39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи F5 Labs выкатили в паблик инструмент (доступен на GitHub) для проверки концепции уязвимости Apache Parquet максимальной степени серьезности, отлеживаемой как CVE-2025-30065, что значительно упрощает поиск уязвимых серверов.
Как отмечают исследователи, ряд ранее вышедших PoC на практике оказались либо слабыми, либо полностью нефункциональными.
В свою очередь, представленный инструмент служит доказательством практической возможности эксплуатации уязвимости CVE-2025-30065 и способен помочь администраторам проанализировать свои среды и защитить серверы.
Уязвимость была впервые раскрыта 1 апреля 2025 года после обнаружения исследователем Amazon Кейи Ли, была отнесена к категории RCE, затрагивая все версии Apache Parquet до 1.15.0 включительно.
С технической точки зрения CVE-2025-30065 представляет собой уязвимость десериализации в модуле parquet-avro Apache Parquet Java, из-за которой библиотека не ограничивает, какие классы Java могут быть созданы при чтении данных Avro, встроенных в файлы Parquet.
2 апреля 2025 года Endor Labs опубликовала предупреждение о риске эксплуатации уязвимости и ее потенциальном влиянии на системы, импортирующие файлы Parquet из внешних точек.
Последующий анализ F5 Labs показал, что уязвимость не является полноценным RCE десериализации, но все равно может быть использована не по назначению, если класс имеет побочные эффекты во время создания экземпляра.
Например, при выполнении сетевого запроса из уязвимой системы на сервер, контролируемый злоумышленником.
Однако исследователи пришли к выводу, что практическая эксплуатация уязвимости затруднена, а CVE-2025-30065 имеет ограниченную ценность для злоумышленников.
Несмотря на то, что Parquet и Avro широко используются, эта проблема требует особого набора условий, который в целом не так уж и вероятен.
Даже в этом случае CVE позволяет злоумышленникам только инициировать создание экземпляра объекта Java, который затем должен иметь побочный эффект, полезный для злоумышленника.
Несмотря на низкую вероятность эксплуатации, исследователи признают, что некоторые организации обрабатывают файлы Parquet из внешних, часто непроверенных источников, и, следовательно, в некоторых средах риск является значительным.
По этой причине F5 Labs создала инструмент canary Exploit, который запускает HTTP-запрос GET посредством создания экземпляра javax.swing.JEditorKit, позволяя пользователям проверять уязвимость.
Помимо использования инструмента рекомендуется обновить Apache Parquet до версии 15.1.1 или более поздней и настроить org.apache.parquet.avro.SERIALIZABLE_PACKAGES, ограничивая пакеты, разрешенные для десериализации.
🔊 Акустические атаки.
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
Исследователи из Лаборатории Касперского в своем новом отчете поделились разбором реального инцидента в Бразилии, связанного с относительно простой, но крайне эффективной угрозой, нацеленной на Linux-системы.
Outlaw (также известный как Dota) - это ботнет для криптомайнинга, написанный на Perl.
Как правило, он заражает системы, где используются слабые или стандартные учетные данные SSH.
Ранее полученные с помощью ловушек образцы Outlaw также описывались в исследованиях ([1], [2]).
В своем отчете ЛК подробно изучили основные TTPs, а также проанализировали данные телеметрии по странам, которые привлекли наибольшее внимание операторов Outlaw.
Как отмечают исследователи, сосредоточив внимание на слабых или стандартных SSH-учетных данных, Outlaw продолжает улучшать и расширять свой инструментарий для платформы Linux.
Задействуются различные методы обхода защиты, включая сокрытие файлов и папок, обфускацию кода, а также скомпрометированные SSH-ключи, чтобы как можно дольше сохранять свое присутствие.
Жертвы Outlaw в основном находятся в США, однако также есть пострадавшие в Германии, Италии, Таиланде, Сингапуре, Тайване, Канаде и Бразилии.
Причем группа приостановила операции с декабря 2024 года по февраль 2025 года, а в марте 2025 года произошел резкий скачок числа жертв.
IRC-клиент ботнета действует как бэкдор в скомпрометированной системе и поддерживает широкий спектр вредоносных операций, включая выполнение команд, DDoS-атаки, сканирование портов, загрузку и выгрузку файлов через HTTP.
Также операторы эксплуатируют вычислительные ресурсы зараженных систем для добычи крипты с помощью специальной версии майнера XMRig.
Он работает в фоновом режиме, сильно нагружая процессор, подключается к нескольким майнинговым пулам, один из которых доступен через Tor.
Чтобы значительно снизить риск заражения, системным администраторам рекомендуется принимать проактивные меры для защиты своих серверов. Для этого нужно уделить внимание правильной конфигурации сервера и поддерживать службы в актуальном состоянии.
