41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Лаборатории Касперского оперативно подключились к инциденту, связанному с атакой на цепочку поставок при помощи антивирусного ПО eScan, разрабатываемого индийской MicroWorld Technologies, о котором мы сообщали ранее.
Напомним, что в ходе заражения пользователи с установленными защитными продуктами eScan получили вредоносный файл Reload.exe, запуск которого начинал многоэтапную цепочку заражения.
По данным коллег из Morphisec, первыми исследовавших атаку, Reload.exe предотвращал получение дальнейших обновлений продукта при помощи модификации файла HOSTS, чем блокировал возможность автоматического исправления проблемы разработчиками.
Зловред также обеспечивал закрепление в системе, соединялся с управляющими серверами и загружал дополнительную вредоносную нагрузку.
Закрепление обеспечивалось при помощи создания задач в планировщике, в качестве примера названия одной из таких вредоносных задач приводится имя CorelDefrag. Также в ходе заражения на диск записывался вредоносный файл с именем consctlx.exe.
eScan объяснила, что злоумышленникам удалось получить доступ к одному из региональных серверов обновления и «подбросить» модифицированный файл, который автоматически был доставлен клиентам.
Они подчеркивают, что речь не идет об уязвимости - инцидент классифицируется как нелегитимный доступ к инфраструктуре. Ни Morphisec, ни eScan не назвали конкретную группу, причастную к атаке.
Несколько вредоносных доменных имен и ссылок были выявлены Morphisec (также были указаны нами ранее).
Однако исследователи Лаборатории Касперского смогли задетектить дополнительные сетевые индикаторы компрометации, связанные с этой атакой: https://airanks.hns[.]to и https://csc.biologii[.]net/sooc. Взаимодействие с ними происходит через вредоносный consctlx.exe.
В ЛК пообещали проанализировать вредоносное ПО, связанное с этой атакой, и в ближайшее время выкатить новые детали. Будем следить.
Исследователи предупреждают о небезопасном развертывании в корпоративных средах голосового помощника Moltbot (Clawdbot), которое потенциально может привести к утечке ключей API, токенов OAuth, истории переписки и учетных данных.
Moltbot - это персональный ИИ-помощник с открытым исходным кодом и глубокой системной интеграцией, который может размещаться локально и интегрироваться напрямую с с файловой системой и приложениями пользователя, включая мессенджеры и почтовые клиенты.
В отличие от облачных чат-ботов, Moltbot способен работать на постоянной основе локально, поддерживая постоянную память, заблаговременно связываясь с пользователем для оповещений и выполняя запланированные задачи и многое др.
Благодаря этим возможностям и простоте настройки Moltbot быстро обрел популярность и даже привел к росту продаж Mac Mini, поскольку пользователи стали ориентироваться на выделенные компьютеры для чат-бота.
Однако многие исследователи предупреждают, что некорректное развертывание Moltbot может привести к утечке конфиденциальных и корпоративных данных, учетных данных и выполнению команд, в зависимости от разрешений и уровня доступа чат-бота на хосте.
Некоторые из проблем были выявлены исследователем Джеймисоном О'Рейли, обнаружившим сотни административных интерфейсов Clawdbot Control, доступных из сети из-за неправильной настройки обратного прокси-сервера.
Поскольку Clawdbot автоматически одобряет «локальные» соединения, развертывания за обратными прокси-серверами часто рассматривают весь трафик как доверенный, поэтому множество открытых экземпляров открывают несанкционированный доступ, которые может привести к краже учетных данных, истории переписки, выполнению команд и контролю над системой с правами root.
В частности, как отмечает исследователь, кто-то создал собственную учетную запись Signal на своем общедоступном сервере управления clawdbot - с полным доступом для чтения, которым смог бы воспользоваться потенциальный злоумышленник.
О'Рейли также опубликовал вторую часть исследования, в которой также продемонстрировал атаку на цепочку поставок в отношении пользователей Motlbot с помощью навыка (пакетного набора инструкций или модуля), содержащего минимальную полезную нагрузку ping.
Разработчик разместил навык в официальном реестре MoltHub (ClawdHub) и искусственно завысил количество его загрузок.
Менее чем за восемь часов О'Рейли заметил, что 16 разработчиков из семи стран скачали искусственно рекламируемый навык.
При этом, казалось бы Moltbot больше подходит для потребителей, но Token Security утверждает, что у 22% ее корпоративных клиентов сотрудники активно используют Moltbot, вероятно, без согласования со своими ИТ-шниками.
Компания также выявила такие риски, как уязвимые шлюзы и токены API/OAuth, хранение учетных данных в открытом текстовом виде в каталоге ~/.clawdbot/, открытость корпоративных данных через доступ с использованием ИИ, а также расширенная поверхность атаки с внедрением подсказок.
Серьезную обеспокоенность вызывает отсутствие по умолчанию «песочницы» для ИИ-помощника: агент имеет такой же полный доступ к данным, как и пользователь.
Аналогичные предупреждения по части Moltbot последовали от Arkose Labs, 1Password, Intruder и Hudson Rock (1, 2, 3 и 4 соответственно).
По данным Intruder, некоторые атаки были направлены на уязвимые конечные точки Moltbot с целью кражи учетных данных и внедрения мгновенных уведомлений.
В свою очередь, Hudson Rock предупредила, что инфостиллеры, прежде всего RedLine, Lumma и Vidar, вскоре адаптируются к использованию локального хранилища Moltbot для кражи конфиденциальных данных и учетных данных.
Исследователи из Aikido также выявили отдельный случай вредоносного расширения VSCode, имитирующего Clawdbot, которое устанавливает ScreenConnect RAT на компьютеры разработчиков.
Таким образом, ключевым моментом безопасного развертывания Moltbot является изоляция экземпляра ИИ в виртуальной машине и настройка правил брандмауэра для доступа в интернет, исключая запуск его непосредственно на хостовой ОС с правами root.
Proofpoint предупреждают об активизации вредоносной активности злоумышленника TA584, который задействует Tsundere Bot совместно с трояном удаленного доступа XWorm для реализации дальнейших атак с использованием ransomware после получения доступа к сети.
Исследователи отслеживают активность TA584 с 2020 года и утверждают, что в последнее время этот злоумышленник значительно нарастил свои усилия, внедрив непрерывную цепочку атак, которая фактически подрывает возможности статического обнаружения.
Tsundere Bot был впервые обнаружен исследователями Лаборатории Касперского в ноябре прошлого года и был атрибутирован русскоязычному оператору koneko, который также связан с вредоносной ПО 123 Stealer.
Цели и методы заражения на тот момент оставались неясными, но Proofpoint утверждает, что вредоносное ПО может использоваться для сбора информации, кражи данных, горизонтального перемещения и установки дополнительных полезных нагрузок.
Как заметили в Proofpoint, в конце 2025 года объем кампаний TA584 утроился по сравнению с первым кварталом того же года и вышел за рамки стандартного таргета на Северную Америку и Великобританию, включив Германию, различные страны ЕС и Австралию.
Распространяемая в настоящее время цепочка атак начинается с электронных писем, отправляемых с сотен взломанных, устаревших учетных записей через SendGrid и Amazon Simple Email Service (SES).
В электронных письмах содержатся уникальные URL-адреса для каждой целевой аудитории, геозонирование и фильтрация IP, а также механизм цепочек переадресации, часто включающий сторонние системы управления трафиком (TDS), такие как Keitaro.
После прохождения фильтров, жертвы попадают на страницу CAPTCHA, а затем на страницу ClickFix с инструкцией по выполнению команды PowerShell на их системе.
Команда загружает и выполняет обфусцированный скрипт, внедряя в память либо XWorm, либо Tsundere Bot и перенаправляет браузер на безобидный сайт для маскировки всех манипуляций.
Proofpoint полагает, что TA584 за эти годы использовала большое количество полезных нагрузок, включая Ursnif, LDR4, WarmCookie, Xeno RAT, Cobalt Strike и DCRAT, который в одном из случаев был обнаружен еще в 2025 году.
Tsundere Bot - это MaaS-платформа с возможностями бэкдора и загрузчика.
Для работы ей требуется Node.js, который вредоносная ПО устанавливает в систему жертвы с помощью установщиков, генерируемых из панели управления.
Вредоносная ПО получает свой адрес C2 из блокчейна Ethereum, используя EtherHiding, при этом в установщик также включен жестко закодированный резервный адрес.
