39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Великобритания тайно требует от Apple внедрить бэкдор iCloud для доступа к любым резервным копиям, что вызывает в сообществе серьезные опасения по поводу конфиденциальности.
Как передает Washington Post, месяц назад британское правительство выдало негласное поставление, согласно которому у местных спецслужб возникает право требовать доступ ко всем зашифрованным материалам безотносительно конкретной учетной записи.
Вступление в силу этого акта ставит крест на многолетних усилиях технологических компаний в противодействии тотальному контролю за пользователями со стороны правительственных структур.
Таким образом британское правительство реализовало уведомление о технических возможностях (TCN), требуя от Apple прекратить предоставление зашифрованного хранилища на территории страны.
Apple, в свою очередь, может подать апелляцию на уведомление о возможностях Великобритании в секретную комиссию и суд, но закон требует выполнения требований даже в рамках проведения апелляционного процесса.
Технически власти требуют бэкдор, который мог бы позволить им получить доступ к сервису не только в своей юрисдикции, но и в других странах.
Действия властей продиктованы тем, что начиная с 2022 года Apple стала предоставлять сквозное шифрование для облачного хранилища, несмотря на то, что многие пользователи Apple до сих пор не включили его.
Свою позицию правительственные органы и спецслужбы Великобританий аргументируют тем, что шифрование активно используется преступниками и террористами для сокрытия своей деятельности.
Технологические компании в ответ подчеркивают важность соблюдения прав на неприкосновенность частной жизни, предупреждая, что подобные бэкдоры могут также использоваться злоумышленниками и нарушений со стороны самого правительства.
В США по этому поводу уже высказывают свое недовольство. Сенатор Рон Уайден, демократ из сенатского комитета по разведке, призвал помешать британцам шпионить за согражданами, назвав это катастрофой для национальной безопасности.
Он полагает, если Великобритания обеспечит доступ к зашифрованным данным, другие страны, разрешившие зашифрованное хранилище, например Китай и др., могут потребовать равного доступа.
Обострение борьбы в Великобритании не является чем-то новым, как мы уже неоднократно писали, технологическая сегментация постепенно реализуется, а с приходом новой администрации Белого дома - лишь ускоряется.
Но будем посмотреть.
Поставщик решений в области строительных, геопространственных и транспортных технологий Trimble предупреждает пользователей Cityworks об активных атаках, нацеленных на 0-day и связанных с заражением вредоносным ПО.
Trimble Cityworks - это решение на основе GIS, используемое для управления и обслуживания инфраструктуры муниципалитетами, коммунальными службами, на объектах транспорта и при производстве различных работ, широко представлено по всему миру.
Проблема отслеживается как CVE-2025-0994, имеет оценку CVSS v4: 8,6 и описывается как ошибка десериализации недоверенных данных.
Она позволяет аутентифицированному пользователю выполнить RCE-атаку на сервер Microsoft Internet Information Services (IIS) клиента, но для эксплуатации уязвимости требуется аутентификация.
Trimble выпустила исправления для устранения уязвимости 29 января 2025 года, однако, по данным CISA, зафиксированы несанкционированные попытки получения доступа к развертываниям Cityworks у определенного круга клиентов.
Опубликованные Trimble IoCs указывают на то, что 0-day используется для установки загрузчика на основе Rust, который запускает Cobalt Strike, и инструмента удаленного доступа на Go под названием VShell, а также других неопознанных полезных нагрузок.
CISA, в свою очередь, представили свои рекомендации, прежде всего, по ICS для CVE-2025-0994, даже несмотря на то, что Cityworks не является непосредственной частью промышленных систем, но так или иначе связана.
В настоящее время неизвестно, кто стоит за атаками и какова конечная цель кампании.
Пользователям, использующим уязвимые версии ПО, рекомендуется обновить свои экземпляры до последней версии (15.8.9 и 23.10) для обеспечения оптимальной защиты от наблюдаемых атак. Все предыдущие версии подвержены уязвимости.
Поставщик указал, что некоторые локальные развертывания имеют слишком привилегированные разрешения IIS.
Кроме того, некоторые развертывания имеют неподходящие конфигурации каталогов вложений, что также следует устранить.
Как мы и предполагали, клиентуру вновь приобретенного штатами разработчика шпионского ПО Paragon решили основательно проредить (по уже отработанной схеме), ограничив доступ европейских структур и спецслужб на рынок перспективных технологий кибершпионажа.
Поводом стал раздутый WhatsApp (принадлежащий признанной в России экстремистской Meta) скандал с атаками на пользователей мессенджера из числа политической оппозиции и представителей СМИ.
Поэтому после появившихся сообщений о том, что итальянское правительство преследовало журналистов и активистов, Paragon отключила доступ Италии к своей платформе.
Итальянские чиновники, в свою очередь, опровергли все заявления, которые якобы указывали на шпионаж со стороны правительства в отношении ярых критиков Мелони.
Тем не менее, итальянское агентство по кибербезопасности связалось с Meta по поводу хакерской кампании и выяснило, что действительно 7 из почти 90 жертв были из Италии.
Причем данные жертв из соображений безопасности им переданы не были.
А сама кампания затрагивает также 13 других стран ЕС, включая: Бельгию, Грецию, Латвию, Литву, Австрию, Кипр, Чешскую Республику, Данию, Германию, Нидерланды, Португалию, Испанию и Швецию.
Так что в ближайшее время следует ожидать серию громких скандалов, которые сейчас придутся очень кстати для новой администрации Белого дома, приступившей к выстраиванию отношений с действующим политическим руководством ЕС.
Первопроходец санкционной дорожки, другой израильский производитель шпионского ПО - NSO Group после дрессировки теперь послушно отчитывается по всем своим обязательствам, предоставляя целый отчет о прозрачности [PDF].
Согласно отчету, в 2024 году поставщик отклонил контракты на сумму более 20 млн. долл. из-за проблем, связанных с нарушением прав человека, имея 51 клиента в 31 стране, 46 из которых - спецслужбы и правоохранители. Вероятно, все были согласованы с большим братом.
Продолжаем следить.
Chainalysis констатирует снижение доходов банд вымогателей по итогам 2024 года до 813,5 млн долларов США с 1,25 млрд долларов США, полученных годом ранее.
Причем в первом полугодии прошлого года на счета банд поступило 459,8 млн долларов США, однако после июля 2024 года транши замедлились примерно на 3,94%.
При этом число ransomware-атак и жертв во втором полугодии наоборот возросло, но выкупов стало поступать меньше.
Ситуация усугубляется тем, что экосистема ransomware стала все более фрагментированной после ударов спецслужб по LockBit и BlackCat.
Появилось множество новичков, отказавшихся от охоты на крупную дичь в пользу мелких и средних организаций, что, в свою очередь, привело и к более скромным требованиям по части выкупа.
По данным Coveware, средний размер суммы выкупа за вымогательство в четвертом квартале 2024 года составил $553 959 (в третьем квартале - $479 237), при том, что средний размер платежа, напротив, снизился с $200 000 до $110 890, почти на 45%.
Тем не менее, платежи по-прежнему остаются последним гарантированным способом для жертв, не имеющих альтернатив по восстановлению критически важных данных.
Правда, некорректно работающие утилиты дешифрования как новых, так и старых штаммов, а также растущее недоверие к злоумышленникам, не всегда соблюдающим условия договоренностей, все чаще отталкивают жертв от переговоров, даже если у них нет иного выбора.
Сокращению выплат выкупов также способствовали усилия правоохранителей, активизировавших операции по нейтрализации инфраструктуры киберпреступников и сервисов по отмыванию криптовалют, что подрывает финансовые стимулы и повышает барьеры для входа.
При этом в 2024 году было зафиксировано самое большое количество случаев заражения ransomware с 2021 года - 5263 атаки, что на 15% больше, чем в предыдущем году.
