как подтверждено, принадлежат DataBreaches.net и сотруднику WIRED.
Однако, не получив ответа от Condé Nast, Lovely позже сообщил Dissent Doe, что скачал всю базу данных и угрожал ее опубликовать.
В DataBreaches расценили это как игру и пришли к выводу, что злоумышленник действовал, намереваясь слить украденные данные вместо того, чтобы ответственно раскрыть информацию.
В Condé Nast пока отмалчиваются и не дают комментариев. По всей видимости, подарки им не зашли.
Под конец года подкатили не очень утешительные новости: cерьезная уязвимость MongoDB под названием MongoBleed (CVE-2025-14847) активно эксплуатируется и затрагивает более 80 000 потенциально уязвимых серверов в открытом доступе в сети Интернет.
Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.
MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.
Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.
Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.
Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.
Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.
При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.
В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.
Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.
Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.
В России - почти 2000.
Влияние на всю облачную среду оценивается как значительное.
В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.
При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.
Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.
MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).
Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.
Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.
В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.
Обходного пути для этой уязвимости нет.
Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.
К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).
Последние обновления по Trust Wallet.
Компания официально подтвердила, что в результате взлома обновления для расширения Chrome, выпущенного 24 декабря, было украдено 7 миллионов долларов.
Похищенные средства будут компенсированы.
Тем временем, расследование продолжается, еще не ясно, как хакерам удалось выпустить новую вредоносную версию.
Будем следить.
Исследователи из Лаборатории Касперского продолжают анализировать ландшафт угроз для систем промышленной автоматизации, в новом отчете - данные за третий квартал 2025 года.
В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, по сравнению с предыдущим кварталом уменьшилась на 0,4 п.п. и составила 20,1%, а это минимальный показатель за исследуемый период.
В регионах доля компьютеров АСУ, на которых в третьем квартале 2025 года были заблокированы вредоносные объекты, варьируется от 9,2% в Северной Европе до 27,4% в Африке.
Показатель за квартал увеличился в пяти регионах, больше всего - в Восточной Азии, где был отмечен резкий рост доли компьютеров АСУ, связанный с локальным распространением вредоносных скриптов в OT-инфраструктуре организаций в сфере инжиниринга и интеграции АСУ.
Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавили биометрические системы.
В четырех из семи исследуемых отраслей доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в третьем квартале 2025 года увеличилась.
Больше всего показатель вырос в следующих отраслях инжиниринга и интеграторов АСУ, а также в производстве.
В третьем квартале 2025 года защитные решения Лаборатории Касперского позволили заблокировать в системах промышленной автоматизации вредоносное ПО из 11 356 семейств, относящихся к различным категориям.
В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, уменьшилась до 4,01%. Это наименьший квартальный показатель с начала 2022 года.
Доля компьютеров АСУ, на которых были обнаружены вредоносные документы, после снижения в конце 2024 года растет третий квартал подряд. В третьем квартале 2025 года показатель составил 1,98%.
Показатель вырос в четырех регионах - в Южной Америке, Восточной Азии, Юго-Восточной Азии и в Австралии и Новой Зеландии.
Наибольший рост отмечен в Южной Америке - в связи с масштабной фишинговой кампанией, в ходе которой использовались новые эксплойты для CVE-2017-11882 в Microsoft Office Equation Editor для доставки на компьютеры жертв различного шпионского ПО.
Примечательно, что в этой волне фишинга злоумышленники использовали локализованные письма на испанском языке, содержание которых похоже на деловую переписку.
Выросла и доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, — в третьем квартале 2025 года показатель составил 6,79%.
В целом, третьем квартале 2025 года показатели всех источников угроз, включая интернет, почтовые клиенты и съемные носители, в среднем по миру уменьшились.
Доля компьютеров АСУ, на которых были заблокированы шпионские ПО и ransopmware, выросла и составила: 4,04% (рост 0,20 п.п.) и 0,17% (рост 0,03 п.п.) соответственно. А вот показатель майнеров уменьшился.
При этом доля компьютеров АСУ, на которых были заблокированы черви и вирусы, увеличилась до 1,26% (на 0,04 п. п.) и 1,40% (на 0,11 п. п.) соответственно, также незначительно увеличилась доля компьютеров АСУ с вредоносным ПО для AutoCAD - до 0,30% (на 0,01 п. п.).
