39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи BI.ZONE представили подробную статистику по атакам на корпоративную почту за 2024 год, констатируя, что она остается одним из наиболее популярных векторов атак на компании.
Самые опасные категории сообщений - письма с вредоносным ПО во вложении, сообщения со ссылками, ведущими на фишинговые ресурсы, а также спуфинговые письма (с подделкой адреса отправителя).
Сегодня в компании из 1000 сотрудников ежедневно минимум один будет получать сообщение с ransomware, стилером или другим ВПО во вложении (0,12% трафика).
Особенно значительна доля таких писем в промышленности (0,25%).
В целом в сравнении с 2023 годом доля писем с вредоносными вложениями в корпоративном трафике выросла на 250%, а с фишинговыми ссылками - на 25%.
При этом негативный тренд фиксируется на протяжении уже нескольких лет: тот же 2023 год показывал более чем двукратный прирост сообщений с ВПО по сравнению с 2022‑м.
По оценке экспертов, в 2024 году столкнуться с одной из этих угроз можно было в среднем в каждом 77‑м письме, а в некоторых отраслях еще чаще.
Например, в почте промышленных компаний сообщение со спуфингом, ВПО или фишинговой ссылкой встречалось в 1 случае из 16, в медорганизациях - в 1 из 36, телекоме - в 1 из 48.
Реже всего письма из этих категорий специалисты фиксировали в трафике IT- и финорганизаций: всего 6–7 сообщений из 1000.
Увеличивается и доля сообщений с фишинговыми ссылками.
В результате роста на 25% они встречаются в среднем в 1 письме из 100 (1%).
Первенство здесь также удерживает промышленность, где доля таких писем — 4 из 100 (4%).
Если сообщение предназначается сотруднику компании из сфер строительства и недвижимости, транспорта и логистики, а также профуслуг - в 3 случаях из 100 (3%).
Специалисты отмечают тенденцию к увеличению числа таких писем и в отраслях, где их доля традиционно ниже из‑за объема почтового трафика в целом.
К примеру, в ритейле и электронной коммерции огромную часть трафика составляют автоматические сообщения и массовая рассылка, а фишинговые ссылки фиксируются в 0,07% писем. Однако в 2023 году их было только 0,02%.
При этом объем спуфинга сократился на 42%: в 2023 году подделать адрес отправителя пытались в каждом 200‑м сообщении, а теперь — в каждом 350‑м.
Специализированные средства защиты почты эффективно выявляют такие отправления, поэтому злоумышленники меняют тактику, стараясь завладеть доступом к легитимным email‑аккаунтам и совершать атаки от их имени.
При этом рост доли писем с фишинговыми ссылками - часть этого тренда: большинство таких ссылок ведет на поддельную страницу для входа в веб‑версию почты.
Пики для сообщений с фишинговыми ссылками и подделкой адреса отправителя наблюдались в четвертом квартале прошедшего года, а особенно в ноябре, что обусловлено активизацией деловой активности и традиционной черной пятницей.
В случае спуфинга заметный подъем наблюдался также летом, в июле‑августе, что увязывается с расчетом на снижение бдительности в период отпусков.
В случае писем с ВПО пик пришелся на апрель — в это время исследователи фиксировали волну массовых атак на российские компании.
BI.ZONE рекомендует компаниям уделять внимание многоуровневой защите почтового канала, чтобы отсекать и таргетированные рассылки, и массовые атаки.
🐋 Интервью с основателем DeepSeek Ляном Вэньфэном (Liang Wenfeng)
🎙https://thechinaacademy.org/interview-with-deepseek-founder-were-done-following-its-time-to-lead/
🤖 Основные тезисы:
1️⃣ Традиционно китайские компании слишком долго довольствовались адаптацией западных разработок, а не созданием собственных прорывных технологий. По мнению Вэньфэна, Китай пока уступает лидерам отрасли с точки зрения тренировки и обработки данных, но ситуация поменяется со временем.
2️⃣ Для DeepSeek стало важным сделать ИИ доступным для всех и заложить фундамент в этом направлении. Тот же китайский бизнес и обычные исследователи теперь могут пользоваться качественным открытым решением в различных областях. По его утверждению, в отличие от многих китайских компаний, копировавших архитектуру Llama от запрещенной в РФ Meta, инженеры в DeepSeek сфокусировались на разработке собственных структур модели.
3️⃣ DeepSeek придерживается принципа открытых разработок, публикуя исследования и исходный код, что идёт вразрез с политикой западных корпораций, которые стремятся сделать свои модели закрытыми. Компания не ставила перед собой задачу "ломать рынок", но эффект увидели все. Настоящая инновация рождается не из денег, а из культурной среды, которая стимулирует творчество.
4️⃣ DeepSeek пока не планирует IPO. Тем не менее, компания уже привлекла внимание крупнейших инвесторов. Главной проблемой для дальнейшего развития технологий остаётся нехватка передовых чипов из-за санкций.
5️⃣ Китай может постепенно догнать и перегнать западных лидеров ИИ-рынка. Задача состоит в том, чтобы создать экосистему, в которой технологические разработки смогут интегрироваться в реальный сектор.
6️⃣ По прогнозам Вэньфэна, из 7 ведущих китайских ИИ-стартапов выживут только 2-3. Сам рынок ждёт масштабная трансформация.
7️⃣ На вопрос о перспективах AGI Вэньфэн отвечает осторожно, но уверенно: "Это может занять два года, пять или десять, но мы увидим его в течение нашей жизни". DeepSeek делает ставку на три ключевых направления: использование математики и программного кода как идеальной среды для обучения самоуправляемого ИИ; развитие мультимодальных моделей, способных воспринимать и анализировать окружающий мир; совершенствование языковых способностей ИИ, которые лежат в основе человеческого мышления.
✋ @Russian_OSINT
Новый вариант вредоносного ботнета Aquabot на базе Mirai активно эксплуатирует уязвимость CVE-2024-41710, позволяющую внедрять команды в SIP-телефоны Mitel.
Активность была детектирована исследователями Akamai (SIRT) через глобальную сеть ханипотов в начале января 2025 года, отмечая, что это уже третий вариант Aquabot, попавший в поле их зрения.
В третием варианте, Aquabotv3, реализована система обнаружения попыток уничтожения с сигнализированием на C2, что обеспечивает операторам всесторонний мониторинг.
CVE-2024-41710 представляет собой уязвимость внедрения команд и затрагивает SIP-телефоны Mitel серий 6800, 6900 и 6900w, которые обычно используются в корпоративных средах и госучреждениях.
Уязвимость позволяет аутентифицированному злоумышленнику с правами администратора провести атаку путем внедрения аргументов из-за недостаточной очистки параметров во время процесса загрузки, что приводит к выполнению произвольной команды.
Mitel выпустила исправления и рекомендации для этой уязвимости 17 июля 2024 года. Две недели спустя исследователь Кайл Бернс опубликовал PoC на GitHub.
Учитывая, что для совершения атак требуется аутентификация, вредоносный ботнет, по всей видимости, использует брут для получения первоначального доступа.
Злоумышленники создают HTTP-запрос POST, нацеленный на уязвимую конечную точку 8021xsupport.html, отвечающую за настройки аутентификации 802.1x в SIP-телефонах Mitel.
Приложение неправильно обрабатывает вводимые пользователем данные, что позволяет вставлять некорректные данные в локальную конфигурацию телефона (/nvdata/etc/local.cfg).
С помощью внедрения символов конца строки (%dt → %0d) злоумышленники манипулируют тем, как анализируется файл конфигурации во время загрузки устройства, чтобы выполнить удаленный скрипт оболочки (bin.sh) со своего сервера.
В свою очередь, скрипт загружает и устанавливает полезную нагрузку Aquabot для определенной архитектуры (x86, ARM, MIPS и т.д.), устанавливает ее разрешения на выполнение с помощью «chmod 777», а затем зичищает все следы.