Как отмечают в NCC Group, на промышленность пришлось 27% (1424) всех атак с использованием программ-вымогателей в 2024 году, что на 15% больше, чем в 2023 году. Северная Америка стала лидером по числу жертв с 55%.
Наиболее часто наблюдаемыми штаммами программ-вымогателей в 2024 году были Akira (11%), Fog (11%), RansomHub (8%), Medusa (5%), BlackSuit (5%), BianLian (4%) и Black Basta (4%), акторы-одиночки смогли захватить 8% доли рынка.
В числе новых участников, отметившихся за последние месяцы: Arcus Media, Cloak, HellCat, Nnice, NotLockBit, WantToCry и Windows Locker.
После проблем у LockBit и экзит-скама BlackCat еще одним интересным явлением стал подъем RansomHub RaaS, поглотшей множество оставшихся без работы их операторов, что позволило ей выдать наибольшее количество жертв в 2024 году и войти в ТОП-10.
Более детальная статистика и разбор отдельных кейсов по вымогателям - отчете.
Cisco выпустила обновления с исправлениями критических уязвимостей Identity Services Engine (ISE), которые позволяют удаленным злоумышленникам выполнять произвольные команды и повышать привилегии на уязвимых устройствах.
Первая CVE-2025-20124 (CVSS: 9,9) связана с десериализацией Java в API Cisco ISE, которая может позволить аутентифицированному удаленному злоумышленнику выполнять произвольные команды от имени пользователя root на уязвимом устройстве.
Другая, CVE-2025-20125 (CVSS: 9,1), - это уязвимость обхода авторизации в API Cisco ISE, которая позволяет аутентифицированному удаленному злоумышленнику с действительными учетными данными только для чтения получить конфиденциальную информацию, изменить конфигурации узла и перезапустить узел.
Злоумышленник может использовать любую из уязвимостей, отправив специально созданный сериализованный объект Java или HTTP-запрос на неуказанную конечную точку API, что приведет к повышению привилегий и выполнению кода.
По данным Cisco, обе две уязвимости не зависят друг от друга и не имеют обходных путей для их устранения.
Проблемы были обнаружены исследователями Deloitte и исправлены в Cisco ISE 3.0 (переход на исправленную версию), 3.1 (исправлено в 3.1P10), 3.2 (исправлено в 3.2P7), 3.3 (исправлено в 3.3P4) и 3.4 (не уязвимо).
Данными о возможном злонамеренном использовании уязвимостей Cisco не располагает, но рекомендует пользователям обновить свои системы.
Продолжаем отслеживать наиболее трендовые уязвимости, вкратце ситуация выглядит следующим образом.
1. Исследователи Google сообщили об уязвимости в некоторых процессорах AMD Zen.
CVE-2024-56161 позволяет злоумышленникам с правами администратора в системе загружать вредоносные исправления прошивки процессора.
Атака способна обходить защиту AMD Secure Encrypted Virtualization и позволяет злоумышленникам скомпрометировать облачную инфраструктуру.
Среди затронутых процессоров - Zen 1 — Zen 4.
AMD выпустила обновления в понедельник.
2. Исследователи watchTowr Labs обнаружили около 150 AWS S3 buckets, которые ранее принадлежали ныне недействующим коммерческим и open-source проектам.
При этом с них продолжал идти трафик, в том числе с правительственных (и даже военных) доменов и компаний из списка Fortune 500.
Содержимое, включая обновления ПО, конфигурацию сервера и различные файлы, можно заменить и использовать для захвата удаленных сетей.
3. Инженер Райк Шнайдер выявил уязимости, связанные с перехватом DLL в нескольких инструментах Sysinternal от Microsoft.
Проблемы остаются неисправленными даже после 90-дневного срока раскрытия.
4. Netgear выпустила обновления для обхода аутентификации и RCE в WiFi-маршрутизаторах.
5. Исследователи Aqua сообщают об обнаруженных вариантах обхода политик в OPA Gatekeeper, утилите для управления кластерами Kubernetes.
6. Исследователь Владимир Палант представил новый набор из 10 вредоносных расширений Chrome после того, как в прошлом месяце был обнаружен первый набор из 35.
7. Veeam выпустила исправления для устранения критической RCE-уязвимости в ПО для резервного копирования Veeam Backup для Salesforce, Nutanix AHV, AWS, Microsoft Azure, Google Cloud, Oracle Linux Virtualization Manager и Red Hat Virtualization.
CVE-2025-23114 имеет оценку CVSS 9,0 из 10,0 и позволяет злоумышленнику использовать MiTM-атаку для выполнения произвольного кода на уязвимом сервере-устройстве с правами root.
Исследователи из Лаборатории Касперского сообщают об обнаружении нового криптокрада для iOS и Android, который использует нейросети для кражи данных из фотогалереи и активно распространяется через официальные App Store и Google Play.
SparkCat анализирует фотографии из галереи телефона и сканирует их с помощью модуля OCR, извлекая присутствующий на любом из изображений текст.
Вредоносная ПО фокусируется на фразах, своих с мнемоническими фразами на разных языках, которые потенциально могут быть снимком экрана с фразой для восстановления доступа к криптокошельку, отправляя собранные фото на серверы злоумышленников.
Кроме того, криптокрад может красть и другие данные, включая содержание сообщений или пароли, если они запечатлены на скриншотах.
Вредоносный код был замаскирован внутри безобидных на первый взгляд SDK, используемых как для приложений Android, так и для iOS.
Распространялся в составе заражённых мессенджеров, ИИ-ассистента, приложений для доставки еды и для доступа к криптобирже.
Название вредоносной программы происходит от Spark, вредоносного SDK, используемого для приложений Android, и bigCat, SDK, используемого для iOS.
Исследователи отмечают, что задетектили Spark SDK в нескольких приложениях Android, загруженных в Play Store, которые насчитывают более 242 000 установок, причем некоторые из приложений все еще активны.
При этом им удалось отыскать лишь одно вредоносное приложение iOS в Apple App Store.
Но найденные при анализы артефакты указывают на то, что в общей сложности было разработано несколько приложений iOS, часть из которых пока в оффлайне, а часть не содержат кода (во всяком случае пока).
Среди отличительных особенностей зловреда: кроссплатформенность, задействование Rust, мимикрирование С2-доменов под легитимные сервисы и вредоносных фреймворков - под служебные пакеты, а также обфускация.
Причем вредоносная ПО также задействовала Google ML Kit, модель машинного обучения для разработчиков мобильных приложений, для сканирования изображений на наличие текста.
Это делает SparkCat вторым известным штаммом вредоносных ПО, использующим ML Kit для извлечения фраз восстановления криптокошелька из изображений после аналогичного семейства, обнаруженного в 2023 году компанией ESET.
Как полагают исследователи, на основании шаблонов распознавания ключевых слов и загруженных модулей OCR можно сделать вывод, что вредоносная программа нацелена на аудиторию в Европе и Азии.
Часть исходного кода вредоносного ПО также содержала комментарии на китайском языке, что навело исследователей на мысль, что злоумышленник мог свободно владеть этим языком.
Исследователи ЛК оперативно уведомили Google и Apple о своей находке, однако SparkCat может продолжать распространяться на неофициальных площадках.
В целом, наблюдаемая кампания, как отмечают исследователи, разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы неактуальны для владельцев устройств Apple
Технические подробности - отчете.
В киберподполье оперативно отреагировали на стремительный всплеск популярности DeepSeek, выкатив два вредоносных пакета deepseek и deepseekai для кражи информации в Python Package Index (PyPI), выдавая их за инструменты разработчика для платформы ИИ.
Причем пакеты были загружены со старой учетной записи, созданной в июне 2023 года, без какой-либо предыдущей активности.
Правда, задетектить угрозу не менее оперативно (почти в считанные минуты) смогли исследователи Positive Technologies, которые сообщили о своей находке в PyPI.
По данным Positive Technologies, атака, скорее всего, была направлена на разработчиков, инженеров машинного обучения или энтузиастов искусственного интеллекта.
