39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Западные инфосек-журналисты рассматривают очередной отчет Recorded Future
Читать полностью…
Исследователи Solar сообщают об обнаружении нового вредоносного ПО в арсенале проукраинской группы кибершпионажа Shedding Zmiy, включающей бывших участников группировки Cobalt.
В ноябре 2024 года к Соларам обратилась ИТ-компания для оказания помощи в расследовании инцидента, поводом к которому стали задетектированные обращения к С2, относящимся к Shedding Zmiy.
Причем, как оказалось, злоумышленники находились в инфраструктуре более полутора лет и намеревались там оставаться еще долго.
В результате анализа Linux-систем исследователям удалось обнаружить как известное вредоносное ПО, характерное для группировки, так и новые образцы руткита Puma, который в декабре заметила Elastic Security Labs.
На некоторых системах злоумышленники даже обновляли руткит Puma, и если Elastic никак не атрибутировала руткит, то Солары уверены в принадлежности нового инструмента к Shedding Zmiy, который задействовал его совместно с другими их характерными инструментами.
Новое вредоносное ПО включало четыре новых руткита Linux (Puma, Pumatsune, Kitsune и Megatsune) и бэкдор Bulldog.
При проведении расследования удивление вызвало неожиданно большое количество и разнообразие вредоносных образцов, что позволило проследить эволюцию руткита и его принадлежность к Shedding Zmiy.
В совокупности найденные артефакты указывали на то, что жертва как будто использовалась в качестве полигона для их обкатки.
Всего нашлось: 10 руткитов Puma различных версий, 15 образцов Bulldog Backdoor (GoRed), и Megatsune (Kitsune руткит, в котором переменная среды называлась MEGATSUNE, а не KITSUNE) с ранее известными C2.
Puma – это комплексный Linux-руткит уровня ядра на вооружении Shedding Zmiy. В его состав входят: загрузчик, сам руткит и userspace-руткит Pumatsune (обновленная версия ранее известного руткита Kitsune).
Для закрепления Puma используется загрузчик, которым заменяют легитимный файл cron. Он в ходе выполнения запускает легитимный cron в памяти для максимальной скрытности.
Техника подмены легитимных файлов – одна из любимых у группировки Shedding Zmiy. Вторая – подмена отображаемого имени процесса (argv0).
Puma получает команды через хук команды rmdir и может скрывать процессы, файлы и сетевые соединения, повышать привилегии, воровать аутентификационные данные и криптографические ключи.
Руткит использует уникальный бесфайловый механизм запуска компонента Pumatsune, основная задача которого – взаимодействие с C2, выполнение команд и эксфильтрация чувствительных данных.
Помимо руткитов Megatsune, Puma и Pumatsune, группировка также развернула на исследованных системах свой привычный набор инструментов: gsocket и Bulldog Backdoor.
Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки.
В исследованном инциденте атакующие практиковали кибершпионаж.
Однако в случаях, когда цель не представляет интереса, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы, что обеспечивается функциональностью указанных руткитов.
Таким образом, Shedding Zmiy продолжает оставаться серьезной угрозой для российских компаний, активно развивая существующие инструменты (Bulldog Backdoor, userland руткит Megatsune), а также пополняя свой арсенал новыми - руткитом Puma в связке с userland руткитом Pumatsune.
Израильская Check Point отчасти подтвердила инцидент после того, как в даркнете появились сообщения о краже ценных данных из систем компании.
На выходных хакер с псевдонимом CoreInjection объявил на BreachForums о продаже информации, предположительно, принадлежащей Check Point, по цене в 5 биткоинов (примерно 430 000 долларов США).
Злоумышленник заявил о краже широкого спектра данных, включая проектную документацию, учетные данные, схемы сетевой архитектуры, исходный код, двоичные файлы и контактные данные сотрудников.
Для подтверждения в качестве пруфов прилагается ряд скринов, демонстрирующих доступ к системам Check Point.
По мнению одного из соучредителей Hudson Rock, представленные общественности скриншоты выглядят подлинными, особенно с учетом того, что на счету хакера уже есть кейсы с реальными утечками.
Начиная с середины марта, CoreInjection реализует данные, якобы украденные у пяти компаний, большинство из которых базируются в Израиле.
Диапазон запрашиваемого прайса на остальные четыре листинга варьируются от $30 000 до $100 000.
В свою очередь, Check Point отреагировала на заявления хакера, утверждая об отсутствии новой утечки и указывая на значительное преувеличение важности украденных данных.
По данным Check Point, утечка относится к инциденту, произошедшему в декабре 2024 года после того, как были скомпрометированы креды одной учетной записи с портала, которая имела ограниченный доступ, а вторжение было немедленно нейтрализовано.
Причем скомпрометированная среда не включала в себя системы клиентов, прод или архитектуру безопасности, и в целом явно не соответствует описанию хакера.
Компания пояснила, что в результате инцидента было раскрыто несколько учетных записей с названиями продуктов, список адресов электронной почты сотрудников и три учетные записи клиентов с именами контактных лиц.
Вторжение было оперативно и тщательно расследовано, все слитые данные обновлены, а также достоверно установлено, что клиентская информация риску утечки не подверглась, а по части безопасности все угрозы курированы.
Но будем посмотреть.
Исследователи из Лаборатории Касперского задетектили новую волну целевых атак группы кибершпионажа Head Mare на российские инжиниринговые компании с использованием нового бэкдора на основе Python под названием PhantomPyramid.
Согласно телеметрии ЛК, в марте 2025 года более 800 сотрудников более чем сотен организаций стали адресатами рассылки, которая содержала ранее неизвестный вредонос.
Среди целей злоумышленников оказались в том числе приборостроительная и машиностроительная отрасли.
Цепочка заражения включала однотипные письма от некоего секретариата с вложением «Заявка_[REDACTED]_5_03Д.zip». В них отправители просят адресата подтвердить получение информации и ознакомиться с прикреплённой заархивированной заявкой.
После открытия пользователем вложения, отображался документ-приманка с запросом на ремонт оборудования якобы от одного из министерств.
Как и во многих других целевых рассылках, вложение в письме содержит вредоносный файл, но в этой рассылке есть своя особенность.
Злоумышленники отправляют запароленный архив, чтобы избежать его автоматического сканирования. На первый взгляд, так поступили и в новой кампании.
Однако авторы рассылки задействовали технику polyglot, позволяющую атакующим создавать файлы, которые могут одновременно содержать и безобидные компоненты, и вредоносный код, в том числе на нескольких языках программирования.
Один и тот же polyglot-файл может быть распознан системой как изображение, документ или исполняемый файл - в зависимости от контекста, в котором он открывается.
Исполняемая часть polyglot-файла представляет собой ранее неизвестный бэкдор PhantomPyramid, написанный на Python версии 3.8 и скомпилированный с использованием PyInstaller.
Одним из загружаемых компонентов является ПО MeshAgent для удалённого управления устройствами с открытым исходным кодом, входящий в решение MeshCentral.
Это легитимное ПО, которое теперь используют не только официальные организации, но и злоумышленники. Например, ранее оно замечено в деятельности группы Awaken Likho.
Новую волну целевых атак на объекты промышленности с высокой степенью уверенности исследователи ЛК атрибутировали к Head Mare.
Злоумышленник постоянно обновляет приёмы и вредоносные ПО в своих схемах, на этот раз группа использовала технику polyglot, которая раньше не встречалась в её арсенале, а также новый Python-бэкдор.
Индикаторы компрометации - в отчете.
Журналисты Bloomberg сообщают об инциденте в Oracle Health, связанном с кражей медицинских данных с серверов компании, который последовал сразу вслед за предполагаемой компрометацией Oracle Cloud с кражей данных аутентификации LDAP для 6 миллионов человек.