Технические подробности расследования, широкий перечень рекомендаций по защите и индикаторы компрометации - в отчете.
Исследователи из F6 продолжают отслеживать хакерскую активность, на этот под прицелом оказались Core Werewolf (отчет) и Hive0117 (отчет).
Первая имя них практикует кибершпионаж и нацелена на организации, связанные с ОПК, объекты КИИ.
Впервые в поле зрения попала еще в августе 2021 года и задействует ПО UltraVNC и MeshCentral.
2 мая в общедоступную онлайн-песочницу был загружен .eml-файл.
Электронное письмо было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение - защищенный паролем архив с именем Списки_на_нагр.7z, который F6 отнесли к арсеналу группы Core Werewolf.
Внутри архива находился 7z-архив с exe-шником под видом наградных списков.
Запуск файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа, запуску CMD-скрипта и в результате - активации на устройстве жертвы UltraVNC.
Ранее 17 апреля F6 обнаружили еще один вредоносный исполняемый файл - undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf.
PDF-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.
Помимо него, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с exception.bat и divine.bat.
В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
В свою очередь, Hive0117 засветилась в ходе реализации масштабной фишинговой кампании с использованием DarkWatchman.
29 апреля специалисты F6 задетектили активность группировки, нацеленную на российские компании с сфере медиа, туризма, финансов и страхования, производства, ритейла, энергетики, телекома, транспорта, биотехнологий.
Hive0117 - это финансово-мотивированная группировка, проводит атаки с февраля 2022 года с использованием DarkWatchman.
Как правило, рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
Основные цели - в России, Беларуси, Литве, Эстонии, Казахстане.
Новая массовая рассылка писем с темой «Документы от 29.04.2025» исходила с адреса manager@alliance-s[.]ru на 550+ адресов.
Внутри располагалось вложение в виде защищенного паролем архива, распространяемого под именами «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar».
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные, что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году.
Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru - «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
Исследователь Чжинян Пэн опубликовал PoC и подробности для ошибки DoS до аутентификации в удаленных службах на основе UDP, в том числе службе развертывания Windows (WDS) в качестве примера.
WDS широко применяется в корпоративных средах и весьма демонстративно иллюстрирует, как удаленный DoS в подобном случае может позволить злоумышленнику вывести из строя сеть WDS без аутентификации (preauth) или взаимодействия с пользователем (0-click).
WDS реализует роль сервера Microsoft, позволяя выполнять оптимизированное и безопасное сетевое развертывание ОС Windows (например, Windows 10/11, Windows Server) на нескольких компьютерах без физических носителей.
Служба развертывания Windows предоставляет удаленному пользователю простую службу FTP для загрузки некоторых ресурсов.
Каждый раз, когда пользователь отправляет пакет в службу FTP через порт 69, служба создает объект CTftpSession для управления сеансом и переключает на EndpointSessionMapEntry.
Основная проблема заключается в том, что EndpointSessionMapEntry не накладывает ограничений на количество сеансов.
Следовательно, злоумышленник может подделывать поддельные клиентские IP-адреса и номера портов, многократно создавая новые сеансы до тех пор, пока системные ресурсы не будут исчерпаны.
Фактически обнаруженная ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой систем Windows с помощью некорректных FTP-запросов.
В тестовой среде при достижении показателя использования памяти достигало в 15 ГБ система выходила из строя, что приводило к DoS.
Весь процесс занял всего лишь 7 минут, при этом многопоточность могла значительно ускорить атаку.
Теперь самое интересное: после уведомления об ошибке 8 февраля Microsoft спустя месяц подтвердила проблему, но оперативно уже 8 марта поменяла регламент вознаграждения за Preauth DOS.
23 апреля Microsoft посчитала эту ошибку умеренной и не соответствующей стандартам безопасности, прекратив дальнейшие коммуникации, после чего исследователь решил обнародовать свои результаты.
FGIR Fortinet сообщают о долгосрочной кампании иранской APT, нацеленной на критически важную национальную инфраструктуру на Ближнем Востоке.
Выявленная активность продолжалась как минимум с мая 2023 года по февраль 2025 года и включала в себя масштабные шпионские операции, реализуемые с сохранением постоянного доступа к сети жертв.
Fortinet приписала атаку Lemon Sandstorm (ранее Rubidium), которая также отслеживается как Parisite, Pioneer Kitten и UNC757.
APT активна с 2017 года и фокусируется на аэрокосмической, нефтегазовой, водной и электроэнергетической сферах в США, на Ближнем Востоке, в Европе и Австралии.
По данным Dragos, злоумышленник использует известные уязвимости безопасности VPN в Fortinet, Pulse Secure и Palo Alto Networks для получения первоначального доступа.
В прошлом году американские спецслужбы обвиняли Lemon Sandstorm в развертывании программ-вымогателей в сетях компаний из США, Израиля, Азербайджана и ОАЭ.