Система взаимодействует со своими серверами C2 через WebSockets и включает в себя логику проверки системы, прерывая выполнение, если система использует языки стран СНГ (преимущественно - русский).
Tsundere Bot собирает системную информацию для профилирования зараженных машин, выполняет произвольный код JavaScript с C2-сервера и поддерживает использование зараженных хостов в качестве SOCKS-прокси.
Исследователи прогнозируют, что TA584 в перспективе попытается охватить более широкий круг целей, и полагают, что злоумышленник продолжит экспериментировать с различными полезными нагрузками.
Исследователь Брайан Кребс смог идентифицировать возможных администраторов ботнета BadBox 2.0, который охватывает миллионы устройств Android TV.
Выследить операторов Кребсу удалось после того, как админы другого крупного ботнета Kimwolf, насчитывающего более 2 миллионов устройств, взломали и слили в сеть скриншоты панели управления BadBox 2.0.
Изначально Кребс скептически отнесся к утверждению о причастности операторов Kimwolf к взлому Badbox 2.0. Однако всё изменилось после внимательного изучения адресов электронной почты qq.com, засветившихся на слитом скриншоте.
OSINT-разработка указанных адресов позволила установить, что к управлению ботнетом причастен гражданин Китая по имени Хуан Гуйлинь. В подробности расследования вдаваться не будем: Кребс все детально разложил у себя в отчете.
Так что теперь, откровенно забившему на OpSec создателю одного из крупнейших ботнетов предстоит пройти еще одну и, наверное, окончательную идентификацию, но уже с участием товарища майора. Правда, если она не случилась еще ранее.
Но будем посмотреть.
В США разгорается скандал после подачи иска к WhatsApp, согласно которому сквозное шифрование (E2EE) в мессенджере - это не более чем иллюзия, поскольку сотрудники экстремистской Meta могут получать доступ к сообщениям пользователей по своему усмотрению.
Упомянутый иск был подан 26 января 2026 года в федеральный суд Сан-Франциско пользователями из Австралии, Мексики и Южной Африки.
В нем утверждается, без предоставления технических доказательств, что сотрудники компании-разработчика могут получать прямой доступ к сообщениям WhatsApp через внутренние инструменты.
По мнению истцов, этот доступ активируется отправкой простого запроса на выполнение задачи инженерам Meta, которые затем якобы разблокируют виджет, позволяющий просматривать сообщения в режиме реального времени на основе идентификатора пользователя.
Несмотря на отсутствие подобных технических данных, в иске фигурируют показания инсайдеров о внутренних системах Meta.
В свою очередь, Meta назвала эти обвинения абсурдными, решительно нахваливая свою модель шифрования WhatsApp на основе протокола Signal и обещая дать решительный юридический ответ.
Тем не менее, к публичной критике Meta присоединился Илон Маск с утверждением о том, что «даже Signal вызывает сомнения», а также Павел Дуров отмечая, что «нужно быть полным идиотом, чтобы верить в безопасность WhatsApp в 2026 году».
Если в Meta еще как-то пытаются сохранить лицо, то микромягкие как обычно действуют без особой оглядки на мнение общественности, тем более, когда речь идет про конфиденциальность и безопасность.
Так, Microsoft предоставила ФБР США ключи восстановления BitLocker для доступа к зашифрованным данным на устройствах пользователей из числа объектов их заинтересованности.
Как отмечают представители отрасли, данный шаг выявил существенный пробел в обеспечении конфиденциальности, который подрывает доверие к архитектуре безопасности Microsoft.
Инцидент произошел в начале 2025 года, когда федеральные следователи предъявили Microsoft ордер на обыск в рамках расследования мошенничества, связанного с программой помощи безработным в период пандемии на Гуаме.
Полагая, что изъятые в рамках расследования три ноутбука содержат изобличающие виновных данные, ФБР запросило ключи восстановления BitLocker для разблокировки устройств.
И Microsoft выполнила запрос, передав ключи, что позволило правоохранительным органам расшифровать содержимое.
BitLocker автоматически включен на многих потребительских ПК под управлением Windows и защищает данные пользователей с помощью надежного шифрования.
Как заявляют Microsoft, компания получает около 20 подобных запросов в год и выполняет требования закона, но иногда не может помочь, если пользователь не загрузил ключ в облако.
В общем, дело, связанное с расследованием на Гуаме, является первым публично известным случаем передачи Microsoft ключей BitLocker правоохранительным органам, что также документально подтверждается судебными документами.
Тем менее, Microsoft продолжает настоятельно рекомендовать пользователям хранить ключи восстановления в облаке через свою учетную запись «в интересах безопасности и конфиденциальности»!
Fortinet наконец-то пропатчила CVE-2026-24858, позволяющую обойти аутентификацию FortiCloud SSO, которая использовалась злоумышленниками в качестве 0-day.
Ошибки в ходе изначальной попытки исправить уязвимость вскрылись на прошлой неделе после того, как Arctic Wolf выявила автоматизированные атаки на межсетевые экраны FortiGate, направленные на создание новых аккаунтов администраторов и кражу конфигурационных файлов.
Fortinet тогда подтвердила факт атак, заявив, что расследует использование CVE-2025-59718 и CVE-2025-59719 на устройствах, полностью защищенных от критических ошибок входа в систему FortiCloud SSO, которые были исправлены в начале декабря.
Во вторник Fortinet выкатила уже новые обновления для FortiOS, FortiManager и FortiAnalyzer, поняв, что хакеры использовали новую, но связанную с ними уязвимость FortiCloud SSO, которая теперь отслеживается как CVE-2026-24858 (CVSS 9,4).
CVE-2026-24858 описывается как обход аутентификации с использованием альтернативного пути или канала, может быть использована против устройств с включенной функцией FortiCloud SSO, впрочем как и две предыдущие уязвимости.
Эта функция отключена по умолчанию, но она активизируется при регистрации нового устройства через графический интерфейс пользователя, если администратор специально ее не отключит.
По данным Fortinet, CVE-2026-24858 позволяет злоумышленнику, имеющему учетную запись FortiCloud и зарегистрированное устройство, входить в систему на других устройствах, зарегистрированных на другие учетные записи.
Компания отмечает, что заблокировала задействованные в 0-day атаках учетные записи FortiCloud и на короткое время отключила функцию единого входа FortiCloud (SSO) на стороне FortiCloud в период с 26 по 27 января.
Теперь FortiCloud SSO больше не поддерживает вход в систему с устройств, работающих под управлением уязвимых версий, а это значит, что пользователям необходимо установить недавно выпущенные патчи, чтобы воспользоваться аутентификацией FortiCloud SSO.
Исправления были включены в версии FortiAnalyzer 7.4.10, FortiManager 7.4.10 и FortiOS 7.4.11.
Fortinet отмечает также, что эти исправления также будут включены в FortiAnalyzer 7.6.6, 7.2.12 и 7.0.16, FortiManager 7.6.6, 7.2.13 и 7.0.16, FortiOS 7.6.6, 7.2.13 и 7.0.19, а также FortiProxy 7.6.6 и 7.4.13.
Исследователь Джереми Фаулер сообщает об обнаружении масштабной утечки данных, в результате которой были раскрыты учетные данные, включая пароли, 149 404 754 пользователей на таких платформах, как Facebook, Instagram, Netflix и Binance (420 000 записей).
Кроме того, в незашифрованном массиве были идентифицированы данные 48 млн. учетных записей Gmail, 4 млн. - Yahoo, 17 млн. - Facebook, 6,5 млн. - Instagram, 3,4 млн. - Netflix и 780 000 - TikTok, и др., в том числе OnlyFans.
В ограниченной выборке выявленных записей также фигурировали учетные записи финансовых учреждений, криптовалютные кошельки или торговые счета, банковские и кредитные карты.
Анализ утечки, согласно мнению Фаулера, указывает на то, что учетные данные были получены с помощью инфостиллера с устройств конечных пользователей, что, конечно же, не является новинкой. Однако масштаб и структура утечки все же впечатляют.
Некоторые исследователи предположили, что злоумышленники, причастные к инциденту, могут быть связаны с раскрытой в декабре прошлого года ресерчерами Лаборатории Касперского кампании по распространению нового вредоносного ПО Stealka.