Оба пакета, выдававшие себя за клиенты Python для DeepSeek AI, были ПО для кражи информации со свойственным им функционалом кражи данных у разработчиков, которые решили их использовать.
После запуска на компьютере разработчика вредоносная нагрузка похищала пользовательские и системные данные, а также переменные среды, которые часто содержат конфиденциальные данные, необходимые для работы приложений, например, ключи API для службы хранения S3, учетные данные базы данных и разрешения на доступ к другим ресурсам инфраструктуры.
Затем украденная информация переправлялась на C2 по адресу eoyyiyqubj7mquj.m.pipedream[.]net с использованием Pipedream, легитимной платформы автоматизации.
Полезная нагрузка выполнялась, когда пользователь запускал команды deepseek или deepseekai (в зависимости от пакета) в интерфейсе командной строки.
Вредоносные пакеты deepseek 0.0.8 и deepseekai 0.0.8 были загружены в PyPI 29 января 2025 года с разницей всего в двадцать минут.
После уведомления PyPI немедленно поместила пакеты в карантин и в течение часа заблокировала их загрузку, после чего они были полностью удалены с платформы.
Несмотря на быстрое обнаружение и реагирование, 222 разработчика загрузили оба пакета, большинство из США (117), за ними следуют Китай, Россия, Германия, Гонконг и Канада.
Разработчикам, использовавшим эти пакеты, следует немедленно сменить свои ключи API, токены аутентификации и пароли, поскольку теперь их можно считать скомпрометированными.
Как отмечают Позитивы, хакеры всегда отслеживают тенденции и стараются воспользоваться ими в нужный момент.
В данном случае это была относительно безобидная атака, хотя из-за шумихи вокруг DeepSeek в случае промедления жертв могло бы быть гораздо больше.
Ранее попытки оседлать тренд для распространения вредоносного ПО фиксировали также в ESET, детектируя фейковые сайты, домены-двойники и фиктивные криптотокенами DeepSeek.
Исследователи Fortinet FortiGuard Labs сообщают о новых кампаниях, нацеленных на пользователей Windows в Бразилии с использованием банковского вредоносного ПО, известного как Coyote.
После развертывания банковский троян Coyote способен выполнять различные вредоносные действия, включая регистрацию нажатий клавиш, создание снимков экрана и отображение фишинговых оверлеев для кражи конфиденциальных учетных данных.
За последний месяц Fortinet обнаружила несколько артефактов, связанных с файлами Windows Shortcut (LNK), содержащих команды PowerShell, отвечающие за доставку вредоносного ПО.
Coyote был впервые задокументирован Лабораторией Касперского в отчете в начале 2024 года, где подробно описывались атаки, нацеленные на пользователей в южноамериканской стране с возможностью сбора конфиденциальной информации по 70 финансовым приложениям.
В наблюдавшейся тогда цепочке атак исполняемый файл установщика Squirrel использовался для запуска приложения Node.js, скомпилированного с помощью Electron, которое, в свою очередь, запускало загрузчик на основе Nim для запуска вредоносной нагрузки Coyote.
Последние заражения начинаются с LNK-файла, который выполняет команду PowerShell для получения следующего этапа с удаленного сервера (tbet.geontrigame[.]com), еще одного скрипта PowerShell, который запускает загрузчик, отвечающий за выполнение промежуточной полезной нагрузки.
Внедренный код использует Donut, инструмент, разработанный для расшифровки и выполнения финальных полезных нагрузок MSIL (Microsoft Intermediate Language).
Расшифрованный исполняемый файл MSIL сначала устанавливает постоянство, изменяя реестр в HCKU\Software\Microsoft\Windows\CurrentVersion\Run.
Новая запись реестра содержит настроенную команду PowerShell, указывающую на загрузку и выполнение URL-адреса в кодировке Base64, что обеспечивает реализацию основного функционала банковского трояна.
После запуска вредоносная ПО собирает базовую системную информацию и список установленных антивирусных решений на хосте, после чего данные кодируются Base64 и передаются на удаленный сервер.
Выполняются также различные проверки для уклонения от обнаружения песочницами и виртуальными средами.
Заметным изменением в последней версии Coyote стало расширение целевого списка, который теперь включает 1030 сайтов и 73 финансовых агента, таких как mercadobitcoin.com.br, bitcointrade.com.br, foxbit.com.br, augustoshotel.com.br, blumenhotelboutique.com.br и fallshotel.com.br.
Если жертва попытается получить доступ к любому из сайтов в списке, вредоносная ПО связывается с контролируемым злоумышленником сервером для получения команд, начиная от захвата скриншота до обслуживания оверлеев.
Некоторые из других функций включают отображение активации кейлоггера и манипулирование настройками дисплея.
Как отмечают исследователи, обновленный троян с многоступенчатым процессом заражения представляет значительную угрозу, особенно потому, что он имеет потенциал для выхода за пределы своих изначальных целей.
Google выкатила обновления для Android за февраль 2025 года с исправлениями 48 уязвимостей, включая 0-day, которая широко использовалась злоумышленниками.
Она отслеживается как CVE-2024-53104 и представляет собой уязвимость в драйвере USB Video Class ядра Android и позволяющую аутентифицированным локальным злоумышленникам повышать привилегии в атаках низкой сложности.
Проблема затрагивает драйвер uvcvideo ядра Linux, который не может правильно анализировать кадры типа UVC_VS_UNDEFINED в функции uvc_parse_format.
Поскольку функция анализа кадров не учитывает их при расчете размера буфера кадров, может произойти запись за пределами допустимого диапазона.
Хотя никаких других технических подробностей предоставлено не было, разработчик ядра Linux Грег Кроа-Хартман в начале декабря 2024 года сообщил, что уязвимость кроется в ядре Linux и появилась в версии 2.6.26, выпущенной в середине 2008 года.
Разработчики GrapheneOS считают, что CVE-2024-53104 - это вероятно, одна из ошибок USB, используемых криминалистическими инструментами извлечения данных.
Частно это подтверждают и в Google, отмечая в своем сообщении, что уязвимость может привести к физическому повышению привилегий без необходимости дополнительных привилегий выполнения.
Помимо активно эксплуатируемой ошибки, февральские обновления также устраняют критическую уязвимость безопасности в компоненте WLAN компании Qualcomm.
Qualcomm описывает критическую CVE-2024-45569 как проблему повреждения памяти прошивки, вызванную неправильной проверкой индекса массива при взаимодействии с хостом WLAN при анализе ML IE из-за недопустимого содержимого кадра.
CVE-2024-45569 может быть использована удаленными злоумышленниками для потенциального выполнения произвольного кода или команд, чтения или изменения памяти, а также для сбоев в атаках низкой сложности, не требующих привилегий или взаимодействия с пользователем.
Из всех проблем 23 были исправлены в первой части обновления за февраль 2025 года, которое поставляется на устройства как уровень 2025-02-01 и устраняет ошибки в компонентах Framework, Platform и System.
Вторая часть обновления представлена как уровень 2025-02-05 и устраняет 23 дефекта безопасности в ядре, компонентах Arm, Imagination Technologies, MediaTek, Unisoc и Qualcomm.
Android Automotive OS и Wear OS, обновленные до уровня исправления безопасности от 2025-02-05, также содержат исправления уязвимостей, включенных в бюллетень по безопасности Android за февраль 2025 года.
Исследователи из Лаборатории Касперского в новом отчете проанализировали ландшафт киберугроз для промышленных предприятий и OT-инфраструктур в 2025 году в призме происходящих глобальных процессов:
- Охота за инновациями:
В условиях фактически очередной технической революции и стратегических инвестициях в инновации APT будут активизировать свои усилия и нацеливаться на жертв, связанных с передовыми исследованиями и разработками.
Аналогичным образом действуют вымогатели и хактивисты.
При этом злоумышленникам может оказаться проще получить доступ к такой информации из технологической сети производственного объекта, чем из периметра лаборатории или офисной сети.