После достижения устойчивости Aquabotv3 подключается к C2 через TCP для получения инструкций, команд атаки, обновлений или дополнительных полезных нагрузок.
Затем пытается распространиться на другие устройства IoT, используя эксплойт Mitel, CVE-2018-17532 (TP-Link), CVE-2023-26801 (RCE прошивки IoT), CVE-2022-31137 (RCE веб-приложения), RCE Linksys E-series, Hadoop YARN и CVE-2018-10562 - 10561 (в маршрутизаторах Dasan).
Вредоносная ПО также пытается взломать стандартные или слабые учетные данные SSH/Telnet, чтобы распространиться на плохо защищенные устройства в той же сети.
Основной целью Aquabotv3 является вовлечение устройств в DDoS, использование их для проведения атак TCP SYN, TCP ACK, UDP, GRE IP и атак на уровне приложений.
Оператор ботнета продвигает свои услуги в Telegram под брендами Cursinq Firewall, The Eye Services и The Eye Botnet, представляя его в качестве инструмента для тестирования мер по смягчению последствий DDoS-атак.
Связанные с Aquabotv3 IoC, а также правила Snort и YARA для обнаружения вредоносного ПО - в отчете.
Неисправленные до настоящего времени уязвимости в PHP-пакете с открытым исходным кодом Voyager для управления приложениями Laravel подвергают в случае объединения затронутые серверы потенциальным RCE-атакам в один клик.
Типичными пользователями Voyager являются компании по веб-разработке, стартапы, внештатные разработчики и, в целом, малые и средние предприятия, использующие Laravel для внутренних инструментов или приложений на базе CMS.
Проект Voyager пользуется огромной популярностью: форкнут 2700 раз на GitHub, получил более 11 800 звезд и насчитывает миллионы загрузок.
Как поясняют исследователи SonarSource, в случае перехода аутентифицированным пользователем Voyager по вредоносной ссылкы, злоумышленники получают возможность выполнить произвольный код на сервере.
Несмотря на ответственное раскрытие информации еще 11 сентября 2024 года найденные ошибки до сих пор не получили исправлений и по истечении 90-дневного периода были представлены широкой аудитории.
Проблемы отслеживаются как:
- CVE-2024-55417: уязвимость произвольной записи файлов в конечной точке «/admin/media/upload»
- CVE-2024-55416: отраженная уязвимость межсайтового скриптинга (XSS) в конечной точке «/admin/compass»
- CVE-2024-55415: уязвимость произвольной утечки и удаления файлов
Злоумышленник может воспользоваться функцией загрузки мультимедиа Voyager, чтобы загрузить вредоносный файл способом, обходящим проверку типа MIME, и использовать файл-полиглот, который выглядит как изображение или видео, но содержит исполняемый PHP-код.
Сервер будет обрабатывать его как PHP-скрипт, что приведет к удаленному выполнению кода.
Уязвимость также может быть связана с CVE-2024-55416. Конечная точка /admin/compass в Voyager неправильно очищает пользовательский ввод, позволяя злоумышленникам внедрять JavaScript во всплывающие сообщения.
Если аутентифицированный администратор нажимает на вредоносную ссылку, скрипт выполняется в его браузере, что потенциально позволяет злоумышленникам выполнять действия от его имени, включая эскалацию до удаленного выполнения кода.
CVE-2024-55415 в системе управления файлами позволяет злоумышленникам манипулировать путями к файлам, удалять или получать доступ к произвольным файлам на сервере.
Используя это, злоумышленники могут нарушить работу служб, удалить критически важные файлы или в сочетании с XSS-уязвимостью извлечь конфиденциальную информацию.
Пользователям Voyager следует рассмотреть возможность предоставления доступа только доверенным пользователям, ограничения прав доступа «browse_media» для предотвращения несанкционированной загрузки файлов и использования управления доступом на основе ролей (RBAC).
Меры безопасности на уровне сервера включают отключение выполнения PHP-файлов, использование строгой проверки типа MIME для отклонения многоязычных файлов и регулярный мониторинг журналов на предмет необычной загрузки файлов или активности доступа к ним.
Если безопасность имеет решающее значение, то следует избегать использования Voyager в производственных средах до выхода официальных исправлений или рассмотреть возможность перехода на другую панель администратора Laravel.
Продолжается мощный накат на китайскую DeepSeek, у которой исследователи Wiz Research случайно обнаружили общедоступную незащищенную базу данных ClickHouse на oauth2callback.deepseek.com:9000 и dev.deepseek.com:9000.
И, по стечению обстоятельств, в ней размещались миллионы строк конфиденциальной информации, включая историю чатов пользователей, API-ключи, логи и даже данные бэкенда с внутренней информацией о работе инфраструктуры.
Как отметили в Wiz, после простой разведки общедоступной инфраструктуры DeepSeek нашлась общедоступная база данных ClickHouse, которая была полностью открыта и не требовала никакой аутентификации.
Любой мог получить доступ к данным и полный контроль над системой без аутентификации, о чем исследователи оперативно сообщили команде DeepSeek, которая немедленно ограничила доступ к БД из Интернета
При этом в Wiz отметили, что обнаружить утечку специалисты смогли буквально в течении нескольких минут, а занялись этим, поскольку DeepSeek произвел фурор в сфере ИИ.
По всей видимости, к развернувшейся против DeepSeek кампании подключены все имеющиеся ресурсы, будем следить за развитием ситуации.
Forescout выкатили отчет об угрозах за 2024 год, констатируя, что протоколы промышленной автоматизации по-прежнему остаются наиболее уязвимыми для атак, нацеленных на операционные технологии (OT), однако все чаще мишенью становятся системы автоматизации зданий.
В основу исследования положены результаты анализа, зафиксированные ханипотами компании в прошлом году, включая сканирование портов, атаки методом подбора и попытки эксплуатации уязвимостей.
Отчет охватывает воздействия на веб-сервисы и устройства сетевой инфраструктуры, действия после эксплуатации, а также атаки на системы OT и критическую инфраструктуру.
Исследователи также поделились данными о вредоносном ПО и субъектах угроз, которые инициировали эти атаки.
Что касается атак OT, то в 2024 году наиболее целевым протоколом был Modbus, за которым следуют Ethernet/IP, Step7, DNP3 и BACnet.
Процент атак на Modbus увеличился с 33% до 40% с 2023 по 2024 год, а в случае Ethernet/IP — с 19% до 28%. Атаки на DNP3 и Step7 снизились с 18% до 8% для обоих протоколов OT.
Наиболее уязвимыми по-прежнему остаются протоколы, связанные с системами промышленной автоматизации: на них приходится 79% атак (по сравнению с 71% в 2023 году), далее следуют коммунальные службы с 12% (по сравнению с 28%) и автоматизация зданий с 9% (по сравнению с 1%)
Как отмечают в Forescout, наиболее существенный рост наблюдается в категории автоматизации зданий - особенно если посмотреть на новые протоколы, подвергающиеся атакам.
При этом в прошлом году атаки на автоматизацию зданий были сосредоточены на эксплуатации уязвимостей, а не на прямом взаимодействии с протоколами.
В 2024 исследователи увидели, что интерес к протоколам автоматизации зданий растет, поскольку злоумышленники по-прежнему используют уязвимости на этих устройствах.
Для этого в их распоряжении представлено множество «удобных» уязвимостей, из которых есть что выбирать при проведении атак.
Например, исследователь Джоко Крстич недавно предупредил, что широко используемый продукт управления зданиями от ABB подвержен более чем 1000 уязвимостям, включая недостатки, которые могут подвергнуть многие объекты удаленному взлому.
В целом Forescout обнаружила, что 73% эксплуатируемых уязвимостей не были включены в список KEV CISA, что на 65% больше, чем в 2023 году.
Если рассматривать конкретно уязвимости, затрагивающие ОТ и промышленные продукты IoT, то по крайней мере 25 уязвимостей, эксплуатируемых ботнетами и автоматизированными атаками, не были включены в каталог KEV.