Новый обнаруженный взлом произошел в конце января, и теперь хакер под именем Эндрю вымогает у американских поставщиков медицинских услуг выкуп в миллионы долларов в криптовалюте за за предотвращение дальнейшей утечки.
Oracle Health пока публично не раскрывала информацию об инциденте, но в частных сообщениях пострадавшим клиентам и в разговорах с вовлеченными источниками подтвердила, что в результате атаки были украдены данные пациентов.
Oracle Health, ранее известная как Cerner, реализует SaaS в сфере здравоохранения, предлагая электронные медицинские записи (EHR) и BOS -системы для больниц и медорганизаций.
После приобретения Oracle в 2022 году Cerner была объединена с Oracle Health, а ее системы были интегрированы в Oracle Cloud.
В уведомлении для пострадавших клиентов Oracle Health сообщает, что 20 февраля 2025 года ей стало известно о неправомерном доступе к данным Cerner, которые находились на устаревшем сервере, еще не перенесенном в Oracle Cloud.
Злоумышленник использовал скомпрометированные клиентские креды для взлома серверов приблизительно после 22 января 2025 года и скопировал данные на удаленный сервер.
Слитые данные при этом «могли» включать информацию о пациентах из электронных медицинских карт.
Сама Oracle Health уведомила больницы о том, что не намерена информировать пациентов напрямую, перекладывая это бремя на администрации медучреждений, которым следует самостоятельно определять, нарушены ли требования HIPAA и стоит ли сообщать клиентам.
Пока что неизвестно, использовалась ли в ходе атаки программа-вымогатель или это была лишь кража данных, ведь подробности об атаке не разглашаются.
Вообще непонятно, как учетные данные клиента могли позволить украсть данные из нескольких организаций.
Более всего удивляет то, что Oracle так не сообщила ни об одной из утечек в SEC до настоящего времени.
После раскрытия Лабораторией Касперского Операции ForumTroll и последовавшим исправлением Google 0-day в браузере Chrome, компания Mozilla также выпустила исправление для уязвимости, заметив схожие закономерности в коде своего браузера для Windows.
Однако помимо исправлений кода компании также приходится трудиться над улучшениями по части бюджета.
В частности, как сообщает Consumer Affairs, Mozilla обратилась к пользователям с просьбой пожертвовать на разработку браузера Firefox после того, как утратила финансирование в размере 2,5 млн. долл. правительства США по линии USAID.
И дело даже не том, что 2,5 млн. в общем многомиллионном бюджете компании (653 млн. долл. дохода в 2023 году) - это как капля в море, больше вопросов вызывает вездесущее участие американских спецслужб в деятельности технологических компаний, особенно тех, которые концептуализируются под конфиденциальность и приватность.
Возвращаясь к уязвимостям, отметим наиболее трендовые:
1. Исследователи Forescout обнаружили 46 уязвимостей у трех популярных поставщиков солнечных инверторов, включая те, которые могут представлять серьезную угрозу для электрических сетей.
Все они названы SUN:DOWN и могут использоваться для захвата устройств или их облачной платформы.
Среди затронутых поставщиков - Growatt, SMA и Sungrown.
SMA и Sungrow исправили все уязвимости и опубликовали рекомендации для уведомления клиентов. Growatt устранила несколько выявленных уязвимостей, однако большинство из них по состоянию на конец февраля оставались неисправленными.
2. Разработки Esri выпустили исправление для уязвимости аутентификации в своей платформе ArcGIS.
CVE-2025-2538 позволяет осуществлять несанкционированный доступ к платформе и имеет рейтинг серьезности 9,8/10.
Платформа ArcGIS - это географическая информационная система для управления и визуализации топографических данных, которая широко используется, прежде всего в госсекторе. В настоящее время в Интернете размещено более 1100 систем ArcGIS.
3. Недавно пользователи были предупреждены о критической уязвимости в корпоративном инструменте передачи файлов CrushFTP, который, как известно, находится в сфере пристального внимания со стороны киберпреступников.
Разработчики CrushFTP заявили, что эксплуатация может привести к неаутентифицированному доступу, но уязвимость смягчается, если включена функция DMZ.
CrushFTP 11.3.1+ и 10.8.4+ содержат исправления проблемы.
Заметив, что разработчики CrushFTP тупят и не назначают CVE, VulnCheck решила взять на себя ответственность и присвоила ей CVE-2025-2825.
Но гендир CrushFTP поступок не оценил и пригрозил исследователям санкциями, если они добровольно не откатят идентификатор.
4. Согласно новому исследованию Sonatype, за последние 90 дней пользователи загружали уязвимые версии Apache Tomcat в три раза чаще, чем исправленные актуальные.
5. PoC для уязвимости облака IngressNightmare теперь доступен для широкой общественности. Всем приготовиться.
KELA профилировала и раскрыла реальные личности Rey и Pryx, ключевых участников хакерского коллектива Hellcat.
Первоначально известная как ICA Group, Hellcat появилась на сцене киберпреступности в конце 2024 года и смогла быстро заработать репутацию.
Громкий фурор произвели резонансные кибератаки на такие крупные корпорации, как Schneider Electric, Telefónica и Orange Romania.
В основу расследование KELA легли найденные материалы в отношении сетевой активности ключевых организаторов Hellcat на различных даркнет-площадках, в соцсетях и онлайн-платформах, аналитика по которым позволила деанонимировать их с потрохами.
Rey, ранее известный как Hikki-Chan, засветился на BreachForums в начале 2024 года, быстро привлекая внимание заявлениями о громких утечках и инцидентах. Некоторые из которых, VK и Kavim, - оказались по факту перепаковкой старых.
Несмотря на это, Rey продолжил активно заниматься киберпреступностью и стал админом группы Hellcat, специализируясь в своих операциях, прежде всего, на Jira.
Позже в ноябре 2024 года зарегался на XSS, но особо там не активничал.
Занялся хакерством в 2020 и фокусировался на взломе веб-сайтов. Называет себя экспертом по криптографии, профессиональным и прагматичным киберпреступником.
Тем не менее, это не помогло Rey избежать двух заражений инфостилером в феврале (Redline) и марте 2024 года (Vidar).
Причем одно из них - произошло на компьютере, который использовался членом его семьи.
Дальнейший анализ логов стилера позволил отследить его до личности молодого человека из Аммана в Иордании, вскрыть псевдонимы ggyaf и o5tdev, которые использовались им на хакерских форумах, включая RaidForums, BreachForums и др., а также аккаунты на GitHub, ProtonMail и cock il.
По итогу все о чем, он упоминал в анонимных интервью, в том числе относительно участия в Anonymous Palestine и связях с Иорданией, по итогу совпало и позволило его точно идентифицировать.
Его напарник Pryx действует с июня 2024 года на нескольких платформах, включая XSS, BreachForums, Dread, Telegram и X, активно участвует в технических дискуссиях и конкурсах.
До прихода в Hellcat начинал с индивидуальных атак на образовательные учреждения, а затем переориентировался на госсектор ОАЭ, Саудовской Аравии и Барбадосе.
Позже он расширил свою деятельность, нацелившись на частные компании и продавая вредоносное ПО, включая криптор на AES256. Вел личный блог (pryx.pw, ранее pryx.cc).
Сам говорит по-арабски и начинал в 2018 с кардинга. Активно продвигал ныне несуществующий форум киберпреступности DangerZone.
Разработал уникальную утилиту для эксфильтрации данных на основе Tor.