Исследователи SEC Consult поделились подробностями своего исследования систем контроля физического доступа Dormakaba, в ходе которого было обнаружено более 20 уязвимостей, позволяющих удаленно взломать двери крупных европейских компаний.
Ошибки затрагивают программное обеспечение централизованного управления Exos от Dormakaba, менеджера доступа к оборудованию и регистрационных устройств, обеспечивающих контроль доступа с помощью кода, сканера отпечатков пальцев или чип-карт.
Среди найденных проблем - несколько типов уязвимостей, включая жестко закодированные учетные данные и ключи шифрования, слабые пароли, отсутствие аутентификации, небезопасная генерация паролей, локальное повышение привилегий, утечка данных, обход пути выполнения и проблемы внедрения команд.
Уязвимое решение преимущественно внедрено крупными предприятиями в Европе, включая промышленные холдинги, энергетические и логистические компании, а также управляющие компании аэровоздушного транспорта.
Эффективная реализация выявленных SEC Consult уязвимостей могла бы позволить злоумышленникам напрямую открывать двери, получать PIN-коды доступа или проводить дальнейшие атаки в скомпрометированной среде.
В общей сложности было выявлено более 20 уязвимостей, и в течение последних полутора лет компания работала над выпуском исправлений и рекомендаций по повышению безопасности.
Потенциально пострадали несколько тысяч клиентов. Dormakaba также находится в контакте с крупными клиентами, дабы загарантировать безопасность их систем доступа.
По мнению поставщика, для успешной эксплуатации уязвимостей злоумышленнику необходим предварительный доступ к инфраструктуре клиента.
В результате, эксплуатация уязвимости будет возможна только внутри собственной защищенной сети клиента.
Однако SEC Consult смогли задетектить несколько десятков систем, доступных через Интернет, которые потенциально были уязвимы и могли стать целью хакеров.
При этом механизм эксплуатации исследователи продемонстрировали в видео формате.
Как отмечают в Dormakaba, к настоящему времени ей неизвестны какие-либо случаи эксплуатации выявленных уязвимостей. Но будем посмотреть.
Microsoft экстренно выпустила внеплановые обновления безопасности для устранения серьезной 0-day в Microsoft Office, которая задействовалась в реальных кибератаках.
Уязвимость отслеживается как CVE-2026-21509 и затрагивает несколько версий Office, включая Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и Microsoft 365 Apps for Enterprise.
Уязвимость позволяет обходить меры защиты от уязвимостей OLE в Microsoft 365 и Microsoft Office, предназначенные для защиты пользователей от уязвимых элементов управления COM/OLE.
Хотя панель предварительного просмотра не является вектором атаки, неавторизованные локальные злоумышленники все же могут успешно использовать эту уязвимость с помощью простых атак, требующих взаимодействия с пользователем.
Как отмечают в Microsoft, «использование ненадежных данных при принятии решений по безопасности в Office позволяет неавторизованному злоумышленнику обойти локальную функцию безопасности».
Для реализации злоумышленнику необходимо отправить целевому пользователю вредоносный файл Office и убедить его открыть.
Компания Microsoft выпустила исправления для всех затронутых версий Office, включая 2016, 2019, LTSC 2024, LTSC 2021 и Microsoft 365 Apps for Enterprise.
Для пользователей, которые не могут немедленно обновить свои установки Office, также доступны соответствующие меры по смягчению последствий, которые могут «снизить серьезность эксплуатации уязвимости».
Уязвимость и атаки в реальных условиях были обнаружены собственными исследователями безопасности Microsoft, но компания пока не предоставила никакой информации о вредоносной активности.
Необходимость применения методов социнженерии в сочетании со сложностью эксплойта и потенциальной необходимостью многоэтапной цепочки атак указывает на то, что эта 0-day используется для целенаправленного шпионажа, нежели для широкомасштабных кампаний.
Исследователи BI.ZONE в декабре 2025-го и январе 2026 года выявили вредоносную активность нового кластера Vortex Werewolf (SkyCloak), нацеленнную на российские организации в сфере госуправления и оборонно-промышленного комплекса.
Причем согласно отчетам Cyble и Secrite (1 и 2 соответственно), ранее целями Vortex Werewolf также становились белорусские государственные и оборонные структуры.
Согласно результатам исследования сетевой инфраструктуры, Vortex Werewolf активен как минимум с декабря 2024 года. Также следует отметить, что злоумышленники используют Cloudflare в своей сетевой инфраструктуре.
Установить метод получения первоначального доступа не представилось возможным, но предполагается, что злоумышленники доставляют вредоносное ПО с помощью фишинговых рассылок как по электронной почте, так и напрямую через мессенджер Telegram.
Жертве отправляют замаскированную под адрес в Telegram ссылку для загрузки документа - архива, содержащего вредоносный LNK-файл, и дополнительного архива с набором файлов, ключевым из которых является PowerShell-скрипт.
Фишинговая страница имитирует процесс загрузки файла, но на самом деле запускает процедуру восстановления доступа к аккаунту Telegram. В ходе атаки злоумышленники также могут получить доступ к телеграм‑аккаунту жертвы.
В ряде случаев, чтобы повысить правдоподобие атаки, злоумышленники размещали на фишинговой странице отвлекающий документ с намеренно размытым визуально содержимым.
Важно отметить, что Vortex Werewolf использует сервис GitHub Pages для размещения статических ресурсов на JavaScript и CSS, при этом для каждого фишингового домена создается отдельный репозиторий с этими ресурсами.
После успешной проверки введенного кода, а также пароля при включенной двухфакторной аутентификации формируется ссылка, переход по которой инициирует загрузку ZIP-архива, размещенного в сервисе Dropbox.
Чтобы инициировать процесс компрометации системы, жертва должна распаковать ZIP‑архив и запустить содержащийся в нем LNK‑файл.
После успешной компрометации в системе устанавливаются Tor и OpenSSH, при этом для связи с управляющей инфраструктурой использовались obfs4‑мосты, а не публичные входные узлы сети Tor.
Также настраивается удаленный доступ через сеть Tor по протоколам RDP, SMB, SFTP и SSH. Для устойчивости вредоносное ПО закрепляется в планировщике Windows через создание задач.
Как отмечают специалисты, Vortex Werewolf напоминает Core Werewolf: у кластеров схожие цели и регионы атак, они применяют SSH для организации удаленного доступа к скомпрометированным системам, а еще используют отвлекающие документы военной тематики.
Но достаточными данными для однозначной атрибуции Vortex Werewolf к Core Werewolf у BI.ZONE пока нет, так что эта активность рассматривается как отдельный кластер угроз.
Технические подробности и IOCs - в отчете.
CISA на пару с Broadcom предупреждают, что критическая RCE-уязвимость в VMware vCenter Server теперь активно используется злоумышленниками в реальных условиях.
CVE-2024-37079 была исправлена еще в июне 2024 года и связана с переполнением памяти в реализации протокола DCERPC в vCenter Server (платформа управления Broadcom VMware vSphere для управления хостами и виртуальными машинами ESXi).
Злоумышленники с сетевым доступом к vCenter Server могут использовать эту уязвимость, отправляя специально сформированный сетевой пакет, который способен инициировать удаленное выполнение кода в рамках простых атак, не требующих привилегий в целевых системах или взаимодействия с пользователем.
Для CVE-2024-37079 не существует обходных путей или способов её устранения, поэтому компания Broadcom рекомендовала клиентам как можно скорее установить обновления для последних версий vCenter Server и Cloud Foundation.
В свою очередь, CISA в конце прошлой недели добавила эту уязвимость в свой каталог уязвимостей, используемых злоумышленниками (KEV), отмечая, что этот тип уязвимости является частым вектором атак и несет значительные риски.
В тот же день Broadcom обновила свое изначальное уведомление и подтвердила, что ей также известно о том, что уязвимость CVE-2024-37079 была использована злоумышленниками в реальных условиях.
Какой-либо конкретной информацией об атаках и характере эксплуатации ни CISA, ни Broadcom не поделились. Будем следить.
Спустя несколько дней после того, как многие начали сообщать о взломе своих полностью обновленных межсетевых экранов, Fortinet наконец-то подтвердила эти сообщения.
Отметив также, что продолжающиеся атаки CVE-2025-59718 соответствуют вредоносной активности декабря, и в настоящее время она работает над полным устранением уязвимости.