Более подробная инфографика и цифры - в отчете.
Серьезный инцидент затронул пользователей расширения Trust Wallet для Chrome, некоторые из которых после установки скомпрометированных обновлений лишились своих криптосбережений, а потенциальный ущерб оценивается в более чем 6 миллионов долларов.
Trust Wallet - это широко используемый криптокошелек, позволяющий пользователям хранить, управлять и взаимодействовать с цифровыми активами в различных блокчейнах.
Он доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями (dApps).
Первые сообщения жертв криптоограблений начали поступать 24 декабря.
Пользователи жаловались на то, что деньги исчезают из их расширений для браузера сразу после простой авторизации.
Причем Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря, незадолго до того, как начали появляться сообщения об инцидентах с выводом средств из кошелька.
По мере того, как росло количество жалоб и предупреждений, в Chrome Web Store незаметно была выпущена версия 2.69 расширения Trust Wallet для Chrome.
В общем, спустя несколько часов после инцидента исследователи обнаружили подозрительный код в версии 2.68.0 расширения Trust Wallet для Chrome.
Пользователи мобильных устройств и всех остальных версий расширений для браузеров, как оказалось, остались не затронуты.
По данным Akinator, подозрительная логика содержится в файле JavaScript под названием 4482.js, который содержит плотно упакованный код, предназначенный для передачи конфиденциальных данных кошелька на внешний сервер.
Мимикрируя под аналитику, он отслеживает активность кошелька и срабатывает при импорте сид-фразы. Данные были отправлены на metrics-trustwallet[.]com, сам домен был зарегистрирован несколько дней назад и теперь недоступен.
Наличие недавно зарегистрированной внешней точки доступа к "метрикам" внутри расширения браузерного кошелька является крайне необычным, учитывая привилегированный доступ расширения к операциям кошелька и конфиденциальным данным.
Как впоследствии подтвердили исследователи, именно эта конечная точка и была связана с утечкой секретной информации.
Вчера вечером Trust Wallet, в свою очередь, подтвердила инцидент безопасности, отмечая затронутую версию 2.68.0 расширения для Chrome, посоветовав пользователям немедленно обновиться до версии 2.69 для решения проблемы.
Тем не менее, в Trust Wallet пока не ответили, будут ли пострадавшим пользователям выплачены компенсации или предложены какие-то варианты возмещения ущерба.
Причем в ходе развития этого инцидента параллельно раскручивалась другая фишинговая кампания, подстроенная под кейс с вредоносным расширением Trust Wallet.
Ряд аккаунтв в X [1, 2] перенаправляли обеспокоенных пользователей на веб-сайт: fix-trustwallet[.]com, который очень точно имитировал бренд Trust Wallet и якобы включал исправления для недавней «уязвимости безопасности».
Однако после нажатия кнопки «Обновить» пользователям отображалась всплывающая форма с запросом фразы восстановления кошелька.
Данные WHOIS указывают на то, что домен fix-trustwallet[.]com был зарегистрирован ранее в этом месяце у того же регистратора, что и metrics-trustwallet[.]com.
Веротяно, оба домена могут быть связаны и потенциально управляться одним и тем же злоумышленником или группой, стоящей за более масштабной атакой.
Но будем посмотреть.
Trust Wallet полагает, что взлом ее расширения для браузера, в результате которого было украдено около 8,5 млн. долларов из более чем 2500 криптокошельков, вероятно, связан с ноябрской атакой Sha1-Hulud.
Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.
Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.
В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).
Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.
Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.
Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.
Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.
В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.
Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.
Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.
В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.
Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.
В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.
Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.
Реакция Telegram в X по поводу вчерашней новости.
✋ @Russian_OSINT
На прошлой неделе миллионы мышей Logitech лишились возможности запускать пользовательские скрипты после того, как один из облачных серверов компании вышел из строя, как оказалось, в виду оплошности разработчиков.
Накануне сбоя у компании истёк Apple Developer Certificate и его попросту забыли продлить.
В итоге на macOS по всему миру перестало запускаться приложение Options+ и G HUB, а также перестали работать пользовательские настройки у мышей MX Master и клавиатур.
Новые MX Master 3S и MX Master 4 можно сказать окирпичились.