Сюда входят CVE с 2018 по 2023 год, затрагивающие продукцию Apsystems, Carel, Chiyu, Contec, Eaton, Ecoa, Emerson, Endress+Hauser, Frangoteam, Honeywell, KevinLab, Linear, Loytec, OAS, Schneider Electric, Teltonika, Viessman, Wago и ZKTeco.
Другие подробности исследования - в отчете.
По узвимостям сегодня VMware Avi Load Balancer и Zyxel CPE.
Что касаемо первой Broadcom сообщила об обнаружении серьезной проблемы в VMware Avi Load Balancer, которую злоумышленники могут использовать для получения защищенного доступа к базе данных.
CVE-2025-22217 имеет оценку CVSS: 8,6 и была обнаружена исследователями Даниэлом Кукучка и Матеушом Дарда.
Злоумышленник, имеющий доступ к сети, может использовать специально созданные SQL-запросы для получения доступа к базе данных.
Ошибка затрагивает VMware Avi Load Balancer 30.1.1 (исправлено в 30.1.2-2p2), 30.1.2 (исправлено в 30.1.2-2p2), 30.2.1 (исправлено в 30.2.1-2p5) и 30.2.2 (исправлено в 30.2.2-2p2)
Broadcom также отметила, что версии 22.x и 21.x не подвержены уязвимости CVE-2025-22217.
Пользователи, использующие версию 30.1.1, должны сначала обновиться до 30.1.2 или более поздней версии перед применением исправления.
Обходных путей не существует.
А критическая 0-day, затрагивающая устройства серии Zyxel CPE, уже подвергается активным попыткам эксплуатации.
GreyNoise сообщает, что злоумышленники могут воспользоваться ей для выполнения произвольных команд на уязвимых устройствах, что приведет к полной компрометации системы, утечке данных или проникновению в сеть.
CVE-2024-40891 связана с инъекцией команд и не была публично раскрыта или исправлена.
О существовании ошибки впервые сообщила VulnCheck в июле 2024 года.
Телеметрия GreyNoise показывает, что попытки атак исходили с десятков IP-адресов, большинство из которых находились на Тайване.
По данным Censys, в сети насчитывается более 1500 уязвимых устройств.
CVE-2024-40891 очень схожа с CVE-2024-40890, главное отличие в том, что первая основана на Telnet, а вторая — на HTTP.
Обе уязвимости позволяют неаутентифицированным злоумышленникам выполнять произвольные команды, используя учетные записи служб.
VulnCheck сообщил, что работает над процессом раскрытия информации с тайваньской компанией.
В Zyxel пока дополнительно не комментирует ситуацию.
Пользователям рекомендуется фильтровать трафик на предмет необычных HTTP-запросов к интерфейсам управления Zyxel CPE и ограничивать доступ к административному интерфейсу доверенными IP-адресами.
Исследователи BI.ZONE представили свое видение рынка инфосека в 2025 году, выделив основные тренды киберландшафта как стороны нападающих, так и с противоположной.
Общая картина, по мнению исследователей, характеризуется увеличением числа атак и 2025-й не станет исключением.
Важный тренд - увеличение числа атак, связанных с хактивизмом: в 2024 году доля таких атак увеличилась и составила 12%.
Вероятно, 2025 год принесет новые крупные публичные взломы.
Если в 2025 году произойдут геополитические изменения, то снижение количества атак маловероятно - хактивисты могут полностью переключиться с идеологической на финансовую мотивацию.
Прежними останутся и векторы компрометации: фишинг, задействование скомпрометированных подрядчиков и легитимных учетных записей, а также эксплуатация уязвимостей в сетевом периметре.
Рынок кибербезопасности продолжит расти, но темпы роста снизятся по сравнению с 2022–2024 годами, что в BI.ZONE связывают с высокой ключевой ставкой, которая ограничивает бизнес в привлечении финансирования для реализации крупных проектов.
Основное по трендам в защите:
- Законодательные изменения по части переданных и требования по переходу на отечественные IT-решения для объектов КИИ будут выступать драйверами развития отечественного рынка ИБ.
- Практическая помощь от государства будет продолжена: создана Национальная система противодействия DDoS-атакам; появился российский репозиторий программ с открытым исходным кодом; запущена государственная система сканирования российского адресного пространства на уязвимости; может продолжиться развитие национальной системы доменных имен.
- Развитие рынка next-generation firewall: объем российского рынка NGFW в 2024 году составил 52 млрд руб. и будет ежегодно расти (по прогнозам на 12%) после ухода большинства зарубежных решений.
- Активное продвижение концепции zero trust.
- Использование защищенных облачных ресурсов: на 32% вырос рынок облачных ресурсов в 2024 году, важным моментом стало появление практически у всех облачных провайдеров защищенных сегментов для обработки в системах персональных данных.
- Укрепление позиций artificial intelligence (AI) и machine learning (ML), в том числе внедрение в работу SOC.
- Переход от сканирования периметра к extended attack surface managment (EASM): тренд 2025 года - переход российских поставщиков от отдельных инструментов к комплексным решениям, соответствующих потребностям в контроле внешней поверхности атаки.
Тренды атакующих сводятся к тому, что методы и тактики злоумышленников радикально не меняются из года в год.
Чтобы оценить, какие подходы они будут использовать в 2025-м, достаточно проанализировать статистику предыдущего года.
Среди унаследованных трендов: хактивизм, вымогательство, использование стилеров, коммерческое вредоносное ПО, опенсорс-инструменты и C2-фреймворки, средства для туннелирования трафика.
Помимо этого прогнозируются следующие тренды: атаки через подрядчиков; удар по гражданам через атаки на бизнес и госорганы; использование украденных персональных данных и переход мошенников в мессенджеры.
Подробное описание каждого прогноза - в отчете.
Apple выпустила обновления безопасности для десятков уязвимостей в своих мобильных и настольных продуктах, включая исправления для первой в этом году 0-day, которая активно эксплуатируется в атаках.
Исправленная сегодня уязвимость нулевого дня отслеживается как CVE-2025-24085 (iOS/iPadOS, macOS, tvOS, watchOS, visionOS) и описывается как проблема использования памяти после освобождения в CoreMedia.
При этом Apple отметила, что ей известно о том, что эта проблема могла активно эксплуатироваться в версиях до iOS 17.2.
0-day в CoreMedia позволяет киберпреступникам получить контроль над целевыми устройствами с помощью поддельного приложения, имитирующего воспроизведение мультимедийных файлов, что обеспечивает доступ к конфиденциальным данным
Уязвимость была устранена путем улучшения управления памятью в iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3, но в компании не раскрывают конкретных подробностей о ее эксплуатации.
Среди затронутых этой уязвимостью устройств как старые, так и новые модели, в том числе: модели iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, macOS Sequoia, Apple Watch серии 6 и Apple TV HD и Apple TV 4K (и все более поздние).
iOS 18.3 и iPadOS 18.3 включают исправление и для 28 других ошибок, которые могут привести к обходу аутентификации, DoS, RCE,EoP, снятию фингерпринта, изменению системных файлов, спуфингу, раскрытию информации и внедрению команд.
В macOS Sequoia 15.3 устранено также 60 других проблем, приводящих к аналогичным результатам, в macOS Sonoma 14.7.3 и macOS Ventura 13.7.3 - более 40 и 30 дефектов, еще 17 недостатков закрыто в iPadOS 17.7.4, 18 в - tvOS 18.3 и watchOS 11.3, а также 21 - в visionOS 2.3.
Кроме того, выпущена Safari 18.3 с исправлениями 7 уязвимостей, которые могли привести к обходу аутентификации расширений браузера, подмене пользовательского интерфейса, подмене адресной строки, снятию фингерпринта, DoS, сбою процесса и внедрению команд.
По всей видимости, 0-day, скорее всего, использовалась только в целевых атаках, поэтому настоятельно рекомендуется как можно скорее установить обновления, нейтрализовав возможности для потенциально продолжающихся атак.
