39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Тревожные выводы приводят аналитики специализирующейся на киберфизической безопасности компании TXOne Networks по результатам опроса 150 руководителей высшего звена в Северной Америке, Европе, на Ближнем Востоке и в Азии.
Во многих организациях по-прежнему считают, что исправление ошибок в системах OT может привести к простою оборудования и сбоям в работе, и поэтому не проводят регулярное исправление ошибок.
Согласно ежегодному отчету TXOne по кибербезопасности OT/ICS за 2024 год, 85% организаций не реализуют регулярные исправления, а большинство устанавливают их ежеквартально или еще реже, что оставляет уязвимыми для атак их системы в течение длительного времени.
И это при том, что в прошлом году подавляющее большинство компаний столкнулось с инцидентами кибербезопасности, затронувшими их ОТ-среды, а 37% инцидентов безопасности ОТ были связаны с эксплуатацией уязвимостей ПО.
На вопрос об основных проблемах регулярного исправления OT наиболее часто упоминаемой причиной была нехватка персонала или опыта (48%), за которой следовали опасения по поводу сбоев в работе (47%) и отсутствие поддержки поставщика или тестирования исправлений (43%).
Фактически, 41% организаций откладывают исправление до тех пор, пока не станет доступна поддержка поставщика.
Почти 60% респондентов применяют исправления во время плановых простоев или периодов технического обслуживания, чтобы снижает риски сбоев в работе, однако TXOne отметила, что это может быть трудновыполнимо в организациях с высокими требованиями к эффективности.
Многие респонденты заявили, что тестируют исправления в контролируемой среде перед их внедрением в реальном времени (55%), а некоторые полагаются на поэтапное внедрение исправлений (44%).
Приоритет исправлений в основном определяется критичностью затронутой системы (в 61% случаев), затем следует доступность исправлений для конкретных активов (52%), а также подверженность риску и критичность уязвимостей (49%).
Уязвимости приоритизируются в 55% случаев на основе их оценки CVSS (которая может быть обманчивой для ICS) и включения в базы данных известных эксплуатируемых уязвимостей (KEV).
Многие организации также полагаются на инструменты Exploit Prediction Scoring System (49%) и инструменты оценки времени до эксплуатирования (47%).
Чуть более половины организаций полагаются на расширенный мониторинг и обнаружение вторжений, когда исправления недоступны, а 46% используют компенсирующие меры, такие как сегментация сети и усиление защиты системы, для смягчения последствий уязвимостей.
Для купирования этих проблемы TXOne рекомендует использовать более гибкие стратегии управления исправлениями, интегрировать инструменты автоматизации и использовать виртуальное исправление.
Дополнительные подробности исследования - в отчете.
Связанная с эксплуатацией трех исправленных на днях 0-day VMware кампания теперь отслеживается как ESXicape и затрагивает десятки тысяч экземпляров, о чем свидетельствуют результаты актуального сканирования.
4 марта Broadcom предупредила клиентов ESXi, Workstation и Fusion о выпуске срочных исправлений для CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, эксплуатация которых может привести к выполнению произвольного кода, выходу из песочницы и утечкам памяти.
Обнаружение ошибок приписывается Microsoft Threat Intelligence Center (вероятно, Microsoft также видела атаки с использованием 0-day), но ни Broadcom, ни Microsoft не поделились какой-либо информацией о замеченной вредоносной активности.
Исследователи Netlas сообщают об обнаружении более 7000 экземпляров VMware ESXi, подключенных к Интернету, которые, по-видимому, подвержены уязвимостям.
В свою очередь, Shadowserver Foundation выявила более 41 000 уязвимых экземпляров ESXi, большинство из которых находятся в Китае, Франции, США, Германии, Иране, Бразилии и Южной Корее (в РФ - более 700).
Их сканирования были нацелены на CVE-2025-22224, но детектированные экземпляры, вероятно, затронуты и другими уязвимостями, поскольку все они затрагивают одни и те же версии ПО.
Технические подробности и PoC пока недоступны, что, вероятно, на текущий момент сдерживает начало широкомасштабной эксплуатации.
Исследователь Кевин Бомонт окрестил уязвимости как ESXicape, поясняя, что в случае доступа к ESX, злоумышленник может получить доступ ко всему на сервере ESX, включая данные виртуальной машины и, что особенно важно, конфигурацию ESX и смонтированное хранилище, а в помощью них - перемещаться по среде VMware.
Так, если организации в используется vMotion, чтобы виртуальные машины могли автоматически перемещаться между хостами ESX, балансируя нагрузку и обеспечивая обслуживание, злоумышленник получает прямой доступ к хранилищу ВМ как на этом хосте, так и за его пределами по замыслу — они, по сути, свободны на бэкэнде.
По словам исследователя, злоумышленники могут использовать уязвимости, чтобы обойти решения безопасности и получить доступ к ценным активам, таким как базы данных контроллеров домена Active Directory, не вызывая оповещений.
А это достаточно часто наблюдается в инцидентах с ransomware, когда пользователи напрямую эксплуатируют сервер ESX или vCenter через сеть управления VMware, используя неисправленные уязвимости. Как только хакеры достигают ESX, они напрямую проникают в хранилище по всему кластеру.
При этом возможность доступа к гипервизору сервера ESX напрямую из виртуальной машины значительно повышает риск. Не нужно искать сведения о сервере ESX или подключаться к изолированной сети.
Бомонт отметил, что недавно в киберподполье был замечен эксплойт для побега из виртуальной машины ESXi по цене 150 000 долл., но неясно, рабочий ли он и связан ли с атаками 0-day, раскрытыми на этой неделе.
Будем следить.
Тем временем Cisco сообщает об устранении уязвимости Webex for BroadWorks, которая позволяет неавторизованным злоумышленникам получить удаленный доступ к учетным данным.
Несмотря на то, что этой проблеме еще не присвоен идентификатор CVE, в своем бюллетене по безопасности Cisco отмечает, что уже внесла изменения в конфигурацию для ее устранения и рекомендовала клиентам перезапустить приложение Cisco Webex для получения исправлений.
Уязвимость в Cisco Webex для BroadWorks версии 45.2 может позволить аутентифицированному пользователю получить доступ к учетным данным в виде простого текста в журналах клиента и сервера, если для связи по протоколу SIP настроен незащищенный транспорт.
Уязвимость обусловлена конфиденциальной информацией, раскрытой в заголовках SIP, и затрагивает только экземпляры Cisco BroadWorks (локально) и Cisco Webex для BroadWorks (гибридное облако/локально), работающие в средах Windows.
Компания рекомендует администраторам настроить защищенный транспорт для связи по протоколу SIP, чтобы шифровать передаваемые данные в качестве временного решения, пока изменение конфигурации не достигнет их среды. Кроме того, проводить ротацию учетных данных.
Cisco PSIRT при этом заверяет об отсутствии доказательств вредоносного использования или публичных заявлений, содержащих дополнительную информацию об этой уязвимости.
Broadcom выкатилась со срочным бюллетенем и предупреждает клиентов о трех 0-day VMware, которые были выявлены в ходе реальных атак, о чем сообщили исследователи Microsoft.
CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.
Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.
По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.
CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.
Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.
И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.
Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.
Так что будем следить и информировать.
Google выпустила исправления для 43 уязвимостей в обновлении безопасности для Android за март 2025 года, включая две 0-day, которые использовались в целевых атаках.
Одна из них, уязвимость высокой степени серьезности, которая отслеживается как CVE-2024-50302 и приводит к раскрытию информации в драйвере ядра Linux, задействовалась спецслужбами Сербии для разблокировки изъятых в ходе обыска устройств.