Заявление последовало после волны сообщений от клиентов Fortinet о том, что злоумышленники используют обходной путь для реализации уязвимости CVE-2025-59718, чтобы скомпрометировать полностью обновленные межсетевые экраны.
Ранее в среду, Arctic Wolf сообщала, что наблюдаемая кампания началась 15 января, когда злоумышленники создали учетные записи с доступом к VPN и за считанные секунды украли конфигурации брандмауэра, что, по всей видимости, является автоматизированной атакой.
Компания также добавила, что эти атаки очень схожи с инцидентами, задокументированными ее специалистами в декабре после обнаружения критической CVE-2025-59718 в продуктах Fortinet.
В свою очередь, в Fortinet отмечают, что недавно небольшое количество клиентов сообщили о неожиданной активности при входе в систему на своих устройствах, которая была очень похожа на предыдущую проблему.
Однако за последние 24 часа были выявлены ряд случаев, когда уязвимость была обнаружена на полностью обновленном до последней версии устройстве, что указывает на новый путь атаки.
Fortinet заявляет, что выявила проблему и работает над ее устранением, соответствующе уведомление будет выпущено по мере того, как станут известны объем и сроки исправления.
Важно отметить, что хотя на данный момент наблюдается только эксплуатация уязвимости FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO.
До тех пор, пока Fortinet полностью не устранит уязвимость CVE-2025-59718, Windsor рекомендует ограничить административный доступ к периферийным сетевым устройствам через Интернет, применив локальную политику для ограничения IP, имеющих доступ к административным интерфейсам устройств.
Администраторам также следует отключить функцию единого входа FortiCloud на своих устройствах Fortinet.
Клиентам Fortinet, обнаружившим какие-либо IOC при проверке устройств на наличие доказательств взлома, следует считать систему и конфигурацию скомпрометированными, сменить учетные данные (включая любые учетные записи LDAP/AD) и восстановить конфигурацию с помощью заведомо чистой версии.
Pentera сообщает, что уязвимые приложения для пентеста (DVWA, OWASP Juice Shop, Hackazon и bWAPP) задействуются хакерами для получения доступа к облачным средам компаний из списка Fortune 500, включая ведущих ИБ-поставщиков.
В ходе расследования были обнаружены доказательства того, что хакеры используют этот вектор атаки для компрометации систем и развертывания криптомайнеров, внедрения веб-оболочек или перехода к работе с конфиденциальными системами.
Как оказалось, тестовые веб-приложения достаточно уязвимы и представляют собой серьезный риск компрометации при размещении в общедоступном месте и запуске из привилегированной облачной учетной записи.
Исследователи Pentera обнаружили 1926 действующих уязвимых приложений, размещенных в интернете, которые часто связаны с чрезмерно привилегированными ролями IAM и развернуты в облачных средах AWS, GCP и Azure.
По данным Pentera, уязвимые приложения принадлежат нескольким компаниям из списка Fortune 500, включая Cloudflare, F5 и Palo Alto Networks, которые получили результаты исследований и быстренько устранили проблемы.
Во многих из случаях были раскрыты наборы учетных данных облачного сервиса, не соблюдались рекомендуемые принципы «минимальных привилегий», а более чем в половине ситуаций - вообще использовались дефолтные учетные данные.
Обнаруженные Pentera в ходе расследования креды позволяли злоумышленникам получить полный доступ к хранилищам S3, GCS и Azure Blob Storage, права на чтение и запись в Secrets Manager, возможность взаимодействия с реестрами контейнеров и получение административного доступа к облачной среде.
В отчете Pentera Labs подтвердила, что риск не носит теоретический характер: хакеры уже использовали эти точки входа. Из 616 обнаруженных экземпляров DVWA примерно в 20% были обнаружены артефакты, развернутые злоумышленниками.
Доказательства взлома были обнаружены при оценке нескольких неправильно настроенных, уязвимых приложений. Исследователи создали командные оболочки на машинах и сосканили данные, пытаясь определить их владельцев.
Для майнинга криптовалюты злоумышленниками использовался инструмент XMRig, который в фоновом режиме активно добывал Monero (XMR).
Исследователи также обнаружили усовершенствованный механизм сохранения данных с помощью скрипта под названием watchdog.sh. При удалении скрипт восстанавливался из резервной копии, закодированной в base64, и снова загружал XMRig с GitHub.
Скрипт также загружает из Dropbox дополнительные инструменты, зашифрованные с использованием алгоритма AES-256, и уничтожает конкурирующие майнеры на скомпрометированном хосте.
В других случаях используовалась веб-оболочка PHP под названием filemanager.php, которая поддерживает операции с файлами (чтение, запись, удаление, загрузка, выгрузка) и выполнение команд.
Веб-оболочка содержала жестко закодированные учетные данные для аутентификации и имела часовой пояс, установленный на Europe/Minsk (UTC+3), что может указывать на происхождение операторов.
Pentera рекомендует организациям вести полный учет всех облачных ресурсов, включая тестовые приложения, и изолировать их от производственной среды.
Кроме того, следует обеспечить соблюдение ролей IAM с минимальными привилегиями для непроизводственных систем, изменить учетные данные по умолчанию и настроить автоматическое истечение срока действия временных ресурсов.
🔐 Взлом умных замков.
• Хорошая статья от специалистов "Бастион", в которой описаны пять векторов атак на умные замки. Материал демонстрирует, что красивая технологическая оболочка не всегда означает настоящую защиту.
• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению.
➡ Читать статью [7 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Dr.Web изучили новое семейство троянов для Android, ориентированных на мошенничество с кликами и использующих модели машинного обучения TensorFlow для автоматического обнаружения и взаимодействия с определенными рекламными элементами.
Механизм основан на визуальном анализе с использованием машинного обучения, а не на заранее определенных алгоритмах кликов на JavaScript. При том также не включает в себя взаимодействие на уровне DOM с помощью скриптов, как классические трояны.
Злоумышленник использует TensorFlow.js, библиотеку с открытым исходным кодом, разработанную Google для обучения и развертывания моделей машинного обучения на JavaScript. Она позволяет запускать модели ИИ в браузерах или на серверах с использованием Node.js.
Как отмечают исследователи Dr.Web, новое семейство троянов для Android распространяется через GetApps, официальный магазин приложений для устройств Xiaomi.
Они обнаружили, что вредоносная ПО может работать в режиме, называемом «фантомным», который использует скрытый встроенный браузер на основе WebView для загрузки целевой страницы для мошенничества с кликами и файла JavaScript.
При этом основное предназначение скрипта - автоматизировать действия с рекламой, отображаемой на загруженном сайте.
После загрузки обученной модели с удаленного сервера скрытый браузер размещается на виртуальном экране, производятся снимки экрана для анализа и идентификации соответствующих элементов с помощью TensorFlow.js.
Нажав на нужный элемент пользовательского интерфейса, вредоносная ПО воспроизводит обычную активность пользователя.
Такой метод более эффективен и устойчив к изменчивости современной рекламы, поскольку большинство таких объявлений являются динамическими, часто меняют свою структуру и нередко используют iframe или видео.
Второй режим, называемый «сигнализацией», использует WebRTC для потоковой передачи видеопотока с виртуального экрана браузера злоумышленникам, позволяя им выполнять действия в реальном времени, такие как касания, прокрутка и ввод текста.
Злоумышленник распространяет вредоносное ПО через игры в каталоге ПО Xiaomi GetApps. Первоначально приложения загружаются без вредоносной функциональности, а вредоносные компоненты добавляются в последующих обновлениях.
Среди некоторых из зараженных игр, выявленных Dr.Web: Theft Auto Mafia (61 000 загрузок), Cute Pet House (34 000), Creation Magic World (32 000), Amazing Unicorn Party (13 000), Open World Gangsters (11,000), Sakura Dream Academy (4,000) и др.
Помимо приложений на серверах Xiaomi трояны также распространяются через сторонние сайты с APK-файлами (например, Apkmody и Moddroid, моды оригинальных приложений Spotify, YouTube, Deezer и Netflix).
Примечательно, что большинство приложений на странице «выбор редакции» сайта Moddroid оказались заражены. Кроме того, в ход идут Telegram-каналы, распространяя, например, такие приложения, как Spotify Pro, Spotify Plus - Official, Moddroid.com и Apkmody Chat.
Dr.Web также обнаружила сервер Discord с 24 000 подписчиков, на котором распространялось зараженное приложение Spotify X.