Исследователи CloudSEK расчехлили атаку на цепочку маминых хацкеров, которую удалось провернуть с помощью троянизированного билдера вредоносного ПО, который тайно доставлял бэкдор для кражи данных и захвата компьютеров.
Задействованное в кампании вредоносное ПО XWorm RAT заразило 18 459 устройств по всему миру, большинство из которых расположены в России, США, Индии, Украине и Турции.
При этом он специально был нацелен на новичков в кибербезе, которые попросту скачивали и использовали инструменты, упомянутые в различных руководствах.
CloudSEK обнаружила, что вредоносное ПО включало функцию аварийного отключения, которая активировалась для удаления вредоносного ПО со многих зараженных машин, но в виду ряда ограничений некоторые из них остались зараженными.
Обнаруженный троянизированный билдер распространялся по различным каналам, включая репозитории GitHub, платформы хостинга файлов, каналы в Telegram, ролики на YouTube и другие сайты.
Для завлечения ничего не подозревающих жертв акторы продвигали билдер в качестве альтернативы бесплатной версии вредоносного ПО.
Однако вместо этого устройства новоиспеченных операторов взламывали. После заражения вредоносная программа XWorm проверяла реестр Windows на наличие признаков виртуализированной среды.
После необходимых тестов вредоносная ПО вносила необходимые изменения в реестр, обеспечивая сохранение между перезагрузками системы.
Каждая зараженная система регистрировалась на сервере C2 на базе Telegram с использованием жестко запрограммированного идентификатора и токена бота Telegram.
Вредоносная ПО также автоматически крала токены Discord, системную информацию и данные о местоположении (с IP-адреса), передавая их на C2 в ожидании команд от операторов.
56 поддерживаемых команд обеспечивали решение широкого диапазона задач, включая кражу сохраненных паролей и cookie из браузеров, кейлоггинг, контроль экрана, шифрование файлов, прекращение запущенных процессов, эксфильтрация файлов и самоудаление.
По данным CloudSEK, операторы вредоносного ПО смогли извлечь данные примерно с 11% зараженных устройств, преимущественно реализуя снимки экрана и похищая данные из браузеров.
В общем, в CloudSEK решили прекратить дальнейшие соития жаб и гадюк, нейтрализовав ботнет через жестко запрограммированные API-токены и встроенную функцию экстренного отключения.
Дела с UnitedHealth приобретают совсем иной оборот с прошлогодним инцидентом, связанным с ransomware-атакой на дочернюю Change Healthcare.
Как выяснилось по итогам всех расследований, вымогателям AlphV удалось в феврале прошлого года выкрасть личные и медицинские данные 190 миллионов американцев, что почти вдвое превышает ранее озвученную цифру.
Тогда инцидент еще и парализовал работу аптек по всей стране.
В октябре UnitedHealth официально уведомила Управление по гражданским правам Министерства здравоохранения и социальных служб США и сообщила, что атака затронула 100 миллионов граждан страны.
Однако на текущий момент UnitedHealth была вынуждена признать полное фиаско, заявляя о значительной увеличении числа пострадавших, которых компания спешно уведомляет о нарушении.
Подавляющему большинству этих людей уже были направлены индивидуальные или альтернативные уведомления. Окончательное число будет подтверждено и передано в Управление по гражданским правам позднее.
UnitedHealth заверяет, что нет никаких признаков того, что злоумышленники каким-либо образом использовали украденные данные, однако объем утекшей конфиденциальной информации (почти 6 ТБ) вызывает серьезные опасения.
Фактически утекли данные о медстраховании, медицинские записи, сведения по счетам и платежам, а также личная информация, включая номера телефонов, адреса и, в некоторых случаях, номера соцстрахования и идентификационные госномера.
Атака на дочернюю компанию UnitedHealth, Change Healthcare можно считать крупнейшей утечкой данных в сфере здравоохранения в современной истории США.
Вероятно, и с самым большим выкупом, который UnitedHealth вынуждена была перечислить вымогателям, чтобы получить дешифратор и не допустить дальнейшего публичного распространения данных.
Пока речь идет о 22 млн. долларов.
При этом ответственный за атаку оператор BlackCat после получения транша просто исчез. Но самое интересное, что одним траншем все не закончилось. Объединившись с RansomHub банда продолжила вымогать кеш у компании, обещая слить украденные данные.
Несколько дней спустя запись Change Healthcare на DLS RansomHub загадочным образом исчезла, что указывает на вероятную уплату United Health второго транша запрошенного выкупа, сумма которого не разглашается и может оказаться одной из крупнейших на текущий момент.
Но будем посмотреть.
Исследователи из Positive Technologies расчехлили новую финансово мотивированную группу злоумышленников, которая на протяжении почти двух лет атаковала финансовые подразделения российских компаний.
Исследователи назвали ее в честь африканской габонской гадюки, которую можно встретить в окрестностях стратовулкана Килиманджаро – DarkGaboon.
Основным инструментом является готовый инструмент под названием Revenge RAT.
Группировка умело шаблоны документов, загруженные с легитимных российских ресурсов, посвященных финансовой тематике, а также знакома с русской лексикой.
На след DarkGaboon удалось напасть в середине октября прошлого года, когда исследователи задетектили таргетированную рассылку Revenge RAT сотрудникам одного российского банка.
Электронное письмо с заголовком «Сверка взаиморасчетов» содержало сопроводительный текст на русском языке и архив-приманку «Акт сверка.z». Для рассылки был использован скомпрометированный адрес электронной почты.
Внимание привлекла группа из 11 семплов Revenge RAT и связанных с ними восемь Dynamic DNS доменов кластера с "африканским" названием kilimanjaro.
Анализ показал, что аналогичная активность в отношении российских компаний прослеживается как минимум с мая 2023 года.
Однако ранее, до октября 2024, в качестве управляющей инфраструктуры использовался один Dynamic DNS домен и группа сменяющихся в среднем один раз в месяц управляющих серверов кластера rampage.
Домены из обоих кластеров были делегированы одному расположенному на территории Болгарии серверу с разницей во времени в одну неделю.
Все найденные артефакт указывали, что оба кластера rampage и kilimanjaro использовались одной группировкой.
Как установили Позитивы, DarkGaboon стабильно обновляла используемые комплекты файлов, ежемесячно выпуская в среднем по 10 новых вредоносных сборок с Revenge RAT и пропорциональное им количество файлов-приманок, что обеспечивало скрытность.
Все 43 вариации документов-приманок Microsoft Office были сгенерированы путем незначительных модификаций четырех шаблонов, скачанных с российских интернет-ресурсов финансовой направленности, вероятно, для изменения хеш-сумм.
Подавляющее большинство обнаруженных семплов имеет русскоязычные названия, связанные с бухгалтерской отчетностью.
С августа 2024 года DarkGaboon использовали омоглифы в названиях вредоносных семплов, делая их незаметными для строгих поисковых правил, нацеленных на файлы исключительно с кириллическими названиями.
Все семплы Revenge RAT были подписаны поддельными сертификатами X.509, владельцы которых в большинстве своем имели русские названия, но были и названия американских штатов и города, а также крупных западных компаний.
Вишенкой на торте оказался сертификат X.509 с именем OOO ZAL[…]PA, подчеркивающим глубокие знания DarkGaboon основ русскоязычной лексики.
Позитивы полагают, что злоумышленники, скорее всего, – носители русского языка.
Также DarkGaboon использует и весьма распространенные в киберподполье сертификаты, это связано с применением ей популярных криптеров для обфускации и подписания вредоносного кода.
Перечисленные особенности, включая и тот факт, что почти половина всех загрузок семплов на публичные сервисы проверки файлов приходится на Россию, указывают на явную направленность атак DarkGaboon в отношении российского сегмента.
При этом стабильное обновление наступательного арсенала указывает на то, что группа даже не планирует останавливаться и намерена усиливать атаки.
Технический разбор и IoC - в отчете.