Уязвимость была использована в составе цепочки эксплойтов для Android, разработанной израильской компанией в сфере цифровой криминалистики Cellebrite.
Цепочка эксплойтов, которая также включает 0-day (CVE-2024-53104), исправленную в прошлом месяце, была обнаружена Amnesty International в середине 2024 года в результате анализа логов, найденных на устройстве, разблокированном в Сербии.
Google отметила, что была осведомлена в отношении этих уязвимостей и рисками их эксплуатации еще до отчетов и оперативно работала над исправлениями для Android, которые были предоставлены OEM-партнерам в консультативном сообщении от 18 января.
Вторая исправленная 0-day (CVE-2024-43093) представляет собой EoP-уязвимость в Android Framework, которая позволяет локальным злоумышленникам получать доступ к конфиденциальным каталогам из-за неправильной нормализации Unicode, эксплуатируя обход фильтра пути к файлу без дополнительных привилегий выполнения или взаимодействия с пользователем.
Обновления безопасности Android также устраняют 11 уязвимостей, которые могут позволить злоумышленникам удаленно выполнять код на уязвимых устройствах.
Google традиционно выпустила два набора: уровни исправлений безопасности 2025-03-01 и 2025-03-01.
Последний содержит все исправления из первой партии, а также для закрытых сторонних компонентов и подкомпонентов ядра, которые могут применяться не ко всем устройствам Android.
Второй день подряд поправляем ТГ-каналы по поводу хакерских группировок - вчера были государственные (APT), а сегодня речь пойдет про коммерческие.
Один небезызвестный компроматный канал написал (ссылку давать не будем, иноагент таки) про банду вымогателей RansomHub, что, мол, взломали они более 600 жертв за прошлый год.
Данная сентенция в очередной раз демонстрирует, что авторы каналов в Телеграме не совсем понимают как функционирует то или иное явление из области инфосека. И, хотя наша постоянная аудитория прекрасно знает что такое ransomware и с чем его едят, лишний раз подчеркнем особенности рансома и иерархию его исполнителей.
Без учета некоторых вариаций стандартная схема выглядит следующим образом. Головная банда вымогателей aka ransomware gang создает саму вредоносную программу, а также предоставляет услуги по размещению украденной информации на Data Leak Site (DLS), ведению переговоров и получению платежа.
Непосредственно взломом и распространением в сети атакованной организации ransomware занимается оператор - хакер или хакерская группировка, которая сотрудничает с ransomware gang на основании последующего разделения полученного выкупа.
В зависимости от набора услуг и конкретной банды вымогателей процент выкупа, получаемого оператором, может разниться.
При этом никто не запрещает ransomware gang самой осуществлять взломы (кроме законодательства, само собой).
Так что про 600 успешных атак, осуществленных непосредственно RansomHub речи не идет. Это совокупная работа всего пула ее операторов.
Закрывают, кстати, как мы регулярно видим, как раз таки операторов. Задержания и посадки членов банды вымогателей единичны по всему миру.
Ваш инфосек-КО.
Исследователи из Positive Technologies выкатили отчет о новых кампаниях Dark Caraca, связанных с использованием Poco RAT для атак по всей Латинской Америке, включая Венесуэлу, Доминиканскую Республику, Колумбию, Мексику, Эквадор, Панаму, Перу и Чили.
Все началось с обнаружения исследователями в первом квартале 2024 вредоносного семпла, который назвали Poco RAT - по наименованию используемых библиотек POCO для C++.
Анализ TTPs, цепочки атак и виктимологии позволил связать активность с Dark Caracal, группировкой кибернаемников, действующей с 2012.
Она специализируется на взломах по заказу, нацеливаясь на госучреждения, военные структуры, активистов, журналистов и коммерческие организации. Основной инструмент атак - троян удаленного доступа Bandook.
Целевой аудиторией замеченных атак стали испаноговорящие пользователи, что понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки вредоносного ПО.
Во вложении содержится документ-приманка, который в большинстве случаев представлен в формате PDF (реже — HTML) и мимикрирует под документ от организации в банковском секторе, здравоохранении, в области производства, логистики и др.
Причем в метаданных файлов обнаружены имена авторов и пользователей (PDF:Author): trabajo, Rene Perez, Keneddy Cedeño, Mr. Pickles, которые позволяют легко находить связанные с группировкой документы-приманки.
При нажатии на файл происходит переход по ссылке - и .rev-архив автоматически скачивается с легитимных файлообменников (Google Drive, Dropbox и др.) или CDN-хранилищ, что затрудняет обнаружение и блокировку источников.
Файлы с расширением .rev создаются архиватором WinRAR и изначально предназначены для воссоздания отсутствующих и поврежденных томов в многотомном архиве, а задействование их в качестве контейнеров для полезной нагрузки снижает вероятность обнаружения средствами защиты.
Внутри .rev-архивов содержится дроппер, название которого совпадает с названием документа-приманки: это укрепляет доверие жертвы и играет ключевую роль в начальной фазе атаки.
Его основная задача - подготовить и запустить вредоносный компонент (Poco RAT), не оставив следов на диске. Дроппер реализован на Delphi, его функциональность не изменялась с момента создания.
Действия дроппера сводятся к рефлективной загрузке и внедрению в легитимный процесс (iexplore.exe или cttune.exe) PE-модуля, находящегося в секции ресурсов в зашифрованном виде.
При этом также была выявлена схожесть дропперов Poco RAT и Bandook.
Poco RAT представляет собой бэкдор, позволяющий оператору работать с файловой системой, выполнять команды ОС, запускать исполняемые файлы, делать снимки экрана. Все проанализированные сборки упакованы с помощью UPX.
После успешного подключения к С2 Poco RAT собирает данные о системе, используя стандартный набор функций из WinAPI.
После сбора данных и установления соединения с C2-сервером проверяется наличие виртуальной среды.
Механизма для закрепления в системе в ВПО нет.
Можно предположить, что после первоначальной разведки сервер присылает команду для закрепления либо же атакующие применяют Poco RAT как промежуточный инструмент, который доставляет основную нагрузку.
Рассматриваемая кампания является продолжением деятельности группировки Dark Caracal, отражает переход к массовым рассылкам с использованием нового инструмента, а также попытки злоумышленников адаптироваться к современным методам защиты.
Технические подробности и IoC - в отчете.
Microsoft предупреждает о пяти уязвимостях драйвера Paragon Partition Manager BioNTdrv.sys, одна из которых использовалась в качестве 0-day бандами вымогателей в атаках BYOVD для получения привилегий SYSTEM в Windows.
Драйвер Biontdrv.sys является частью Hard Disk Manager и других решений, которые на нем основаны, включая такие как Paragon Partition Manager и Backup and Recovery.
Среди отслеживаемых проблем: произвольная запись в память ядра (CVE-2025-0288), разыменование нулевого указателя (CVE-2025-0287), произвольная запись в память ядра (CVE-2025-0286), произвольное отображение памяти ядра (CVE-2025-0285) и небезопасный доступ к ресурсам ядра (CVE-2025-0289).
Согласно рекомендациям CERT/CC, злоумышленник, имеющий локальный доступ к устройству, может воспользоваться этими уязвимостями для повышения привилегий или вызвать отказ в обслуживании на компьютере жертвы.
Кроме того, поскольку в атаке задействуется драйвер, подписанный Microsoft, злоумышленник может применить технику Bring Your Own Vulnerable Driver для взлома систем, даже если Paragon Partition Manager не установлен.
