39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи SentinelOne раскрыли подробности в отношении ИИ-платформы AkiraBot, которая задействуется для рассылки спама в виджетах чатов, разделах комментарий и контактных форм сайтов для продвижения сомнительных SEO-сервисов Akira и ServicewrapGO.
AkiraBot атаковал более 400 000 сайтов и успешно заслал спам по меньшей мере на 80 000 из них, начиная с сентября 2024 года.
При этом бот использует OpenAI для генерации индивидуальных информационных сообщений в зависимости от контента того или иного сайта.
Целями таких кампаний являются веб-сайты малого и среднего бизнеса.
Набирающий популярность инструмент на основе Python способен при этом генерить контент таким образом, чтобы обходить спам-фильтры и CAPTCHA.
Предполагается, что инструмент для массовой рассылки сообщений вошел в активную эксплуатацию как минимум с сентября 2024 года под названием Shopbot, что, по-видимому, является отсылкой к сайтам, использующим Shopify.
Со временем AkiraBot расширил зону охвата, включив в нее сайты, разработанные с использованием GoDaddy, Wix и Squarespace, а также сайты, имеющие общие контактные формы и виджеты чата, созданные с использованием Reamaze.
Суть операции – генерация спам-контента – облегчается за счет использования API OpenAI, который реализует генерацию на основе содержимого сайта.
Инструмент также имеет графический пользовательский интерфейс (GUI) для выбора списка целевых сайтов и динамики размещения контента.
Анализ исходного кода показывает, что клиент OpenAI использует модель gpt-4o-mini и ему отведена роль «полезного помощника, генерирующего маркетинговые сообщения».
Другим примечательным аспектом сервиса является то, что он может обходить CAPTCHA в масштабе и избегать обнаружения на основе сети, полагаясь на прокси-сервис, который обычно предлагается рекламодателям.
Целевые сервисы CAPTCHA включают hCAPTCHA, reCAPTCHA и Cloudflare Turnstile.
Для этого веб-трафик бота имитирует трафик обычного конечного пользователя и использует различные прокси-хосты от SmartProxy, чтобы скрыть его источник.
AkiraBot также настроен на журналирование своих действий (файл с именем submissions.csv), фиксируя как успешные, так и неудачные попытки размещения спама.
Их анализ позволил установить, что на сегодняшний день атаковано более 420 000 уникальных доменов.
Кроме того, показатели успеха, связанные с обходом CAPTCHA и ротацией прокси, собираются и публикуются в канале Telegram через API.
В ответ на полученные данные компания OpenAI отключила API-ключ и другие связанные с ним активы, используемые злоумышленниками.
Как отмечают исследователи, разработчики сервиса вложили серьезные усилия в реализацию решений для обхода широко используемые технологии CAPTCHA, а использование LLM для генерации спама открывает новые угрозы на ландшафте ИИ.
Очередной поставщик ПО для обмена файлами, по всей видимости, отправил своих клиентов в объятия Clop (ну или их коллег).
Как сообщается, хакеры задействовали уязвимость в Gladinet CentreStack в качестве 0-day для взлома серверов хранения данных.
Gladinet CentreStack - это корпоративная платформа для обмена файлами, которая преобразует локальные файловые серверы (например, серверы Windows с общими ресурсами SMB) в безопасные облачные файловые системы с поддержкой удаленного доступа к внутренним общим файлам, многопользовательских развертываний и интеграцию с Active Directory.
Решение Gladinet используют тысячи компаний в 49 странах, включая предприятия с файловыми серверами на базе Windows, MSP, размещающие файловые сервисы для нескольких клиентов, а также организации, которым необходим доступ, аналогичный облачному, без миграции в облако.
Уязвимость отслеживается как CVE-2025-30406 и представляет собой проблему десериализации, затрагивающую версии Gladinet CentreStack до 16.1.10296.56315.
Эксплуатация в естественных условиях наблюдается как минимум с марта 2025 года.
Проблема обусловлена использованием жестко закодированного machineKey в конфигурации портала CentreStack (web.config).
Если злоумышленник заполучит ключ, то сможет создать вредоносную сериализованную полезную нагрузку, которую сервер будет выполнить.
Согласно рекомендациям поставщика, неправильно защищенный ключ защищает ASP.NET ViewState в случае подделки может позволить злоумышленникам обойти проверки целостности, внедрить произвольные сериализованные объекты и в конечном итоге выполнить код на сервере.
Gladinet выпустила исправление для CVE-2025-30406 3 апреля 2025 года с версиями 16.4.10315.56368, 16.3.4763.56357 (Windows) и 15.12.434 (macOS).
Поставщик рекомендует всем пользователям как можно скорее обновиться до последней версии или вручную поменять machineKey в root\web.config и portal\web.config.
Для клиентов, которые не могут оперативно накатить обновление, ротация значений machineKey является рекомендуемым временным решением.
При этом следует обеспечить согласованность между узлами в многосерверных развертываниях и перезапускать IIS после внесения изменений для применения мер по снижению рисков.
Несмотря на то, что пока упоминаний об участии банда вымогателей в новой делюге нет, специфика продукта все же указывает на атаки с целью кражи данных, как это было в случае Cleo, MOVEit Transfer, GoAnywhere MFT, SolarWinds Serv-U и Accelion FTA.
Но будем посмотреть.
Kill Security взяла на себя ответственность за атаки, связанные с эксплуатацией недавней 0-day CrushFTP.
Хакерская группа утверждает, что смогла выкрасть «значительные объемы» данных и теперь угрожает жертвам слить их в ближайшие дни, вымогая выкуп.
Тем временем, исследователи указывают на опасный прецедент.
CrushFTP пыталась аннулировать первоначальный CVE, выпущенный для ошибки (CVE-2024-2825), выпустив новый идентификатор CVE-2025-31161 и внеся определенный хаос в работу решений безопасности, предназначенных для сканирования на предмет уязвимости.
Поставщик выпустил рекомендацию, но намеренно попросила, чтобы CVE не назначалась в течение 90 дней, фактически пытаясь скрыть уязвимость от сообщества ИБ.
Хуже того, MITRE, по всей видимости, также особо не преследовала цель своевременного раскрытия уязвимости, которая активно эксплуатировалась в дикой природе.
↔️👺 Российские пользователи получают майнер и троянец вместо приложений Microsoft Office
Эксперты 😍 «Лаборатории Касперского» обнаружили, что злоумышленники распространяют майнер и троянец ⚠️ClipBanker под видом офисных приложений Microsoft на платформе SourceForge. В 🇷🇺 России с этой вредоносной кампанией столкнулись уже больше 4600 пользователей*.