Девочки, неожиданно обнаружили, что вельми уважаемый нами канал Беспощадный пиарщик (aka БП) выпустил пост, который непосредственно касается области инфосека. То есть нашей с вами. А конкретно – интервью, которое Wired взяли у уходящей главы CISA Джен Истерли. И с интересом этот пост прочитали.
Отвечаем.
Все, что затрагивает тонкости непосредственно PR, как всегда, написано талантливо и с юмором. Собственно, не будем кривить душой, наша редакция с самого начала существования SecAtor’а смотрела на БП как на один из образцов ведения русскоязычных ТГ-каналов в принципе.
А вот то, что имеет отношение к информационной безопасности, девочки, написано, мягко скажем, без знания дела.
Во-первых, можно сколь угодно иронизировать над описываемым журналистами образом Истерли (да-да, мы тоже помним "черную обтягивающую водолазку и сельдереевый фреш"), но факт остается фактом – в настоящее время CISA является передовым примером грамотного подхода к государственному регулированию отрасли кибербезопасности. Это не значит, что у них все замечательно. Это значит, что лучше пока в мире ничего не сделали. И при Истерли агентство не только не сдало свои позиции, а наоборот - укрепило их.
А во-вторых, скомпилированная редакцией БП фраза "первыми предупредили американцев о кибератаке под названием "Солнечный ветер" со стороны России в декабре 2020 года и со стороны китайцев под названием "Солёный тайфун" в начале 2024 года" звучит крайне потешно с точки зрения инфосека.
Это как если бы мы написали материал по PR в информационной безопасности, в котором заявили бы про известные российские Интернет-СМИ под названиями Болтик и Фабричников.
Короче говоря, за оформление – 5, за содержание – 3 с минусом.
Так видим.
Завершился хакерский поединок Pwn2Own Automotive 2025, организованный Zero Day Initiative (ZDI) Trend Micro в Токио (Япония) в рамках конференции Automotive World.
В первый день Pwn2Own Automotive исследователи продемонстрировали 16 уникальных 0-day и сорвали куш в размере $382 750. Подробно результаты мы освещали вчера.
На второй день исследователи дважды взломали зарядное устройство для электромобилей Tesla Wall Connector.
Кроме того, проэксплуатировали еще 23 0-day в зарядных устройствах WOLFBOX, ChargePoint Home Flex, Autel MaxiCharger, Phoenix Contact CHARX и EMPORIA EV, а также в информационно-развлекательных системах Alpine iLX-507, Kenwood DMX958XR, Sony XAV-AX8500 In-Vehicle Infotainment (IVI).
PHP Hooligans первыми взломали Tesla Wall Connector, использовав уязвимосить Numeric Range Comparison Without Minimum Check, чтобы захватить управление устройством.
Вслед за ними команда Synacktiv также взломала зарядное устройство Tesla EV через Charging Connector, продемонстрировав метод, ранее никогда не применявшийся публично.
Эксплойты с использованием зарядного устройства Tesla Wall Connector принесли участвующим исследователям более 140 000 долларов США.
На третий день, нацеливаясь на Tesla Wall Connector, произошло два столкновения ошибок: одна - командой PCAutomotive, а другая - Синой Кхейрха из Summoning Team, который использовал цепочку эксплойтов из двух уже известных уязвимостей.
В общей сложности за третий день хакеры заработали 168 000 долларов, включая 35 000 долларов за эксплойт Autel MaxiCharger и 26 750 долларов за эксплойт зарядного устройства Ubiquiti.
Несмотря на то, что Tesla предоставила эквивалентный настольный блок Model 3/Y (на базе Ryzen), ни один исследователь не заявился в эту категорию. Также никто не попытался взломать Tesla, хотя организаторы были отдать автомобиль и сотни тысяч долларов в качестве приза.
В категории ОС была зафиксирована единственная попытка реализации эксплойта, нацеленного на Automotive Grade Linux и принесла хакерам 33 500 долларов.
Командой-победителей стала Summoning Team, которая смогла заработать в общей сложности 222 250 долларов.
По итогам соревнований участники смогли заработать в общей сложности 886 250 долларов за демонстрацию почти 50 ранее неизвестных уязвимостей в информационно-развлекательных системах и зарядных устройствах.
В прошлом году - 1 323 750 долларов за 49 уязвимостей.
Результаты первого, второго и третьего дня соревнований здесь, здесь и здесь соответственно.
Исследователи из Лаборатории Касперского сообщают о новой вредоносной кампании, нацеленной на пользователей Android-устройств с использованием стилера Tria.
Злоумышленники используют фишинг (приглашения на свадьбу в качестве приманки) для распространения вредоносного APK-файла и в случае успешной атаки получают доступ к личным сообщениям и электронной почте жертвы.
География атак ограничена двумя странами - Малайзией и Брунеем.
Наибольшее количество детектов пришлось на середину 2024 года, однако фиксируется распространение Tria и в январе 2025 года.
Задетектить новую угрозу удалось благодаря телеметрии Kaspersky Security Network (KSN) и данных сторонних антивирусных платформ.
Затем в соцсетях обнаружились многочисленные посты пользователей Android из Малайзии с обсуждением вредоносных APK и взломов WhatsApp.
Нашлось сразу две версии вредоносных APK: первая появилась в марте, а вторая - в августе 2024 года.
Последняя включала дополнительный функцион, а также новые формулировки в сообщениях, отправляемых в Telegram-боты.
Название Tria обусловлено именем пользователя в сообщениях, которые стилер передает на командный сервер при первом запуске. Возможно, Mr. Tria отвечает за поддержку или вовсе за организацию всей кампании.
Замеченные артефакты на индонезийском языке в совокупности с шаблонами наименований Telegram-ботов для связи с С2 указывают на то, что за атаками стоят злоумышленники, владеющие индонезийским языком.
Похожие сценарии использовались в кампаниях с UdangaSteal в отношении жителей Индонезии, Малайзии и Индии, однако между кампаниями есть существенные различия.
Стилер Tria собирает данные из SMS и электронной почты (например, из сервисов Gmail и Outlook), ведет мониторинг журналов вызовов и сообщения (например, из приложений WhatsApp и WhatsApp Business).
Tria задействует API Telegram для отправки собранных данных через несколько ботов. Стилер обрабатывает все собранные данные и отправляет их в бот одним сообщением.
Согласно наблюдениям, злоумышленники используют отдельные Telegram-боты для работы с разными типами украденных данных: один используется для сбора текстовых данных из мессенджеров и электронной почты, а другой - для работы с SMS.
Злоумышленники используют украденные данные для взлома учетных записей жертвы в WhatsApp и Telegram, которые затем задействуется для рассылки сообщений контактам жертвы для доставки вредоносного APK-файла или просьб перевести деньги.
Кроме того, перехватывая содержимое SMS-сообщений, злоумышленники также могли взламывать учетные записи жертв в различных сервисах для осуществления другой вредоносной деятельности.
Подробный технический разбор и IoC Tria - в отчете.
Когда в пятницу вечером РКН решил обновить настройки ТСПУ
Читать полностью…
В системе мониторинга сети и управления неисправностями с открытым исходным кодом Cacti обнаружена критическая уязвимость, которая позволяет аутентифицированному злоумышленнику удаленно выполнить код на уязвимых экземплярах.
Уязвимость отслеживается как CVE-2025-22604 и имеет оценку CVSS 9,1 из максимальных 10,0, раскрыта частным исследователем под сетевым псевдонимом u32i.
Она связана с многострочным анализатором результатов SNMP и приводит к тому, что даутентифицированные пользователи могут вставлять в ответ некорректные OID.
При обработке с помощью ss_net_snmp_disk_io() или ss_net_snmp_disk_bytes() часть каждого OID будет использоваться в качестве ключа в массиве, который используется как часть системной команды, что приводит к уязвимости выполнения команды.
Успешная эксплуатация может позволить аутентифицированному пользователю с правами управления устройством выполнить произвольный код на сервере, а также украсть, отредактировать или удалить конфиденциальные данные.
CVE-2025-22604 затрагивает все версии программного обеспечения до 1.2.28 включительно. Проблема устранена в версии 1.2.29.