Поскольку BioNTdrv.sys является драйвером уровня ядра, злоумышленники могут использовать уязвимости для выполнения команд с теми же привилегиями, что и у драйвера, обходя при этом средства защиты и ПО безопасности.
Уязвимости затрагивают Biontdrv.sys в версиях 1.3.0 и 1.5.1 и были устранены с выпуском 2.0.0. Paragon включила исправления в Hard Disk Manager версии 17.45.0 и выпустила отдельный патч безопасности для устранения ошибок в старых версиях продукта на основе Hard Disk Manager.
Как предупреждает компания, некоторые функции Paragon Hard Disk Manager будут недоступны, если не установлена исправленная версия драйвера BioNTdrv.sys.
Однако исправление доступно только для устройств Windows 10, Windows 11 и Windows Server 2016, 2019, 2022 и 2025, поскольку старые версии платформы считаются небезопасными. Microsoft также на прошлой неделе добавила уязвимые версии драйвера в свой Vulnerable Driver Blocklist.
Пока неясно, какие именно группировки, занимающиеся вымогательством, используют уязвимость Paragon, однако атаки BYOVD становятся все более популярными среди киберпреступников. Замечены: Scattered Spider, Lazarus, BlackByte, LockBit и многие др.
Пользователям рекомендуется обновить все затронутые приложения Paragon, включая Hard Disk Manager, Partition Manager, Backup and Recovery, Drive Copy, Disk Wiper и Migrate OS to SSD, или как можно скорее применить доступное исправление безопасности.
В прошедшую пятницу многие Телеграм-каналы с подачи агитлистка вашингстонского обкома The Record разметили громкую новость о том, что Министр обороны США Пит Хегсет дал указание Киберкомандованию США отказаться от планирования любых киберопераций против России, включая наступательные.
Что можем сказать по этому поводу.
Всего известных больших APT у США имеется три штуки:
- Equation, подчиненная АНБ;
- Lamberts, она же Longhorn, являющаяся подразделением ЦРУ;
- APT-C-57, данными по которой располагает только китайская Qihoo 360, и которая, со слов китайских исследователей, не принадлежит ни АНБ, ни ЦРУ.
Таким образом ни Equation (точно), ни Lamberts (скорее всего), не руководствуются указаниями товарища Хегсета, а, следовательно, свои кибероперации против России не прекратят.
Поэтому данная новость выглядит как если бы, к примеру, руководство Береговой охраны США дало бы указание не ходить кораблям в Черном море. И корабли у них даже есть, но от Черноморья они сильно далеко и на ситуацию никак не влияют.
Поэтому полагаем возбуждение отечественной телеграмной медиаобщественности сильно преждевременным.
Продолжаем отслеживать трендовые уязвимости и связанные с ними потенциальные векторы атак.
1. Chamilo LMS исправила неаутентифицированную «слепую» уязвимость SSRF, обнаруженную Positive Technologies.
2. Разработчики почтового сервера Exim выпустили обновление безопасности для исправления SQLi, отслеживаемой как CVE-2025-26794.
3. VulnCheck извлекла и представила список всех CVE, упомянутых в недавней утечке переписки банды вымогателей BlackBasta.
Он включает 62 уязвимости в таких решениях, как брандмауэры, корпоративное оборудование и Microsoft Windows. VulnCheck отмечает, что группа фокусируется на CVE с уже публичными эксплойтами.
4. watchTowr Labs обнаружила уязвимость в ПО для резервного копирования Nakivo, которая позволяет неаутентифицированным злоумышленникам удаленно извлекать файлы из приложения.
Отслеживаемая как CVE-2024-48248, уязвимость может быть использована для извлечения пароля сервера резервного копирования или самих файлов резервного копирования. watchTowr сообщает, что поставщик исправил ошибку, но так и не ответил на ее раскрытие.
5. Cisco выпустила три рекомендации по безопасности для различных своих продуктов.
6. Платформа для совместной работы с открытым исходным кодом Mattermost выпустила обновления с исправлениями трех уязвимостей.
7. Исследователи Modat обнаружили в Интернете более 49 000 неправильно настроенных и уязвимых систем управления доступом (AMS) в различных отраслях и странах, в том числе в критически важных секторах, таких как электростанции и водоочистные сооружения.
Раскрытые AMS содержали конфиденциальные незашифрованные данные сотрудников, а также позволяли получить к ним доступ.
В некоторых случаях имелась возможность редактировать записи о сотрудниках, изменять учетные данные или манипулировать системами входа в здание.
Из общего числа 49 000 подверженных воздействию устройств AMS в мире большинство (16 678) находится в Италии, Мексике (5 940) и Вьетнам (5 035). В США Modat обнаружила 1 966 подверженных воздействию систем AMS.
CrowdStrike представила свой отчет о глобальных угрозах за 2025 год, в котором обобщены новейшие TTPs киберподполья, а также важные тенденции, которые определили 2024 год.
В 2024 году исследователи CrowdStrike задетектили и взяли в изучение 26 новых групп угроз, в результате чего общее число известных компании злоумышленников достигло 257.
В своем отчете CrowdStrike отмечает серьезное усиление активности, связанной с Китаем: по сравнению с 2023 годом во всех секторах наблюдался рост на 150%, а в таких в финансах, СМИ, промышленности и машиностроении, рост составил 200–300%.
Один интересный аспект, который выделяет CrowdStrike, - это время прорыва, которое требуется субъектам угрозы для перехода от первоначального доступа к высокоценным активам, а для защитников - чтобы обнаружить атаку и отреагировать, прежде чем хакеры начнут устанавливать более глубокий контроль.
В 2024 году среднее время раскрытия информации о кибератаках сократилось до 48 минут по сравнению с 62 минутами в 2023 году, а самое быстрое раскрытие информации, зафиксированное CrowdStrike в прошлом году, составило всего 51 секунду.
Более половины уязвимостей, обнаруженных CrowdStrike в прошлом году, были связаны с первоначальным доступом, что, по мнению компании, отражает важность защиты уязвимых систем.
Также было отмечено, что атаки на основе идентификации все чаще пользуются предпочтением по сравнению с традиционными вредоносными атаками.
Активность брокеров доступа резко возросла в 2024 году, увеличившись на 50% по сравнению с предыдущим годом, а злоупотребление действительными учетными данными было связано с 35% инцидентов в облаке.
Исследователи обнаружили, что в 2024 году 79% обнаружений не включали вредоносного ПО, что является значительным ростом по сравнению с пятью годами ранее с 40% аналогичных обнаружений.
Еще одно интересное наблюдение: количество вишинг-атак резко возросло, увеличившись на 442% между первой и второй половиной года.
Поскольку злоумышленники масштабируют атаки на основе идентификации и эксплуатации уязвимостей, организациям следует применять упреждающие стратегии защиты, сосредоточив усилия на проверки личности, исправлениях на основе рисков и раннем обнаружении случаев злоупотребления учетными данными, чтобы пресечь эскалацию действий злоумышленников.
Полный отчет о глобальных угрозах CrowdStrike 2025 доступен в формате PDF.
📝 HackerOne reports.
• Держите ссылки на очень объемный и полезный репозиторий, который включает в себя топ отчеты HackerOne. Репо постоянно поддерживают в актуальном состоянии, что поможет вам узнать много нового и полезного (варианты эксплуатации различных уязвимостей, векторы атак и т.д.).
• Tops 100:
➡Top 100 upvoted reports;
➡Top 100 paid reports.