Люди, которые искали в интернете на неофициальных ресурсах приложения Microsoft для ПК, могли увидеть проект, размещённый на одном из доменов сайта SourceForge, — sourceforge.io. На нём предлагалось скачать такие программы бесплатно. Если человек переходил по ссылке, на странице проекта он видел большой перечень популярных офисных приложений Microsoft, доступных для загрузки по кнопке. Однако на самом деле за ней была спрятана гиперссылка, ведущая на скачивание вредоносного архива.
Внутри архива содержалось два файла: ещё один архив, защищённый паролем, и текстовый документ с паролем. Если человек распаковывал вложенный, защищённый паролем архив, то в результате цепочки загрузок на компьютер проникали две вредоносные программы.
1️⃣ 💴Майнер, позволявший злоумышленникам использовать мощности заражённого ПК для майнинга криптовалюты.
2️⃣ 🦠 ClipBanker — троянец, который подменял адреса криптокошельков для кражи криптовалюты. Приложений Microsoft при этом среди скачанных файлов не оказывалось.
Специалисты по кибербезопасности отмечают: несмотря на то что атака нацелена на кражу и майнинг криптовалюты, в дальнейшем злоумышленники могут продавать доступ к скомпрометированным устройствам или использовать его в других целях.
Авторы этой кампании воспользовались особенностью платформы SourceForge. Для проектов, созданных на sourceforge.net, автоматически выделяется дополнительное доменное имя и веб-хостинг на sourceforge.io. На sourceforge.net атакующие загрузили проект c дополнениями к офисным программам, которые не содержали вредоносный код, а уже на sourceforge.io разместили описания приложений Microsoft и вредоносную ссылку, ведущую на заражённый архив. Злоумышленники в целом всё чаще используют в своих схемах облачные хранилища, репозитории, бесплатные хостинги — чтобы минимизировать затраты на инфраструктуру. К тому же на таких ресурсах им легче затеряться среди миллионов чистых файлов.
DLS банды вымогателей Everest, по всей видимости, был взломан неизвестными, которые напоследок и отдефейсили, передав привет от чувака из Праги.
С этого времени Everest вовсе прикрыла сайт. При этом никак не комментируя ситуацию.
Пока неизвестно, как был получен доступ к DLS Everest и был ли он взломан, однако исследователи Flare указывают на уязвимость WordPress, которая могла быть задействована в этом деле.
С момента своего появления в 2020 Everest прошла путь от хищения данных с целью вымогательства до полноценной RaaS с шифрованием систем своих жертв.
Кроме того, операторы Everest также выступают в качестве брокеров первоначального доступа для других групп, реализуя доступ к взломанным корпоративным сетям.
За последние 5 лет Everest присовокупила более 230 жертв к своему DLS в рамках атак с двойным вымогательством, одной из последних стал бренд каннабиса STIIIZY.
Учитывая недавние разборки вымогателей, в скором времени Everest сама может оказаться на чьей-либо DLS. Но будем, конечно, посмотреть.
Нас попросили попиарить новый ТГ-канал, посвященный борьбе с украинскими мошенническими call-центрами. А мы всегда за доброе дело, как известно.
Поэтому вот.
Исследователи Validin раскрывают потенциальные операционные совпадения между Red Delta и APT41.
Все началось с отчета по анализу вредоносного ПО Mustang Panda/Red Delta, на основе которого была сгенерирована диаграмма IoC (полная картина - здесь), а анализ индикаторов, связанных с ее активностью, позволил выйти на дополнительную инфраструктуру и описанные пересечения APT.
В общем, подробности и техника - отчете. Там все достаточно наглядно раскидано и отражает то, о чем мы давно говорили.
По всей видимости, DragonForce снова наносит удар, на этот раз в отношении конкурентов из RansomHub RaaS, инфраструктура которой некоторое время назад перестала подавать признаки жизни.
Если это подтвердится, то их тоже можно записывать на счет DragonForce вслед за Mamona и BlackLock, о чем мы ранее также сообщали.
Но будем посмотреть.
Продолжаем следить за наиболее тресковыми уязвимостями, коих под накопилось. Вкратце ситуация выглядит следующим образом:
1. Злоумышленники начали сканировать в попытатках эксплуатации серверов Apache Camel с использованием недавно раскрытой CVE-2025-27636. По всей видимости, задействуется свежевыпущенный PoC.
2. Project Discovery опубликовал технические подробности и PoC для недавнего обхода аутентификации CrushFTP, отслеживаемого как CVE-2025-2825. Так что теперь она активно эксплуатируется.
3. Исследователи Endor Labs предупреждают о критической уязвимости в Apache Parquet с рейтингом серьезности 10/10, которая может быть использована для RCE и полной компрометации системы или приложения, импортирующие файлы Parquet.
CVE-2025-30065 описывается как проблема десериализации ненадежных данных и влияет на модуль библиотеки parquet-avro. Закралась с версии 1.8.0 библиотеки и была устранена с выпуском Parquet версии 1.15.1.
По данным Endor Labs, уязвимы все системы, которые считывают или импортируют файлы Parquet через фреймворки больших данных, такие как Hadoop или Spark, а также приложения, включающие код Parquet Java.
Пока нет никаких доказательств того, что уязвимость CVE-2025-30065 эксплуатировалась в реальных условиях, однако ее серьезность позволяет предположить, что злоумышленники вскоре могут добавить ее в свой арсенал.
4. Исследователь Пьер Ким обнаружил десять уязвимостей в коммутаторах Brocade Fiber Channel.
Некоторые из самых серьезных - это две RCE предварительной аутентификации и слабые учетные данные устройства по умолчанию.
При этом поставщик исправил только семь ошибок, а три остались незакрытыми, поскольку затрагивают EoL-устройства.
5. Он же опубликовал отчет о трех уязвимостях в межсетевых экранах Palo Alto Network.
6. Исследователи Tenable помогли исправить уязвимость в платформе Google Cloud, названную ImageRunner, которая задействует взаимосвязи между сервисами Cloud Run, Container Registry и Artifact Registry для переброски частных артефактов клиентов в учетную запись злоумышленника.
7. Microsoft сообщила об уязвимости, которая позволяет вредоносным приложениям запускать код через некоторые драйверы принтера Canon.
8. ERNW обнаружили три уязвимости в агентах VMware Carbon Black Cloud. Все они после этого исправлены.
9. Project Black опубликовала описание unauth RCE в ПО для обмена файлами ZendTo. Проблема была исправлена еще в 2021 году, но публичного CVE до сих пор нет.
10. Исследователь Эван Коннелли обнаружил уязвимость в APIO приложения Verizon Call Filter, которая могла быть использована для утечки данных клиентов Verizon.