Правда, технический анализ одного из исходных кодов вредоносного ПО позволил выявить связи Pryx с доменом pato.pw, на котором была представлена одноименная платформа для исследователей безопасности, где были обнаружены упоминания руководства к Silent Tor File-server, соответствующего по описанию и скринам утилите Pryx.
Причем контент появился на pato.pw за две недели до того, как Pryx поделился им на форуме XSS.
Дальнейшее расследование привело к репозиторию на GitHub, связанному с pato.pw, который по итогу привел KELA к личности молодого человека из ОАЭ, который позиционирует себя в качестве эксперта по кибербезопасности.
Дальнейший анализ логов со стилеров также позволил отождествить все псевдонимы Pryx в X и Telegram, включая Weed/WeedSec (который тесно дружил с админом упомянутого DangerZone) и Adem.
По иронии судьбы, оба хакера, которые в своих киберкампаниях в значительной степени полагались на логи инфостилеров, сами стали жертвами этого вредоносного ПО, а теперь еще и объектами разработки спецслужб.
Исследователи из Лаборатории Касперского выкатили еще один отчет, на этот раз по финансовым киберугрозам в 2024 году.
Поскольку все больше финансовых транзакций проводятся в цифровой форме, угрозы в этой сфере составляют большую часть глобального ландшафта киберугроз.
Поэтому исследователи ЛК изучают тенденции, связанные с ними, в рамках ежегодной аналитики по корпоративномцух и потребительскому секторам финансов.
В отчете содержатся основные тренды и статистика по финансовому фишингу, вредоносному ПО для мобильных и ПК-банков, а также предлагаются действенные рекомендации по усилению мер безопасности и эффективному смягчению возникающих угроз.
Основной акцент финансовых киберугроза в 2024 году сосредоточен на банковских троянах и фишинговых страницах, нацеленных на онлайн-банкинг, счета покупок, криптокошельки и другие финансовые активы.
Основные тренды:
- Самой популярной приманкой в 2024 году были банки, на долю которых пришлось 42,58% попыток финансового фишинга.
- В 2024 году 33,19% всех фишинговых и мошеннических страниц, нацеленных на пользователей интернет-магазинов, имитировали сайт Amazon Online Shopping.
- В 2024 году количество фишинговых атак с использованием криптовалюты выросло на 83,37% по сравнению с предыдущим годом и составило 10,7 миллиона случаев по сравнению с 5,84 миллиона в 2023 году.
- Число пользователей ПК, пострадавших от финансового вредоносного ПО, сократилось с 312 000 в 2023 году до 199 000 в 2024 году.
- Наиболее распространенными семействами вредоносных программ были ClipBanker, Grandoreiro и CliptoShuffler, которые в общей сложности атаковали более 89% пострадавших пользователей.
- Потребители по-прежнему остаются основной целью финансовых киберугроз, на их долю приходится 73,69% атак.
- В 2024 году с вредоносным ПО для мобильного банкинга столкнулись почти 248 000 пользователей — это почти в 3,6 раза больше, чем в 2023 году, когда пострадали 69 000 пользователей.
- Mamont оказался самым активным семейством вредоносных программ для Android, на долю которого пришлось 36,7% всех атак мобильных банкеров.
- Наиболее целевыми оказались пользователи в Турции.
Исследователи SentinelOne сообщают о новых версиях вредоносного ПО для macOS под названием ReaderUpdate, разработанных с использованием языков программирования Crystal, Nim, Rust и Go.
Первоначально обнаруженная в 2020 году вредоносная ПО распространялась в виде скомпилированного двоичного файла Python и взаимодействовала с сервером С2 по адресу www[.]entryway[.]world.
Тогда ReaderUpdate задействовалась для развертывания полезной нагрузки, идентифицированной как рекламное ПО Genieo (также известное как Dolittle и MaxOfferDeal).
С середины 2024 года новые домены были связаны с вариантами ReaderUpdate Crystal, Nim и Rust, но полезная нагрузка при этом не изменилась, как утверждает SentinelOne.
Недавно выявленный вариант на Go также следует этой схеме.
ReaderUpdate в настоящее время распространяется в пяти вариантах, скомпилированных из пяти различных исходных языков, включая оригинальную версию на Python.
Причем исследователи наблюдали распространение новых вариантов через существующие заражения старого ReaderUpdate.
Вредоносное ПО продвигается через сторонние сайты для загрузки ПО, прежде всего через вредоносные установщики пакетов с фейковыми или троянизированными приложениями.
Все наблюдаемые варианты нацелены только на архитектуру Intel x86.
Анализ версии ReaderUpdate для Go показал, что после запуска программа сначала собирает информацию об оборудовании системы, которая затем используется для создания уникального идентификатора и отправляется на С2.
Кроме того, выяснилось, что ReaderUpdate может анализировать и следовать ответам, полученным от С2, что позволяет предположить, что ее можно использовать для выполнения любых команд оператора.
На сегодняшний день SentinelOne смогла выявить девять образцов ReaderUpdate на Go, которые охватывают семь доменов C2, что указывает на незначительную распространенность этой угрозы по сравнению с вариантами Nim, Crystal и Rust, имеющими сотни образцов в дикой природе.
Несмотря на то, что текущие известные заражения ReaderUpdate были связаны исключительно с известным рекламным ПО, тем не менее загрузчик имеет функционал, позволяющий модифицировать полезную нагрузку на что-то более вредоносное.
Это полностью согласуется с платформой загрузчика, которая может использоваться для реализации Pay-Per-Install (PPI) или Malware-as-a-Service (MaaS).
Индикаторы компрометации - в отчете.
Исследователи ACROS Security представили неофициальные исправления для новой 0-day в Windows, которая позволяет удаленным злоумышленникам красть учетные данные NTLM, обманывая жертву и заставляя ее просматривать вредоносные файлы в проводнике Windows.
В последнее время NTLM широко использовался в атаках типа relay (уязвимые сетевые устройства проходят аутентификацию на серверах, контролируемых злоумышленниками) и pass-the-hash (реализуется кража хэшей NTLM, которые представляют собой хэшированные пароли).
Затем злоумышленники украденный хэш используется для аутентификации в качестве скомпрометированного пользователя, получая доступ к конфиденциальным данным и возможность распространения по сети.
Исследователям ACROS Security удалось обнаружить новую уязвимость раскрытия хэша SCF-файла NTLM при разработке исправлений для другой проблемы раскрытия хэша NTLM.
Новому нулю пока еще не присвоен идентификатор CVE, но известно, что затрагивает все версии Windows, от семерки до последних выпусков Windows 11 и от Server 2008 R2 до Server 2025.
Уязвимость позволяет злоумышленнику получить учетные данные NTLM пользователя, заставив пользователя просмотреть вредоносный файл в проводнике Windows.
Например, открыв общую папку или USB-диск с таким файлом либо просмотрев папку «Загрузки», куда такой файл ранее был автоматически загружен с веб-страницы злоумышленника.
Несмотря на то, что эти типы уязвимостей не являются критическими, а их эксплуатационная способность зависит от нескольких факторов (злоумышленник либо уже находится в сети жертвы, либо имеет внешнюю цель, например общедоступный сервер Exchange, на который можно передать украденные учетные данные), тем не менее используются в реальных атаках.
В связи с чем ACROS Security выкатила неофициальные общедоступные исправления для этой 0-day через свой сервис микропатчей 0Patch для всех затронутых версий Windows, пока Microsoft не выпустит официальные, а затем реально рабочие исправления.
Кроме того, исследователи не разглашают подробности об уязвимости, пока исправления от Microsoft не станут доступными пользователям, чтобы свести к минимуму риск злонамеренной эксплуатации.
В сваю очередь, микромягкие заявляют, что осведомлены об этом отчете и обещают принять необходимые меры для защиты своих клиентов.