• Tops by bug type:
➡Top XSS reports;
➡Top XXE reports;
➡Top CSRF reports;
➡Top IDOR reports;
➡Top RCE reports;
➡Top SQLi reports;
➡Top SSRF reports;
➡Top Race Condition reports;
➡Top Subdomain Takeover reports;
➡Top Open Redirect reports;
➡Top Clickjacking reports;
➡Top DoS reports;
➡Top OAuth reports;
➡Top Account Takeover reports;
➡Top Business Logic reports;
➡Top REST API reports;
➡Top GraphQL reports;
➡Top Information Disclosure reports;
➡Top Web Cache reports;
➡Top SSTI reports;
➡Top Upload reports;
➡Top HTTP Request Smuggling reports;
➡Top OpenID reports;
➡Top Mobile reports;
➡Top File Reading reports;
➡Top Authorization Bypass reports;
➡Top Authentication Bypass reports;
➡Top MFA reports.
• Tops by program:
➡Top Mail.ru reports;
➡Top HackerOne reports;
➡Top Shopify reports;
➡Top Nextcloud reports;
➡Top Twitter reports;
➡Top X (formerly Twitter) reports;
➡Top Uber reports;
➡Top Node.js reports;
➡Top shopify-scripts reports;
➡Top Legal Robot reports;
➡Top U.S. Dept of Defense reports;
➡Top Gratipay reports;
➡Top Weblate reports;
➡Top VK.com reports;
➡Top New Relic reports;
➡Top LocalTapiola reports;
➡Top Zomato reports;
➡Top Slack reports;
➡Top ownCloud reports;
➡Top GitLab reports;
➡Top Ubiquiti Inc. reports;
➡Top Automattic reports;
➡Top Coinbase reports;
➡Top Verizon Media reports;
➡Top Starbucks reports;
➡Top Paragon Initiative Enterprises reports;
➡Top PHP (IBB) reports;
➡Top Brave Software reports;
➡Top Vimeo reports;
➡Top OLX reports;
➡Top concrete5 reports;
➡Top Phabricator reports;
➡Top Localize reports;
➡Top Qiwi reports.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Apiiro предупреждают о негативной тенденции, связанной с серьезными рисками, возникающими в связи с задействованием ИИ для написания кода.
В современных условиях разработчики ПО все чаще обращаются к ИИ, генерируя взрывной рост объемов кода, безопасность которого зачастую вызывает вопросы.
Все это создает для предприятий серьезные риски в виду ошибок в коде при отсутствии ресурсов для их устранения.
Так, согласно данные опроса Stack Overflow, в 2024 году более 80% разработчиков по всему миру сообщали о задействовании инструментов генеративного ИИ в своей работе.
В свою очередь, Apiiro обнаружила значительные пробелы в безопасности такого кода после глубокого анализа миллионов строк в решениях нескольких десятков предприятий в сфере финансовых услуг, промышленного производства и технологий.
Исследователи отмечают 3-х кратный рост числа хранилищ, содержащих персональные данные (PII) и платежные данные, 10-ти кратный рост числа API, в которых отсутствует авторизация и проверка входных данных, а также растущее число уязвимых конечных точек API.
Помимо ошибок кодирования, допущенных genAI, проблема усугубляется огромным числом разработчиков, внедривших инструменты ИИ с момента запуска ChatGPT от OpenAI в ноябре 2022 года.
Ссылаясь на отчет Microsoft, исследователи фиксируют в настоящее время GitHub Copilot используют более чем вдвое больше пользователей с момента его запуска в октябре 2021 года.
Появление помощников по написанию кода GenAI, таких как GitHub Copilot, значительно увеличило скорость его создания.
Данные Apiiro показывают, что с третьего квартала 2022 года количество запросов на извлечение (PR) выросло на 70%, что значительно превышает 30%-ный рост числа репозиториев и 20%-ный разработчиков.
Исследователи резюмируют, что в связи с бурной генерацией кода с использованием ИИ традиционные ручные процессы проверки безопасности и управления рисками, которые в настоящее время используются большинством предприятий, не соответствуют новому ландшафту ИИ.
ФБР США официально связало рекордный взлом Bybit на сумму в 1,5 млрд. долл. с северокорейскими хакерами, приписав инцидент конкретному кластеру, который отслеживается как TraderTraitor (Jade Sleet, Slow Pisces и UNC4899).
Как отметили в ведомстве, злоумышленники TraderTraitor действоввали быстро и успели конвертировать часть украденных активов в биткоины и другие криптоактивы, распределенные по тысячам адресов на нескольких блокчейнах.
Ожидается, что они будут отмыты и в конечном итоге конвертированы в фиатную валюту.
Ранее TraderTraitor была замечена в краже криптовалюты на сумму 308 млн. долл. у криптокомпании DMM Bitcoin в мае 2024 года.
В свою очередь, ByBit объявила войну Lazarus, запустив программу вознаграждений для возвращения украденных средств, одновременно критикуя eXch за отказ сотрудничать в расследовании и блокировке активов.
К настоящему времени заморожено только 3% ($42 млн) украденной криптовалюты. Почти $95 млн в настоящее время отмечены в состоянии ожидания.
Bybit уже выплатила более $4 млн в качестве вознаграждений тем, кто помог отследить и заморозить средства.
Кампания также поделилась выводами предварительного расследования, к проведению которого привлекли Sygnia и Verichains, которые связывают взлом с Lazarus Group.
Криминалистическое изучение хостов трех подписантов показывает, что основной базой для атаки стал вредоносный код, исходящий из инфраструктуры Safe{Wallet}.
Признаков того, что собственная инфраструктура Bybit была скомпрометирована, не получено.
Verichains отметили, что файл JavaScript app.safe.global, по-видимому, был заменен вредоносным кодом 19 февраля в 15:29:25 UTC, специально нацеленным на холодный кошелек Ethereum Multisig от Bybit.
При этом он был разработан для активации во время следующей транзакции, которая произошла 21 февраля, приводя к манипуляции содержимым во время процесса подписания.
Затем злоумышленники быстро удалили вредоносный код из JavaScript-файла Safe{Wallet}.
Представители Safe{Wallet} заявили, что атака была осуществлена путем компрометации машины разработчика, что привело к атаке на цепочку поставок ПО.
На данный момент неясно, каким образом была взломана система разработчика, но ее смарт-контракты не затронуты, как и исходный код интерфейса и сервисов.
Вскрылась другая интересная деталь: анализ Silent Push показал, что Lazarus Group зарегистрировала домен bybit-assessment[.]com в 22:21:57 20 февраля 2025 года, за несколько часов до кражи криптовалюты.
Записи WHOIS показывают, что домен был зарегистрирован с использованием адреса trevorgreer9312@gmail[.]com, который ранее был связан с Lazarus Group в связи с другой кампанией под названием Contagious Interview.
Будем продолжать следить.
Исследователи Unit 42 из Palo Alto Networks рапортуют об интересной находке, раскрывая ранее недокументированный Linux-бэкдор Auto-Color, который в конце 2024 года использовался в атаках на университеты и госсектор в Северной Америке и Азии.
По данным исследователей, вредоносное ПО крайне неуловимо, его трудно удалить из зараженных систем, при этом обладает способностью сохранять доступ в течение длительного времени.
Вредоносная ПО имеет некоторое сходство с семейством Symbiote Linux, которое впервые было задокументировано BlackBerry в 2022 году, но в целом программы различаются друг от друга.