Основные симптомы у большинства пользователей на Mac проявлялись в бесконечной загрузки приложения Logitech, в некоторых случаях зависшее Options+ оставалось в фоновом режиме, вызывая перегрев ноутбуков и ускоренный разряд аккумулятора.
В Logitech официально подтвердили проблему, заверили подготовить и выпустить исправления в ближайшее время.
Пока юзеры учились управлять компьютером при помощи одной клавиатуры, многие задавались другим вопросом - избыточной функциональности приложения Logi Options+, которое требует постоянного активного Интернет-соединения для реализации расширенного набора возможностей.
При этом без установленного Options+ значительная часть функционала современной премиальной периферии Logitech (в частности, кастомизация кнопок, жестовые команды, продвинутые настройки прокрутки и профили под разные приложения) становится недоступной.
Trend Micro сообщила о критической уязвимости в Apex Central (локальная версия), которая позволяпет злоумышленникам выполнять произвольный код с привилегиями SYSTEM.
Apex Central - это веб-консоль для управления множеством продуктов и сервисов Trend Micro (включая антивирусное ПО, защиту контента и системы обнаружения угроз) и развертывания компонентов, включая антивирусных шаблонов, механизмы сканирования и правила защиты от спама, из единого интерфейса.
Уязвимость LoadLibraryEX отслеживается как CVE-2025-69258 и позволяет злоумышленникам, не имеющим привилегий в целевой системе, получать доступ к удаленному выполнению кода путем внедрения вредоносных DLL-библиотек в исполняемый файл ключа в ходе простых атак, не требующих взаимодействия с пользователем.
Обнаружившие проблему исследователи Tenable поделились техническими подробностями и PoC-эксплойтом, добавив, что неавторизованные удаленные злоумышленники могут отправить специально сформированное сообщение процессу MsgReceiver.exe, работающему на TCP-порту 20001, что приведет к выполнению предоставленного злоумышленником кода в контексте безопасности SYSTEM.
Несмотря на то, что для реализации уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить программное обеспечение до последних версий.
При этом помимо своевременного применения исправлений и обновленных решений, пользователям также рекомендуется проверить удаленный доступ к критически важным системам и убедиться в актуальности политик и мер безопасности периметра.
Для устранения уязвимости Trend Micro выпустила критическое обновление Build 7190 c исправлением двух других уязвимостей, приводящих к DoS (CVE-2025-69259 и CVE-2025-69260), которые могут быть использованы неавторизованными злоумышленниками.
И, конечно, не можем обойти вниманием аномалию в маршрутизации BGP, которая наблюдалась в Венесуэле буквально за несколько часов до операции американских военных, в результате которой был похищен Николас Мадуро.
Как отмечает Грэм Хелтон, основываясь на общедоступных данных BGP, в начале января 2026 года фиксировались несколько интересных аномалий в маршрутизации, связанных с AS8048, эксплуатируемой CANTV, государственной телекоммуникационной компанией Венесуэлы.
Но, тут же нарисовались специалисты из Cloudflare, которые провели собственный технический анализ тех же событий маршрутизации, назвав произошедшее всего лишь «случайностью».
Cloudflare все списала на ошибки конфигурации или политик, а не на преднамеренное вмешательство.
Впрочем, читатели нашего канал прекрасно помнят, как незадолго до похищения Мадуро в даркнет начали массово сливать данные, украденные из администрации президента, ведущих министерств и оскомпаний Венесуэлы, с акцентом на сведения по зарплатам и бонусам.
Вслед за бритами с требованием доступа к яблочному облаку новые беспрецедентные правила для технологических компании разрабатывает Индия, апеллируя к необходимости обеспечения мобильной безопасности и борьбой с кибермошенничеством.
Власти предлагают обязать производителей смартфонов делиться исходным кодом с правительством и вносить ряд изменений в ПО, что, конечно, пришлось не по нраву таким гигантам, как Apple и Samsung.
Технологические компании раскритиковали пакет из 83 стандартов безопасности, который будет включать требование уведомлять Национальный центр безопасности связи о крупных обновлениях ПО, а также доступ к тестированию их в национальных лабораториях.
В индийских предложениях также содержится требование к компаниям вносить изменения в ПО, позволяющие удалять предустановленные приложения, а также блокировать использование камерами и микрофонами в фоновом режиме.