Когда-нибудь, обязательно. Да-да.
Волна массовых перезагрузок маршрутизаторов DrayTek по всему миру может быть связана с эксплуатацией уязвимости.
Пользователи по всему миру жалуются на то, что маршрутизаторы тайваньского производителя сетевого оборудования стали периодически уходить в перезагрузку, что приводит к проблемам с подключениями.
Больше всего сообщений поступает из Великобритании и Австралии, но также инциденты фиксируются в Германии, Вьетнаме и других странах, затрагивая при этом различные модели маршрутизаторов.
Как отмечают в ISPreview, проблема остро коснулась провайдеров ШПД в Великобритании, которые сообщают о серьезных сбоях с подключением клиентов из-за постоянных перезагрузок устройств DrayTek.
В свою очередь, DrayTek уклоняется от комментариев относительно конкретной причины возникших проблем с перезагрузками маршрутизаторов, публикуя вместо этого рекомендации и настоятельно рекомендуя клиентам отключить WAN и попытаться обновить прошивку устройства.
В частности, в бюллетене говорится, что обновления прошивки необходимы для устранения уязвимости, но не приводится никакой информации о том, какой именно недостаток мог быть использован, и не указывается четко, что перезагрузки могли быть вызваны злоумышленниками.
В линейке маршрутизаторов DrayTek изобилие уязвимостей, потенциально пригодных для DoS-атак, поэтому продукция пользуется особой популряностью у киберподполья.
Например, Forescout недавно сообщала, что сотни организаций были взломаны бандами вымогателей через незадокументированные уязвимости в устройствах DrayTek, включая потенциальную 0-day.
Собственно, исследователи GreyNoise в последнее дни как раз наблюдали попытки эксплуатации уязвимостей маршрутизаторов DrayTek, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124.
Однако пока неясно, какая из них - если таковая имеется - могла быть использована в масштабной кампании с перезагрузками.
Но будем посмотреть.
VMware выпустила срочное исправление для уязвимости обхода аутентификации, влияющей на его набор утилит VMware Tools for Windows.
Это набор утилит и драйверов, который повышает производительность и управляемость виртуальных машин, обеспечивая такие функции, как улучшенная графика, интеграция мыши и синхронизация времени между хостовой и гостевой операционными системами.
Закрытая уязвимость отслеживается как CVE-2025-22230 и позволяет злоумышленнику с неадминистративными привилегиями на гостевой виртуальной машине Windows выполнять определенные высокопривилегированные операции в этой виртуальной машине.
Согласно бюллетеню VMware, ошибка обхода аутентификации вызвана ненадлежащим контролем доступа и имеет оценку серьезности CVSS 7,8/10.
Компания приписала обнаружение ошибки исследователям Positive Technologies и отметила, что исправления были внесены в VMware Tools for Windows v 12.5.1.
При этом версии утилиты для Linux и macOS не затронуты.
Китайская APT Weaver Ant более четырех лет бороздила просторы сети поставщика телекоммуникационных услуг, скрывая трафик и инфраструктуру с помощью скомпрометированных маршрутизаторов Zyxel CPE.
Напасть на след хакеров смогли исследователи Sygnia, которые обнаружили несколько вариантов бэкдора China Chopper и ранее не документированную пользовательскую веб-оболочку под названием INMemory, которая выполняет полезные нагрузки в памяти хоста.
По словам исследователей, после того, как злоумышленник нацелился на крупного азиатского телеком-оператора залочить его присутствие оказалось достаточно сложной задачей, несмотря на многочисленные попытки нейтрализации его активности.
Для вторжения Weaver Ant задействовала сеть операционных релейных блоков (ORB), состоящую в основном из маршрутизаторов Zyxel CPE, обеспечивая проксирование трафика и сокрытие инфраструктуры.
Злоумышленник закрепился в сети, используя зашифрованный с помощью AES вариант веб-шелла China Chopper, который позволял удаленно управлять серверами, обходя ограничения брандмауэра.
По мере развития операции Weaver Ant перешел к более продвинутой, специально разработанной веб-оболочке, известной как INMemory, которая использует DLL (eval.dll) для скрытого выполнения кода «точно в срок».
Как отмечают в Sygnia, методы извлечения данных также были подобраны APT таким образом, чтобы вызывать как можно меньше подозрений, включая пассивный захват сетевого трафика с помощью зеркалирования портов.
Вместо того чтобы развертывать веб-оболочки изолированно, Weaver Ant связал их вместе с помощью «туннелирования веб-оболочек», ранее впервые замеченной в атаках финансово мотивированной группы Elephant Beetle.
Метод подразумевает перенаправление HTTP-трафика с одного сервера на другой через отдельные сегменты сети, по сути создавая скрытую сеть C2 внутри инфраструктуры жертвы.
Каждая оболочка действует в качестве прокси-сервера, передавая вложенные и зашифрованные полезные данные другим оболочкам для поэтапного выполнения внутри сети.
Благодаря этому Weaver Ant мог работать на серверах из разных сегментов сети.
В основном это были внутренние серверы без подключения к Интернету, доступ к которым осуществлялся через те, которые были доступны через Интернет и выступающие в качестве операционных шлюзов.
Результаты исследования Sygnia показывают, что Weaver Ant продвигался горизонтально, используя общие ресурсы SMB и учетные записи с высокими привилегиями, которые годами имели один и тот же пароль, часто аутентифицированный с помощью хэшей NTLM.
За четыре года кибершпинажа хакеры выкрали файлы конфигурации, журналы доступа и учетные данные, позволяющие составить карту среды и выявить ценные системы.
Они отключали механизмы ведения журнала, включая исправление ETW (Event Tracing for Windows) и обходы AMSI (перезапись функции AmsiScanBuffer в модуле amsi.dll), чтобы уменьшить размер вредоносного ПО и оставаться незамеченными в течение более длительного времени.
Исследователи считают Weaver Ant опытной и профессиональной APT, способной реализовать долгосрочный доступ к сети жертвы для проведения операций по кибершпионажу.
Атрибуция была основана на использовании моделей маршрутизаторов Zyxel, популярных в ряде географических регионов, применении бэкдоров, ранее связанных с китайскими группами угроз, и временных интервалах работы Weaver Ant - рабочее время по Гринвичу +8.
При этом злоумышленник, по-видимому, фокусируется на сетевой разведке, сборе учетных данных и постоянном доступе к телекоммуникационной инфраструктуре, нежели на краже пользовательских или финансовых данных.
Исследователи Wiz обнаружили критические уязвимости удаленного выполнения кода в контроллере Ingress NGINX для Kubernetes, которые подвергают кластеры риску удаленного взлома.
Основные проблемы отлеживаются как CVE CVE-2025-1097, CVE-2025-1098, CVE-2025-24514 и CVE-2025-1974 и в совокупности получили общее наименование IngressNightmare, влияя на контроллер Ingress NGINX, который выполняет функции балансировщика нагрузки и обратного прокси-сервера внутри кластера.
При том, что Ingress-NGINX - это один из наиболее распространенных методов предоставления внешнего доступа к приложениям Kubernetes.
По данным Wiz, 41% кластеров, выходящих в Интернет, используют Ingress NGINX.
Кроме того, 43% известных исследователям облачных сред имеют по крайней мере один уязвимый экземпляр, а 6500 кластеров, включая те, которые принадлежат компаниям из списка Fortune 500, публично выставляют уязвимые контроллеры доступа в Интернет.
IngressNightmare непосредственно затрагивает контроллер доступа, который проверяет входящие объекты входа перед их развертыванием.
Риск атак увеличивается из-за того, что контроллеры доступны по сети без аутентификации.