У исследователей нет информации о первоначальном векторе заражения, но атака начинается с запуска файла с безобидными наименованиями типа door, egg и log.
В случае если вредоносная ПО запускается с привилегиями root, она устанавливает вредоносный библиотечный имплант (libcext.so.2), замаскированный под легитимную библиотеку libcext.so.0.
Затем копирует себя в системный каталог (/var/log/cross/auto-color) и изменяет «/etc/ld.preload», чтобы обеспечить выполнение импланта до любой другой системной библиотеки.
Если root-доступ недоступен, вредоносная ПО все равно выполняется, но пропускает постоянные механизмы.
Хотя это ограничивает долгосрочность ее воздействия, она все равно реализует удаленный доступ актору, который может получить root-доступ другими способами.
Auto-Color расшифровывает информацию C2, используя специальный алгоритм, и проверяет обмен с помощью случайного 16-байтового значения.
Для сокрытия адресов C2-серверов, данных конфигурации и сетевого трафика используется пользовательское шифрование, при этом ключ динамически меняется при каждом запросе, что затрудняет обнаружение.
После установления соединения C2 отдать команды Auto-Color на выполнение: запуска обратной оболочки (предоставляя операторам полный удаленный доступ), произвольных команды в системе, файловых операций, прокси и динамического изменения конфигурации.
Auto-Color также имеет функции, подобные руткитам, такие как подключение функций libc для перехвата системных вызовов, которые он использует для скрытия соединений C2 путем изменения файла /proc/net/tcp.
По данным Unit 42, в Auto-Color также имеется встроенная функция аварийного отключения, которая позволяет злоумышленникам немедленно зачистить следы заражения со взломанных машин, чтобы затруднить криминалистический анализ.
Учитывая скрытность, модульную конструкцию и возможности удаленного управления, Auto-Color представляет достаточно серьезную угрозу для систем Linux.
Исследователи рекомендуют отслеживать изменения в «/etc/ld.preload», который является ключевым механизмом сохранения, проверять «/proc/net/tcp» на предмет аномалий выходных данных и использовать решения по обнаружению угроз на основе поведения.
Кроме того, в отчете представлены IoC, поэтому проверка системных журналов и сетевого трафика на предмет подключений к перечисленным IP-адресам C2 также имеет ключевое значение.
Исследователи Cisco Talos в новом отчете раскрывают новые кампании китайской APT Lotus Blossom, нацеленные на на правительственный, производственный, телеком и медиа секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване с использованием обновленных версий уже известного бэкдора Sagerunex.
Lotus Blossom также известна с 2009 года как Billbug, Bronze Elgin, Lotus Panda, Spring Dragon и Thrip и задействует Sagerunex как минимум с 2016 года.
Впервые была профилирована компанией Symantec в июне 2018 года.
В конце 2022 года исследователи Symantec также подробно анализировали атаки APT на центр цифровой сертификации, а также на правительственные и оборонные учреждения в странах Азии, которые включали использование бэкдоров, таких как Hannotog и Sagerunex.
Последний считается обновленным вариантом ранее известного вредоносного ПО Billbug (Evora). Фактически это внедренный в DLL RAT, который использует различные сетевые стратегии для сохранения контроля.
Точный начальный вектор доступа в последних вторжениях неизвестен, однако Lotus Blossom обычно практикует проведение целевого фишинга и атак типа watering hole.
Наблюдавшаяся активность примечательна использованием двух новых вариантов вредоносного ПО, которые задействуют облачные сервисы, такие как Dropbox, Twitter и Zimbra для C2, заменяя оригинальный метод VPS.
Бэкдор предназначен для сбора информации о целевом хосте, ее шифрования и передачи на удаленный сервер злоумышленника. Версии Sagerunex для Dropbox и X использовались в период с 2018 по 2022 год, в то время как версия Zimbra существует с 2019 года.
Последняя предназначена не только для сбора информации о жертве и отправки ее на почтовый ящик Zimbra, но и для того, чтобы позволить злоумышленнику использовать содержимое почты Zimbra для отправления команд и управления машиной жертвы.
Если в почтовом ящике есть легитимный командный контент, бэкдор грузит его и извлекает команду, в противном случае удаляет контент и ожидает ее поступления.
Результаты выполнения команды впоследствии упаковываются в виде архива RAR, закрепляются к черновику электронного письма в «черновиках» и «корзине» почтового ящика.
Каждый вариант реализует различные проверки, такие как задержки на основе времени и системные проверки, для поддержания устойчивости.
Загрузчик вредоносного ПО внедряет бэкдор в память и использует шифрование для сокрытия данных. Кроме того, использование VMProtect скрывает код вредоносного ПО, чтобы избежать обнаружения антивирусом.
В атаках также используются другие инструменты, включая стилер для сбора учетных данных браузера Chrome, прокси-утилита с открытым исходным кодом Venom, программа для настройки привилегий, специальное ПО для сжатия и шифрования захваченных данных и модифицированный инструмент ретрансляции mtrain V1.01.
Кроме того, было замечено, что злоумышленник запускает такие команды, как net, tasklist, ipconfig и netstat для разведки целевой среды, а также осуществляет проверки для определения доступа в Интернет.
Причем если доступ в Интернет ограничен, у злоумышленника две стратегии: использовать настройки прокси-сервера цели для установления соединения или полагаться на Venom для подключения изолированных машин к системам, имеющим доступ в Интернет.
В совокупности найденные артефакты подчеркивают долгосрочную устойчивость и адаптивность тактики Lotus Blossom. IoC - в отчете.
Группа ученых разработала способ удаленного превращения любого устройства с поддержкой Bluetooth в трекер AirTag.
Технология получила название nRootTag, в основе - метод индексации меток AirTags сетью FindMy компании Apple и поиска отслеживаемых или потерянных устройств.
В обычных обстоятельствах, когда пользователь подключает AirTag к своей учетной записи, Apple берет Bluetooth-сигнал AirTag и генерирует криптографическую пару закрытый-открытый ключ.
Когда пользователь производит поиск местоположения AirTag, сеть FindMy запрашивает открытый ключ, связанный с этим Bluetooth-сигналом, а затем уведомляет владельца о его местоположении.
Метод nRootTag задействует облачные вычислительные мощности для определения того, что будет закрытым ключом любого публичного сигнала Bluetooth.
Это позволяет перехватывать Bluetooth-сигнал любого устройства, вычислять возможный закрытый ключ, передавать его на серверы FindMy компании Apple, а затем получать данные о местоположении этого устройства.
Так что пока Apple пилит AirTag в части изменения адреса Bluetooth на основе криптографического ключа, злоумышленнику не удастся сделать это в других системах без прав администратора.
Поэтому вместо того, чтобы пытаться изменить адрес Bluetooth, исследователи разработали эффективные методы поиска ключей, чтобы найти ключ, совместимый с адресом Bluetooth, заставив ключ адаптироваться к адресу.
При этом вычисление ключа занимает всего лишь несколько минут, а nRootTag вообще можно использовать практически мгновенно, если злоумышленники заранее вычислят закрытые ключи в радужных хэш-таблицах.
Исследовательская группа из числа представителей Университета Джорджа Мейсона протестировала технологию, фактически превратив различные устройства в «поддельные» метки AirTags и отслеживая их местоположение, включая ноутбуки на базе Windows и Linux, смартфоны Android, устройства IoT и игровые консоли.
В свою очередь, Apple выпустила исправления безопасности в декабре для всех поддерживаемых в настоящее время устройств.