Предложенные в Индии меры предусматривают обязательное автоматическое и периодическое сканирование телефонов на наличие вредоносных программ, а также хранение журналов работы телефона на устройстве не менее 12 месяцев.
По мнению производителей, подобные требования не имеют каких-либо реальных прецедентов и могут привести к раскрытию конфиденциальных данных, что особенно критично для второго по величине в мире рынке смартфонов, насчитывающем почти 750 млн. устройств.
Министр информационных технологий С. Кришнан заявил агентству, что «любые обоснованные опасения отрасли будут рассмотрены непредвзято» и «преждевременно делать из этого какие-либо более глубокие выводы».
Тем не менее, в министерстве отказались от дальнейших комментариев в связи с продолжающимися консультациями с технологическими компаниями по поводу этих предложений.
При этом сами консультации якобы направлены на разработку «надлежащей и надежной нормативно-правовой базы для мобильной безопасности», и министерство «регулярно» взаимодействует с отраслью, «чтобы лучше понимать технические и нормативные требования».
Также в министерстве опровергли утверждения том, что рассматривают возможность получения исходного кода от производителей смартфонов, не вдаваясь в подробности и не комментируя вышесказанные правительственные или отраслевые документы.
Тем временем в Apple, Samsung, Google, Xiaomi и MAIT (индийская отраслевая группа), представляющая интересы этих фирм, пока также особо никак не комментируют ситуацию.
По словам источников, во вторник состоится встреча представителей министерства информационных технологий и руководителей технологических компаний для дальнейшего обсуждения.
Требования индийского правительства и раньше вызывали недовольство в кругу технологических компаний.
Только в прошлом месяце отменили распоряжение, обязывающее устанавливать на телефоны госприложение для кибербезопасности, на фоне опасений по поводу слежки.
Однако годом ранее правительство все же обязало тестировать камеры видеонаблюдения из-за опасений шпионажа.
Пока неясно удастся ли чиновникам протащить свой пакет.
Ведь, например, Apple отклоняла аналогичный запрос Китая на предоставление исходного кода в период с 2014 по 2016 гг.
Правоохранительные органы США также пытались получить его, но безуспешно.
Источник, непосредственно знакомый с ситуацией, сообщил, что на прошлой неделе MAIT обратилась в министерство с просьбой отказаться от этого предложения.
В общем, будем следить.
Пожалуй, начинаем наступивший 2026 с вечно льющегося BreachForums, последняя иттерация которого вновь была слита в виде таблицы базы данных его пользователей, которая включает сведения в отношении более чем 672 000 учетный записей.
9 января 2026 года, на сайте группировки ShinyHunters появилось сообщение об утечке базы данных, содержащей все записи пользователей
BreachForums, который пришел на место тогдашнему RaidForums после его нейтрализации силовиками в феврале 2022 года.
Впоследствии BreachForums неоднократно перезапускался под новыми доменами после продолжающейся серии утечек его базы данных, что многих наводило на мысль о причастности спецслужб к его функционированию, можно сказать, под прикрытием.
Очередной пролив был опубликован в качестве 7Zip-архива под названием breachedforum.7z, который включал три файла со следующими названиями: shinyhunte.rs-the-story-of-james.txt, databoose.sql и breachedforum-pgp-key.txt.asc.
При этом сами хакеры из ShinyHunters официально заявляют, что не имеют никакого отношения к сайту, с которого распространяется этот архив.
Первый файл, breachedforum-pgp-key.txt.asc, содержит закрытый ключ PGP, созданный 25 июля 2023 года, который используется BreachForums для подписи официальных сообщений от администраторов.
Однако он был защищен парольной фразой и его невозможно использовать. Правда, позже пароль опубликовали, он оказался легитимным.
Второй, ataboose.sql, представляет собой таблицу базы данных пользователей MyBB (mybb_users), содержащую сотни тысяч записей о пользователях, включая отображаемые имена пользователей, даты регистрации, IP-адреса и другую внутреннюю информацию.
Анализ таблицы показывает, что большинство IP-адресов соответствуют локальному IP-адресу (0x7F000009/127.0.0.9), поэтому они малополезны, однако другая часть записей соответствуют общедоступным IP-адресам и весьма интересна.
Последняя дата регистрации пользователей в слитой базе данных - 11 августа 2025 года, то есть в тот же день, когда был закрыт предыдущий форум BreachForums по адресу breachforums[.]hn.