Когда контроллер допуска Ingress-NGINX обрабатывает входящий объект входящего трафика, он создает из него конфигурацию NGINX, а затем проверяет ее с помощью двоичного файла NGINX.
Команда Wiz заметила уязвимость именно на этом этапе, которая позволяет удаленно внедрять произвольную конфигурацию NGINX, отправляя вредоносный объект входящего трафика непосредственно контроллеру входящего трафика через сеть.
На этапе проверки конфигурации внедренная конфигурация NGINX заставляет валидатор NGINX выполнить код, что позволяет реализовать RCE на модуле контроллера Ingress NGINX.
Уязвимости IngressNightmare в конечном итоге могут позволить злоумышленнику получить доступ ко всем секретам, хранящимся во всех пространствах имен, и получить полный контроль над целевым кластером Kubernetes.
Ingress NGINX - критически важный компонент инфраструктуры, используемый крупнейшими мировыми предприятиями и организациями - от компаний ИИ до корпораций из списка Fortune 500, что делает гипотетические вредоносные сценарии максимально серьезными.
Поскольку Kubernetes служит основой всех облачных сред, в случае захвата кластеров, у злоумышленника появится возможность получить доступ ко всем данным и модифицировать их.
Потенциальные последствия по сути безграничны.
Wiz сообщила о своих выводах Kubernetes в конце декабря 2024 года и январе 2025 года.
Исправления для уязвимостей были выпущены в версиях Ingress NGINX Controller 1.12.1 и 1.11.5, которые вышли в понедельник.
Пользователям следует обновиться как можно скорее или же снизить риск эксплуатации с помощью мер по смягчению последствий, связанных с контроллером допуска: либо временно отключив его, либо ограничив доступ к нему сервером API Kubernetes.
Kubernetes, Google Cloud и Microsoft опубликовали свои рекомендации по уязвимостям IngressNightmare (1, 2 и 3 соответственно).
В новом отчете Paradigm подробно рассматривается экосистема APT-подполья Северной Кореи, в которой помимо нашумевшей Lazarus Group перечислены и ряд иных субъектов угроз, нацеленных на организации и частных лиц за рубежом.
Поводом стало ограбление Bybit на рекордную сумму в более 1,4 млрд долларов США после фактической компрометации инфраструктуры Safe{Wallet}, что буквально, по мнению авторов, разорвало парадигму существующих моделей угроз.
Первые две рассмотренные в отчете группы - Contagious Interview и Wagemole - идентифицированы как реализующие схему «найма ИТ-сотрудников».
Например, Contagious Interview выдает себя за рекрутеров известных компаний и заманивают разработчиков на фейковые собеседования, обманом при этом заставляя их загружать вредоносное ПО, которое способно красть широкий спектр данных, включая криптоактивы.
Хакеры из Wagemole, наоборот, стремятся получить должность в иностранных компаниях, а вместе с ней и доступ к системам жертвы для кражи активов компании. В некоторых случаях инсайдерам удавалось оставалось внедряться в организации на срок до года, прежде чем предпринимать активные действия.
Другой отмеченной группой является AppleJeus, которая, в первую очередь, сфокусирована на распространении вредоносного ПО, иммигрируя под легальное, в том числе трейдинговые приложения или криптоутилиты. APT заточена под атаки на цепочки поставок.
В свою очередь, Dangerous Password фокусируется на низкоуровневых атаках на основе социнженерии в криптоиндустрии. Эти хакеры все еще рассылают фишинговые письма, но также эволюционировали и задействуют теперь и другие платформы, прежде всего - Telegram.
TraderTraitor - последняя в представленном списке APT, которая описывается как «самая изощренная группа угроз, нацеленная на криптовалютную индустрию».
Хакеры в качестве основных целей таргетируются на криптобиржи и другие компании с крупными активами, используя в отношении своих жертв высокотехнологичные методы целевого фишинга.
Так, в случае взлома Axie Infinity TraderTraitor связался со старшим инженером через LinkedIn и успешно убедил его пройти серию интервью, прежде чем отправить «предложение» с вредоносным ПО под капотом.
Постарались описать общими словами, однако в статье представлено достаточно много разбора конкретных инцидентов со ссылками на детализированные отчеты.
Вообще, подобная сводная аналитика по APT встречается редко, так что настоятельно рекомендуем ознакомиться с материалом.
Ivanti вновь под ударом киберподполья, о чем чем предупреждает CISA, проливая свет на новую вредоносную программу под названием RESURGE, которая была развернута в рамках кампании, нацеленной на уже исправленную уязвимость в устройствах Ivanti Connect Secure (ICS).
RESURGE содержит функционал варианта SPAWNCHIMERA, включая сохранение после перезагрузки, однако также имеет и отличительные команды, которые изменяют его поведение, реализуя возможности руткита, дроппера, бэкдора, буткита, прокси и туннелера.
Проблема, связанная с развертыванием вредоносного ПО, отслеживается как CVE-2025-0282 и представляет собой RCE-уязвимость переполнения буфера в стеке, затрагивая Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons for ZTA gateways до версии 22.7R2.3.
По данным Mandiant, CVE-2025-0282 была использована для нацеливание и доставки так называемой экосистемы вредоносного ПО SPAWN (SPAWNANT, SPAWNMOLE и SPAWNSNAIL).
Использование SPAWN приписывается группе кибершпионажа, связанной с Китаем и получившей название UNC5337.
В прошлом месяце JPCERT/CC фиксировал, что ошибка используется для распространения обновленной версии SPAWN, известной как SPAWNCHIMERA, которая объединяет все вышеупомянутые разрозненные модули в одну монолитную вредоносную ПО, а также включает изменения для более эффективного межпроцессного взаимодействия через доменные сокеты UNIX.
Новая версия содержала функцию исправления уязвимости CVE-2025-0282, которая затрудняет другим злоумышленникам использовать ее в собственных кампаниях.
Улучшения RESURGE (libdsupgrade.so), согласно CISA, связаны с поддержкой дополнительного функционала:
- злоупотребление ld.so.preload, настройка веб-оболочки, управление проверками целостности и изменение файлов;
- разрешения на использование веб-оболочек для сбора учетных данных, создания учетных записей, сброса паролей и повышения привилегий;
- копирование веб-оболочки на загрузочный диск Ivanti и управление запущенным образом coreboot.
Стоит отметить, что CVE-2025-0282 также использовалась в качестве 0-day и другой связанной с Китаем группой угроз, известной как Silk Typhoon (ранее Hafnium), о чем Microsoft сообщала ранее в этом месяце.
Последние результаты показывают, что операторы вредоносного ПО, активно совершенствуют свои технологии, поэтому организациям крайне важно обновлять экземпляры Ivanti до последней версии и следовать мерам смягчения последствий.
Но, как показывает практика, особого эффекта от этого клиенты Ivanti не испытывают, только лишь оттенки серого (или не всегда серого).
Microsoft рапортует об успешном опыте задействования своего инструмента Security Copilot на базе ИИ для обнаружения 20 ранее неизвестных уязвимостей в загрузчиках с открытым исходным кодом GRUB2, U-Boot и Barebox.
GRUB2 (GRand Unified Bootloader) является загрузчиком по умолчанию для большинства дистрибутивов Linux, включая Ubuntu, а U-Boot и Barebox обычно используются во встраиваемых устройствах и устройствах Интернета вещей.
11 проблем исследователи нашли в GRUB2, включая целочисленные переполнения (CVE-2025-0677 - 0678, 0684 - 0686, CVE-2025-1125), чтение за пределами выделенной памяти (CVE-2025-0689), запись за пределами допустимого диапазона (CVE-2025-0690) и переполнения буфера (CVE-2024-56737), недостатки команд (CVE-2025-1118) и атаку по побочному каналу (CVE-2024-56738).