В новой версии также устранена CVE-2025-24367 (CVSS: 7,2), которая позволяет аутентифицированному злоумышленнику создавать произвольные PHP-скрипты в корневом веб-каталоге приложения, злоупотребляя функциональностью создания графов и шаблонов графов, что приводит к RCE.
Учитывая печальный опыт эксплуатации уязвимостей в Cacti, использующим это ПО для мониторинга сети, следует оперативно накатить необходимые исправления, чтобы снизить риск компрометации.
📚 Коллекция книг для ИБ специалистов.
• В нашем втором канале проходит небольшой розыгрыш, где победители смогут получить коллекцию актуальных и полезных книг для ИБ специалистов:
- Сети глазами хакера;
- Linux глазами хакера. 7-е издание;
- Веб-сервер глазами хакера. 4-е изд;
- Реагирование на инциденты на основе аналитических данных. 2-е издание;
- Контролируемый взлом. Библия социальной инженерии. 2-е издание;
- Linux. От новичка к профессионалу. 9 изд.
• Каждый победитель получит сразу весь пул книг в бумажном варианте, которые перечислены выше. Принять участие можно тут: /channel/it_secur/2635
S.E. ▪️ infosec.work ▪️ VT
Штаты задействуют все возможные ресурсы в битве за лидерство в сфере ИИ, которое заметно пошатнулось после стремительного взлета китайской DeepSeek, опередившей в рейтингах OpenAI с ее ChatGPT.
Вслед за посыпавшимися DDoS-атаками и исследовательскими отчетами в отношении проблем с безопасностью, на китайскую модель ИИ накатили авторитетные журналистские издания с разоблачающими статьями по поводу своего рода «плагиатства» и кражи перспективных наработок по ИИ.
По всей видимости, подобными аргументами на западе пытаются оправдать сгорающие инвестиции и успех китайцев в развивающейся отрасли, которому, как предполагают, журналисты способствовал кибершпионаж.
OpenAI официально заявила, что китайские компании «постоянно» пытались заполучить доступ к американским технологиям для улучшения собственных инструментов ИИ.
Предварительно, речь идет о задействовании китайцами API OpenAI через подставные учетные записи для дистилляции в нарушение регламента пользования сервисом.
Нарративы американских разработчиков относительно дистилляцией знаний быстро подхватили такие гиганты журналисткой мысли, как Financial Times, BBC, Bloomberg, Reuters и другие.
Сразу нашлись еще и эксперты, заявляющие, что DeepSeek выдавала ответы, указывающие на то, что она была обучена на выходных данных GPT-4 OpenAI.
В стороне не остались и в Белом доме, где Дэвид Сакс, глава отдела по искусственному интеллекту и крипте, инициировал обсуждения по вопросу о возможности предполагаемой кражи интеллектуальной собственности, по итогам которых, очевидно, будет заложена база для запрета китайской разработки.
Кроме того, по словам пресс-секретаря Белого дома Кэролайн Ливитт, американские чиновники также рассматривают последствия появления DeepSeek для национальной безопасности, который рассматривают как «сигнал тревоги для американской технологической отрасли».
Согласно Bloomberg, к расследованию китайского следа в намечающимся деле промышленного кибершпионажа подключили специалистов из Microsoft, которых не раз ловили за руку при проведении заказных расследований с выдачей «правильных» отчетов.
В OpenAI пока почему-то отказалась от дальнейших комментариев или предоставления имеющихся в их распоряжении доказательств.
Впрочем, как и Microsoft.
Полагаем, что все необходимые доказательства все же найдут, а затем используют новый прецедент для начала глобального передела рынка ИИ, почти по аналогии с индустрией по разработке spyware, где после многолетних скандалов, санкций и судебных тяжб теперь все разложено по своим полочкам (карманам).
Исследователи предупреждают о двух кампаниях, связанных с активной эксплуатацией узявимостей в SimpleHelp Remote Monitoring and Management (RMM) и SonicWall Secure Mobile Access (SMA) 1000.
Первая связана с использованием недавно исправленных уязвимостей программного обеспечения SimpleHelp RMM для получения первоначального доступа к целевым сетям.
CVE-2024-57726, CVE-2024-57727 и CVE-2024-57728 позволяют злоумышленникам загружать и выгружать файлы на устройства и повышать привилегии до административного уровня.
Уязвимости были обнаружены и раскрыты исследователями Horizon3 две недели назад. SimpleHelp выпустила исправления между 8 и 13 января в версиях продукта 5.5.8, 5.4.10 и 5.3.9.
Вредоносная активность была замечена исследователями Arctic Wolf и нацелена на серверы SimpleHelp примерно через неделю после того, как Horizon3 публично раскрыла уязвимости.
Исследователи пока точно не определили, что атаки задействуют именно эти уязвимости, но связывает свои наблюдения с отчетом Horizon3 со средней степенью уверенности.
Тем не менее, Arctic Wolf настоятельно рекомендует обновиться до последних доступных исправленных версий серверного программного обеспечения SimpleHelp, где это возможно.
В ситуациях, когда клиент SimpleHelp был ранее установлен на устройствах для сеансов сторонней поддержки, но не используется активно в повседневной работе, Arctic Wolf рекомендует удалить ПО, чтобы уменьшить потенциальную поверхность атаки.
В свою очередь, Shadowserver Foundation сообщила, что обнаружила в сети 580 уязвимых экземпляров, большинство из которых (345) - в США.
Компания SonicWall подтвердила, что 0-day в SMA 1000, отслеживаемая как CVE-2025-23006, была эксплуатирована в реальных условиях.
Компания опубликовала бюллетень и проинформировала, что инструменты администрирования Appliance Management Console (AMC) и Central Management Console (CMC) шлюза безопасного доступа подвержены критической проблеме ненадежной десериализации данных, которая позволяет выполнять удаленные команды без аутентификации.
CVE-2025-23006 была исправлена в устройствах SMA1000 с выпуском версии 12.4.3-02854 и изначально обнаружена Microsoft.
Тогда SonicWall в срочном уведомлении подтвердила факт эксплуатации уязвимости в реальных условиях, настоятельно рекомендовав клиентов как можно скорее установить доступные обновления прошивки.
Злоумышленники, имеющие доступ к внутреннему интерфейсу устройства (как в одно-, так и в двухдоменной конфигурации интерфейса), могут использовать CVE-2025-23006 для удаленного выполнения кода
Shodan и Censys показывают около 2000 устройств SMA, доступных через Интернет, а Netlas - около 4000, большинство из которых находятся в США.
Исследователи пишут, что только 215 из обнаруженных на Shodan устройств, по-видимому, раскрывают свой интерфейс управления и подвержены уязвимости CVE-2025-23006.
Но будем посмотреть. Злоумышленники достаточно часто нацеливаются на уязвимые продукты SonicWall и вряд ли упустят очередную возможность.
Группа исследователей из Технологического института Джорджии и Рурского университета в Бохуме, сообщившие ранее о Meltdown, Spectre, SGX Fail и RAMBleed, представили подробности новых атак по побочным каналам FLOP и SLAP вместе с демонстрацией способов их проведения.
Новые обнаруженные уязвимости в современных процессорах Apple могут привести к краже конфиденциальной информации из браузеров.
К затронутым устройствам относятся все ноутбуки Mac, проданные после 2022 года, все настольные компьютеры Mac, проданные после 2023 года, и все iPhone, проданные после 2021 года.
Проблемы обусловлены неправильной реализации спекулятивного исполнения, что является основной причиной таких известных атак, как Spectre и Meltdown.
FLOP и SLAP нацелены на функции, ускоряющие обработку путем угадывания будущих инструкций вместо их ожидания, и могут оставлять следы в памяти для извлечения конфиденциальной информации.
Начиная с поколения M2/A15, процессоры Apple пытаются предсказать следующий адрес памяти, к которому будет обращаться ядро, а yачиная с поколения M3/A17 - значение данных, которое будет возвращено из памяти.