Цепочка поставок и сеть доверенных партнеров также являются очевидными потенциальными целями злоумышленников.
- Искусственные ограничения и санкционные войны:
Способствуют нарушениям прав интеллектуальной собственности мировых технологических лидеров, что приводят к определенным рискам и в сфере ИБ.
Разработчики и поставщики OT-технологий не смогут гарантировать клиентам эффективную защиту их интеллектуальной собственности.
Взломанные версии и нештатные модификации проприетарных продуктов принесут киберугрозы прямо внутрь технологического периметра.
Злоумышленники продолжат охоту за техническими ноу-хау (как в случае с Librarian Ghouls), а целями могут стать программы ПЛК и SCADA-проекты, алгоритмы управления оборудованием внутри периметра технологической сети.
- Новые технологии = новые риски информационной безопасности:
Наибольший рост эффективности обещает, как и во многих других сферах, широкое использование систем машинного обучения и ИИ, в том числе непосредственно на производстве - при управлении технологическим процессом.
При этом неаккуратное использование технологий ИИ в IT- и операционных процессах промышленных предприятий может привести к непреднамеренному раскрытию конфиденциальной информации или появлению новых угроз безопасности.
Как сами системы ИИ, развернутые на предприятии, так и уникальные данные, которые они используют могут стать новыми целями для опасных кибератак.
Злоумышленники также не игнорируют технический прогресс, задействуя ИИ на разных этапах подготовки и проведения атак
- Проверенные временем технологии = новые риски информационной безопасности:
Выражение «работает - не трожь» в технологических инфраструктурах промышленных предприятий имеет особенный оттенок смысла и получается так, что система работает десятилетиями без каких-либо модификаций по части безопасности.
Проблема осложняется порой низким качеством информации об уязвимостях в продуктах для OT, предоставляемой разработчиками и доступной из публичных источников.
Помимо незащищенных систем промышленной автоматизации, существует также много типов устройств или целых инфраструктур, так или иначе связанных с технологической сетью, про безопасность которых просто забывают.
- Выбрал неправильно вендора - жди беды:
Недостаточные инвестиции разработчиков или поставщиков технологий в собственную ИБ - верный залог инцидентов у их клиентов.
Один из показательных случаев — атака на CDK Global. Но для промышленных предприятий есть ряд осложняющих ситуацию факторов.
- Больше нельзя полагаться на сокрытие информации о работе промышленных систем.
Исследователи F.A.C.C.T. предупреждают о новых атаках со стороны кибершпионской группировки Rezet, также известной как Rare Wolf, нацеленной на промышленные предприятия в России я января 2025 года.
Только за последнюю неделю января в F.A.C.C.T. смогли перехватить ряд вредоносных рассылок.
Под видом приглашения на семинары по стандартизации оборонной продукции скрывались вредоносные файлы, открытие которых могло привести к заражению рабочих станций.
Rezet aka Rare Wolf - группа кибершпионажа, активная с октября 2018 года и причастная к совершению более пятисот кибератак на российские, белорусские и украинские промышленные предприятия.
Атакуют преимущественно с помощью фишинговых рассылок. В кампаниях 2021 и 2023 годов злоумышленники использовали для заражения устройств файл rezet.cmd, согласно которому исследователи и назвали группу.
В январе 2025 года вредоносные рассылки производились, например, от имени компании, которая специализируется на сопровождении контрактов предприятиями – исполнителями гособоронзаказа.
Объектами атаки стали предприятия химической, пищевой и фармацевтической промышленности.
Письма выглядели как приглашения руководителей и специалистов на семинары по стандартизации оборонной продукции.
Как отмечают в F.A.C.C.T., Rezet в новых атаках задействовала технику заражения, схожую с прошлыми атаками.
В первой рассылке внутри архива находился вредоносный файл, который содержал в себе файл-приманку в виде PDF-документа, а также полезную нагрузку. Пароль к архиву был указан в тексте письма.
Такая техника традиционно применяется злоумышленниками для обхода стандартных средств защиты.
При запуске открывается PDF-документ для отвлечения внимания, а в фоне происходит заражение системы.
Во второй и третьей рассылках, которые злоумышленники направили несколько дней спустя, в архиве находились уже два вредоносных файла, содержащие PDF-документ и полезную нагрузку.
Открытие любого из них также приводило к заражению системы.
Автоматизированные отчёты по рассылкам доступны здесь и здесь.
Исследователи BI.ZONE сообщают об обнаружении широкомасштабной кампании, нацеленной на российские организации разных отраслей, в которой задействуется стиллер NOVA - новый форк SnakeLogger с прайсом от 50$.
В ходе наблюдаемой кампании злоумышленники распространяли NOVA в прикрепленных к фишинговым письмам архивах, маскируя под договоры (например, Договор.exe).
Примечательно, что атакующие не использовали ни двойное расширение, ни иконку, позволяющие замаскировать вредоносный файл под легитимный документ.
После запуска вредоносный файл осуществляет декодирование данных, скрытых с помощью стеганографии, из ресурсов с именем zabawa2, а затем копирует себя под другим именем в AppData\Roaming и запускает PowerShell для добавления файла в исключения Microsoft Defender.
Для закрепления в скомпрометированной системе вредоносный файл использует планировщик заданий Windows.
Далее вредоносный файл запускает себя в состоянии suspended и осуществляет внедрение расшифрованной нагрузки в собственный дочерний процесс.
Цепочка API‑вызовов выглядит следующим образом: CreateProcessInternalA (suspended) - VirtualAllocEx - WriteProcessMemory - SetThreadContext - ResumeThread.
Примечательно, что вредоносный файл содержит строки на польском языке. При этом внедряемая вредоносная нагрузка представляет собой стилер NOVA, форк другого популярного стилера - SnakeLogger.
Для получения информации об IP и стране скомпрометированной системы NOVA осуществляет запросы к веб-ресурсам checkip[.]dyndns[.]org и reallyfreegeoip[.]org.
Стилер собирает сохраненные аутентификационные данные из различных источников, фиксирует нажатия клавиш, а также делает скрины экрана и извлекает данные из буфера обмена.
Эксфильтрация реализуется по SMTP.
Также образец потенциально способен отключать Microsoft Defender, диспетчер задач, редактор реестра и командной строки.
Функции с соответствующими названиями в стиллере присутствуют, однако в них отсутствует код, необходимый для выполнения вредоносных действий.
Кроме того, обнаружена функция, которая ограничивает выполнение ВПО после определенной даты.
NOVA распространяется по модели MaaS (имеется даже свой канал в Telegram) и широко используется в киберподполье как минимум с августа 2024 года.
При этом разработчик предлагает не только стилер, но и криптор.
Стоимость стилера начинается от 50$ за месячную лицензию и доходит до 630$ за бессрочную, у криптора - от 60$ (за месяц) до 150$ (за 3 месяца).
Технические подробности и IoC - в отчете.
Исследователи Solar выкатили отчет о новой APT NGC4020, которую им удалось задетектить в ходе расследования инцидента в компании из промышленного сектора.
В процессе исследования атакованных систем удалось обнаружить, что для загрузки вредоносного ПО злоумышленники использовали уязвимость в продукте DameWare Mini Remote Control.
Кроме этого, уязвимость позволила им выполнить загрузку в пространство ядра из-под учетной записи LocalSystem собственного вредоносного драйвера, предназначенного для обхода средств защиты, и отключающего компоненты самозащиты антивирусного ПО.
В процессе мониторинга угроз в одной из систем клиента в конце марта был обнаружен вредонос по пути: C:\ProgramData\programs\scvrc.exe.
Файл был создан более месяца назад – в середине февраля, а «scvrc.exe» оказался ReverseShell на Java, при этом атакующие не использовали никакой обфускации: адрес С2 хранился в виде строкового значения и мог быть обнаружен в выводе утилиты Strings, а также имелась ссылка на GitHub с его исходниками.