Всем вышеперечисленным уязвимостям присвоен средний уровень серьезности, за исключением CVE-2025-0678, которой присвоен высокий с оценкой CVSS v3.1: 7,8.
Кроме того, в U-Boot и Barebox было найдено 9 переполнений буфера при анализе SquashFS, EXT4, CramFS, JFFS2 и символических ссылок, для эксплуатации которых требуется физический доступ.
Недавно обнаруженные уязвимости затрагивают устройства с UEFI Secure Boot и при соблюдении определенных условий злоумышленники могут обойти средства защиты и выполнить произвольный код на устройстве.
Несмотря на то, что эксплуатация уязвимостей U-boot или Barebox, скорее всего, потребует локального доступа к устройствам, предыдущие атаки с использованием буткитов, таких как BlackLotus, достигались посредством заражения вредоносным ПО.
При этом в случае GRUB2 уязвимости могут быть дополнительно использованы для обхода Secure Boot и установки скрытых буткитов или потенциального обхода других механизмов безопасности, таких как BitLocker.
По словам Microsoft, Security Copilot значительно ускорил процесс обнаружения уязвимостей в большой и сложной кодовой базе, такой как GRUB2, позволив сэкономить примерно 1 неделю, которая потребовалась бы для ручного анализа.
Инструмент на основе ИИ не только выявил ранее не задокументированные уязвимости, но и предоставил целевые рекомендации по смягчению последствий, которые могли бы служить ориентирами для выпуска исправлений, особенно в проектах с открытым исходным кодом.
Причем применение Security Copilot позволило также обнаружить схожие ошибки в проектах, использующих общий код с GRUB2, включая U-boot и Barebox.
GRUB2, U-boot и Barebox выпустили обновления безопасности для уязвимостей в феврале 2025 года, так что обновление до последних версий устраняет все перечисленные недостатки.
Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.
Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.
Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.
Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.
По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.
Теперь эта активность значительно прогрессировала.
Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.
Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.
Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:
- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php
При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.
Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.
Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.
📖Solar Dozor: 80% увольняющихся сотрудников пытаются забрать конфиденциальную информацию из компании
Эксперты ГК «Солар» проанализировали 230 инцидентов ИБ, выявленных при пилотировании DLP-системы Solar Dozor в организациях промышленного, финансового, фармацевтического, IT-, госсектора и других отраслей экономики за 2024 год. Анализ показал, что 🤦♂️ 8 из 10 увольняющихся сотрудников стараются забрать оттуда доступные им информационные активы, в т.ч. и конфиденциальную информацию.
Согласно данным экспертов «Солара», в 38% случаев увольняющиеся сотрудники пытаются 💽скачать базы, содержащие данные клиентов или партнеров.
🎩🎩🎩
✋ @Russian_OSINT
И восстали машины из пепла и ядерного огня...
Если чо - мы на Марс!
Тем временем в киберподполье вымогателей все динамично развивается.
1. Исследователи Resecurity делятся подробностями разборок банд, в ходе которых DragonForce взломала и полностью выпилила инфраструктуру одного из своих конкурентов - BlackLock.
Хакеры слили файлы конфигурации сервера для бэкэнда и сайта DLS BlackLock, которая по итогу не смогла восстановиться и вынуждена была ретироваться.
Группа была одной из самых активных операций по вымогательству на сегодняшний день, имея на счету десятки жертв за последние месяцы атак.
Причем помимо DragonForce в инфраструктуре банды побывали также исследователи Resecurity, которым удалось получить доступ к ее бэкэнду с возможностью ретроспективы.
При этом помимо BlackLock банда вымогателей DragonForce в этом же месяце устранила и другого конкурента - Mamona.
2. Bitdefender сообщает о новой разработке RedCurl. В арсенале группы кибершпионов теперь собственная разновидность программы-вымогателя.
Получившая название QWCrypt способна атаковать системы Windows и виртуальные машины Hyper-V.
Это достаточно значимое изменение в деятельности группы, ведь действуя с 2018 года, RedCurl обычно специализировалась на медленной и скрытой эксфильтрации данных.
3. CheckPoint расчехлила новую RaaS под названием VanHelsing, которая предлагает своим операторам до 80% от выкупных платежей.
Ее вредоносное ПО для шифрования файлов нацелено на Windows, но исследователи предполагают, что Linux и другие типы систем также могут быть объектом атак.
На момент проведения анализа CheckPoint известно о трех жертвах, от одной из которых хакеры потребовали выкуп в размере 500 000 долларов за расшифровку файлов и удаление украденных данных.
4. ESET выкатила отчет в отношении EDRKillShifter - инструмент, используемый RansomHub и другими бандами вымогателей для отключения продуктов EDR перед развертыванием их вредоносных ПО.
Кроме того, исследователи приводят ранее недокументированные сведения в отношении структуры операторов RansomHub, раскрывая четкие связи между этим недавно появившимся гигантом и устоявшимися бандами Play, Medusa и BianLian.
Splunk выпустила исправления для нескольких десятков уязвимостей в своих продуктах, включая две критически важные, связанные с удаленным выполнением кода и раскрытием информации в Splunk Enterprise и Secure Gateway App.
RCE-ошибка могла бать использована пользователями с низкими привилегиями, загрузив файл в каталог $SPLUNK_HOME/var/run/splunk/apptemp.
Уязвимость отслеживается как CVE-2025-20229 (CVSS 8,0) и вызвана отсутствием проверки авторизации.
Она устранена с выпуском версий Splunk Enterprise 9.4.0, 9.3.3, 9.2.5 и 9.1.8, а также Splunk Cloud Platform 9.3.2408.104, 9.2.2406.108, 9.2.2403.114 и 9.1.2312.208.
Также была закрыта серьезная проблема раскрытия информации, затрагивающая как Splunk Enterprise, так и приложение Splunk Secure Gateway на платформе Splunk Cloud Platform, которую также могли реализовать пользователи с низкими привилегиями.
Splunk Secure Gateway раскрывает сеанс пользователя и токены авторизации в открытом виде в файле splunk_secure_gateway.log при вызове конечной точки REST /services/ssg/secrets.
По данным Splunk, злоумышленник может использовать эту уязвимость как часть фишинговой атаки, убеждая жертву инициировать запрос в своем браузере.
Исправления для нее были включены в Splunk Enterprise версий 9.4.1, 9.3.3, 9.2.5 и 9.1.8, а также в Secure Gateway 3.8.38 и 3.7.23.
При этом Splunk Mobile, Spacebridge и Mission Control полагаются на функционал приложения Splunk Secure Gateway. Так что если не используется ни одно из приложений, функций или возможностей, в качестве потенциального смягчения можно удалить или отключить приложение.
Splunk также объявила об исправлении ряда ошибок средней степени серьезности в Splunk Enterprise, которые могут привести к изменению режима обслуживания, обходу мер безопасности, раскрытию информации и манипулированию другими пользовательскими данными.
Кроме того, устранены проблемы низкой степени серьезности в приложении Splunk App for Lookup Editing и множество уязвимостей в сторонних пакетах в Splunk Enterprise, App for Data Science and Deep Learning App, DB Connect, Infrastructure Monitoring Add-on и Splunk Add-on for Microsoft Cloud Services.
Splunk не упоминает об эксплуатации какой-либо из этих уязвимостей в реальных условиях, однако рекомендует пользователям как можно скорее обновить свои экземпляры Splunk Enterprise и другие уязвимые приложения Splunk.
👩💻 Awesome PowerShell.