Однако неверные прогнозы в этих механизмах могут привести к выполнению произвольных вычислений на данных, выходящих за пределы допустимого диапазона, или неверных значениях данных.
Эти прогнозы могут иметь реальные последствия по части безопасности, включая выход из изолированной программной среды браузера и считывание кросс-источниковой персональной идентификационной информации в Safari и Chrome.
Атаки выполняются удаленно через браузер с использованием вредоносной веб-страницы, содержащей код JavaScript или WebAssembly для их запуска, минуя «песочницу» браузера, ASLR и традиционные средства защиты памяти.
Скрипты, используемые на демонстрационных сайтах, реализуют последовательность загрузок памяти, разработанных для манипулирования FLOP и SLAP Apple, поэтому не требуется заражения вредоносным ПО.
Исследователи сообщили об уязвимостях компании Apple 24 марта 2024 года (SLAP) и 3 сентября 2024 года (FLOP).
Компания, в свою очередь, подтвердила ошибки, их потенциальный риск для пользователей и планирует планирует устранить их в предстоящем обновлении безопасности.
До тех пор, пока не появятся обновления от Apple, возможным способом смягчения последствий может стать отключение JavaScript в Safari и Chrome, хотя это, как ожидается, приведет к сбоям в работе многих сайтов.
Технические подробности по False Load Output Predictions (FLOP) в новейших процессорах Apple M3, M4 и A17 - здесь, по Speculation Attacks via Load Address Prediction (SLAP) в процессорах Apple M2 и A15 (включая и более поздние модели) - здесь.
Банда вымогателей BASHE, также известная как APT73, добавила ICICI Bank на свой сайт DLS и выставила срок в три дня на выплату выкупа.
Правда инцидент до настоящего времени официально не подтвержден.
Тем не менее BASHE угрожает опубликовать данные клиентов, если их требования не будут выполнены до 10:00 UTC 31 января 2025 года.
Представленные пруффы с образцами данных содержат имена, номера телефонов, адреса, возраст, пол, типы кредитных карт, такие как Gold или Diamond, а также временные метки марта 2024 года.
Таблица также включает, предположительно, балансы на счетах. Однако, это невозможно подтвердить, так как названия столбцов отсутствуют.
До настоящего времени неизвестно, относятся ли данные к новому инциденту и каковы могут быть его реальные масштабы.
В ICICI Bank сохраняют режим радиомолчание.
Ранее в 2023 году в ICICI Bank фиксировалась крупная утечка данных.
Тогда исследователи Cybernews обнаружили личные и финансовые сведения, которые оказались в общем доступе в виду неправильной настройки систем.
Стоит отметить, что ICICI Bank - это не рядовая финкомпания, а на минуту - второй по величине банк в Индии с более чем 6600 филиалами и рыночной капитализацией почти в $100 млрд.
В свою очередь, APT73 запустила свой сайт DLS 25 апреля 2024 года, разместив на нем десятки жертв.
При этом их сайт напоминает стиль Lockbit, что неудивительно, ведь APT73 была сформирована предполагаемым бывшим оператором банды после того, как правоохранительные органы провернули свои операции в отношении вымогателей.
Насколько ребята соответствуют эталонам эффективности Lockbit станет понятно совсем скоро, если конечно, не найдутся желающие прикупить награбленное или инцидент не окажется щеконадувательством.
Но будем в любом случае посмотреть.
Пошел накат на китайскую ИИ после того, как вдруг DeepSeek стала самым популярным приложением Apple AppStore, лишив при этом IT-гигантов США средств на $1 трлн. и обогнав ChatGPT (OpenAI) по производительности при в 100 раз меньших затратах на разработку.
Китайский стартап фактически обвалил акции Nvidia более чем на 16% ($600 млрд), Oracle – на 7%. Пострадали Microsoft, Meta Platforms Inc. и Tesla.
Но в ответ сразу же получил серьезный канат.
Разработчики были вынуждены отключить регистрацию на своей платформе DeepSeek-V3 из-за продолжающейся крупномасштабной кибератаки, нацеленной на ее сервисы.
Подробности атаки не разглашаются, предполагается, что компания столкнулась с атакой DDoS на свой API и платформу, которая повлияла на процесс регистрации.
Помимо сугубо конкурентных атак, посыпались доводы относительно безопасности платформы.
Так, KELA выкатила отчет, согласно которому утверждает, что ей удалось взломать модель.
KELA отметила, что хотя DeepSeek R1 имеет сходство с ChatGPT, он значительно более уязвим.
Команде AI Red Team из KELA удалось взломать модель в широком диапазоне сценариев.
По итогам им удалось сгенерировать вредоносные результаты, включая разработку ransomware, создание конфиденциального контента, а также получить подробные инструкции по созданию токсинов или взрывных устройств.
В DeepSeek пока никак не комментируют ситуацию. Будем следить.
Тем временем, в штатах новый серьезный инцидент, жертвой которого стал Stark Aerospace, ведущий поставщик высокотехнологичных ракетных и авиационных систем со штаб-квартирой в Миссисипи.
Подрядчика ВС и Минобороны США зарансомила банда вымогателей INC Ransom, разместив объявление на своем DLS с указанием украденных колоссальных 4 ТБ данных, включая исходники, проектную документацию, данные сотрудников и прошивки для всей линейки БПЛА.
Помимо военных поставщик также фигурирует в качестве подрядчика Boeing и General Dynamics.
Помимо ракетных систем в Stark Aerospace ведется разработка барражирующих боеприпасов, а также сборка и ремонт электроники и авионики, в том числе для военно-морских навигационных систем.
Разрабьотаываемые сверхсекретные технологии Stark Aerospace используются для военного наблюдения, пограничного патрулирования, морского наблюдения, мониторинга окружающей среды и инфраструктуры, включая критически важные объекты.
Согласно представленному INC Ransom описанию, представлен внушительный кэш с пакетом пруффов, включая 40 образцов файлов, предположительно похищенных из аэрокосмической компании.
Хакеры заявили, что располагают полным спектром конструкторской документации, исходными кодами ПО, включая прошивки всех типов производимых БПЛА, информацию о контрактах с Минобороны и другими военными ведомствами.
Кроме того, INC Ransom по всей видимости, располагает информацией о цепочке поставок и технологических партнерах, кодами и номерами деталей всей компонентной базы, строительными планами и научными рабработками, задействованными в производстве.
Помимо этого, украдены личные данные и копии документов ведущих инструкторов компании, которые командируют в горячие точки для обучения и презентаций.
Банда вымогателей также заявила о доступе к конфиденциальная информация по производственным программам, разведывательным спутникам и документам, связанным с материнской компанией IAI North America, которая, в свою очередь, является дочерней для крупнейшего израильского аэрокосмического и оборонного холдинга Israel Aerospace Industries Ltd.
Теперь банда угрожает выкатить украденные массивы, если не будет выплачен выкуп.
Правда сроков для Stark Aerospace пока не обозначили. Видимо, вопрос предельно серьезный и требует особого подхода.
Учитывая, что появившаяся впервые появившаяся в июле 2023 года INC Ransom к настоящему времени уже положила не менее 135 организаций (в том числе Tri-City, департамент шерифа Сан-Франциско, город Лестер в Англии и корпорацию Xerox), дело пахнет жаренным.
Но будем, кончено, посмотреть.
Подкатил ежегодный отчет по управлению уязвимостями (Vulnerabilities Equities Process, VEP) за 2023 год (FY23) от американского правительства, согласно которому поставщикам ПО было раскрыто 39 уязвимостей.
При этом 29 уязвимостей относились к новым (выявленным за отчетный период), но также власти рассекретили данные в отношении 10 проблем в безопасности ПО за предыдущие года, которые скрывались, вероятно, использовались в оперативных целях национальных спецслужб.
По всей видимости, публикация подробностей последовала после того, как все они были отработаны в полном объеме в операциях и кампаниях кибершпионажа, а может и еще где, обеспечивая стратегический паритет в киберсреде.