Теперь они будут игнорировать устройства, преобразованные в nRootTag, но старые устройства Apple все еще могут передавать информацию через FindMy.
Исследовательская группа утверждает, что точность nRootTag будет постепенно снижаться по мере снятия с производства старых устройств Apple, однако на данный момент атака остается актуальной.
На беспрецедентные требования британских спецслужб о создании бэкдора к зашифрованным пользовательским данным в компании Apple отреагировали симметрично и также беспрецедентно.
Как сообщает Financial Times со ссылкой на источники, представителями Apple была подана апелляция в специализированный судебный орган по надзору за деятельностью спецслужб для оценки соответствия закону скандального постановления.
Это первый случай, когда положения Закона о следственных полномочиях 2016 года, открывающий британским властям широкие возможности для шпионажа в технологической сфере, будут проходить проверку в суде.
Впрочем удивляться не стоит, резонансная инициатива британских властей обсуждалась президентом США Дональдом Трампом во время встречи в Белом доме с премьер-министром Великобритании Киром Стармером.
В интервью политическому журналу The Spectator, опубликованному на прошлой неделе, он заявил, что выразил премьеру несогласие с этим требованием, отметив при этом, что подобные требования обычно ассоциируются с Китаем.
Пока же британский МИД продолжает всячески игнорировать запросы на подтверждение факта выдачи подобного приказа, руководство американской разведки в лице Талси Габбард всерьез изучает возможные нарушения партнерам CLOUD Act, что может привести к аннулирвоанию соглашений в сфере взаимодействия по линии спецслужб.
Так что судебный кейс с Apple может стать прецедентом для всей Европы, где разворачивается историческая баталия за конфиденциальность, провал в которой может обернуться для пользователей «цифровым гулагом», а для IT - глобальной сегментацией по национальным границам.
Исследователи Proofpoint раскрывают новую узкотаргетированную фишинговую кампанию, нацеленную на не менее пяти организации ОАЭ в области авиации, спутниковой связи и критической инфраструктуры с использованием ранее недокументированного бэкдора Sosano.
Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.
Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.
Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.
В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.
Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.
Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.
Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.
Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.
Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.
Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.
Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).
При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.
Исследователи из Лаборатории Касперского выкатили отчет со статистикой по мобильной вирусологии за 2024 год.
По данным Kaspersky Security Network, в 2024 году предотвращено 33 265 112 атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного мобильного ПО (или около 2,8 миллиона ежемесячно).
Самой распространенной угрозой для мобильных устройств стало рекламное ПО - 35% от всех выявленных угроз.
Кроме того, обнаружено 1,1 млн. вредоносных и потенциально нежелательных установочных пакетов, из которых почти 69 тысяч относились к мобильным банковским троянцам.
Из наиболее трендовых угроз в ЛК отметили следующие.
В конце 2024 года в ЛК выявили новую схему распространения банковского троянца Mamont, нацеленную на пользователей Android в России с использованием приманок с предложение различных товаров по заниженным ценам.
После оформления заказа под видом трекера отправлений пользователям засылалось вредоносная ПО.
В августе 2024 года исследователи из ESET описали новую схему банковского мошенничества в Чехии с использованием технологии NFC. Позже похожая схема была замечена в России.
Зловреды мимикрировали под приложения банков и госсервисов, а для установки вредоносной ПО и включения NFC на устройстве в некоторых случаях использовался RAT SpyNote.
Также в 2024 году фиксировалось достаточно много новых предустановленных вредоносных приложений, которые решения ЛК детектируют как Trojan.AndroidOS.Adinstall.
В июле в поле зрения попал бэкдор LinkDoor, также известный как Vo1d, на TV-приставках под управлением Android: он располагался в зараженном системном приложении com.google.android.services и мог запускать произвольные исполняемые файлы, а также скачивать и устанавливать APK.
Ряд приложений в Google Play содержали вредоносный SDK-имплант под названием SparkCat, который начал распространяться в марте 2024 года.
Троянец был нацелен на кражу фраз для восстановления доступа к криптокошелькам у пользователей Android как минимум в ОАЭ, Европе и Азии.
Зараженные приложения удалили из магазина в феврале 2025-го, однако, по данным телеметрии ЛК, существуют и другие приложения со SparkCat, которые распространяются через неофициальные источники.
Аналогичный имплант для iOS также был обнаружен в App Store. Это первый случай появления подобного вредоносного ПО в официальном магазине Apple. Компания удалила зараженные приложения в феврале 2025 года.
Подробные статпоказатели и инфографика по мобильным угрозам - в отчете.
Mozilla успела дважды переобуться в полете, обновляя свои условия использования браузера после критики в отношении чрезмерно размытых общих формулировок.
Обновление вызвало бурю возмущений, поскольку предполагало, что Mozilla разрешено использовать любые данные, отправленные через Firefox.
Поэтому в пятницу разработчики браузера во второй раз за неделю обновили условия и теперь в пересмотренные формулировки звучат следующим образом:
«Вы предоставляете Mozilla права, необходимые для работы Firefox. Это включает обработку ваших данных, как мы описываем в Уведомлении о конфиденциальности Firefox. Это также включает неисключительную, безвозмездную, всемирную лицензию с целью выполнения ваших запросов с контентом, который вы вводите в Firefox. Это не дает Mozilla никаких прав собственности на этот контент».
Предыдущая версия этого пункта, которая вышла в свет 26 февраля, гласила:
«Когда вы загружаете или вводите информацию через Firefox, вы тем самым предоставляете нам неисключительную, безвозмездную, действующую во всем мире лицензию на использование этой информации для помощи вам в навигации, восприятии и взаимодействии с онлайн-контентом, как вы указываете при использовании Firefox».
Позже компания попыталась все прояснить, опровергая всяческую спекуляцию пользовательскими данными.
Правда, до сих пор Mozilla так и не объяснила, зачем удалила раздел из своих TOS, который запрещал ей их продавать.
Группа ученых из RUB и MPI-SP разработала новый тип технологии глушения под названием Reconfigurable Intelligent Surfaces (RIS).
RIS - это программно-управляемые поверхности, которые появились в результате исследования метаматериалов и могут использоваться для интеллектуального управления распространением радиоволн.
Благодаря этим уникальным возможностям технология RIS имеет большие перспективы для дополнения будущих беспроводных сетей 6G.
Новая технология RIS позволяет злоумышленникам осуществлять точный пространственный контроль над областью, где производиться подавление сигнала, осуществляя таким образом избирательное глушение.
По мнению исследователей, новая технология снизит планку для точной фокусировки глушащих сигналов.
Атака RIS может быть ограничена несколькими устройствами, в то время как другие близлежащие системы не будут подвержены воздействию.
Прототип устройства, использованный в исследовании, был разработан группой ученых из TH Köln и Ruhr University Bochum.
Исследователям удалось вызвать полный DoS устройства Wi-Fi, в то время как второе устройство, расположенное на расстоянии всего 5 мм, осталось нетронутым, поддерживая беспроводную связь со скоростью передачи данных 25 Мбит/с.
Потенциальное развитие возможностей глушения с использованием технологии RIS было в значительной степени не изучено до этого исследования.
При этом достижение столь высокого пространственного разрешения нацеливания с помощью относительно недорогих и простых инструментов было бы невозможно без технологии RIS.
Помимо самого метода, исследователи также предлагают потенциальные контрмеры для предотвращения атак беспроводного глушения в пространственной области на основе RIS.
На фоне активизации геополитических процессов в Европе активно форсируют усилия по формированию законодательной базы, которая позволит разрушить текущую парадигму онлайн-конфиденциальности и, как мы ранее упоминали, приступить к сегментации глобальной сети.