Закрытие форума последовало за арестом некоторых из его предполагаемых операторов.
Причем в тот же день участники банды вымогателей ShinyHunters опубликовали сообщение в Telegram-канале Scattered Lapsus$ Hunters с предупреждением о том, что форум является ловушкой правоохранительных органов.
Администрация BreachForums опровергла эти обвинения.
Домен breachforums[.]hn был впоследствии изъят силовиками в октябре 2025 года после того, как он был перепрофилирован для вымогательства у компаний, пострадавших от атак, связанных с Salesforce, которые провернули ShinyHunters.
Нынешний администратор BreachForums подтвердил факт нового взлома, заявив, что резервная копия таблицы базы данных пользователей MyBB была временно размещена в незащищенной папке.
При этом данные, о которых идёт речь, получены в результате утечки старой таблицы пользователей, произошедшей в августе 2025 года, в период восстановления/возврата BreachForums из домена .hn.
Как отмечается, в процессе восстановления таблица пользователей и ключ PGP форума были временно сохранены в незащищенной папке на очень короткий период времени и были единоразово эксфильтрованы.
Совпадение? Ответ вы и сами знаете.
Так или иначе для некоторых Новый год точно начнется с новых знакомств и неожиданных гостей.
Так что будем посмотреть.
Ресерчеров Лаборатории Касперского остановит только Новый год (но это неточно): число исследований в последние дни просто впечатляет.
В новом отчете они изучают обновленный образец бэкдора ToneShell, типичный для китайского кибершпионажа, который был доставлен через загрузчик в режиме ядра в ходе атак на правительственные организации.
Активность приписывается Mustang Panda (HoneyMyte или Bronze President), которая традиционно нацелена на правительственные учреждения, НПО, аналитические центры и другие организации по всему миру.
Проанализировав обнаруженный вредоносный файловый драйвер, в ЛК выяснили, что он использовался в кампаниях как минимум с февраля 2025 в отношении госучреждений в Мьянме, Таиланде и др. азиатских странах.
При этом скомпрометированные устройства ранее были заражены более старыми вариантами ToneShell, вредоносным ПО PlugX или USB-червем ToneDisk.
По данным ЛК, новый бэкдор ToneShell был развернут с помощью мини-фильтра ProjectConfiguration.sys и подписан украденным или скомпрометированным сертификатом (действительным в период с 2012 по 2015 год) и выданным Guangzhou Kingteller Technology Co., Ltd.
Мини-фильтры - это драйверы режима ядра, которые подключаются к стеку ввода-вывода файловой системы Windows и могут проверять, изменять или блокировать операции с файлами.
Обычно их используют ПО безопасности, средства шифрования и утилиты резервного копирования.
В разделе data файла ProjectConfiguration.sys содержатся два шеллкода для пользовательского режима, каждый из которых выполняется как отдельный поток пользовательского режима и внедряется в процессы.
Для уклонения от статического анализа, драйвер разрешает необходимые API ядра во время выполнения, перечисляя загруженные модули ядра и сопоставляя хеши функций, вместо того чтобы импортировать функции напрямую.
Он регистрируется как драйвер мини-фильтра и перехватывает операции файловой системы, связанные с удалением и переименованием.
Когда такие операции нацелены на сам драйвер, они блокируются путем принудительного завершения запроса.
Драйвер также защищает ключи реестра, связанные со службами, регистрируя функцию обратного вызова реестра и блокируя попытки их создания или открытия.
Для обеспечения приоритета над средствами безопасности он выбирает уровень мини-фильтра выше диапазона, зарезервированного антивирусом.
Кроме того, руткит противодействует Microsoft Defender, изменяя конфигурацию драйвера WdFilter таким образом, что он не загружается в стек ввода-вывода.
Для защиты внедряемых в пользовательский режим полезных нагрузок драйвер поддерживает список защищенных идентификаторов процессов, запрещает доступ к их дескрипторам во время выполнения полезных нагрузок и снимает защиту после выполнения.
Как отмечают исследователи, это первый случай, когда ToneShell распространяется через загрузчик в режиме ядра, что обеспечивает защиту от мониторинга в пользовательском режиме и позволяет использовать возможности драйвера по обнаружению руткитов, скрывая его активность от средств безопасности.