11. Searchlight Cyber выкатила технический отчет в отношении уязвимости предварительной аутентификации SQLi в Halo ITSM, программном обеспечении для управления ИТ-поддержкой в облачных средах.
12. Cisco выпустила три рекомендации по безопасности для различных своих продуктов, а Jenkins - обновление для исправления двух уязвимостей в своем основном коде и шести других - в плагинах.
13. Исследователь SafeBreach сообщает об исправлении Google 10 уязвимостей в своей утилите передачи данных Quick Share.
Ошибки были раскрыты в прошлом году на DEFCON и позволяли злоумышленникам легко обмениваться файлами с пользователями без их согласия.
Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года.
Артефакты указывают на то, персональный токен доступа (PAT) SpotBugs, скомпрометированный в декабре 2024 года, лег в основу наблюдавшегося масштабного инцидента.
14 марта код GitHub tj-actions/changed-files был изменен для выполнения вредоносного кода, который сбрасывал секреты CI/CD для создания журналов, вероятно, в целях подготовки дальнейших атак.
Неделю спустя исследователи обнаружили, что изначально злоумышленники сосредоточились на эксплуатации проекта Coinbase с открытым исходным кодом.
Однако после неудачи они расширили атаку, нацелившись на все проекты, полагающиеся на скомпрометированную Actions.
Согласно дереву зависимостей примерно 160 000 проектов используют Actions напрямую или косвенно. Однако только 218 репозиториев раскрыли секреты в результате этой атаки на цепочку поставок.
На этой неделе Palo Alto Networks выкатила обновленную информацию по результатам своего расследования первопричин атаки, в которой все началось со взлома PAT в декабре прошлого года.
PAT принадлежал разработчику SpotBugs и был добавлен в конце ноября в рабочий процесс spotbugs/sonar-findbugs.
Токен был украден злоумышленником 6 декабря с помощью вредоносного запроса на извлечение, отправленного на spotbugs/sonar-findbugs для использования рабочего процесса GitHub Actions посредством триггера pull_request_target (который позволяет рабочим процессам, запускаемым из форков, получать доступ к секретам).
11 марта злоумышленники использовали PAT, чтобы пригласить злонамеренного пользователя по имени jurkaofavak в репозиторий spotbugs/spotobugs в качестве участника, что предоставило им доступ на запись.
Две минуты спустя пользователь отправил вредоносный файл рабочего процесса GitHub Actions в репозиторий, создав вредоносный рабочий процесс, который раскрыл все секреты Spotbugs/Spotbugs, включая секреты специалиста по обслуживанию Reviewdog, имеющего доступ к репозиториям SpotBugs и Reviewdog.
Рабочий процесс шифровал все доступные секреты с помощью AES и симметричный ключ с использованием жестко закодированного открытого ключа RSA, что ограничивало доступность утечек.
11 марта злоумышленник использовал утекший PAT разработчика Reviewdog, который имел разрешения на отправку тегов в репозиторий reviewdog/action-setup, чтобы переопределить тег v1 репозитория и указать на вредоносный коммит, что повлияло на всех потребителей тега.
Это привело к компрометации действия tj-actions/eslint-changed-files, которое использовало reviewdog/action-setup в качестве зависимости, что впоследствии привело к компрометации GitHub tj-actions/changed-files.
12 марта, через пять дней после того, как специалист по обслуживанию Coinbase создал рабочий процесс в coinbase/agentkit, который зависел от tj-actions/changed-files, злоумышленник подготовил атаку, создав форки tj-actions/changed-files и несколько репозиториев Coinbase.
14 марта Coinbase выполнила вредоносную версию действия GitHub tj-actions/changed-files, что привело к раскрытию токена с правами на запись.
Уязвимый рабочий процесс coinbase/agentkit был удален полтора часа спустя, но злоумышленник отправил еще один вредоносный коммит в tj-actions/changed-files, заменив все теги вредоносными коммитами.
С этого момента злоумышленник повлиял на каждый запуск рабочего процесса GitHub, зависящий от действия tj-actions/changed-files.
📂 WinRAR снова под ударом 🥷 хакеров
Эксперты обнаружили критическую уязвимость в WinRAR (CVE-2025-31334), которая позволяет обойти механизм защиты Windows Mark of the Web (MotW) и выполнить вредоносный код на Windows без предупреждения. Несмотря на среднюю оценку по CVSS (6.8), уязвимость может иметь высокий риск эксплуатации в реальной среде из-за широкого распространения WinRAR и обхода встроенной защиты Windows.
Сценарий атаки предельно прост. Пользователь загружает на первый взгляд безвредный архив. Внутри, наряду с легитимными файлами, размещена символическая ссылка, замаскированная под обычный документ или исполняемый файл. Открытие этой ссылки активирует вредоносное ПО без каких-либо признаков опасности.
📖 Вектор атаки: посещение сайта с вредоносным архивом;
🦠 Доставка малвари: пока подтверждённых атак нет, но аналогичная уязвимость (CVE-2023-38831) использовалась для распространения DarkMe и Agent Tesla.
⛔️⚠️ Уязвимость не эксплуатируется массово, но угроза критична для систем с неправильно настроенными политиками безопасности.
🔧Что делать?
✅ Обновить WinRAR до версии 7.11 или выше;
✅ Запретить создание символьных ссылок обычным пользователям;
✅ Не открывать и не распаковывать подозрительные архивы из Интернета.
💡 Уязвимость найдена экспертом Тайхэй Симаминэ из 🇯🇵Mitsui Bussan Secure Directions и подтверждена JPCERT/CC. Это уже второй MotW-обход за год, после аналогичной уязвимости в 7-Zip (CVE-2025-0411).
Примечательно то, что это уже второй случай обхода MotW за год, после обнаружения уязвимости в 7-Zip (CVE-2025-0411).
👆WinRAR используется более чем 500 миллионами пользователей по всему миру.
✋ @Russian_OSINT
Исследователи Trend Micro расчехлили новую связанную с Китаем группу угроз под названием Earth Alux, которая нацелена на различные ключевые сектора, включая госуправление, технологии, логистику, производство, телекоммуникации, ИТ и ритейл в Азиатско-Тихоокеанском регионе и Латинской Америке.
Впервые активность была замечена во втором квартале 2023 года в Азии, а примерно с середины 2024 года Earth Alux также была замечена в Латинской Америке. Основной фокус на таких странах, как Таиланд, Филиппины, Малайзия, Тайвань и Бразилия.
Цепочки заражения начинаются с эксплуатации уязвимых сервисов в веб-приложениях, доступных через Интернет, с их помощью внедряется оболочка Godzilla для облегчения развертывания дополнительных полезных нагрузок, в том числе бэкдоров VARGEIT и COBEACON (Cobalt Strike Beacon).