Исследователи отмечают, что по крайней мере некоторые из этих приложений «действительно работают», что снижает подозрения пользователей.
В сочетании с тем фактом, что мошенничество с кликами осуществляется скрытно в скрытом WebView, отображающем контент на виртуальном экране, это означает, что жертвы не увидят никаких признаков вредоносной активности.
Технические подробности и IOCs - в отчете.
Агенты ФБР и Минюста США добрались и до RAMP, одного из немногих оставшихся активных форумов в киберподполье, на котором теперь отображается соответствующее уведомление о конфискации (в Tor и на ramp4u[.]io).
Причем заголовок уведомления на сайте RAMP с надписью «ЕДИНСТВЕННОЕ МЕСТО, ГДЕ РАЗРЕШЕНЫ ПРОГРАММЫ-ВЫМОГАТЕЛИ!» также отображает подмигивающую Машу из детского мультфильма «Маша и Медведь».
Каких-либо официальных заявлений помимо размещенных на сайте от правоохранительных органов пока не последовало, но судя по фигурирующим DNS за инцидентом действительно стоят силовики.
Соответственно, можно полагать, что в руках американских спецслужб оказался значительный объем данных, связанных с пользователями форума, включая адреса электронной почты, IP, переписку и другую потенциально значимую для деанона информацию.
При этом один из предполагаемых бывших операторов RAMP, известный как Stallman, подтвердил факт изъятия данных.
MicroWorld Technologies, разработчик антивирусного решения eScan, стала жертвой атаки, в результате которой один из ее серверов был скомпрометирован и использовался для распространения вредоносных обновлений.
Пострадали клиенты, загрузили обновления из регионального кластера обновлений в течение двухчасового периода 20 января 2026 года.
Как заявляют в eScan, затронутая инфраструктура была изолирована и восстановлена, учетные данные для аутентификации были ротированы, а средства устранения неполадок предоставлены пострадавшим клиентам.
В свою очередь, исследователи Morphisec также выкатили отчет с анализом вредоносной активности, наблюдаемой на конечных устройствах клиентов, получивших вредоносные обновления через инфраструктуру eScan в тот же период времени.
Morphisec заявляет, что обнаружила вредоносную активность 20 января 2026 года и впоследствии связалась с eScan. Однако MicroWorld Technologies оспаривает утверждения Morphisec о том, что она первой обнаружила или сообщила об инциденте.
По данным eScan, компания обнаружила проблему внутри себя 20 января с помощью мониторинга и сообщений клиентов, изолировала затронутую инфраструктуру в течение нескольких часов и выпустила предупреждение о безопасности 21 января.
При этом eScan утверждает, что Morphisec связался с компанией позже, после публикации публичных заявлений об инциденте.
Компания также опровергает утверждения о том, что пострадавшие клиенты не знали о проблеме, заявляя, что она проводила упреждающие уведомления и прямое взаимодействие с пострадавшими клиентами, пока завершались работы по устранению неполадок.
В своем уведомлении eScan классифицировала атаку как инцидент доступа к конфигурации регионального сервера обновлений, который позволил разместить некорректный файл в пути распространения обновлений.
Компания подчеркнула, что инцидент не был связан с уязвимостью в самом продукте eScan.
Так или иначе, согласна бюллетеню Morphisec, вредоносное обновление распространило через легитимную инфраструктуру модифицированную версию компонента обновления eScan - Reload.exe, что привело к развертыванию многоступенчатого вредоносного ПО на корпоративных и потребительских устройствах по всему миру.
Модифицированный файл Reload.exe [VirusTotal] был подписан, по всей видимости, сертификатом подписи кода от eScan. Windows и VirusTotal в настоящее время показывают, что подпись недействительна.
По данным Morphisec, Reload.exe использовался для обеспечения постоянного присутствия в системе, выполнения команд, изменения файла HOSTS Windows для предотвращения удаленных обновлений и подключения к инфраструктуре С2 для загрузки полезных нагрузок.
Исследователи смогли задетектить следующие серверы С2: hxxps[://]vhs[.]delrosal[.]net/I, hxxps[://]tumama[.]hns[.]to, hxxps[://]blackice[.]sol-domain[.]org, hxxps[://]codegiant[.]io/dd/dd/dd[.]git/download/main/middleware[.]ts, 504e1a42.host.njalla[.]net и 185.241.208[.]115.
Последним обнаруженным вредоносным файлом оказался CONSCTLX.exe [VirusTotal], который используется в качестве бэкдора и постоянного загрузчика.
Исследователи утверждают, что вредоносные файлы создавали запланированные задачи для обеспечения постоянного присутствия в системе, используя имена типа CorelDefrag.
Morphisec на пару с eScan рекомендуют клиентам блокировать указанные выше серверы С2.
Кроме того, eScan выкатила обновление для устранения неполадок, которое клиенты могут запустить для выполнения следующих действий.
В общем, для клиентов MicroWorld Technologies подобный инцидент случается не в первый раз, ранее в 2024 году северокорейские хакеры уже задействовали механизм обновления антивируса eScan для внедрения бэкдоров в корпоративные сети.
👨💻 Security Certification Roadmap.
• Нашел очень крутой Roadmap по сертификации в ИБ! За основу этой карты был взят проект "Security Certification Roadmap", которым я делился еще в 2022 году.
• Помимо актуальности, красоты и разбивки по уровням (для начинающих, опытных и экспертов) есть еще куча разных фишек:
➡Присутствует возможность сравнения сертификаций между собой.
➡Есть фильтр по вендорам и цене в разной валюте.
➡У каждой сертификации есть подробное описание.
• На данный момент Roadmap содержит 351 сертификат / 57 вендоров. Изучаем по ссылке ниже:
➡ https://dragkob.com/security-certification-roadmap
➡ https://github.com/Security-Certification-Roadmap
S.E. ▪️ infosec.work ▪️ VT
Shadowserver задетектила более 6000 серверов SmarterMail в открытом доступе в сети, которые, по всей видимости, остается уязвимыми для атак с использованием критической уязвимости обхода аутентификации.
Исследователи watchTowr уведомили о выявленной уязвимости разработчика SmarterTools 8 января, после чего 15 января поставщик выпустил исправление, не присвоив ошибке никакого идентификатора.
Впоследствии уязвимости был присвоен CVE-2026-23760 и критическая степень серьезности, поскольку она позволяет неавторизованным злоумышленникам захватывать учетные записи администраторов, получать доступ к RCE на хосте и контроль над уязвимыми серверами.
При этом согласно добавленному в четверг в базу NIST сообщению, все версии SmarterMail, предшествующие сборке 9511, содержат уязвимость обхода аутентификации в API сброса пароля.
Конечная точка принудительного сброса пароля разрешает анонимные запросы и не проверяет существующий пароль или токен при сбросе учетных записей системных администраторов.
Неаутентифицированный злоумышленник может предоставить имя пользователя целевого администратора и новый пароль для сброса учетной записи, что приведет к полной компрометации административной части экземпляра SmarterMail.
watchTowr обнаружила эту уязвимость спустя две недели после обнаружения другой критической уязвимости предварительной аутентификации в SmarterMail (CVE-2025-52691), которая позволяет злоумышленникам удаленно выполнять код на незащищенных серверах.
Из 6000 серверов SmarterMail, помеченных как «вероятно уязвимые» для продолжающихся атак CVE-2026-23760 более 4200 дислоцированы в Северной Америке и почти 1000 - в Азии.
В свою очередь, исследователь Macnica Ютака Седжияма также представил результаты своего сканирования, согласно которым уязвимыми для атак CVE-2026-23760 остаются более 8550 экземпляров SmarterMail.
В общем, назревает очередная масштабная атака на цепочку мудаков, ведь для CVE-2026-23760 доступен эксплойт, чем киберподполье уже воспользовалось в реализации реальных атак, начиная с 21 января (если верить сообщениям watchTowr и Huntress).
Будем следить.
Исследователи Лаборатории Касперского сообщают о новых похождениях китайской APT-группы HoneyMyte (Mustang Panda и Bronze President), в арсенале которой были замечены новые версии вредоносного ПО.
Ее кампании затрагивают Европу и Азию, при этом особое внимание уделяется Юго-Восточной Азии, а основными целями являются государственные организации.
Как и другие APT-группы, HoneyMyte использует ряд сложных инструментов, включая бэкдоры ToneShell и CoolClient, USB-черви Tonedisk и SnakeDisk, а также другие зловреды.