• Что из себя представляет PowerShell вы уже знаете, поэтому сегодня мы пополним нашу коллекцию ресурсов для изучения еще одним полезным ресурсом. В этой подборке вы сможете найти весь необходимый материал для изучения PowerShell: книги, курсы, статьи, подсказки, команды и т.д. Добавляйте в избранное и изучайте:
➡API Wrapper;
➡Blogs;
➡Books;
➡Build Tools;
➡Code and Package Repositories;
➡Commandline Productivity;
➡Communities;
➡Data;
➡Documentation Helper;
➡Editors and IDEs;
➡Frameworks;
➡Interactive Learning;
➡Logging;
➡Module Development Templates;
➡Package Managers;
➡Parallel Processing;
➡Podcasts;
➡Security;
➡SharePoint;
➡SQL Server;
➡Testing;
➡Themes;
➡UI;
➡Videos;
➡Webserver;
➡Misc.
• Не забывайте про дополнительный материал, который опубликован в нашем канале:
➡История создания PowerShell;
➡Изучаем Powershell;
➡Powershell для пентестера;
➡О`б’фу’ска””ция PowerShell;
➡Powershell для Blue Team;
➡Коллекция примеров пошаговых сценариев администрирования систем с помощью PowerShell;
➡Полезные заметки о командах PowerShell;
➡Мини-курс: Windows PowerShell 5 [70+ уроков];
➡Книга: PowerShell Security. (RU).
S.E. ▪️ infosec.work ▪️ VT
Oracle все же продырявили, конечно, в самой компании данный факт признавать отказываются до последнего.
Слухи о взломе Oracle Cloud стали барражировать инфосек-кулуары после появления соответствующих публикаций в даркнете совместно с образцами украденных данных и другими пруфами.
Утечку анонсировал хакер с псевдонимом rose87168, который выставил на продажу внушительный массив данных, включая шесть миллионов строк данных с паролями SSO и LDAP.
В ответ на это Oracle стала категорически отрицать потенциальный инцидент, заявляя, что опубликованные учетные данные не имеют отношения к Oracle Cloud и ни один из клиентов не столкнулся со взломом или утратой каких-либо данных.
Однако, похоже, стало появляться все больше доказательств обратного. Особенно после того, как на севере login.us2[.]oraclecloud[.]com обнаружился файл, где находился адрес электронной почты злоумышленника, который по всей видимости мог создавать файлы на сервере Oraclе.
В Hudson Rock получили подтверждение от нескольких клиентов, использующих Oracle Cloud, что утекшие данные являются подлинными и связаны с производственной средой.
Некоторые из клиентов сообщают, что раскрытые креды открывают доступ к конфиденциальным данным.
CloudSEK также проанализировала образцы данных и всю сопуствующую информацию, предоставленную хакером, по результатам чего также обнаружила доказательства компрометации систем Oracle Cloud и реальных данных пользователей.
При этом объем и структура утечки информации чрезвычайно затрудняют ее фальсификацию, что однозначно указывает на ее достоверность.
Компания разработала и представила онлайн-инструмент, который позволяет потенциальным жертвам проверить, затронуты ли их данные этой утечкой.
В свою очередь, Kela также провела собственное исследование и обнаружила 1547 уникальных доменных имен (в основном относящихся к частным фирмам) и 1510 различных идентификаторов арендаторов.
Вообще упоминаемый в утечке перечень включает 140 621 домен.
Исследователи выявили жертв в 90 странах, с наибольшим процентом - в Великобритании, США, Италии, Франции и Германии.
Kela также идентифицировала домены, связанные с государственными структурами в США, Великобритании, Италии, Швеции, Норвегии, Дании, Финляндии, Португалии, Бельгии, Австрии и Бразилии.
Кроме того, замечены признаки того, что атака на системы Oracle Cloud может быть результатом эксплуатации уязвимости в собственных продуктах Oracle.
Одной из вероятных проблем является CVE-2021-35587, непосредственно влияющая на Oracle Fusion Middleware. По данным Cloudsek, на момент февраля 2025 года на указанном сервере действительно работал устаревший эксземпляр.
Oracle пока никак не комментирует ситуацию.
Исследователи Akamai предупреждают о попадании критической уязвимости в фреймворке разработки приложений Next.js под прицел хакеров.
Первые попытки эксплуатации критически важной уязвимости в Next.js были зафиксированы менее чем через неделю после выпуска исправлений.
Речь идет о CVE-2025-29927 (CVSS 9,1), которая была публично раскрыта 21 марта, через неделю после того, как были выпущены исправления в версиях Next.js 15.2.3 и 14.2.25. Исправления также были включены в версии 13.5.9 и 12.3.5, которые появились на выходных.
Next.js использует промежуточное ПО для обработки HTTP-запросов, которое также отвечает за аутентификацию, авторизацию и установку заголовков безопасности, а внутренний заголовок x-middleware-subrequest используется для управления этими процессами и предотвращения бесконечных циклов.
Неправильная проверка внутреннего заголовка, имеющего предсказуемое значение, позволяет злоумышленнику отправлять специально созданные запросы, имитирующие заголовок, и обходить проверки аутентификации в приложении Next.js.
При обходе промежуточного ПО приложение не выполняет свои обычные процедуры безопасности, что приводит к потенциальному несанкционированному доступу к конфиденциальным или ограниченным частям приложения.
Хотя уязвимости подвержены лишь ряд версий Next.js, методы эксплуатации различаются в зависимости от версии.
По данным Rapid7, потенциальное влияние уязвимости зависит от приложения, конфигурации промежуточного ПО и цели приложения.
Как отмечают в Rapid7, организации следует рассмотреть, полагаются ли их приложения исключительно на промежуточное ПО для аутентификации.
Ведь, возможно, приложение использует промежуточное ПО, но действует как интерфейс для API бэкэнда, которые работают с логикой аутентификации на стороне сервера.
Обход промежуточного ПО Next.js фронтенда не повлияет на способность бэкэнда аутентифицировать пользователей.
Хотя ее исследователи утверждают, что им неизвестно о случаях эксплуатации уязвимости CVE-2025-29927 в реальных условиях, тем не менее в Akamai уже наблюдают, как злоумышленники сканят сеть на наличие серверов, затронутых этой ошибкой.
При этом фиксируемые атаки имитируют множество внутренних подзапросов в одном запросе, запускающих внутреннюю логику перенаправления Next.js, и очень cхожи c логикой PoC, который опубликовали (вместе с техническими подробностями) обнаружившие уязвимость исследователи.
Исследователям из Лаборатории Касперского удалось задетектить целевую APT-атаку на представителей российских СМИ и образовательных учреждений, в которой задействовалось ранее неизвестное сложное вредоносное ПО наряду с весьма интересным 0-day в Chrome.
Изощренная вредоносная кампания теперь отслеживается как Операция «Форумный тролль», а нулю присвоен идентификатор CVE-2025-2783.
Как отмечают исследователи, жертв из числа пользователей Windows заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium.
После открытия фишинговой ссылки в браузере Google Chrome реализуется заражение вредоносном, предположительно, с целью шпионажа.
При этом никаких дополнительных действий от жертвы не требовалось.
Для обмана жертв использовался целевой фишинг с приманкой в виде приглашения на научный форум Примаковские чтения.
Несмотря на то, что все вредоносные ссылки имели очень короткий срок жизни, технологии ЛК позволили идентифицировать 0-day эксплойт, который использовался для побега из песочницы Google Chrome.
Анализ кода и логики работы эксплойта привел исследователей ЛК к обнаружению нуля (присутствующего в том числе в последней версии Chrome), о чем немедленно уведомили Google.
Представленные в отчете ЛК технические подробности позволили Google оперативно исправить проблему и выпустить к 25 марта обновлённую версию Chrome 134.0.6998.177/.178
При этом CVE-2025-2783 заставила исследователей изрядно поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных действий.