Флагманом цифрового гулага традиционно выступила Великобритания, где секретная директива правительства на прошлой неделе вынудила Apple свернуть свою реализуемую с 2022 года опцию сквозного шифрования iCloud Advanced Data Protection (ADP).
Фактически от компании требовали предоставления доступа бэкдора на уровне поставщика для доступа к пользовательским данным. В Apple пошли на принцип и попросту дезактивировали шифрование.
При этом действие директивы не ограничивается резервными копиями, охватывая более широкий круг сервисов и потоков данных в Интернете.
На этом этапе реализация требований британцев в отношении технологических компаний встретила жесткую критику со стороны США, где в ситуацию вмешалась директор разведки Талси Габбард, пригрозив разрывом соглашений по линии сотрудничества в области разведки и безопасности.
Вслед за бритами подтянулась Швеция, где местные законодатели разработали и проталкивают аналогичный закон, регламентирующий силовикам доступ к переписке пользователей в мессенджерах.
Оперативно отреагировала президент Signal Мередит Уиттакер, заявив в недавнем интервью, что в случае вступления в силу этого закона компания будет вынуждена ограничить работу сервиса на территории Швеции.
Новый очаг напряженности теперь и во Франции, где чиновники разработали поправки к закону «О наркотрафике», которые обяжут поставщиков услуг зашифрованной связи внедрять бэкдоры, позволяющие спецслужбам получать доступ к сообщениям пользователей в течение 72 часов.
Несоблюдение требований может повлечь за собой существенные штрафы: 1,5 млн евро для физических лиц и до 2% от годового оборота для компаний.
Закон еще не вступил в силу, но поправка уже принята в Сенате и находится на рассмотрении в Национальной ассамблее, поэтому встречая растущее противодействие со стороны IT-сектора.
Против такого ужесточения публично выступила с заявлением Tuta (ранее Tutanota), призывая Национальное собрание Франции отклонить эту поправку, выступая за сохранение надежного шифрования для защиты конфиденциальности и безопасности.
Противники цифрового гулага, собственно как и власти США, апеллируют тем, что бэкдоры в ПО вопреки заявленным целям подрывают безопасность, поскольку создают уязвимости, которыми могут воспользоваться злоумышленники или геополитические противники.
Пока штаты пилят рынок spyware, монополизируя доступ к перспективным технологиям кибершпиолнажа, в Европе пытаются законодательно загарантировать себе такие возможности пусть даже не самым недемократическим способом.
QiAnXin обнаружила новый вариант ботнета Vo1d IoT, который теперь охватывает до 1 590 299 зараженных устройств Android TV в 226 странах, реализуя поддержку сетей анонимных прокси.
Исследователи отслеживают новую кампанию с ноября прошлого года и отмечают, что ботнет достиг пика 14 января 2025 года, насчитывая в настоящее время более 800 000 активных ботов.
Впервые ботнет Vo1d был обнаружен в прошлом году исследователями Dr.Web на более чем 1,3 миллиона устройств в 200 странах, зараженных вредоносным ПО Vo1d через неизвестный вектор заражения.
Новая версия Vo1d реализует деятельность в более крупных масштабах и оснащена усовершенствованным шифрованием (RSA + настраиваемый XXTEA), устойчивой инфраструктурой на базе DGA и улучшенными возможностями скрытности.
Ботнет Vo1d можно считать одним из крупнейших за последние годы, который превзошел Bigpanzi, оригинальный Mirai, а также ботнет, который задействовался в рекордной DDoS-атаке мощностью 5,6 Тбит/с в отношении Cloudflare.
Причем трафик на инфраструктуре ботнета настолько огромен, что десять его серверов С2 вошли в топ самых популярных веб-сайтов в Интернете по версии Tranco.
Масштаб инфраструктуры C2 также впечатляет: используются 32 исходных значения алгоритма генерации доменов (DGA) для создания более 21 000 доменов C2.
Коммуникации C2 защищены 2048-битным ключом RSA, поэтому даже если исследователи определят и зарегистрируют домен C2, они не смогут отдавать команды ботам.
По состоянию на февраль 2025 года почти 25% заражений приходится на пользователей из Бразилии, за которой следуют устройства в Южной Африке (13,6%), Индонезии (10,5%), Аргентине (5,3%), Таиланде (3,4%) и Китае (3,1%).
Исследователи также отмечают заметный всплеск заражений: например, всего за три дня число ботов в Индии увеличилось с 3900 до 217 000.
Как отмечают исследователи, Vo1d - это многоцелевой инструмент для киберпреступников, который превращает взломанные устройства в прокси-серверы для ретрансляции и сокрытия вредоносного трафика. Еще одна главная функция - мошенничество с рекламой.
Вредоносная ПО имеет специальные плагины, которые автоматизируют рекламное взаимодействие, имитируя поведение пользователя при веб-серфинге, а также Mzmess SDK, распределяющий мошеннические задачи между различными ботами.
Учитывая, что цепочка заражения остается неизвестной, пользователям Android TV рекомендуется придерживаться комплексного подхода к безопасности для снижения угрозы Vo1d, изолируя их от ценных устройств, хранящих конфиденциальные данные на сетевом уровне.
Исследователи из Лаборатории Касперского - вновь с новым отчетом, на этот раз с аналитикой по эксплойтам и уязвимостям за 4 квартал 2024 года.
Не вдаваясь детально в статистику, выделим основные моменты.
Общее количество уязвимостей, которое было зарегистрировано в четвертом квартале 2024 года, продолжает расти по сравнению с 2023 годом, в том числе и доля уязвимостей, которые получили отметку Critical.
По сравнению с предыдущими кварталами прошлого года четвертый можно назвать относительно «спокойным» с точки зрения числа опубликованных эксплойтов для Windows и Linux.
Показатель количества опубликованных эксплойтов для уязвимостей остановился близко к отметке 6%.
Сохраняется тенденция к росту количества зарегистрированных уязвимостей, однако общее количество Proof of Concept оказалось меньше, чем в 2023 году.
Список распространенных в APT-атаках уязвимостей демонстрирует изменения в ПО, используемом злоумышленниками.
В десятку самых часто эксплуатируемых типов ПО вернулись приложения Microsoft Office, уязвимости в которых не так активно использовались годом ранее. Кроме того, в список впервые вошли уязвимости для PAN-OS.
Помимо этого, среди уязвимых приложений снова оказались системы удаленного доступа и корпоративные решения для обработки данных.
Из примечательных техник в четвертом квартале злоумышленники использовали недокументированные интерфейсы RPC и проводили атаки на механизм аутентификации Windows.
Инфографика, статистические показатели и разбор наиболее интересных CVE - в отчете.
Исследователи Kela сообщают о новой банде вымогателей Anubis, работающей в формате RaaS, но с более широким портфелем услуг для операторов.
Банда образовалась в конце 2024 года и включает опытных в теме ransomware участников.
Как и большинство других современных групп, Anubis практикует двойное вымогательство, но в более современных форматах партнерских программ, анонсированных на RAMP.
Среди них - Anubis Ransomware, Anubis Data Ransom и Access Monetization.
Первый вариант - классическое вымогательство, предлагающее оператору до 80% от полученного выкупа. Вредоносное ПО написано на ChaCha+ECIES, нацелено на среды Windows, Linux, NAS и ESXi x64/x32 и может управляться через веб-портал.