VARGEIT реализует возможность загрузки инструментов непосредственно со своего сервера С2 в недавно созданный процесс Microsoft Paint (mspaint.exe) для проведения разведки, сбора и эксфильтрации.
VARGEIT также является основным методом, с помощью которого Earth Alux управляет дополнительными инструментами под различные задачи и боковое перемещение.
При этом он используется как бэкдор первой, второй или более поздней стадии, а COBEACON - как бэкдор первой стадии. Последний запускается с помощью загрузчика MASQLOADER или через RSBINJECT, загрузчик командной строки на основе Rust.
В последних версиях MASQLOADER была отмечена реализация техники перехвата API, позволяющая вредоносному ПО и встроенной в него полезной нагрузке оставаться незамеченными.
Выполнение VARGEIT приводит к развертыванию большего количества инструментов, включая компонент загрузчика RAILLOAD, который выполняется с использованием техники, известной как сторонняя загрузка DLL, и используется для запуска зашифрованной полезной нагрузки в другой папке.
Вторая полезная нагрузка - RAILSETTER, который изменяет временные метки, связанные с артефактами RAILLOAD на скомпрометированном хосте, а также создает запланированную задачу для запуска RAILLOAD.
Как отмечают исследователи, MASQLOADER используется и другими группами, помимо Earth Alux. Кроме того, разница в структуре кода MASQLOADER по сравнению с RAILSETTER и RAILLOAD предполагает, что его разработка ведется отдельно от этих инструментов.
Наиболее отличительной особенностью VARGEIT является его способность поддерживать 10 различных каналов для связи с C2 по протоколам HTTP, TCP, UDP, ICMP, DNS и Microsoft Outlook, последний из которых использует API Graph для обмена командами в заранее определенном формате с использованием папки черновиков почтового ящика, управляемого злоумышленником.
В частности, сообщение от сервера C2 начинается с r_, а сообщения от бэкдора — с p_. Среди его широкого спектра функций - обширный сбор данных и выполнение команд, что делает его мощным вредоносным ПО в арсенале злоумышленников.
Earth Alux осуществляет несколько тестов с RAILLOAD и RAILSETTER, включая обнаружения и попытки найти новые хосты для боковой загрузки DLL.
Задействуют ZeroEye, инструмент с открытым исходным кодом для сканирования таблиц импорта EXE-файлов на предмет импортированных DLL, которые могут быть использованы для боковой загрузки.
Также хакерская группа использует VirTest - еще один инструмент тестирования, широко используемый китайскоязычным сообществом.
Earth Alux представляет собой сложную и развивающуюся APT-угрозу, использующую разнообразный инструментарий и передовые методы для нацеливание на ключевые сектора в Азиатско-Тихоокеанском регионе и Латинской Америке, постоянно совершенствуя свои возможности.
🗞 Paged Out #6.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, вчера был опубликован 6-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Исследователи из F6 предупреждают о новых атаках на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate, которые они относят к числу самых опасных киберугроз на этот год.
Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
По данным телеметрии F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.
Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под безобидную на первый взгляд программу.
Через мессенджеры WhatsApp и Telegram злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения.
Специалисты в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.
Так злоумышленники получают полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги.
Основной вектор распространения CraxsRAT - классическая социнженерия, но уже без телефонного разговора.
В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах.
Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей.
CraxsRAT – это многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote.
Проникает на мобильные устройства под видом легитимных приложений и обновлений.
После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя.
В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс.
В свою очередь, NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО.
При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета в банкомате.
Как отмечают исследователи, сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го - 200 млн рублей.
Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.
Рекомендации для пользователей и подразделений ИБ в банковских структурах - в отчете.
GreyNoise предупреждает о скоординированной кампании, нацеленной на поиск потенциально уязвимых экземпляров Palo Alto Networks GlobalProtect, вероятно, в целях подготовки к целенаправленной эксплуатации.
За последний месяц зафиксировано более 24 000 попыток доступа к порталам GlobalProtect с уникальных IP-адресов, что свидетельствует о скоординированных усилиях со стороны киберподполья.
Начиная с 17 марта активность значительно возросла: ежедневно детектировалось около 20 000 уникальных IP-адресов, выполняющих сканирование входов в систему с помощью GlobalProtect, и оставалась высокой до 26 марта.
GreyNoise поясняет, что около 23 000 IP-адресов, задействованных в этой деятельности, классифицируются как подозрительные, а небольшая подгруппа из 150 IP-адресов считается вредоносной.
По данным компании, скоординированные усилия, вероятно, направлены на проверку сетевой защиты перед запланированными попытками эксплуатации уязвимостей.
За последние 18–24 месяца исследователи наблюдали последовательную закономерность преднамеренного использования старых уязвимостей или давно известных схем атак и разведки в отношении определенных решений.
Причем часто это совпадают с новыми уязвимостями, появляющимися через 2–4 недели.
Большинство атак исходят из США, где базируются более 16 000 выявленных IP-адресов. Канада на втором месте с более чем 5 800 IP-адресами.
Сканирование в основном нацелено на США, небольшой процент сканирований нацелен на Великобританию, Ирландию, Россию и Сингапур.
GreyNoise также отмечает, что более 20 000 выявленных IP-адресов связаны с 3xK Tech GmbH под ASN200373. Другие связаны с Fast Servers Pty Ltd., Oy Crea Nova Hosting Solution Ltd и PureVoltage Hosting Inc.
Помимо порталов GlobalProtect, сканирования также затронули и другие устройства, работающие под управлением PAN-OS, включая Crawler.
По мнению ресерчеров, наблюдаемые попытки имеют сходство с активностью в отношении Cisco в апреле прошлого года, когда было замечено, что злоумышленники нацелились на устройства Cisco, серверы Microsoft Exchange и периферийные устройства других поставщиков.
Учитывая необычный характер детектируемых сканирований, организациям, чьи системы Palo Alto Networks подверглись атаке, следует просмотреть журналы за март для детального поиска угроз в работающих системах и выявления любых признаков компрометации.
🔐 Безопасность в сети: S.E.Virus Detect v.3.1.
• В сети существует огромное кол-во сервисов и инструментов, которые позволяют нам найти максимум информации о URL-адресе. Одним из таких инструментов является Web-check, функционал которого позволяет нам получить следующее:
➡IP Info, SSL Chain, DNS Records, Server Location, Server Status, Open Ports, Traceroute, Server Info, Domain Info, DNS Server, Security.txt, Email Configuration, Firewall Detection, Archive History, Global Ranking, Malware & Phishing Detection, Screenshot и еще кучу всяких разных данных...