После попадания файла в систему фиксируется выполнение только лишь системных утилит для разведки net.exe и hostname.exe. Свидетельства закрепления данного Reverse Shell отсутствовали, а после перезагрузки системы файл не запускался.
При этом помимо него в системе создавался еще одним файл: C:\Windows\Temp\dwDrvInst.exe, самораспаковывающийся архив с ранее обнаруженным scvrc.exe, а также директорией jre-1.8 с легитимными файлами Java (распаковываются рядом с scvrc.exe для запуска Java-программ).
Его создание в системе является характерным признаком эксплуатации RCE-уязвимости CVE-2019-3980 в ПО DameWare Mini Remote Control, которая позволяет загрузить и запустить произвольный исполняемый файл в целевой системе.
Проанализировав весь DWRCSAccess.log, Солары обнаружили, что в декабре 2022 года при аналогичной эксплуатации в системе был размещен еще один вредонос: C:\ProgramData\Oracle\Java\ RuntimeBroker.exe (тот же scvrc.exe, но с другим C2).
Далее удалось найти еще одну систему, к которой также можно было получить доступ извне через DameWare, и в ней нашлись идентичные незакрепленные Reverse Shell от 2022 и 2024 годов вместо со следами разведки, но антивирусное ПО тогда не обнаружило их.
В этой системе в артефакте ShimCache, где для файла C:\Windows\Temp\dwDrvInst.exe было создано три записи при атаке в феврале 2024 года, что означает наличие сразу трех нагрузок, которые были запущены через RCE-уязвимость.
Вторая нагрузка нашлась быстро: это был файл вредоносного ПО QuasarRAT, который атакующие закрепили с помощью создания задачи в планировщике, а третья - в директории агента администрирования C:\Program Files (x86)\Kaspersky Lab\NetworkAgent\klcsdb.exe.
И, казалось бы, атакующие провели успешную атаку: запустили Reverse Shell через RCE-уязвимость в ПО DameWare, отключили антивирусное ПО, добавили эксплойт для его отключения в автозагрузку, а также закрепились в системе с помощью QuasarRAT.
Но изучение логов показало, что после перезагрузки системы на следующий день активность атакующих прекратилась.
Как оказалось они совершили ошибку при создании задачи для закрепления импланта.
При исследовании параметров обнаружилаось, что ее запуск должен выполняться с использованием доменной системной учетной записи, при этом в задаче был указан параметр Run only when user is logged on, а для выполнения задач с правами системы требуется иной параметр.
Таким образом, клиент не пострадал, а Солары получили интересные образцы вредоносного ПО, которые подробно описаны в отчете.
В штатах разразился новый скандал с китайским шпионажем после того, как CISA предупредила об обнаружении бэкдора в устройствах Contec CMS8000, который крал данные пациентов и мог загружать/запускать файлы.
Поставщик Contec - китайская компания, специализирующаяся на технологиях в сфере здравоохранения с широкой линейкой медицинских изделий, включая системы мониторинга состояния пациентов, диагностическое оборудование и лабораторные приборы.
Вредоносное поведение выявили в ходе аудита прошивки Contec CMS8000, который позволил исследователям выявить аномальный сетевой трафик на жестко закодированный внешний IP-адрес, который не был связан не с компанией, а вместо этого вел к университету.
Дальнейшее изукчение привело к бэкдору в прошивке, который мог скрытно загружать и выполнять файлы на устройстве, что позволяло удаленно полностью контролировать мониторы пациентов и эксфильтровывать данные пациентов на жестко закодированный адрес при запуске.
Наименование университета не разглашается, но известно, что IP также жестко закодирован в ПО и другого медицинского оборудования, включая монитор для наблюдения за беременностью от другого производителя медтехники в Китае.
При анализе прошивки специалисты обнаружили, что один из исполняемых файлов устройства «monitor» содержит бэкдор, который выдает ряд команд Linux, включающих сетевой адаптер устройства (eth0), а затем пытается смонтировать удаленный общий ресурс NFS по жестко запрограммированному IP.
Общий ресурс NFS монтируется в /mnt/, и бэкдор рекурсивно копирует файлы из /mnt/ в /opt/bin. Затем продолжает копировать файлы из /opt/bin в папку /opt и, по завершении, демонтирует удаленный общий ресурс NFS.
Обычно Linux хранит установки стороннего ПО в каталоге /opt, а сторонние двоичные файлы - в /opt/bin.
Возможность перезаписывать файлы в /opt/bin обеспечивает мощный примитив для удаленного захвата устройства и удаленного изменения его конфигурации.
Кроме того, использование символических ссылок может предоставить примитив для перезаписи файлов в любом месте файловой системы устройства.
При выполнении функция предоставляет примитив, позволяющий третьей стороне по жестко закодированному IP потенциально получить полный контроль над устройством удаленно.
Хотя CISA не раскрыла, какие функции выполняют эти файлы на устройстве, представители организации заявили, что не обнаружили никакой связи между устройствами и жестко запрограммированным IP-адресом, а только попытки подключиться к нему.
В CISA заявили, что после аудита они пришли к выводу, что это не функция автоматического обновления, а скорее бэкдор, внедренный в прошивку устройства.
В подтверждение того, что это изначально был бэкдор, CISA обнаружила, что устройства также начали отправлять данные пациентов на удаленный IP при запуске устройств.
При этом данные пациентов обычно передаются по сети с использованием протокола Health Level 7 (HL7). Однако эти устройства отправляли данные на удаленный IP через порт 515, который обычно связан с протоколом Line Printer Daemon (LPD).
Передаваемые данные включают в себя имя врача, идентификатор пациента, имя пациента, дату рождения пациента и другую информацию.
После обращения в Contec по поводу бэкдора получить исправления для нейтрализации бэкдора так и не удалось, в связи с чем CISA попросту рекомендовала всем организациям в сфере здравоохранения отключить устройства от сети.
Microsoft сообщает, что злоумышленники внедряют вредоносное ПО в атаках с внедрением кода ViewState, используя статические машинные ключи ASP. NET, найденные в Интернете.
Речь идет о порочной практике, когда разработчики ПО используют публично раскрытые ключи ASP.NET validationKey и decryptionKey (предназначенные для защиты ViewState от несанкционированного доступа и раскрытия информации) из общедоступных ресурсов, тем самым подвергая свои приложения опасности со стороны злоумышленников.
ViewState позволяет ASP.NET Web Forms контролировать состояние и сохранять вводимые пользователем данные при перезагрузке страницы.
Однако в случае, если злоумышленники получат машинный ключ, они смогут использовать его в атаках с внедрением кода для создания вредоносных полезных нагрузок путем присоединения созданного кода аутентификации сообщений (MAC).
При загрузке ViewState, отправленных через POST-запросы, среда выполнения ASP.NET на целевом сервере расшифровывает и проверяет вредоносные данные ViewState злоумышленников, загружает их в память рабочего процесса и выполняет.
Это дает им возможность удаленного выполнения кода на целевых серверах IIS, позволяя развертывать дополнительные вредоносные нагрузки.
В декабре 2024 года Microsoft зафиксировала ограниченную активность неизвестного злоумышленника, использовавшего общедоступный статический ключ ASP.NET для внедрения вредоносного кода и развертывания постэксплуатационной среды Godzilla.
В общем обнаружено более 3000 публично раскрытых ключей, которые могут быть использованы для подобных атак.
В то время как ранее известные атаки ViewState полагались на скомпрометированные или украденные ключи, которые часто продаются в даркнете, найденные раскрытые ключи могут представлять более высокий риск, поскольку доступны в нескольких репозиториях кода и могли быть внедрены в код разработки без изменений.
Microsoft представила список хэш-значений для публично раскрытых ключей, настоятельно призывая клиентов сверять их с машинными ключами, используемыми в их средах.
Чтобы блокировать такие атаки, Microsoft рекомендует безопасно генерировать машинные ключи, не использовать ключи по умолчанию или ключи, найденные в сети, шифровать элементы machineKey и connectionStrings.