В 2025 году группа продолжила обновлять арсенал: добавила новые функции в бэкдор CoolClient, развернула несколько вариантов браузерного стилера и применяла различные скрипты для разведки и кражи данных.
CoolClient используется Mustang Panda с 2022 года в качестве вторичного бэкдора наряду с PlugX и LuminousMoth. Обновленный вариант способен красть данные для входа в браузеры и отслеживать содержимое буфера обмена.
По данным ЛК, вредоносная ПО также использовалась для распространения ранее неизвестного руткита. Однако технический анализ будет представлен в будущем отчете.
Новый CoolClient был детектирован в атаках на госструктуры в Мьянме, Монголии, Малайзии, России и Пакистане, где был развернут с помощью легитимного ПО от китайской Sangfor.
Ранее операторы CoolClient запускали вредоносное ПО путем установки DLL-файлов, используя подписанные бинарные файлы от Bitdefender, VLC Media Player и Ulead PhotoImpact.
CoolClient использует зашифрованные файлы .DAT в многоэтапном режиме выполнения и обеспечивает постоянное присутствие в системе за счет изменений в реестре, добавления новых служб Windows и запланированных задач, поддерживая обход UAC и EoP.
Основные функции CoolClient интегрированы в DLL-библиотеку, встроенную в файл main.dat. При запуске программа сначала проверяет, включены ли кейлоггер, программа для кражи буфера обмена и программа для перехвата учетных данных HTTP-прокси.
Основные функции вредоносной ПО включают: профилирование системы и пользователя, файловые операции, перехват нажатий клавиш, TCP-туннелирование, обратное проксирование и выполнение динамически загружаемых плагинов в оперативной памяти.
Причем все они доступны как в старых, так и в новых версиях, но в самых последних вариантах они достаточно усовершенствованы.
Уникальными новыми функциями последней версии CoolClient являются: модуль мониторинга буфера обмена, возможность отслеживания заголовков активных окон и перехват учетных данных HTTP-прокси на основе анализа необработанных пакетов и извлечения заголовков.
Кроме того, экосистема плагинов была расширена за счет внедрения специального плагина удаленной оболочки, плагина управления службами и более функционального плагина управления файлами.
Плагин управления службами позволяет операторам сканировать, создавать, запускать, останавливать, удалять и изменять конфигурацию запуска служб Windows, а плагин управления файлами предоставляет расширенные возможности работы с файлами, включая анализ дисков, поиск файлов, сжатие ZIP-архивов, сопоставление сетевых дисков и выполнение файлов.
Функциональность удаленной оболочки реализована с помощью отдельного плагина, который запускает скрытый процесс cmd.exe и перенаправляет его стандартный ввод и вывод через каналы, обеспечивая интерактивное выполнение команд по каналу C2.
Новинкой в работе CoolClient является использование инфостиллеров для сбора данных для входа в систему из браузеров.
В ЛК задокументировали три различных семейства ПО, нацеленных на Chrome (вариант A), Edge (вариант B) и более универсальный вариант C, нацеленный на любой Chromium-браузер.
Еще одно заметное изменение в операционной деятельности заключается в том, что кража данных из браузера и документов теперь реализуется через жестко закодированные токены API для легитимных общедоступных сервисов, Google Drive или Pixeldrain.
Технический разбор и подробности - в отчете.
Медленно накрывающая мир технологическая сегментация вынуждает правительства помимо локализации инфраструктуры и софта расширять свое влияние внутри создаваемых кластеров.
Вслед за немецкими спецслужбами новыми более широкими полномочиями обзавелись их коллеги в Ирландии, чиновники которой инициировали продвижение нового всеобъемлющего «Закона о связи».
Согласно задумки местных законодателей, новый нормативный акт существенно расширит возможности государства по контролю всех форм цифровых коммуникаций, включая зашифрованные сообщения, данные IoT, электронную почту и мессенджеры.
Помимо этого, по предложению министра юстиции, внутренних дел и миграции Джима О'Каллагана будет создана правовая база для легального использования spyware и мониторинга мобильных устройств. Безусловно, все это под соусом борьбы с киберпреступностью.
Согласно заявлению Минюста, обновленная законодательная система направлена на приведение полномочий по перехвату информации в соответствие с технологическими реалиями и угрозами безопасности XXI века, заменяя Закон о регулировании перехвата почтовых отправлений и телекоммуникационных сообщений 1993 года, который был разработан для стационарной и почтовой связи.
Работа над общей концепцией законопроекта уже ведется в сотрудничестве с генпрокуратурой, заинтересованными ведомствами и госорганами, запланированы общественные слушания.
Предложенный законопроект при этом обязывает спецслужбы запрашивать судебные разрешения на проведение соответствующих мероприятий. Ранее запросы на перехват санционирвались исключительно министром.
Ключевым спорным моментом, как в аналогичных законопроектах по всей Европе, является использование шпионского ПО.
По этой части министр сослался на доклад Венецианской комиссии 2024 года под названием «Доклад о регулировании шпионского программного обеспечения в соответствии с принципами верховенства права и прав человека», указав, что «конфиденциальность, цифровая безопасность и правовая соразмерность будут центральными факторами при внедрении этой технологии в Ирландии».
Правда, конкретные детали не разглашаются и находятся еще на стадии прорабатки.
Тем не менее, О’Каллаган заверил, что законопроект обеспечит баланс между сбором развединформации и защитой конфиденциальности, подчеркнув, что любое вмешательство спецслужб должно быть «необходимым и соразмерным» и подлежать независимому надзору.
В свою очередь, гражданское общество в Европе придерживается противоположного мнения в этом вопросе.
В частности, Европейская организация по защите цифровых прав (EDRi) даже запустила специальный ресурс для отслеживания злоупотреблений шпионским ПО, продвигая полный запрет таких технологий на всей территории ЕС.
Инициатива появилась на фоне растущей обеспокоенности по поводу нормализации использования коммерческого шпионского ПО как минимум в 14 странах-членах ЕС, которые в большинстве случаев применяются в угоду политическим интересам действующих властей.
Так или иначе, в условиях сегментации тотализация контроля, как показывает практика, становится неизбежной, а поставщики spyware из изгоев превращаются в стратегических подрядчиков для Большого брата.
Защитные механизмы, внедренные NPM после атак на цепочку поставок Shai-Hulud, до сих пор имеют уязвимости, позволяющие злоумышленникам обходить их с помощью зависимостей Git.
Получившие общее название PackageGate уязвимости были обнаружены в нескольких утилитах экосистемы JavaScript, позволяющих управлять зависимостями, - pnpm, vlt, Bun и NPM.
Проблемы обнаружили исследователи Koi, после чего соответствующим образом уведомили о них поставщиков. Все они были устранены во всех инструментах, кроме NPM, который закрыл отчет, заявив, что все «работает так, как и должно».
Напомним, распространяющаяся самопроизвольно Shai-Hulud первоначально затронула npm в середине сентября 2025 года, скомпрометировав 187 пакетов.
Месяц спустя атака вернулась с новой волной из 500 пакетов, в результате чего, по разным оценкам, было раскрыто 400 000 секретных данных разработчиков через более чем 30 000 автоматически сгенерированные репозитории GitHub.
В ответ на атаки Shai-Hulud и другие инциденты в цепочке поставок, включая s1ngularity и GhostAction, GitHub, оператор NPM, объявила о инициировании плана внедрения дополнительных мер безопасности и предложил несколько способов смягчения последствий.
Среди них – рекомендации по отключению скриптов жизненного цикла во время установки ('--ignore-scripts=true') и включению проверки целостности файла блокировки и закрепления зависимостей.
Однако, как отметили в Koi, когда NPM устанавливает зависимость из репозитория Git, конфигурационные файлы, такие как вредоносный файл npmrc, могут переопределять путь к исполняемому файлу Git, что приводит к полному выполнению кода, даже если флаг —ignore-scripts установлен в значение true.
Причем исследователи располагают доказательствами того, что в прошлом злоумышленники уже разрабатывали демонстрационный образец, злоупотребляющий этой техникой для создания обратной оболочки, так что проблема имеет вполне практический характер.
Для других менеджеров пакетов JavaScript обход мер безопасности, связанных с выполнением скриптов, достигается с помощью отдельных механизмов, а для pnpm и vlt также возможен обход целостности файла блокировки.