• Однако, данный сервис отличается от аналогичных решений тем, что имеет открытый исходных код и бесплатное api, это позволяет нам поднять сервис на своем сервере и интегрировать данное решение в собственные инструменты, что мы и сделали...
• Теперь в S.E. Virus Detect появился дополнительный функционал проверки URL-адреса, благодаря которому мы можем получить готовый отчет от сервиса Web-check и ознакомиться с результатами не выходя из Telegram. Работает все как и всегда: вы направляете ссылку боту - ссылка проверяется через VirusTotal - бот предоставляет вам результат анализа с последующим выбором, использовать web-chek или нет. Если вы нажали на соответствующую кнопку, то вы получите отчет, который содержит все необходимые данные.
• Что имеем в итоге?
➡Полноценный функционал VirusTotal в вашем кармане, который позволяет получить результат анализа файлов, ссылок и ip не выходя из telegram.
➡Дешифратор коротких ссылок. Бот предупредит вас, что ссылка сокращенная и покажет конечный домен, к которому она ведет.
➡Дешифратор QR-кодов: открываете камеру прямо в Telegram, фотографируете код, получаете результат анализа.
➡Функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
➡Формирование полноценного отчета по итогу анализа ссылки, который осуществляется через сервис Web-check.
• В общем и целом, S.E. Virus Detect - это как VirusTotal на стероидах, с дополнительным функционалом и различными фишками. Ну и еще совершенно бесплатный и без рекламы. Пользуйтесь!
S.E. ▪️ infosec.work ▪️ VT
Fortinet представила исправления для 10 уязвимостей в своих продуктах, включая критическую ошибку в FortiSwitch.
Она отслеживается как CVE-2024-48887 и имеет оценку CVSS 9,3.
Ошибка непроверенной смены пароля в графическом интерфейсе пользователя FortiSwitch позволяет удаленному неаутентифицированному злоумышленнику менять пароли администратора с помощью специально созданного запроса.
Компания утверждает, что отключение доступа HTTP/HTTPS из административных интерфейсов и ограничение числа хостов, которые могут подключаться к системе, должно устранить уязвимость.
Ошибка затрагивает версии FortiSwitch 6.4 - 7.6 и была устранена с выпуском версий 6.4.15, 7.0.11, 7.2.9, 7.4.5 и 7.6.1.
Также были выпущены исправления для CVE-2024-26013 и CVE-2024-50565, двух уязвимостей высокой степени серьезности, которые позволяют неаутентифицированным злоумышленникам выполнять атаки типа MitM.
По факту перехватывать запросы аутентификации FGFM между управляющими и управляемыми устройствами и выдавать себя за управляющее устройство (сервер FortiCloud или FortiManager).
Проблемы, связанные с неправильным ограничением канала связи предполагаемыми конечными точками, затрагивают FortiOS, FortiProxy, FortiManager, FortiAnalyzer, FortiVoice и FortiWeb.
Fortinet также объявила о закрытии CVE-2024-54024 - серьезной уязвимости внедрения команд ОС в FortiIsolator, которая позволяет аутентифицированному злоумышленнику с привилегиями суперадминистратора и доступом к CLI выполнить произвольный код с помощью специально созданных HTTP-запросов.
Пофиксили также четыры проблемы средней степени серьезности, включая ошибку внедрения команд ОС в FortiIsolator, ошибку логирования в FortiManager и FortiAnalyzer, некорректное управление пользователями на панели виджетов FortiWeb и обход пути в FortiWeb.
Также была устранена ошибка недостаточной защиты учетных данных в FortiOS, а также проблема неправильной нейтрализации ввода во время генерации веб-страницы в FortiClient (обе проблемы имеют низкий уровень серьезности).
Fortinet не сообщает о том, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях, но принимая во внимание особый интерес киберподполья рекомендуется накатить обновления на устройства как можно скорее.
Дополнительная информация - в разделе рекомендаций PSIRT Fortinet.
Подкатил апрельский PatchTuesday от Microsoft с исправлениями 134 уязвимостей, включая на этот раз скупую единственную 0-day.
В этом пакете обновлений закрыто одиннадцать критических уязвимостей, все из которых связаны с RCE, а в целом по категориям: 49 - EoP, 9 - обхода функций безопасности, 31 - RCE, 17 - раскрытия информации, 14 - DoS и 3 - спуфинга.
Помимо них устранены уязвимости Mariner и 13 - в Microsoft Edge.
Единственной исправленной активно эксплуатируемой 0-day в апрельском PatchTuesday стала CVE-2025-29824 - уязвимость драйвера файловой системы Windows Common Log.
По данным Microsoft, CVE-2025-29824 связана с проблемой использования памяти после освобождения, которая позволяет локальным злоумышленникам с низкими привилегиями получать SYSTEM в атаках низкой сложности, не требующих взаимодействия с пользователем.
Обновления сейчас доступны только для Windows Server и Windows 11, а для Windows 10 Microsoft выйдут позже.
Компания также поделилась подробной информацией о том, что данная уязвимость была использована в качестве нуля бандой вымогателей RansomEXX, которую она отслеживает как Storm-2460.
Обнаружение приписывается Центру анализа угроз Microsoft.
Сначала злоумышленники установили вредоносное ПО PipeMagic backdoor на скомпрометированных системах, которое использовалось для развертывания эксплойта CVE-2025-29824, полезных нагрузок вымогателей и записок о выкупе !_READ_ME_REXX2_!.txt после шифрования файлов.
Целями атак стали организации в сфере информационных технологий и недвижимости в США, финансовый сектор в Венесуэле, испанская компания-разработчик ПО и сектор розничной торговли в Саудовской Аравии.
Как сообщала компания ESET в прошлом месяце, с марта 2023 года PipeMagic также использовался для развертывания эксплойтов, нацеленных на 0-day подсистемы ядра Windows Win32 (CVE-2025-24983).
Обнаруженная Лабораторией Касперского в 2022 году вредоносная ПО способна собирать конфиденциальные данные, обеспечивать полный удаленный доступ к устройствам и позволяет развертывать дополнительные вредоносные нагрузки для горизонтального перемещения.
В 2023 году ЛК обнаружила этот бэкдор при расследовании атак с использованием программы-вымогателя Nokoyawa.
В этих атаках эксплуатировали другой ноль в Windows Common Log File System Driver, уязвимость повышения привилегий, отслеживаемую как CVE-2023-28252.
Полное описание каждой уязвимости и систем, которые она затрагивает, - здесь.
Исследователи BI.ZONE продолжают отслеживать активность Sapphire Werewolf, которая активно ведет работу над развитием своего арсенала и теперь использует обновленную версию Amethyst Stealer.