Кроме того, обновлять приложения для использования ASP.NET 4.8, чтобы включить возможности интерфейса сканирования вредоносных программ (AMSI).
Компания также предупредила, что в случае успешной эксплуатации публично раскрытых ключей простой ротации ключей будет недостаточно, поскольку субъекты угрозы могли уже установить постоянство на хосте.
Исследователи AhnLab сообщают о новой тактике северокорейской APT Kimsuky, которая была замечена в недавних атаках с использованием специально разработанного RDP Wrapper и прокси-инструментов для прямого доступа к зараженным машинам.
В AhnLab полагают, что северокорейские хакеры теперь используют разнообразный набор настраиваемых инструментов удаленного доступа вместо того, чтобы полагаться исключительно на такие бэкдоры, как PebbleDash (тем не менее все еще используются).
Последняя цепочка заражений начинается с фишингового письма с прикрепленным вредоносным файлом LNK, замаскированным под документ PDF или Word.
Причем перед атакой Kimsuky проводят детальную разведку, на что указывают точные наименования получателя и компаний в электронных письмах.
Открытие файла LNK вызывает запуск PowerShell или Mshta для извлечения дополнительных полезных данных с внешнего сервера.
Среди них - PebbleDash, известный бэкдор в арсенале Kimsuky, который обеспечивает начальный контроль над системой.
Постоянство доступа и обхода мер безопасности реализуется с помощью модифицированной версии RDP Wrapper.
Кроме того, доставляются прокси-инструменты для обхода ограничений частной сети, позволяющие злоумышленникам получить доступ к системе даже в случае блокировки прямых RDP-подключений.
Упоминаемый RDP Wrapper - это легитимный инструмент с открытым исходным кодом, предназначенный для обеспечения функциональности RDP в версиях Windows, которые изначально не поддерживают его, например, Windows Home, позволяя включать подключения без изменения системных файлов.
Версия Kimsuky включает изменения в функции экспорта для обхода антивируса, и, вероятно, дифференцирует свое поведение так, чтобы обойти обнаружение на основе сигнатур.
Главным преимуществом использования пользовательской оболочки RDP является обход детектирования, поскольку соединения часто воспринимаются как легитимные, что позволяет Kimsuky дольше оставаться незамеченной.
Более того, он обеспечивает более удобное удаленное управление на основе графического интерфейса по сравнению с доступом через оболочку с помощью вредоносного ПО и может обходить брандмауэры или ограничения NAT, обеспечивая доступ RDP извне.
После того, как только Kimsuky закрепляются в сети, они сбрасывают вторичную полезную нагрузку.
К ним относятся кейлоггер (сохраняет данные в текстовом формате в системных каталогах), инфостилер (forceCopy, извлекает учетные данные, сохраненные в браузерах) и ReflectiveLoader на PowerShell (обеспечивает выполнение полезной нагрузки в памяти).
Последние данные AhnLab указывают на то, что Kimsuky продолжает оставаться одной из самых активных северокорейских APT и переходит на более скрытные методы удаленного доступа для увеличения продолжительности своего пребывания в скомпрометированных сетях.
Разработчики ориентированного на конфиденциальность браузера AdsPower предупреждают об инциденте, связанном с атакой на цепочку поставок, в результате которого злоумышленнику удалось взломать платформу браузера и внедрить вредоносный код.
По словам основателя SlowMist Юй Сяня, код работал как бэкдор, извлекая мнемонические фразы восстановления и закрытые ключи из расширения кошелька, отправляя их на сервер злоумышленника для дальнейшего хищения крипты пользователей браузера.
Атака была успешно реализована 21 января и оставалась незамеченной в течение трех дней, после чего AdsPower удалила код и принудительно удалила все целевые расширения из браузеров пользователей.
В компании полагают, что, по всей видимости, пострадали те пользователи, которые загрузили и установили расширения криптокошелька в период с 10:00 21 января по 10:00 24 января (UTC+0).
Разработчики уведомили всех пользователей, которые, по ее мнению, пострадали от взлома, и попросила их вывести средства, прежде чем это сделают хакеры.
По словам Джона Такнера из Secure Annex, атака, вероятно, была нацелена на расширения браузеров для MetaMask и OKX. На основании предоставленных дат это могут быть OKX 3.39.9 и MetaMask 12.10.1.
Пока расследование инцидента продолжается, по оценкам SlowMist, текущий размер похищенных хакерами криптоактивов с помощью ключей, связанных с инцидентом AdsPower, может достигать около 4,7 млн долл.
Будем следить.
Исследователи Seqrite Labs раскрывают атаки ранее неизвестной группы, известной как Silent Lynx, нацеленные на различные организации в Кыргызстане и Туркменистане.
Как отмечают исследователи, ранее эта группа была замечена в кампаниях, направленных на организации в Восточной Европе и Центральной Азии, связанные с финансовой аналитикой и экономическим прогнозированием.
Среди целей новых атак хакерской группы - сотрудники дипломатических учреждений, юристы, представители госбанков и аналитических центров.
Заражение начинается с фишингового письма с вложением в виде архива RAR для доставки в конечном итоге выступает вредоносных данных, отвечающих за реализацию удаленного доступа к скомпрометированным хостам.
Первая из двух кампаний, обнаруженная 27 декабря 2024 года, задействует архив RAR для запуска файла ISO, который, в свою очередь, включает вредоносный двоичный файл C++ и файл-приманку PDF.
Затем исполняемый файл реализует запуск скрипта PowerShell, который использует ботов в Telegram (с именами south_korea145_bot и south_afr_angl_bot) для выполнения команд и извлечения данных.
Некоторые из команд, выполняемых с помощью ботов, включают команды curl для загрузки и сохранения дополнительных полезных данных с удаленного сервера (pweobmxdlboi[.]com) или Google Диска.
В другой кампании используется вредоносный архив RAR, содержащий два файла: поддельный PDF-файл и исполняемый файл Golang, последний из которых предназначен для создания обратной оболочки к контролируемому злоумышленником серверу (185.122.171[.]22:8082).
По данным Seqrite Labs, были обнаружены некоторые тактические совпадения между Silent Lynx и YoroTrooper (он же SturgeonPhisher, ранее угрозу также профилировали Cisco Talos), который был связан с атаками на страны СНГ.
Кампании Silent Lynx демонстрируют сложную многоэтапную стратегию атак с использованием файлов ISO, загрузчиков C++, скриптов PowerShell и имплантов Golang.
Задействование ботов в Telegram для С2 в сочетании с фейковыми документами и региональным нацеливанием также подчеркивает их сосредоточенность на шпионаже в странах Центральной Азии и СПЕКА.
IOCs и MITRE ATT&CK - отчете.
🔐 Безопасность в сети: S.E.Virus Detect v.2.
• На прошлой неделе мы доработали нашего бота, который проверяет файлы, ссылки и ip на предмет угроз. Теперь S.E. Virus Detect умеет распознавать сокращенные ссылки, сразу их дешифрует и показывает конечный домен. Данный функционал работает не только в диалоге с ботом, но и в публичных чатах! Такая доработка значительно повысит вашу безопасность в сети и может сыграть ключевую роль в части защиты от фишинга.
• Другая доработка более ситуативная и будет меньше всего пользоваться спросом. Однако, мы решили реализовать функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
• Кстати, в декабре 2024 года S.E. Virus Detect отпраздновал свой перый день рождения! Вот немного статистики, которая сформировалась за прошедший год:
➡Общее число пользователей достигло 32 000;
➡14 000+ человек используют бота на постоянной основе;
➡Бот был добавлен в 5000 публичных чатов для проверки файлов и защиты пользователей.
➡За прошлую неделю было проверено около 2000 ссылок.
➡Ежедневно проверку на вирусы проходят более ±400 файлов (за год около 145 000).