Bun исправила уязвимости в версии 1.3.5, vlt - также их закрыла в течение нескольких дней после обращения Koi, а pnpm выпустила исправления для CVE-2025-69263 и CVE-2025-69264.
NPM получила отчет об уязвимости через принадлежащий ей HackerOne, но отклонила его, сославшись на то, что пользователи сами несут ответственность за проверку содержимого устанавливаемых ими пакетов.
Дальнейшие обращения также остались без ответа.
Тем не менее, в GitHub публично по этому поводу заявляют, что работают над решением проблемы, поскольку npm активно сканирует реестр на наличие вредоносных программ.
Кроме того, настоятельно рекомендовала проектам использовать доверенные публикации и детализированные токены доступа с обязательной двухфакторной аутентификацией для укрепления цепочки поставок программного обеспечения.
Исследователи Shadowserver сообщают об отслеживании почти 800 000 IP-адресов посредством Telnet-отпечатков на фоне продолжающихся атак, нацеленных на критическую уязвимость обхода аутентификации в сервере telnetd GNU InetUtils.
CVE-2026-24061 затрагивает GNU InetUtils в версиях от 1.9.3 (выпущенной 11 лет назад, в 2015 году) до 2.7, исправлена в версии 2.8 (выпущенной 20 января).
Сервер telnetd вызывает /usr/bin/login (обычно работающий от имени root), передавая в качестве последнего параметра значение переменной среды USER, полученное от клиента.
Если клиент предоставляет тщательно сформированное значение среды USER в виде строки "-f root" и передает параметр telnet(1) -a или --login для отправки этой среды USER на сервер, клиент будет автоматически авторизован как root, минуя процессы аутентификации.
Из 800 тысяч упомянутых IP более 380 000 находятся в Азии, почти 170 000 - в Южной Америке и чуть более 100 000 - в Европе, а также более 24 000 - в России.
Однако телеметрия не покрывает, сколько из доступных по всему миру устройств затрагивает CVE-2026-24061.
Безусловно, как отмечает в Shadowserver, Telnet не должен быть общедоступным, но часто таковым оказывается, особенно на устаревших устройствах IoT.
В частности, GNU InetUtils - это набор сетевых утилит (включая telnet/telnetd, ftp/ftpd, rsh/rshd, ping и traceroute), используемых в различных дистрибутивах Linux, которые могут работать без обновлений более десяти лет на многих устаревших и встроенных устройствах.
В четверг, спустя несколько дней после раскрытия уязвимости CVE-2026-24061, исследователи GreyNoise сообщили об обнаружении работающих эксплойтов для CVE-2026-24061, которые уже задействовались в целевых атаках.
Вредоносная активность стартовала 21 января (через день после исправления уязвимости) и исходила с 18 IP-адресов в рамках 60 сессий Telnet, используя проблему в согласовании параметров IAC Telnet для внедрения 'USER=-f <user>' и предоставления злоумышленникам доступа к командной оболочке скомпрометированных устройств без аутентификации.
Несмотря на различия в скорости терминала и значений X11 DISPLAY, в 83,3% случаев атака была направлена на пользователя с правами root.
Кроме того, несмотря на то, что большинство атак кажутся автоматизированными, GreyNoise зафиксировала ряд случаев, когда атаку производилась в ручном режиме.
Получив доступ, злоумышленники также попытались развернуть вредоносное ПО на Python, используя автоматизированную разведку, но эти попытки провалились из-за отсутствия каталогов и исполняемых файлов.
Так что администраторам, которые не могут немедленно обновить свои устройства до исправленной версии, рекомендуется отключить уязвимую службу telnetd или заблокировать TCP-порт 23 на всех межсетевых экранах.
📖💻Итоги работы платформы Standoff Bug Bounty за 2025 год
По данным Positive Technologies, около двух третей организаций запускают программы багбаунти именно как превентивную меру — инвестицию в устойчивость и зрелость ИБ-процессов.
При этом ожидания бизнеса в подавляющем числе случаев оправдываются: выявляются критически опасные уязвимости, повышается видимость поверхности атаки, улучшается взаимодействие между ИБ и разработкой, а уровень рисков снижается.
Ключевая ценность багбаунти для бизнеса заключается в сочетании 3 факторов:
1️⃣ Реалистичность тестирования, максимально приближенного к действиям реальных атакующих;
2️⃣ Гибкость и масштабируемость, позволяющие фокусировать усилия на приоритетных активах и сценариях;
3️⃣ Оплата за результат, а не за формальный процесс.
Эффективность программы напрямую зависит от того, насколько она продумана, спроектирована и встроена в процессы компании.
➡️ Каждый третий выявленный недостаток в целом оценивался как высокий или критический с точки зрения уровня опасности.
➡️ В 2025 году на платформе Standoff Bug Bounty было представлено 233 программы — в 2,2 раза больше, чем годом ранее.
➡️ Офлайн-бизнес стал рекордсменом по критичности находок: в этом секторе 37% принятых отчетов содержали баги с наибольшим уровнем риска.
➡️ 43 багхантера на платформе Standoff Bug Bounty стали миллионерами в прошлом году – 6 из них заработали больше 5 млн рублей за год
✋ @Russian_OSINT
Pwn2Own Automotive 2026 завершился: исследователи заработали 1 047 000 долл., продемонстрировав 76 0-day.
Соревнования по хакингу в автомобильной сфере Pwn2Own Automotive, посвященные автомобильным технологиям, прошли в период 21 по 23 января в Токио, Япония, в рамках автомобильной конференции Automotive World.
В ходе конкурса хакеры атаковали полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные операционные системы (например, Automotive Grade Linux).
Традиционно, согласно правилам, прежде чем информация будет раскрыта Trend Micro у поставщиков есть 90 дней на разработку и выпуск исправлений для 0-day, которые были реализованы в ходе конкурса Pwn2Own.
Команда Fuzzware.io одержала победу на Pwn2Own Automotive 2026, получив денежный приз в размере 215 000 долларов, за ней следуют DDOS с 100 750 долл. и Synactiv с 85 000 долл.
Fuzzware.io заработала 118 000 долл., взломав в первый день зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный приемник Kenwood DNR1007XR.
Они также урвали еще 95 000 долл. после демонстрации нескольких нулей в контроллере зарядки Phoenix Contact CHARX SEC-3150, зарядном устройстве ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV на второй день.
Кроме того, дополнительно 2500 зеленых они вложили в свой гонорар после обнаружения уязвимости при попытке получить root-права на мультимедийном ресивере Alpine iLX-F511 в последний день соревнований.
Команда Synacktiv получила 35 000 долл., используя уязвимость записи за пределы допустимого диапазона и утечку информации для взлома информационно-развлекательной системы Tesla с помощью USB-атаки в первый день Pwn2Own.
Полное расписание третьего дня и результаты каждого задания - здесь, полное расписание Pwn2Own Automotive 2026 - здесь.
В общем зачете, в этом году исследователям удалось препарировать на порядок большей нулей, однако поставить рекорд по части призовых не удалось, ведь годом ранее он составил 1 323 750 долл.
Солары обнаружили следы как минимум трех APT-групп в сети российской организации - Erudite Mogwai (Space Pirates), Obstinate Mogwai и GOFFEE.
Весной 2025 года исследователи выявили компрометацию инфраструктуры одной из организаций госсектора азиатской группировкой Erudite Mogwai (aka Space Pirates).
Приступив к расследованию, было обнаружено несколько зараженных систем, где среди прочего нашелся новый модульный бэкдор Shadowpad Light (aka Deed RAT).
Он позволяет загружать разные по функциональности плагины, а его устройство говорит о высокой подготовке атакующих.
Источником их заражения выступил почтовый сервер Exchange.
Как оказалось его взломали еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Что не удивительно, ведь уязвимый Exchange нередко становится лакомым кусочком для атакующих.
Несмотря на то, что данная уязвимость из 2021-го, тем не менее практика показывает, что все еще является актуальной. Другой вопрос, как уязвимый почтовый сервер оставался незамеченным так долго.
Все оказалось достаточно прозаично, ведь его установили тем же летом 2024 года и уже спустя несколько недель он попал в поле зрения сразу нескольких хакерских группировок.