Вредоносное ПО злоумышленники по-прежнему доставляют с помощью рассылки фишинговых электронных писем, на этот раз нацеливаясь на компании в сфере ТЭК.
Sapphire Werewolf маскирует вредоносное вложение под служебную записку и отправляет ее жертве от лица отдела кадров.
Письмо содержит архив с названием «Служебная записка.rar», внутри которого находится одноименный исполняемый файл с иконкой PDF-документа.
Программа написана на C# и защищена .NET Reactor.
Данный вредоносный файл является .NET‑загрузчиком, содержащим в себе закодированную Base64 полезную нагрузку, которая представляет собой исполняемый файл формата PE, который представляет собой Amethyst Stealer, также защищенный .NET Reactor.
Как и предыдущие экземпляры, данный образец реализует загрузку из ресурсов в память вспомогательной библиотеки DotNetZip.dll (Ionic’s Zip Library версии 1.16) для упаковки файлов.
Отправляет информацию о системе, содержащую IP‑адрес, строку с информацией о работе в виртуализированной среде, на: hxxp://canarytokens[.]com/traffic/tags/static/xjemqlqirwqru9pkrh3j4ztmf/payments.js.
Также зафиксирован запрос по адресу: wondrous-bluejay-lively.ngrok-free[.]app и обращение для проверки/получения IP: checkip.dyndns[.]org. Из ресурсов Amethyst Stealer также извлекается и открывается отвлекающий PDF-документ.
Новая версия Amethyst позволяет максимально широко проверять, как выполняется код в виртуальной среде, а также применять алгоритм Triple DES для шифрования строк, которые являются аргументами вызываемых функций вредоносной ПО.
Общий функционал Amethyst Stealer включает эксфильтрацию:
- аутентификационных данных из Telegram, Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa, Edge Chromium и др.,
- файлов конфигурации FileZilla и SSH;
- различные файлы конфигураций удаленных рабочих столов, VPN‑клиентов;
- различные типы документов (в том числе с внешних носителей).
Технический разбор стилера и IoC Sapphire Werewolf - в отчете.
Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.
Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.
Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.
Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.
Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.
Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.
Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.
В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.
Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.
Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.
Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.
Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.
Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).
Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.
По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.
Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.
На его основе злоумышленники из APT ToddyCat создали DLL TCESB.
Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).
Технический разбор инструментария и индикаторы компрометации - в отчете.
Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
Исследователи Meridian Group отмечают тревожную тенденицию, связанную с задействованием киберподпольем взломанных учетных записей правоохранительных структур и госорганов для реализации экстренных запросов данных (Emergency Data Request) в крупные онлайн-платформы.
Если ранее киберпреступники продавали креды/доступы, то все более сложная и структурированная EDR-as-a-Service теперь поддерживает модель «под ключ», охватывая каждый этап процесса отработки запроса и нацеливаясь на более широкий круг платформ.
Заказчики конфиденциальной информации теперь получают услугу с возможностью непосредственной обработки запроса на платформах и оперативной доставки интересующих данных, всего лишь оплатив требуемую сумму в Bitcoin или Monero согласно прайсу.
В более организованных схемах селлеры предоставляют услугу условного депонирования, удерживая сумму на депозите, пока покупатель не подтвердит действительность полученных данных.
Кроме того, потенциальным покупателям доступны информационные материалы, представленные в виде «подробного руководства» по надлежащему использованию услуг EDR, в том числе отражающих, как правильно заполнять и незаконно отправлять запросы.
Так что даже неопытные операторы с ограниченными навыками взлома могут быстро приобрести необходимые знания для успешной пересылки поддельных EDR.
Отдельно предоставляются инструкции о том, как использовать полученную информацию, чтобы более эффективно нацеливаться на жертв посредством социнженерии и прочих вредоносных кампаний.
В отчете Meridian Group подчеркивается, что наряду с отдельными субъектами потенциальный интерес к теме фиксируется и среди банд вымогателей, что предвещает дальнейшую эволюцию их преступной модели.
Правда, конкретные случаи еще не были задокументированы.
Стремительный рост черного рынка EDR-as-a-Service подчеркивает предприимчивость киберподполья, представители которого смогли выстроить эффективную и устойчивую систему сбора широкого спектра конфиденциальной информации в рамках EDR.
Исследователи Outpost24 представили продолжение своего отчета в отношении профиля EncryptHub, финансово мотивированной группировки, также известной как Water Gamayun и Larva-0208.
По результатам расследования Outpost24 пришли к выводу, что группировку, по всей видимости, возглавляет украинец из Харькова, который около 10 лет назад сбежал из своего родного и сейчас базируется, предположительно, где-то недалеко от побережья Румынии.
При этом в Microsoft признали, что, вероятнее всего, скрывающийся за личностью EncryptHub обнаружил и сообщил о двух уязвимостях Windows в прошлом месяце, что указывает на карьеру хакера в в сфере ИБ по совместительству с киберпреступностью.
Уязвимости были приписаны SkorikARI with SkorikARI, что является другим именем пользователя, используемым EncryptHub.
Раскрытые CVE-2025-24061 (оценка CVSS: 7,8) и CVE-2025-24071 (оценка CVSS: 6,5) были исправлены в рамках Patch Tuesday в прошлом месяце.
EncryptHub оказался в центре внимания в середине 2024 года в рамках кампании, в которой задействовался поддельный сайт WinRAR для распространения различных видов вредоносного ПО, размещенного в репозитории GitHub под названием encrypthub.
В последние недели злоумышленнику приписывают эксплуатацию 0-day в консоли управления Microsoft (CVE-2025-26633, оценка CVSS: 7.0, также известной как MSC EvilTwin) для доставки стилеров и ранее не документированных бэкдоров под названием SilentPrism и DarkWisp.
По данным PRODAFT, за последние девять месяцев своей работы EncryptHub предположительно скомпрометировал более 618 ценных целей в различных отраслях.
Outpost24 удалось изучить цифровой след EncryptHub, основываясь на «самозаражениях злоумышленников из-за ненадлежащих методов opsec» и выявить новые аспекты по части инфраструктуры и TTPs.
После переезда в неуказанное место недалеко от Румынии фигурант не привлекал к себе внимания и прокачивал свои скилы через онлайн-курсы, и параллельно искал работу в сфере IT.
Однако активность этого злоумышленника резко прекратилась в начале 2022 года, совпав с началом СВО.
При этом Outpost24 полагают, что это было связано с заключением в тюрьму примерно в то же время.
После освобождения хакер возобновил поиски работы, на этот раз предлагая услуги по разработке веб-сайтов и приложений на фрилансе.