• В будущем постараемся добавить больше новых и крутых функций для повышения вашей безопасности в сети. Ну, а если у вас есть идеи \ вы нашли ошибку, то пишите по контактам в описании этой группы. Всем безопасности: @S.E.VirusDetect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Socket Security обнаружили атаку на цепочку поставок ПО, нацеленную на экосистему Go, которая включает вредоносный пакет, предоставляющий злоумышленнику удаленный доступ к зараженным системам.
Пакет github.com/boltdb-go/bolt является типосквотом легитимного модуля базы данных BoltDB (github.com/boltdb/bolt).
Вредоносная версия 1.3.1 была опубликована на GitHub в ноябре 2021 года, после чего она была кэширована на неопределенный срок службой Go Module Mirror, откуда установщики командной строки Go загружают необходимые пакеты.
Реализованный злоумышленником подход гарантировал, что ручной аудит репозитория GitHub не выявит вредоносного контента, а механизм кэширования позволял не подозревающим разработчикам, устанавливающим пакет с помощью go CLI, загружать вариант с бэкдором.
После того, как версия модуля кэшируется, она остается доступной через Go Module Proxy, даже если исходный источник в дальнейшем изменяется.
Впоследствии злоумышленник, как говорят, изменил теги Git в исходном репозитории, чтобы перенаправить их на безвредную версию.
После установки скрытый бэкдор предоставляет злоумышленнику удаленный доступ к зараженной системе, что позволяет ему выполнять произвольные команды.
Socket отмечает, что эта эта атака является одним из первых задокументированных случаев попадания вредоносного пакета в Go Module Mirror и злоупотребления бессрочным кэшированием, обходя при этом на ручные проверки кода.
Специализирующийся на на продуктах Apple исследователь Патрик Уордл сообщает об обнаружении по итогам 2024 года в общей сложности двух десятков штаммов вредоносных ПО для macOS.
Общее число детектированных семейств вредоносных ПО для macOS составило 22, что примерно столько же, как и в 2023 году, но значительно больше, чем в 2021 и 2022 годах.
В последнем обзоре вредоносного ПО для macOS подробно рассматриваются стиллеры, ransomware, бэкдоры и загрузчики, но в их число не были включены рекламное ПО и вредоносное ПО прошлых лет.
В список инфокрадов macOS, появившийся в 2024 году, вошли CloudChat, Poseidon (он же Родриго), Cthulhu, BeaverTail, PyStealer и Banshee.
CloudChat фокусируется на крипте и ключах. PyStealer, Banshee и Poseidon крадут криптокошельки, а также данные браузера и другие конфиденциальные данные.
BeaverTail задействуется северокорейскими хакерами для кражи данных и развертывания дополнительных полезных нагрузок.
В категории программ-вымогателей для macOS был детектирован NotLockBit, который шифрует файлы жертв, а также реализует некоторые базовые функции кражи данных.
В категории бэкдоров/имплантов - вредоносное ПО для macOS под названием SpectralBlur, которое имеет базовые возможности загрузки, выгрузки и выполнения, по всей видимости также связано с северокорейцами.
Другое отмеченное семейство бэкдоров - Zuru. Он был впервые обнаружен в 2021 году, но Уордл включил его в список, поскольку образцы, обнаруженные в 2024 году, могут быть совершенно новым вредоносным ПО, а не просто новой версией уже известного.
LightSpy, связанный исследователями с китайскими хакерами, был обнаружен нацеленным не только на macOS, но также на iOS, Android и Windows.
Вредоносное ПО преимущественно использовалось для шпионажа, но последние версии содержат возможности для населения прямого ущерба системам.
Еще один бэкдор, появившийся в 2024 году, - HZ Rat, который был замечен в нацеливании на пользователей в Китае и предоставляет злоумышленникам полный контроль над зараженным устройством macOS.
Среди других бэкдоров, обнаруженных в прошлом году, выделены Activator (загрузчик бэкдора и криптокрад), HiddenRisk (северокорейское вредоносное ПО, используемое для атак на криптовалюту) и RustDoor.
Список загрузчиков macOS включает RustyAttr, InletDrift, ToDoSwift и DPRK Downloader (все связаны с Северной Кореей), EvasivePanda и SnowLight (связаны с Китаем), VShell Downloader и Unnamed Downloader.
В своем отчете исследователь предоставил технические подробности для каждого из этих штаммов вредоносных ПО, включая информацию о векторах заражения, механизмах сохранения, функциях и возможностях.
🐋 DeepSeek cтановится партнёром одной из топовых 💻ИБ-компаний 360 в 🇨🇳Китае
🤔А вот это уже интересно [1,2,3]. Один из главных мастодонтов ИБ в Китае компания 360 Digital Security Group объявила о полномасштабной интеграции своей безопасной ИИ-модели с платформой DeepSeek.
Суть интеграции заключается в том, что DeepSeek будет использоваться как базовая платформа нового поколения систем киберзащиты, объединяющих передовые алгоритмы машинного обучения с гигантским массивом данных 360. Главная цель заключается в создании так называемой «автопилотируемой» системы безопасности, которая сможет в реальном времени анализировать и нейтрализовать киберугрозы без участия человека.
Ранее основатель 360 Group Чжоу Хунъи пообещал предоставить DeepSeek безвозмездную 🛡комплексную защиту на фоне участившихся кибератак. Если верить заявлениям, то 360 выявила три фазы кибератаки на DeepSeek — первая включала в себя лёгкие HTTP-прокси-атаки. Вторая — рост интенсивности прокси-атак. В третьей фазе в процесс вмешались крупные ботнеты, включая RapperBot и HailBot, которые предоставляют DDoS-услуги по модели «атака как сервис». У многих DeepSeek просто лёг и не мог отвечать на запросы пользователей. Примечательно, что кибератаки внезапно появились после того, как топовые компании в США потеряли почти $1 триллион на NASDAQ.
Стоит отметить, что 360 стала первой цифровой компанией в 🇨🇳 Китае, подключившей свой ИИ к DeepSeek. Уже сейчас решения 360 внедрены в критически важные отрасли — государственные учреждения, финансовый сектор, стратегические предприятия, телекоммуникации, образование и здравоохранение. Утверждается, что ИИ от 360 зачастую способен в считаные минуты блокировать атаки шифровальщиков и пресекать сложные целевые кибератаки различных 🥷APTшек.
Кроме того, 360 использует концепцию 🤖«ИИ против ИИ» для выявления уязвимостей в больших языковых моделях. Недавно компания провела аудит и обнаружила порядка 40 критических брешей в безопасности ИИ-систем.
=====
🇹🇼♋️ Кстати, Тайвань полностью запретил правительственным учреждениям использовать сервис DeepSeek AI из соображений безопасности, следует из заявления, опубликованного в понедельник на сайте Исполнительного Юаня (правительство) Тайваня.
✋ @Russian_OSINT
Исследователи VulnCheck представили отчет со статистикой по уязвимостям и их эксплуатации за 2024 год.
Всего было зарегистрировано 768 уязвимостей с присвоенными идентификаторами CVE, которые были использованы в реальных условиях, по сравнению с 639 CVE в 2023 году, демонстрируя рост на 20% в годовом исчислении.
Распространенной проблемой является то, как быстро уязвимости эксплуатируются после раскрытия.
Описывая 2024 год как еще один знаменательный год для злоумышленников, нацеленных на эксплуатацию уязвимостей, VulnCheck отмечает, что 23,6% известных эксплуатируемых уязвимостей (KEV) были использованы почти накануне или до дня публичного раскрытия их CVE.
Показатель немного меньше, чем в 2023 году (26,8%), что говорит о том, что несмотря на шумиху вокруг 0-day, попытки эксплуатации уязвимости могут иметь место в любой момент жизненного цикла уязвимости.
Для исследования было задействовано 112 уникальных источников, которые первыми сообщали о CVE, при этом сторонние поставщики (включая CheckPoint, Aqua Security, Fortinet, F5), госучреждения (DOD, CISA, NHS) и некоммерческие организации (Shadow Server) возглавили рейтинг.