В частности, при исследовании системы были обнаружены различные файлы вредоносного ПО: оригинальный ShadowPad (азиатские группы), Shadowpad Light (Erudite Mogwai), Donnect (Obstinate Mogwai) и Mythic Agent (GOFFEE).
Также кроме инструментов данных групп Солары обнаружили и IOCs, и TTPs, которые полностью соответствовали профилям атакующих.
Помимо уже известных инструментов, при исследовании системы был обнаружен новый образец модульного вредоносного ПО ShadowRelay.
Несмотря на то, что бэкдор был загружен в атакованную инфраструктуру в то же самое время, когда там присутствовала группировка Obstinate Mogwai, у Соларов пока нет достаточных свидетельств, что ShadowRelay является частью арсенала именно этой группы.
Вредоносное ПО позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность, позволяя укрывать полезную нагрузку от внимания аналитиков вредоносного ПО.
Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету, что позволяет ему скрытно шпионить в защищенных сегментах сети организации, общаясь через сеть зараженных машин.
Сам бэкдор не содержит полезной нагрузки для кибершпионажа или удаленного управления, но позволяет ее загрузить.
Но исследователям пока не удалось найти плагины для данного вредоносного ПО, поэтому сценарий атакующих и их цели не ясны до конца.
Имплант имеет множество функций сокрытия себя в системе. Одной из таких является инъекция себя в другие процессы.
В дополнение к этому у бэкдора есть функциональность переиспользования портов.
Все это указывает на относительно высокий уровень подготовки атакующих, а также на то, что их основная цель - длительное скрытное присутствие в атакованной инфраструктуре и шпионаж.
Подробный технический разбор новинки и IOCs - в отчете.
Киберподполье приступило к активной эксплуатации уязвимости обхода аутентификации в SmarterMail от SmarterTools, которая позволяет неавторизованным злоумышленникам сбросить пароль системного администратора и получить полные привилегии.
SmarterMail - это платформа совместной работы под управлением Windows, которая обеспечивает доступ к электронной почте по протоколам SMTP/IMAP/POP, веб-почте, календарям, контактам и базовым функциям групповой работы.
Обычно решение используется поставщиками MSP, малыми и средними предприятиями, а также хостинг-провайдерами, предоставляющими услуги электронной почты. По данным SmarterTools, ее продуктами пользуются 15 миллионов человек в 120 странах.
Исследователи watchTowr сообщили об этой проблеме 8 января, а SmarterMail выпустила исправление 15 января, присвоив CVE-2026-23760 и оценку CVSS: 9,3.
После устранения проблемы исследователи обнаружили доказательства того, что злоумышленники начали использовать её всего через два дня. По всей видимости, хакеры отреверсили патч и нашли способ реализовать уязвимость.
Уязвимость обусловлена тем, что конечная точка API force-reset-password принимает JSON-входные данные, контролируемые злоумышленником, включая логическое свойство типа IsSysAdmin, которое, если установлено в значение true, заставляет бэкэнд выполнить логику сброса пароля системного администратора.
Однако, как выяснили исследователи watchTowr, этот механизм не выполняет никаких проверок безопасности и не проверяет старый пароль, несмотря на наличие поля OldPassword в запросе.
В результате любой, кто знает или угадает имя пользователя администратора, может установить новый пароль и взломать учетную запись.
При этом проблема затрагивает только учетные записи администраторов, а не обычных пользователей.
Имея доступ уровня администратора, злоумышленники могут выполнять команды операционной системы, получая таким образом полный доступ к удаленному выполнению кода на хосте.
Исследователи watchTowr также разработали PoC-эксплойт, демонстрирующий доступ к командной оболочке на уровне SYSTEM.
Узнать об активной эксплуатации удалось благодаря анонимному пользователю, который заметил, что кто-то сбрасывает пароли администратора.
В подтверждение своих слов информатор указал исследователям watchTowr на аналогичную ситуацию, которую описывали на форуме.
Анализ общих журналов показал, что эти атаки были направлены на конечную точку force-reset-password, что подтверждает вывод об активной эксплуатации уязвимости в дикой природе.
В свою очередь, исследователи Huntress также представили отчет со своими наблюдениями за деятельностью по эксплуатации в дикой природе.
Причем двумя неделями ранее watchTowr обнаружила другую критическую RCE-уязвимость на этапе предварительной аутентификации в SmarterMail, отслеживаемую как CVE-2025-52691, что в конечно счете привело к обнаружению последней проблемы.
Пользователям SmarterMail рекомендуется обновить ПО до последней версии Build 9511, в которой устранены обе проблемы.
Исследователи F6 сообщают об обнаружении новой волны вредоносных рассылок от группировки PhantomCore, которую им удалось задетектить 19 и 21 января 2026 года.
Целями новой кампании стали российские организации в сфере ЖКХ, финансов, электронной коммерции, B2C, муниципальных услуг, в аэрокосмической, химической, строительной, производственной отраслях, а также маркетплейсы.
PhantomCore атакует российские и белорусские компании с 2022 года, впервые была обнаружена F6 в 2024 году.
Название обусловлено сочетанием слов Phantom (в .NET инструменте был неймспейс у классов «Phantom») + Core (в запланированных задачах использовали имя MicrosoftStatisticCore).
В рассылке на тему «ТЗ на согласование» используется вложение «ТЗ на согласование сб 54 от 19.01.26.zip» с двумя файлами, мимикрирующими под офисные документы.
Файл .doc при этом не является подлинным документом, представляет собой RAR‑архив, содержащим одноименную директорию, внутри которой содержатся файлы, относящиеся к действительному документу.
Причем стоит отметить использование атакующими легитимных адресов электронной почты для рассылок, что может указывать на их компрометацию.
После запуска второго LNK‑файла выполняется cmd‑команда, которая перебирает переменные окружения и ищет подстроку PSM, таким образом находит переменную окружения PSModulePath.
По разделителям s и \ определяет 4-е вхождение, которым является PowerShell, и осуществляет загрузку PowerShell‑сценария с URL‑адреса, инициируя запуск загруженного скрипта командой PowerShell.
На первой загруженный скрипт скачивает и отображает документ-приманку, реализует загрузку следующей стадии в память (PowerShell‑скрипт) и ее закрепление в планировщике задач Windows.
Вредоносного ПО написано на PowerShell и практически идентично ранее известному PhantomCore.PollDL (PhantomeRemote). Развертывание реализуется в несколько стадий.
Как отмечают специалисты F6, в ходе исследования им удалось обнаружить целый перечень схожих ресурсов с вредоносными скриптами.
Технические подробности и IOCs - в отчете. Полный анализ вредоносного ПО на Malware Detonation Platform от компании F6 доступен - здесь.
На второй день хакерского поединка Pwn2Own Automotive 2026 исследователи пополнили свой гонорар на 439 250 долл., реализовав 29 уникальных 0-day.
Ежегодный Pwn2Own Automotive, посвященный автомобильным технологиям, проходит в Токио, Япония, с 21 по 23 января, в рамках автомобильной конференции Automotive World.
В ходе соревнований исследователи нацеливаются на полностью обновленные зарядные устройства для электромобилей (EV), автомобильные информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux).
В настоящее время команда Fuzzware.io лидирует в турнирной таблице с 213 000 долл., заработанными за первые два дня, и еще 95 000 долл. после препарирования контроллера зарядки Phoenix Contact CHARX SEC-3150, зарядного устройства ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV.
Сина Хейрхах из Summoning Team получила 40 000 долл. за root-права на навигационном ресивере Kenwood DNR1007XR, зарядном устройстве ChargePoint Home Flex и мультимедийном ресивере Alpine iLX-F511.
Роб Блейкли из Technical Debt Collectors и Хэнк Чен из InnoEdge Labs также получили по 40 000 зеленых каждый за демонстрацию цепочек 0-day эксплойтов, нацеленных на Automotive Grade Linux и зарядную станцию Alpitronic HYC50.
По итогам первых двух дней конкурса исследователи заработали денежные призы на сумму 955 750 долларов, успешно использовав 66 нулей.
В третий день Pwn2Own команда Slow Horses из Qrious Secure и PetoWorks предпримет еще одну попытку атаки на Grizzl-E Smart 40A, команда Juurin Oy попытается взломать Alpitronic HYC50, а Рё Като - Autel MaxiCharger.
Подробное расписание второго дня с результатами каждого задания - здесь, а полное расписание всего Pwn2Own Automotive 2026 - здесь.