После непродолжительных и неудачных попыток участия в программах BugBounty в марте 2024 года переключился на киберпреступность.
проектов стал Fickle Stealer, который был впервые задокументирован Fortinet FortiGuard Labs в июне 2024 года как вредоносное ПО на основе Rust для кражи информации, распространяющееся по нескольким каналам.
В недавнем интервью с исследователем g0njxa злоумышленник заявил, что Fickle «дает результаты в системах, где StealC или Rhadamantys (sic) никогда не сработают» и «обходит высококачественные корпоративные антивирусные системы».
При этом стиллер не только распространяется в частном порядке, но и является «неотъемлемой частью» другого их продукта, получившего название EncryptRAT.
Исследователи же смогли связать Fickle Stealer с псевдонимом, ранее связанным с EncryptHub.
Кроме того, один из доменов, связанных с этой кампанией, соответствует инфраструктуре, использовавшейся в законной фриланс-работе.
Причем EncryptHub широко использовал ChatGPT от OpenAI как для разработки вредоносного ПО, так и повседневных дел (перевода электронных писем и сообщений).
Кейс EncryptHub подчеркивает, что слабая операционная безопасность остается одной из самых критических слабостей для киберпреступников.
Элементарные ошибки - такие как повторное использование паролей, открытая инфраструктура и смешивание личной и преступной деятельности - в конечном итоге привели к его разоблачению.
Исследователи Group-IB сообщают об изумлениях в деятельности банды вымогателей Hunters International, которая проводит ребрендинг и переходит исключительно к тактике эксфильтрации.
Широко известная в киберподполье банда вымогателей Hunters International реализует с конца 2023 года собственную RaaS, адаптировав в свой арсенал и TTPs банды Hive после того, как последнюю развальцевали силовики в ходе международной операции в январе 2023 года.
Как выяснили исследователи, операторы, вовлеченные в схемы RaaS, тогда после ее ухода стали получать предложения от админов Hunters с тех же учетных записей, что и Hive.
В числе последних значимых достижении на счету банды - атака на крупную индийскую Tata Technologies.
Причем группировка продолжала действовать, несмотря на объявление 17 ноября 2024 года о закрытии из-за снижения рентабельности и нападками спецслужб.
На DLS в Tor группа разместила более 300 жертв, почти половина из которых - в Северной Америке. Хакеры также атаковали более 50 организаций в Европе и два десятка в Азии.
Основной фокус на - госсектор, недвижимость, здравоохранение, финансы и энергетику.
Партнерская панель Hunters позволяет операторам регистрировать жертву, настраивать вредоносное ПО и вести общение с жертвой.
Также предоставляет инструмент Storage Software, который собирает метаданные о файлах, украденных у жертвы, и отправляет их на серверы Hunters.
Партнеры могут установить сумму выкупа с панели, им предоставляется вредоносное ПО для шифрования файлов, совместимое с архитектурами x64, x86 и ARM и работающее на Windows и Linux.
Если жертва платит, оператор получает 80% от выручки.
Group-IB отмечает, что последняя версия программы-вымогателя больше не оставляет записку с требованием выкупа и не переименовывает зашифрованные файлы.
Начиная с августа 2024 года группа предпочитает напрямую связываться с руководством и ключевыми сотрудниками компании-жертвы, не раскрывая инцидент и повышая тем самым шансы на одобрение выплаты выкупа.
Hunters сотрудничает со сторонним подрядчиком, который оказывает им услуги OSINT для сбора информации о сотрудниках атакованной компании, которая затем используется для вымогательства.
На основании внутренних заметок операторов RaaS, исследователи пришли к выводу, что банда планирует отказаться от шифрования файлов, поскольку это становится слишком рискованным и не приносит соответствующей прибыли.
Начиная с января 2025 года они запустили новый проект под названием World Leaks.
Вместо проведения двойного вымогательства схема переориентирована на атаки, направленные исключительно на эксфильтрацию.
Операторам будет предоставляться инструмент для автоматизированной кражи данных (вероятно доработанный Storage Software), который будет полностью незаметен и сможет устанавливать сетевые соединения через прокси-сервер, например.
В Group-IB полагают, что большинство групп вымогателей, вероятно, перейдут к той же тактике в будущем, полагаясь исключительно на эксфильтрацию.
Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.
CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.
При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.
Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.
При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.
Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.
Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.
UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.
Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.
Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.
По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.
В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.
Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.
Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.
Впрочем, такими темпами и обходы для последней версии скоро назреют.
Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.
Исследователи F6 выявили уникальные артефакты, позволяющие связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.
В марте этого года Seqrite Labs сообщала об обнаружении кампании кибершпиоанажа, получившей название Operation HollowQuill. Атаки были нацелены на российские промышленные предприятия.
По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета ВОЕНМЕХ.
Причем впервые эту активность обнаружили исследователи Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 установить пересечения с деятельностью группы FakeTicketer.
Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы и спортивные функционеры.
Анализ вредоносных ПО и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.
При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:
- оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#;
- используют одинаковые названия иконок (faylyk);
- схожее именование файлов и классов.
- файлы для дроппера и иконка хранятся в ресурсах, дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite;
- код для создания ярлыков практически идентичен;
- в обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности.
Исследователи F6 обнаружили еще одно весомое совпадение между HollowQuill и группой FakeTicketer.
В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные.
Один из них - phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike.
Таким образом, по мнению эĸспертов F6, найденные доĸазательства позволяют со средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.
Исследователи из Лаборатории Касперского обнаружили новые каналы распространения загрузчика TookPS, которые ранее попадал в поле зрения ресерчеров в рамках исследования, посвященного нескольким вредоносным кампаниям с приманками под DeepSeek.
Изучая телеметрию, в ЛК заметили, что один из описанных зловредов - загрузчик TookPS, мимикрирует не только под популярную нейросеть.
В частности, были найдены фейковые сайты, имитирующие официальные ресурсы различного ПО для удаленного доступа и 3D-моделирования, а также страницы, предлагающие бесплатно его загрузить.
При этом фигурирующие UltraViewer, AutoCAD и SketchUp часто используются в бизнесе, так что потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.
Помимо вредоносных сайтов в телеметрии засветились имена детектируемых файлов: Ableton.exe и QuickenApp.exe.
Ableton - это ПО для написания музыки, звукозаписи, микширования и сведения треков и т.д., Quicken - приложение для управления финансами и счетами.
Цепочка заражения аналогична той, что описывалась в статье про атаки, использующие DeepSeek в качестве приманки.
Попав на устройство жертвы, загрузчик связывается с C2, домен которого содержится в его коде, чтобы получить PowerShell-скрипт.