В 2024 году 1% опубликованных CVE были публично зарегистрированы как эксплуатируемые в дикой природе. Причем ежемесячный базовый уровень эксплуатируемых CVE варьировался от 30 до 50.
Ожидается, что это число будет расти, поскольку эксплуатация часто обнаруживается спустя долгое время после публикации CVE.
Представители WhatsApp (принадлежащей признанной в России экстремистской Meta) рапортуют о нейтрализации кампании с использованием spyware Graphite от Paragon Solutions, нацеленной на более чем 90 пользователей из числа журналистов и политических деятелей.
Как переедет The Guardian, разоблачить и пресечь активность злоумышленников удалось в декабре 2024 года.
В атаках, предположительно, использовался Zero-Click эксплойт без какого-либо взаимодействия с пользователем.
Предполагается, что атакующие распространяли специально созданные PDF-файлы, отправляя их лицам через групповые чаты в WhatsApp.
WhatsApp отметила, что цели были рассредоточены по более чем двум десяткам стран, включая несколько стран Европы, добавив об уведомилении пострадавших и предоставлении рекомендаций по противодействию вновь выявленной угрозе.
Meta отправила Paragon официальное письмо с требованием прекратить и воздержаться от дальнейших вредоносных действий, угрожая судебным преследованием, как в случае с NSO.
Примечательно, что в этот же период компанию-разработчика шпионского ПО aragon Solutions приобрела американская частная инвестиционная компания AE Industrial Partners почти за ярд баксов.
В настоящее время не разглашается, кто стоит за кампанией и как долго она продолжалась.
Но известно, что основной клиентурой шпионского ПО Graphite, по большей части, являлись американские и европейские спецслужбы.
Так что судебное преследование вряд ли состоится, как, впрочем, опубличивание ответственных заказчиков.
А если делу и дадут ход (ведь принимавшая участие расследовании Citizen Lab обещает в скором времени выкатить отчет), то можно будет считать это началом сегментации клиентуры.
Такой сценарий вполне вписывается в продвигаемую штатами парадигму передела рынка шпионского ПО, где помимо разработчиков проредят и клиентуру, как в случае с канадской Sandvine.
Тем более, что для США это еще один козырь в политических играх на европейском направлении. Сейчас очень кстати.
Будем следить.
Apple выпустила достаточно редкое, но весьма серьезное обновление безопасности для приложения GarageBand.
GarageBand 10.4.12 включает исправления для CVE-2024-44142, которая приводит к RCE на устройстве пользователя с помощью вредоносного изображения.
Проблема устранена путем улучшенной проверки границ. Об ошибке сообщил Марк Шенефельд, доктор наук, научный сотрудник.
Компания не раскрывает была ли уязвимость использована в реальных атаках, но, по всей видимости, потенциал для был. Но будем посмотреть.
В 10-20 млн. долл. оценивается ущерб от предполагаемой атаки на цепочку поставок, жертвами которой стали представители сообщества разработчиков криптовалют.
Однако исследователи не исключат версию с экзит-скамом.
Целью атаки стал инструмент объединения токенов DogWifTool.
Приложение активно используется разработчиками крипты для запуска и продвижения мемкойнов на блокчейне Solana.
Как отмечают админы в Discord и X, инцидент произошел после того, как злоумышленники взломали учетную запись GitHub приложения через токен путем реверса ПО и затем выкатили вредоносные версии.
Предполагается, что злоумышленники задействовали RAT для кражи закрытых ключей и разграбления кошельков разработчиков.
Некоторые жертвы даже сообщали, что их кошельки Coinbase были скомпрометированы после этой атаки.
Тем не менее, многочисленные отчеты спецов по блокчейну, в том числе InvincibleXBT, единогласно утверждают, что DogWifTools был слит без помощи со стороны.
Команда DogWifTools опровергает обвинения в своей причастности к инциденту, указывая на некоего стороннего субъекта, который действовал через VPN.
Более того, проект - несмотря на то, что его использовали для мошенничества - заявил, что они также привлекли экспертов по кибербезопасности и даже власти для поимки злоумышленника, а также защиты своей репутации.
При этом, как отмечается, приложение запрашивало много подозрительных разрешений после инсталляции на компьютере, а для обналичивания используются оказавшиеся непонятным образом в распоряжении мошенников фотографии удостоверений личности.
Для расследования привлекли Техасский совет по ценным бумагам, а местный прокурор уже потребовал провести суд присяжных по поводу возможной схемы с экзит-скамом.
Чем закончится неоднозначный инцидент, будем посмотреть.
Исследователи BI.ZONE представили подробную статистику по атакам на корпоративную почту за 2024 год, констатируя, что она остается одним из наиболее популярных векторов атак на компании.
Самые опасные категории сообщений - письма с вредоносным ПО во вложении, сообщения со ссылками, ведущими на фишинговые ресурсы, а также спуфинговые письма (с подделкой адреса отправителя).
Сегодня в компании из 1000 сотрудников ежедневно минимум один будет получать сообщение с ransomware, стилером или другим ВПО во вложении (0,12% трафика).
Особенно значительна доля таких писем в промышленности (0,25%).
В целом в сравнении с 2023 годом доля писем с вредоносными вложениями в корпоративном трафике выросла на 250%, а с фишинговыми ссылками - на 25%.
При этом негативный тренд фиксируется на протяжении уже нескольких лет: тот же 2023 год показывал более чем двукратный прирост сообщений с ВПО по сравнению с 2022‑м.
По оценке экспертов, в 2024 году столкнуться с одной из этих угроз можно было в среднем в каждом 77‑м письме, а в некоторых отраслях еще чаще.
Например, в почте промышленных компаний сообщение со спуфингом, ВПО или фишинговой ссылкой встречалось в 1 случае из 16, в медорганизациях - в 1 из 36, телекоме - в 1 из 48.
Реже всего письма из этих категорий специалисты фиксировали в трафике IT- и финорганизаций: всего 6–7 сообщений из 1000.
Увеличивается и доля сообщений с фишинговыми ссылками.
В результате роста на 25% они встречаются в среднем в 1 письме из 100 (1%).
Первенство здесь также удерживает промышленность, где доля таких писем — 4 из 100 (4%).
Если сообщение предназначается сотруднику компании из сфер строительства и недвижимости, транспорта и логистики, а также профуслуг - в 3 случаях из 100 (3%).
Специалисты отмечают тенденцию к увеличению числа таких писем и в отраслях, где их доля традиционно ниже из‑за объема почтового трафика в целом.
К примеру, в ритейле и электронной коммерции огромную часть трафика составляют автоматические сообщения и массовая рассылка, а фишинговые ссылки фиксируются в 0,07% писем. Однако в 2023 году их было только 0,02%.
При этом объем спуфинга сократился на 42%: в 2023 году подделать адрес отправителя пытались в каждом 200‑м сообщении, а теперь — в каждом 350‑м.
Специализированные средства защиты почты эффективно выявляют такие отправления, поэтому злоумышленники меняют тактику, стараясь завладеть доступом к легитимным email‑аккаунтам и совершать атаки от их имени.
При этом рост доли писем с фишинговыми ссылками - часть этого тренда: большинство таких ссылок ведет на поддельную страницу для входа в веб‑версию почты.
Пики для сообщений с фишинговыми ссылками и подделкой адреса отправителя наблюдались в четвертом квартале прошедшего года, а особенно в ноябре, что обусловлено активизацией деловой активности и традиционной черной пятницей.
В случае спуфинга заметный подъем наблюдался также летом, в июле‑августе, что увязывается с расчетом на снижение бдительности в период отпусков.
В случае писем с ВПО пик пришелся на апрель — в это время исследователи фиксировали волну массовых атак на российские компании.
BI.ZONE рекомендует компаниям уделять внимание многоуровневой защите почтового канала, чтобы отсекать и таргетированные рассылки, и массовые атаки.