Возвращаясь к новому ToneShell, теперь в него внесены изменения и улучшена скрытность.
Вредоносная ПО использует новую схему идентификации хоста, основанную на 4-байтовом идентификаторе хоста, вместо ранее использовавшегося 16-байтового GUID, а также применяет обфускацию трафика с помощью фейковых заголовков TLS.
Исследователи Лаборатории Касперского резюмировали, что в ходе операций HoneyMyte в 2025 году была отмечена заметная эволюция в сторону использования инжекторов в режиме ядра для развертывания ToneShell, что повысило как скрытность, так и отказоустойчивость.
Новый вариант ToneShell переносит и внедряет бэкдор непосредственно из встроенной полезной нагрузки.
Для сокрытия активности драйвер сначала развертывает небольшой компонент в пользовательском режиме, который обрабатывает заключительный этап внедрения.
Поскольку шеллкод выполняется в оперативной памяти, ее анализ становится крайне важным для обнаружения вторжения, а его выявление является индикатором присутствия ToneShell.
IOCs и технические подробности - в отчете.
Последние обновления по инциденту с расширением Trust Wallet для браузера: хакеры похитили около 7 млн. долл. с почти 3000 адресов криптовалютных кошельков.
Напомним, инцидент 24 декабря привел к краже активов из скомпрометированных кошельков после того, как была взломана версия 2.68.0 расширения Chrome, в которую злоумышленники добавили вредоносный JavaScript-файл.
Trust Wallet подтвердила факт взлома и посоветовала пользователям немедленно обновить систему до версии 2.69, чтобы заблокировать дальнейшие попытки кражи криптовалюты.
Рабочая гипотеза (все еще находится на стадии расследования): хакер использовал утекший ключ API Chrome Web Store для отправки вредоносного расширения версии 2.68.
Оно успешно прошло проверку Chrome Web Store и было выпущено 24 декабря 2025 года в 12:32 UTC.
В ответ на инцидент Trust Wallet приостановила поддержку всех API для выпуска новых версий, чтобы заблокировать любые попытки выпуска новых версий в течение следующих двух недель.
Кроме того, компания предотвратила кражу дополнительных данных хакерами, сообщив о вредоносном домене, используемом для утечки данных, регистратору NiceNIC, который незамедлительно заблокировал его.
Однако злоумышленники пошли еще дальше, запустив фишинговую кампанию, в ходе которой, пользуясь возникшей паникой и фейковым сайтом брендом Trust Wallet, запрашивали у пользователей фразу восстановления для получения «важного планового обновления с улучшениями безопасности».
С тех пор Trust Wallet сообщила, что злоумышленники украли криптовалюту из 2596 кошельков идентифицированных жертв, и заявила о планах возместить убытки всем пострадавшим пользователям. При этом компанией было получено более 5000 обращений о взломе.
Для инициирования процесса получения компенсации пострадавшим пользователям следует заполнить эту форму: https://be-support.trustwallet.com, с указанием: контактных данных, адресов опустошенных кошельков, хэши транзакций.
Trust Wallet также предупреждает, что в настоящее время злоумышленники выдают себя за службу поддержки, реализуя мошеннические схемы через рекламу в Telegram и распространяют фейковые формы для получения компенсации.
🔑 Как я поймал сетевика на передаче пароля в SSH и чем это закончилось.
• Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для автора данного материала хорошим уроком...
• В этой статье описана ситуация, когда сотрудники сопровождения передавали пароль по SSH. В открытом виде.
• Почему это проблема:
➡Передача пароля в аргументах — это классический антипаттерн.
➡Аргументы команд видны в ps, /proc/[PID]/cmdline, Task Manager.
➡Они могут попасть в логи CI/CD.
➡Мониторинг и аудит тоже их подхватят.
➡Многие утилиты (sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG) позволяют так передавать пароль — и это соблазн для быстрого «костыля».
• В итоге получить пароль можно даже не трогая сам SSH, что может привести к утечке. Подробности по ссылке ниже:
➡ Читать статью [3 min].
• P.S. Рекомендую обратить внимание на комментарии, там можно найти полезные советы и рекомендации.