Между тем, как признались авторы отчета статус исправлений их вообще не интересовал и не отслеживался, одним словом, власти США попросту забили на состояние безопасности отрасли.
И более того, из отчета неясно сколько вообще уязвимсотей попадало в поле зрения федерального правительства, по каким критериям проводился отбор и тем более неизвестно, сколько из них все еще задействуются.
В общем, никогда такого не было и вот опять.
Исследователи Black Lotus Labs из Lumen Technologies сообщают о вредоносной кампании, нацеленной на маршрутизаторы и VPN-шлюзы Juniper с использованием вредоносного ПО под названием J-magic, разработанного специально для Junos OS.
Название обусловлено тем, что бэкдор постоянно отслеживает «магический пакет» в TCP-трафике прежде чем запускать обратную оболочку.
Атаки J-magic, по всей видимости, таргетируются на организации в области полупроводников, энергетики, производства (судостроение, солнечные батареи, тяжелое машиностроение) и IT.
По словам Black Lotus Labs, кампания J-magic была активна в период с середины 2023 до середины 2024 года и была организована в формате низкого уровня обнаружения и долгосрочного доступа.
На основании данных телеметрии исследователи полагают, что около половины целевых устройств, по-видимому, были настроены как шлюз VPN для их организации.
J-magic представляет собой модифицированный вариант общедоступного бэкдора cd00r - экспериментального образца, который остается скрытым и пассивно отслеживает сетевой трафик на предмет наличия определенного («магического») пакета, прежде чем открыть канал связи со злоумышленником.
Делает он это, создавая фильтр eBPF на интерфейсе и порту, указанном в качестве аргумента командной строки при выполнении. Вредоносная ПО проверяет различные поля и смещения на предмет подсказок, указывающих на правильный пакет с удаленного IP-адреса.
J-magic ориентируется на пять условий, и если пакет соответствует одному из них, он реализует обратный шелл. Однако отправитель должен решить задачу, прежде чем получить доступ к скомпрометированному устройству.
Удаленный IP получает случайную пятисимвольную буквенно-цифровую строку, зашифрованную жестко закодированным открытым ключом RSA. Если полученный ответ не равен исходной строке, соединение закрывается.
Вероятно, разработчик добавил этот вызов RSA, чтобы помешать другим распространять по Интернету «магические» пакеты для идентификации жертв, а затем просто повторно использовать агенты J-Magic в своих собственных целях.
Исследователи отмечают, что изучаемая кампания имеет техническое сходство с вредоносным ПО SeaSpy, также основанным на бэкдоре cd00r, но некоторые различия затрудняют установление связи между двумя кампаниями.
В целом, исследователи с низкой степенью уверенности оценивают корреляцию J-magic с SeaSpy, который задействовался китайскими APT в атаках на Barracuda Email Security Gateways с использованием CVE-2023-2868 в качестве 0-day в 2022-2023 гг.
В Black Lotus Labs полагают, что кампания J-magic, ориентированная на устройства Juniper, свидетельствует о том, что использование этого типа вредоносного ПО становится новым трендом.
Злоумышленники могут оставаться незамеченными в течение более длительного периода времени, поскольку такие целевые корпоративные устройства не имеют инструментов мониторинга на уровне хоста, а вредоносное ПО находится в памяти в ожидании «магического» пакета.
Исследователи F.A.C.C.T. предупреждают о новой угрозе для клиентов российских банков, связанной с использованием легального приложения NFCGate, которая привела к ущербу в размере более более 40 миллионов рублей.
Заряженный софт для перехвата и передачи данных банковских карт через NFC-модули софт злоумышленники замаскировали под приложения популярных госсервисов, ЦБ и ФНС России.
Ретрансляционные атаки NFC впервые были замечены в Чехии в конце 2023 года и распространились на российские банки в августе прошлого года.
Только за последние два месяца F.A.C.C.T. обнаружила более 400 атак через ретрансляторы NFC в России (средняя сумма списания составила около 100 тыс. рублей.), что говорит о том, что эта схема набирает популярность среди киберподполья.
При этом аналитики F.A.C.C.T. прогнозируют рост подобных кибератак на пользователей Android-устройств на 25-30% ежемесячно.
Атака на пользователей банковских карт проходит в два этапа, первый из которых выглядит как рядовое телефонное мошенничество.
Жертву под предлогом необходимости защиты банковской карты, Госуслуг, продления договора сотовой связи, замены медицинского полиса, оплаты услуг ЖКХ, подтверждения личности убеждают в необходимости установки специального Android-приложения на устройство.
Внешне оно мимикрирует под легитимное приложение банка или госструктуры, фактически - это вредоносная ПО на основе NFCGate.
Исследователи F.A.C.C.T. в общей сложности обнаружили свыше 100 уникальных образцов такого вредоносного ПО для Android.
Кроме того, злоумышленники могут установить NFCGate на устройство жертвы без её ведома, используя трояны удалённого доступа, например, CraxRAT, активность которого в России и Беларуси также детектировалась летом прошлого года.
После того, как приложение на основе NFCGate установлено на смартфоне жертвы, на устройство злоумышленника поступает сигнал о готовности к обмену данными.
Затем злоумышленники используют вредоносное приложение для того, чтобы заставить пользователей просканировать карты и ввести PIN-коды, а тем временем данные отправляются на удаленный смартфон, сопряженный с NFCGate.
Полученные от жертвы данные используются для снятия средств в банкоматах в режиме реального времени, токенизиации потока NFC для осуществления последующих онлайн-транзакций.
По результатам исследования новой угрозы и ее серверной инфраструктуры исследователям F.A.C.C.T. удалось вскрыть стратегические планы разработчиков и задетектить серверное ПО для сборки уникальных вредоносных приложений на основе NFCGate под конкретные атаки.
Аналитики выяснили, что преступники намереваются в ближайшее время добавить вредоносному приложению новый функционал для перехвата sms и push-уведомлений с устройств жертв, а также распространять вредоносное ПО на основе NFCGate по модели Malware-as-a-Service.
В целом, исследование подтверждает выводы ESET, которая еще в 2024 году предупреждала, что новая технология будет быстро распространяться по мере освоения киберподпольем новой технологии.
Рекомендации, технические подробности и IOC - в отчете.
🔓 Туз в рукаве: взлом нового USB-C контроллера от Apple.
• Начиная с 2024 года Apple начала использовать в своих устройствах новый USB-C контроллер, который встраивают не только в iPhone, но и в Mac, iPad и другие гаджеты. Так вот, известный в узких кругах исследователь безопасности Thomas Roth взломал этот USB-контроллер, что позволило ему выполнить произвольный код и контролировать устройство.
• О своём достижении он рассказал во время конференции Chaos Communication Congress, которая проходила в Германии с 27 по 30 декабря 2024 года. Если говорить простыми словами, то с помощью реверс-инжиниринга Томас выяснил, в какой момент система проверяет прошивку, чтобы успеть загрузить модифицированный патч и обмануть систему защиты ACE3. Например, с помощью этой уязвимости можно подключать несертифицированные аксессуары или выполнять операции без согласия пользователя: https://media.ccc.de/v/38c3-ace-up-the-sleeve-hacking-into-apple-s-new-usb-c-controller
• Исследователь сообщил об уязвимости Apple, но компания пока не планирует её исправлять. Атака слишком сложная, поэтому ей не будут пользоваться массово. Сам Томас согласился с тем, что использовать уязвимость очень сложно и угроза для пользователей маловероятна. Некоторые сервисные центры отметили, что данная уязвимость поможет им проводить диагностику сломанных Mac.
➡ https://cybersecuritynews.com/apples-new-usb-c-controller-hacked/
• P.S. Помимо этого доклада на конфе было представлено еще очень много крутых презентаций (более 200), которые будут полезны ИБ специалистам и не только... Все доклады доступны для просмотра по этой ссылке: https://media.ccc.de/c/38c3
S.E. ▪️ infosec.work ▪️ VT