Второй вариант, Data Ransom предоставляет оператору возможность реализовать монетизацию уже украденных данных, которые должны отвечать требованиям эксклюзивности и быть украденными в течение последних шести месяцев.
Anubis предлагает услуги по переговорам для получения выкупа, оказание давления на жертв, включая информирование контрагентов компаний и клиентов, а также публикации в X. В такой схеме доход оператора составляет 60%.
По Access Monetization брокерам доступа выплачивается до 50% от последующего дохода. Доступ относится к целям в США, Европе, Канаде или Австралии, при этом жертва не должна быть атакована другими бандами вымогателей в течение предшествующего года.
Для всех вариантов сотрудничества Anubis установлен запрет работать по странам СНГ.
Anubis также админит свой собственный DLS, на котором к настоящему времени размещаются только три жертвы из США, Австралии и Перу.
Четвертая анонсирована и пока не раскрыта, была добавлена 25 февраля 2025 года. Причем две из трех упомянутых относятся к сфере здравоохранения.
Первой из них является австралийская медицинская фирма Pound Road Medical Centre (PRMC), которая 13 ноября 2024 года официально подтвердила киберинцидент, связанный с кражей данных пациентов.
Однако использование ransomware не упоминается.
По всей видимости, текущие кампании Anubis могут быть сосредоточены на вымогательстве данных, а не на традиционных программах-вымогателях с шифрованием файлов.
Как отмечают в Kela, появление на рынке ransomware нового игрока с новыми условиями RaaS говорит о том, что вымогательство, основанное исключительно на эксфильтрации данных, становится все более распространенной практикой, а Anubis успевает занять нишу.
Тем не менее, отходить от традиционной модели с шифрованием Anubis не планирует, предлагая целый список возможностей шифрования вируса-вымогателя.
В свою очередь, аналитики F6 считают, что Anubis – это усовершенствованная версия партнёрской RaaS-программы InvaderX.
Используется одна и та же схема шифрования – ECIES (алгоритм шифрования на основе эллиптических кривых), которая встречается редко.
Другое совпадение – запрет для партнёров атаковать страны БРИКС, это тоже редкость.
Кроме того, InvaderX перестал обновлять информацию о партнерском сервисе с ноября 2024 года и не активен на форумах как минимум с января 2025-го.
Причем представитель Anubis с псевдонимом superSonic зарегистрирован на форуме полгода назад, а сообщение по Anubis стало для него первым.
Как полагают исследователи, еще следует понаблюдать за новой группой, но замеченная всего за пару месяцев активность указывает на то, что Anubis и создаваемая сеть операторов могут стать серьезной угрозой в течение 2025 года.
В общем, будем посмотреть.
Исследователи Hunt.io выявили обновленную версию импланта LightSpy, которая теперь поддерживает более чем 100 команд и оснащена расширенным набором функций для извлечения информации из соцсетей, включая Facebook и Instagram.
Как ранее уже упоминалось, LightSpy - это модульное шпионское ПО, способное заражать как системы Windows, macOS, Linux с целью сбора данных.
Впервые было задокументировано в 2020 году и было нацелено на пользователей в Гонконге.
Основной функционал включает нацеливание на информацию о сети Wi-Fi, снимки экрана, геолокацию, iCloud Keychain, звукозаписи, фотографии, история браузера, контакты, историю вызовов и SMS, а также данные из различных приложений, в том числе LINE, Mail Master, Telegram, Tencent QQ, WeChat и WhatsApp.
В конце прошлого года ThreatFabric представила обновленную версию вредоносного ПО, которая поддерживала различные деструктивные функции и увеличенное с 12 до 28 число поддерживаемых плагинов.
Предыдущие отчеты также указывали на потенциальное сходство между LightSpy и вредоносным ПО для Android под названием DragonEgg, подчеркивая кроссплатформенный характер угрозы.
Последний анализ инфраструктуры C2, связанный со шпионским ПО, проведенный Hunt.io, показывает поддержку более 100 команд, охватывающих Android, iOS, Windows, macOS, маршрутизаторы и Linux.
Новый список команд смещает акцент с прямого сбора данных на более широкий оперативный контроль, включая управление передачей («传输控制») и отслеживание версий плагинов («上传插件版本详细信息»).
Новые дополнения предполагают более гибкую и адаптируемую структуру, позволяющую операторам LightSpy более эффективно управлять развертываниями на нескольких платформах.
Среди новых команд стоит отметить возможность нацеливаться на файлы баз данных приложений Facebook и Instagram для извлечения данных с устройств Android.
Но примечательно, что злоумышленники удалили плагины iOS, связанные с деструктивными действиями на хосте жертвы.
Также обнаружено 15 специфичных для Windows плагинов, предназначенных для контроля над системой и сбора данных, большинство из которых ориентированы на фиксацию нажатий клавиш, аудиозапись и взаимодействие с USB.
Исследователи заявили, что также обнаружили конечную точку ("/phone/phoneinfo") в панели администратора, которая предоставляет вошедшим в систему пользователям возможность удаленного управления зараженными мобильными устройствами.
В настоящее время неизвестно, представляют ли они собой новые разработки или ранее недокументированные старые версии.
Переход от таргетинга на приложения для обмена сообщениями к Facebook и Instagram расширяет возможности LightSpy по перехвату переписки, контактов и метаданных аккаунтов с широко используемых социальных платформ, открывая широкие возможности для дальнейшей эксплуатации.
Исследователи Solar сообщают о новой вредоносной кампании китайской APT Erudite Mogwai, которая с 2017 года нацелена на Россию.
В ноябре 2024 года Соларам в ходе анализа атак на российские ИТ-организации из числа господрядчиков удалось задетектить утилиту, которая обладала функциональностью прокси-инструмента.
При расследовании инцидента, следы атаки привели к непокрытому мониторингом сегменту сети заказчика, в котором были обнаружены образцы Stowaway и ShadowPad Light.
Атака на незащищенный сегмент сети началась не позднее марта 2023 года с публично доступных веб-сервисов, а в ноябре 2024 года атакующие попытались развить ее и захватить новые сегменты сети, но были к тому времени уже обнаружены.
В процессе анализа стало понятно, что замеченный Stowaway - кастомизированная версия общедоступного многоуровневого прокси-инструмента от китайских разработчиков, написанного на Go и предназначенного для пентестеров.
Интересной особенностью упомянутых семплов является то, что по сравнению с оригинальной утилитой, часть функциональности из них удалена, а оставшаяся - модифицирована.
Злоумышленники адаптировали Stowaway для своих целей, фактически создав свой собственный форк утилиты.
Утилита Stowaway используется в качестве средства проксирования трафика.
В целях обфускации с каждой итерацией изменяется структура протокола, добавляются новые возможности.
Последняя известная на данный момент версия использует LZ4 в качестве алгоритма сжатия, шифрование с помощью XXTEA.
Также злоумышленниками добавлена поддержка протокола QUIC.
В сочетании с другими инструментами, включая ShadowPad Light aka Deed RAT, эта утилита задействуется APT, которую Солары называют Erudite Mogwai, а Позитивы - Space Pirates.
Как отмечают исследователи, наименование Erudite Mogway - неслучайно.
В их модификациях утилиты Stowaway можно встретить отсылки к известным литературным произведениям, а также историческим событиям.
Ранее семейство этого вредоносного ПО упоминалось в отчете ПТ, где приводились хэши пяти известных образцов Stowaway.
С тех пор Соларам удалось выявить еще четыре новых экземпляра.
Характерные черты группировки и подробный технический анализ линейки всех версий Stowaway - в отчете.