S.E. ▪️ infosec.work ▪️ VT
👮 Хакеры взломали Rainbow Six Siege и 🎄раздали игрокам кредиты на сумму около $13 миллионов
Весьма неприятный инцидент произошел с компанией Ubisoft, которая известна по линейке игры Tom Clancy’s Rainbow Six Siege. Дело в том, что, согласно многочисленным сообщениям игроков и скриншотам, опубликованным в сети, хакеры каким-то образом получили возможность:
🔻 Блокировать и разблокировать игроков Rainbow Six Siege.
🔻 Выводить фальшивые сообщения о блокировках в системной строке уведомлений (тикер банов).
🔻 Начислять всем игрокам примерно 2 миллиарда кредитов R6 и очков славы (Renown).
🔻 Разблокировать предметы в игре, включая эксклюзивные скины, доступные только разработчикам.
Похоже, R6 пришёл полный конец. Просто нереально, насколько всё плохо.
🥷 Хакеры сделали следующее:
↘️ Забанили и разбанили тысячи людей.
↘️ Захватили ленту уведомлений о банах и могут писать туда что угодно.
↘️ Выдали каждому по 2 миллиарда кредитов и очков славы.
↘️ Открыли каждому все скины, включая скины разработчиков.
Кредиты в игре R6 — это премиальная внутриигровая валюта, продаваемая за реальные деньги в магазине Ubisoft.
Хьюстон! У NASA проблема.
В киберподполье c 22 декабря реализуется дамп данных, предположительно, полученный с официального сервера Национального управления по аэронавтике и исследованию космического пространства (NASA).
Согласно заявлениям селлера, утечка связана с совместными проектами NASA и испанской службой телерадиологии, включает: исходники, данные PACS, модули системы управления, внутреннюю документацию и прочие конфиденциальные данные.
Исследователи Solar 4RAYS выкатили свой прогноз в отношении киберугроз на 2026 год, отмечая, что ранняя инфомированность об угрозах, которые вот-вот станут актуальными, - это первый шаг к построению надежной защиты.
С чем мы не можем не согласиться, так что выделим главное по предстоящим трендам:
1. Ландшафт угроз и тактика атакующих:
- APT-группировки. Их активность будет напрямую зависеть от геополитической обстановки. Снижение активности после публичного разоблачения некоторых группировок - временная мера для перевооружения.
- Цели атак. Усилится давление на критические отрасли: промышленность, ТЭК, логистику, госсектор и другие социально и экономически значимые отрасли.
- «Кинетический» хактивизм. Хактивизм превратился в инструмент профессионалов, способных наносить реальный физический ущерб инфраструктуре.
- Усложнение атрибуции. Атакующие активно маскируются под других, используя чужие инструменты и инфраструктуру, что затрудняет определение истинного виновника.
- Атаки через подрядчиков (Trusted Relationship Attacks). Это один из основных путей проникновения в крупные компании, безопасность которых усилилась.
2. Уязвимости и целевые платформы:
- Российское ПО. Будет расти эксплуатация уязвимостей в отечественном ПО (почтовые серверы, CMS, мессенджеры) из-за недостаточного внимания к безопасности на этапе разработки.
- Windows 10. Станет главной мишенью из-за прекращения поддержки; уязвимости от Windows 11 будут работать и на 10-й версии, но патчи - выходить реже.
- Панель предпросмотра MS Office. Ожидается волна фишинговых атак с использованием RCE-уязвимостей в этом компоненте.
- Небезопасная десериализация. Будет основным вектором RCE-атак в средах PHP, Java, Python, ASP.NET.
- Атаки на репозитории Open Source. Популярные репозитории (Nuget, Maven и др.) станут целью для внедрения бэкдоров в доверенный код.
3. Вредоносное ПО и техники:
- Банковские трояны с NFC. Будет расти эффективность вредоносов, перехватывающих бесконтактные платежи (например, NFCGate).
- Zero-click атаки на Android. Ожидается увеличение числа эксплойтов для Android, не требующих взаимодействия с пользователем.
- Фишинг ClickFix. Будут нарастать атаки, где жертву через социнженерию вынуждают вручную запускать вредоносные команды, например, в PowerShell.
- Атаки на Linux. Рост числа атак, включая использование руткитов (Puma, Kitsune и др.), из-за импортозамещения и слабой защиты.
- Атаки на macOS. В фокусе злоумышленников будут ключевые компоненты защиты macOS (Keychain, TCC, SIP), так как устройства Apple активно используются в корпоративной среде.