Причем разные образцы вредоноса обращаются к разным доменам, откуда получает команды, закодированные в base64.
Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их.
Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA.
Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя - после чего запускает sshd.
Запускается сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config.
Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней, а третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию известного бэкдора Backdoor.Win32.TeviRat.
Изученный вариант устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, которое изменяет при помощи метода DLL side-loading. В исследуемой кампании в качестве C2 использовался домен invoicingtools[.]com.
Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon. Он использует домен twomg[.]xyz в качестве C2.
Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.
Изучая структуру доменов, к которым обращаются вредоносные скрипты и программы в этой атаке, исследователи вышли и на другие, полагая с высокой вероятностью, что TookPS, Lapmon и TeviRat - не первые в арсенале этих злоумышленников.
В целом, атаки с использованием DeepSeek в качестве приманки в случае TookPS оказались лишь вершиной айсберга - более масштабной кампании, нацеленной как на домашних пользователей, так и на организации.
Индикаторы компрометации - в отчете.
Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.
Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.
Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.
Причем эта статистика охватывает период с 13 по 27 марта 2025 года.
Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.
Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:
- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;
- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;
- кражу крипты через подмену адреса кошельков в нужных приложениях;
- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;
- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;
- загрузку и запуск других программ на заражённом смартфоне;
- блокировку сетевых соединений.
Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.
Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.
Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.
Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.
При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.
В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.
Тайваньский производитель сетевого оборудования DrayTek поделился некоторыми разъяснениями относительно недавних перезагрузок маршрутизаторов, о которых сообщfли клиенты по всему миру, но некоторые вопросы остаются без ответа.
В конце марта пользователи маршрутизаторов DrayTek в Великобритании, Австралии и других странах столкнулись с массовыми перегрузками своих устройств, что приводило к проблемам с подключением.
Когда появились первые отчеты, поставщик предположил, что может быть задействована эксплуатация уязвимости, но не поделился никакой информацией о том, какой именно недостаток мог быть причиной проблем.
В ответ на растущее число жалоб DrayTek опубликовала второе информационное сообщение, в котором пояснила, что инциденты, по всей видимости, в основном затрагивают старые модели маршрутизаторов с устаревшей прошивкой.
Расследование показало, что маршрутизаторы DrayTek подвергались повторным, подозрительным и потенциально вредоносным попыткам подключения TCP, исходящим от IP-адресов с известной негативной репутацией.
Замеченные попытки могли привести к перезагрузке маршрутизатора на необновленных устройствах, если на этих устройствах включен SSL VPN или включено удаленное управление без защиты списка контроля доступа (ACL).
Компания перечислила несколько моделей маршрутизаторов Vigor, которые, по-видимому, были затронуты, но отметила, что обновления прошивки, выпущенные для них в 2020 году, должны исправить «проблему», эксплуатация которой в реальных условиях наблюдается сейчас впервые.
Однако до сих пор остается непонятным, какая именно уязвимость (или уязвимости) была задействована.
Кроме того, неясно, какова цель злоумышленников и являются ли перезагрузки устройств запланированным результатом или следствием неудачных попыток эксплуатации.
Причем 26 марта в социальной сети X компания DrayTek заявила, что проблема, по всей видимости, связана с уязвимостью, обнаруженной в начале марта, но и тогда не уточнила, с какой именно.
В начале марта поставщик опубликовал два бюллетеня безопасности: один описывает полдюжины уязвимостей маршрутизатора Vigor, допускающих DoS-атаки, раскрытие информации и выполнение кода, а второй - две уязвимости выполнения кода.
В обоих бюллетенях компания указала, что исправления прошивки, устраняющие эти недостатки, доступны с осени 2024 года.
В свою очередь, GreyNoise наблюдала, что в последние дни в отношении маршрутизаторов DrayTek использовались три уязвимости, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124, но компания не смогла подтвердить, была ли какая-либо из них замешана в недавних атаках.
Так что будем следить.
Apple выпустила обновления с исправлениями для активно эксплуатируемых уязвимостей, использовавшихся в качестве 0-day для более старых версий операционных систем.
Кроме того, исправления подкатили и для многочисленных проблем безопасности в последних стабильных версиях iOS, iPadOS и macOS.
Первый бэкпорт касается CVE-2025-24200, обнаруженной Citizen Lab, которая задействовалась в решениях для мобильной криминалистики и приводила к деактивации «ограниченного режима USB» на заблокированных устройствах.
Apple устранила уязвимость в iOS 18.3.1, iPadOS 18.3.1 и 17.7.5, выпущенных 10 февраля 2025 года.
Вторая уязвимость, портированная на более старые версии ОС, - CVE-2025-24201, которая позволяла хакерам выходить за рамки «песочницы» на движке WebKit с помощью специально созданного веб-контента.
Apple предупредила, что уязвимость использовалась в чрезвычайно сложных» атаках, и устранила ее 11 марта 2025 года с выпуском iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Поставщик уже включил исправления для CVE-2025-24200 и CVE-2025-24201 в iOS 16.7.11 и 15.8.4, а также iPadOS версий 16.7.11 и 15.8.4.
Третья уязвимость, исправленная на старых устройствах, - CVE-2025-24085, связана с проблемой повышения привилегий в фреймворке Core Media компании Apple.
Компания устранила проблему в конце января 2025 года, выпустив iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3.
Теперь исправления для CVE-2025-24085 стали доступны в iPadOS 17.7.6 и macOS версий 14.7.5 (Sonoma) и 13.7.5 (Ventura).
Помимо бэкпортов, Apple также выпустила обновления безопасности для последних стабильных версий своих ОС и ПО, включая Safari и Xcode.
В частности, последнее обновление для iOS 18.4 и iPadOS 18.4 устраняет 77 уязвимостей, в том числе CVE-2025-30456 (обход изолированной среды приложения, позволяющий повысить привилегии до root), CVE-2025-24097 (произвольный доступ к метаданным файла) и CVE-2025-31182 (произвольное удаление файла).
В macOS Sequoia 15.4 Apple устранила 123 уязвимости, включая CVE-2025-24228 (произвольное выполнение кода с привилегиями ядра), CVE-2025-24267 (повышение привилегий до root) и CVE-2025-24178 (выход из песочницы).
В последней версии Safari 18.4 Apple закрыла 13 уязвимостей, включая CVE-2025-24213 (повреждение памяти WebKit), CVE-2025-30427 (использование WebKit после освобождения памяти) и CVE-2025-24180 (путаница с учетными данными WebAuthn).
Несмотря на то, что в представленных бюллетенях не упоминается об эксплуатации уязвимостей, пользователям следует как можно скорее установить обновления для нейтрализации потенциальных атак.