Причиной этого оказалась логическая ошибка на стыке песочницы и ОС Windows.
Исследование в рамках Операции «Форумный тролль» к настоящему времени еще продолжается и обещает много интригующих подробностей.
Обнаруженный эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код, который ЛК не удалось получить, поскольку тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения.
Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.
Все проанализированные на данный момент артефакты атак указывают на весьма серьезный технический уровень злоумышленников.
Подробный отчет с данными в отношении 0-day эксплойты, задействуемого злоумышленниками вредоносного ПО и их TTPs в ЛК намерены представить в скором времени.
Будем следить.
🧬 23andMe подала заявление на банкротство
Некогда символ успеха биотехнологического сектора американская компания 23andMe подала заявление о банкротстве. Дело в том, что капитализация фирмы рухнула с $3,5 млрд в 2021 году до текущих $50 млн. Основными причинами банкротства стали снижение доходов, высокие операционные расходы и неудачные стратегические решения. Совет директоров пришёл к выводу, что только продажа через контролируемую судом процедуру в рамках Главы 11 может позволить сохранить остаточную стоимость активов.
В сентябре 2024 года семь независимых директоров совета ушли в отставку, выразив недовольство направлением развития компании под руководством CEO Энн Войцки. Войцки неоднократно пыталась выкупить компанию, но её предложения, включая последнюю заявку в марте 2025 года — $0,41 за акцию, были отклонены советом директоров.
Руководство 23andMe сократило штат на 40% (около 200 человек) и свернуло разработку своих продуктов в ноябре 2024.
👉 Банкротство стало кульминацией кризиса, усугублённого утечкой данных, которая затронула 🚰6,9 миллиона клиентов. В сентябре 2024 года 23andMe согласилась выплатить $30 миллионов в рамках урегулирования иска по факту утечки ПД клиентов.
Тем не менее утечка данных не cтала основным фактором банкротства 23andMe.
✋ @Russian_OSINT
Исследователи из Лаборатории Касперского выкатили отчет по угрозам систем промышленной автоматизации за четвертый квартал 2024 года.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, уменьшилась по сравнению с предыдущим кварталом на 0,1 п. п. и составила 21,9%.
Причем она достигла наибольшего значения в октябре, а наименьшего - в ноябре, составив минимальное значение за два года. По регионам распределение варьировалось от 10,6% в Северной Европе до 31% в Африке. По васьми регионам - показатели увеличились.
В рейтинге исследуемых отраслей биометрические системы лидируют, в большинстве отраслей доля таких АСУ уменьшилась, за исключением сферы строительства.
В общем защитные решения Лаборатории Касперского заблокировали на системах промышленной автоматизации вредоносное ПО из 11 065 семейств.
По категориям лидировали вредоносные скрипты и фишинговые страницы, далее с заметным отставанием - троянцы, бэкдоры, вредоносные документы и вирусы.
По части вредоносных объектов, используемых для первичного заражения число компьютеров АСУ с заблокированными вредоносными документами, а также запрещенными ресурсами снизилась до 1,71% (на 0,26 п. п.) и 5,52% (на 1,32 п. п.) соответственно (минимум с 2022).
Но вместе с тем наблюдался рост доли атакованных компьютеров АСУ для следующего компонента в цепочке атаки - вредоносных скриптов и фишинговых страниц (7,11%), шпионского ПО (4,30%) и программ-вымогателей (0,21%).
Значительное увеличение доли вредоносных скриптов и фишинговых страниц произошло в октябре - это следствие серии широкомасштабных фишинговых атак в конце лета и начале осени 2024 года.
Тогда злоумышленники использовали вредоносные скрипты, которые выполнялись в браузере, открывая окна с интерфейсами, имитирующими CAPTCHA, сообщения об ошибках и др., чтобы инициировать загрузку вредоносного ПО следующего этапа - стилер Lumma или троян Amadey.
Доли компьютеров АСУ с заблокированными на них шпионскими ПО (троянцы-шпионы, бэкдоры и кейлоггеры) и программами-вымогателями выросли на 0,39 п. п. (4,30%) и в 1,3 раза (до 0,21%) соответственно, а с майнерами, наоборот, сократилась - до 0,70% (на 0,01 п. п.).
Вирусы и черви распространяются в сетях АСУ через съемные носители, сетевые папки, зараженные файлы (в том числе бэкапы) и сетевые атаки на устаревшее ПО. Их показатели выросли до 1,37% (на 0,07 п.п. по червям) и на 0,08 п.п. (до 1,61% по вирусам).
Вредоносные программы для AutoCAD как правило, представляют собой незначительную угрозу, которая в рейтинге категорий вредоносных объектов занимает последние места.
В четвертом квартале 2024 года их доля снова уменьшилась - на 0,02 п.п. и составила 0,38%.
Основными источниками угроз для компьютеров в технологической инфраструктуре организаций остаются интернет, почтовые клиенты и съемные носители.
Полная версия отчета - на сайте Kaspersky ICS CERT.
Keenetic уведомила о крупной утечке данных пользователей (в основном, из России), связанной с раскрытой в сети базой данных своего мобильного приложения, оценивая при этом риски мошеннической деятельности на низком уровне.
В результате утечки были раскрыты конфиденциальные учетные данные, сведения об устройствах, сетевых конфигурациях и журналах, включая ключи WiFi и хэши паролей MD5 и NT локальной учетной записи.
Как сообщает Cybernews, их исследовательская группа получила анонимную наводку, а также образцы и другую информацию, подтверждающую факт компрометации пользователей Keenetic.
Исследователи подтвердили, что утечка включает в себя все, от паролей WiFi и конфигураций маршрутизаторов до подробных журналов обслуживания.
Злоумышленники, имеющие доступ к этим данным, могут проникнуть в уязвимые сети, отслеживать или перехватывать трафик, а также скомпрометировать дополнительные подключенные устройства.
По данным анонимного источника, среди раскрытых записей:
- 1 034 920 записей с пользовательскими данными (адреса почты, имена, локации, идентификаторы Keycloak и др.);
- 929 501 запись с информацией об устройствах (идентификаторы SSID, пароли WiFi в текстовом виде, модели устройств, серийные номера, интерфейсы, MAC-адреса, доменные имена для внешнего доступа, ключи шифрования и многое другое);
- 558 371 запись конфигурации устройств (сведения о доступе пользователей, уязвимые хешированные пароли MD-5, назначенные IP-адреса и расширенные настройки маршрутизатора);
- подробные журналы обслуживания, содержащие более 53 869 785 записей (имена хостов, MAC-адреса, IP-адреса, сведения о доступе и даже флаги «owner_is_pirate»).
Keenetic признала инцидент и пояснила, что утром 15 марта 2023 года независимый исследователь сообщил им о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic.
После проверки Keenetic немедленно решила проблему, днем того же дня.
Как уверяет поставщик, исследователь заверил его, что ни с кем не делился данными, и вовсе их уничтожил.
С тех пор Keenetic не получала никаких свидетельств того, что база была скомпрометирована или какой-либо пользователь был затронут по состоянию до февраля 2025 года.
Конкретные обозначенные цифры Keenetic не подтвердила и не опровергла, но заявила, что утечка затронула пользователей мобильного приложения, которые зарегистрировались до 16 марта 2023 года.
К настоящему времени остается неясным, кто мог иметь доступ к данным, кто их слил, и доступны ли они где-либо еще.
Тем не менее, исследователи рекомендуют пользователям Keenetic немедленно поменять имена WiFi (SSID), пароли и пароли администратора маршрутизатора, а также сбросить все другие учетные данные, используемые в сетях.