- Маскировка вредоносного трафика. Ожидается усложнение маскировки вредоносного трафика, он будет все больше похож на легитимный трафик атакованной организации. Злоумышленники стремятся использовать те же протоколы, порты, время работы и т.п.
4. ИИ в атаках:
- Вайб-кодинг в вредоносах. Низкоквалифицированные злоумышленники будут массово использовать ИИ (вайб-кодинг) для генерации простого вредоносного ПО.
- Профессиональные группировки (APT). Будут применять LLM для оркестрации сложных атак (пример, фреймворк Hexstrike-AI).
5. Киберпреступность:
- Снижение «порога входа». Растет число группировок, покупающих готовые доступы и инструменты.
- Мошеннические атаки через мессенджеры. Продолжатся атаки, использующие социальную инженерию через популярные мессенджеры и госсервисы.
Fortinet сообщает о новой волне эксплуатации пятилетней уязвимости SSL VPN в FortiOS, которая реализуется при определенных конфигурациях.
Речь идёт о CVE-2020-12812 (CVSS: 5.2), представляющей собой уязвимость некорректной аутентификации в SSL VPN на FortiOS, которая позволяет успешно войти в систему без запроса второго фактора аутентификации, если регистр имени пользователя был изменён.
Как упоминалось в 2020 году, это возможно, если в настройках «локальная аутентификация пользователя» включена 2Fa, а тип аутентификации пользователя установлен на удаленный метод аутентификации (например, LDAP).
Проблема возникает из-за непоследовательного сопоставления данных с учетом регистра между локальной и удаленной аутентификацией.
С тех пор на этой уязвимости различные злоумышленники неплохо набили руку, а в 2021 году она вошла в перечень наиболее эксплуатируемых в атаках на устройства периметра.
В новом вчерашнем уведомлении Fortinet отметила, что для успешного срабатывания CVE-2020-12812 необходима следующая конфигурация:
- Локальные записи пользователей на FortiGate с 2Fa, ссылающиеся на LDAP.
- Эти же пользователи должны состоять в группе на LDAP-сервере.
- На устройстве FortiGate необходимо настроить как минимум одну группу LDAP, в которую входят пользователи 2Fa, и она должна использоваться в политике аутентификации, которая может включать, например, административных пользователей, SSL или IPSEC VPN.
Если условия выполнены, уязвимость приводит к тому, что пользователи LDAP с настроенной 2Fa проходят аутентификацию непосредственно в LDAP, поскольку FortiGate обрабатывает имена пользователей с учетом регистра, в то время как каталог LDAP этого не делает.
В частности, если пользователь входит в систему с именем Jsmith, jSmith, JSmith, jsmiTh или любым другим именем, которое не является точным совпадением с jsmith, FortiGate не будет сопоставлять данные входа с локальным пользователем.
Такая конфигурация заставляет FortiGate рассматривать другие варианты аутентификации. FortiGate будет проверять другие настроенные политики аутентификации брандмауэра.
После неудачной попытки сопоставления с jsmith, FortiGate обнаруживает дополнительную настроенную группу Auth-Group, а оттуда - LDAP-сервер, и при условии корректности учетных данных аутентификация будет успешной независимо от настроек локальной политики пользователя (2Fa и отключенные учетные записи).
В результате уязвимость позволяет авторизовать администраторов или пользователей VPN без 2Fa.
Fortinet выпустила FortiOS 6.0.10, 6.2.4 и 6.4.1 в июле 2020 года для устранения этой проблемы.
Кроме того, для предотвращения проблемы с обходом аутентификации следует отключить чувствительность к регистру имени пользователя (а для FortiOS версий 6.0.13, 6.2.10, 6.4.7, 7.0.1 и более поздних - чувствительность к имени пользователя).
В качестве дополнительной меры защиты стоит рассмотреть возможность удаления вторичной группы LDAP, если она не требуется, поскольку это полностью исключает линию атаки.
При этом в недавно опубликованных рекомендациях не содержится никакой конкретной информации о характере атак, нацеленных эту уязвимость, а также о том, были ли какие-либо из этих инцидентов успешными.
Fortinet также посоветовала пострадавшим клиентам связаться со службой поддержки и сбросить все учетные данные в случае обнаружения признаков аутентификации администраторов или пользователей VPN без 2Fa.