Наблюдаемая Fortinet атака в отношении организации CNI осуществлялась в четыре этапа с использованием постоянно меняющегося арсенала инструментов по мере того, как жертва принимала контрмеры.
15 мая 2023 – 29 апреля 2024: создан плацдарм с использованием украденных учетных данных для доступа к системе SSL VPN жертвы, размещены веб-оболочки на общедоступных серверах и развернуты бэкдоры Havoc, HanifNet и HXLibrary для обеспечения долгосрочного доступа.
30 апреля 2024 – 22 ноября 2024: укрепление позиций путем внедрения дополнительных веб-оболочек и бэкдора NeoExpressRAT с задействованием инструментов plink и Ngrok для более глубокого проникновения в сеть, выполнения целенаправленной эксфильтрации электронных писем жертвы и осуществления горизонтального перемещения в инфраструктуре виртуализации.
23 ноября 2024 – 13 декабря 2024: развертывание новых веб-оболочек и двух дополнительных бэкдоров MeshCentral Agent и SystemBC в ответ на предпринимаемые меры по локализации инцидента со стороны жертвы.
14 декабря 2024 – по настоящее время: попытки повторного проникновения в сеть с использованием уязвимостей Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и фишинговых атак на 11 сотрудников с целью сбора учетных данных Microsoft 365.
Среди других семейств вредоносных ПО и инструментов с открытым исходным кодом, которые использовались в атаке: HanifNet, HXLibrary, CredInterceptor, RemoteInjector, RecShell, NeoExpressRAT, DropShell, DarkLoadLibrary.
Атрибуция базируется на анализе инфраструктуры C2 (apps.gist.githubapp[.]net и gupdate[.]net), которая ранее была отмечена как связанная с операциями APT, проводившимися в тот же период.
Fortinet полагает, что ключевой целью атаки была ограниченная OT-сеть жертвы, судя по характеру разведдеятельности субъекта угрозы и взломе соседних с OT систем.
При этом доказательств того, что противник проник в сеть OT, получено не было.
Большая часть вредоносной активности включала ручные операции, выполняемые разными операторами, учитывая ошибки команд и регулярный график работ.
Кроме того, более глубокое изучение инцидента показало, что злоумышленник мог иметь доступ к сети еще 15 мая 2021 года.
В ходе вторжения злоумышленник использовал цепочку прокси и пользовательские импланты, чтобы обойти сегментацию сети и перемещаться в пределах среды.
На более поздних этапах хакеры последовательно объединяли четыре различных инструмента прокси для доступа к внутренним сегментам сети, демонстрируя сложный подход к поддержанию устойчивости и уклонению от обнаружения.
🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
Продолжаем мониторить наиболее трендовые уязвимости и исследования в сфере ИБ:
1. Группа ученых из Технического университета Граца разработала атаку под названием ChoiceJacking (PDF), которая реализует обход защиты juice jacking в современных смартфонах.
ChoiceJacking позволяет вредоносному зарядному устройству получать доступ к данным на подключенном смартфоне, используя проблемы в реализации Android и iOS.
В прошлом году Google и Apple выпустили обновления безопасности.
2. Анонимный ИБ-исследователь из России обнаружил критическую уязвимость в мессенджере Telegram, которая позволяет получить доступ к учетным записям пользователей без пароля или проверки MFA, о чем уведомил разработчиков.
Проблема возникает при авторизации через Telegram-виджет на сторонних сайтах, прежде всего во встроенном браузере мессенджера. Такие авторизации могли создавать сессии с повышенными правами, оставаясь незамеченными для владельцев аккаунтов.
Однако Telegram официально опроверг наличие уязвимости, утверждая, что автор исследования неправильно интерпретировал механизм различных типов авторизаций. Но, есть нюанс.
3. Исследователи BI.ZONE проанализировали две уязвимости Vaultwarden, которые были раскрыты исследователем Дани Гарсия в начале этого года. Обе, EoP и RCE, можно объединить, чтобы захватить сервер менеджера паролей, который имеет высокую популярность в России.
4. Исследователи AquaSec обнаружили, что несколько сервисов AWS развертывают роли сервисов с чрезмерно широкими разрешениями для CDK, Glue, Lightsail, EMR и SageMager, включая полный доступ к S3 buckets.
Amazon ограничила некоторые роли и обновила документацию.
5. Поставщик ПО MSP ConnectWise выпустил обновление для утилиты ScreenConnect, чтобы устранить уязвимость, которая могла привести к взлому всего сервера.
6. Модели восьми крупнейших компаний ИИ уязвимы для новой техники внедрения подсказок под названием Policy Puppetry.
Атака использует специально созданные подсказки, чтобы обмануть LLM, интерпретируя их как политику LLM, позволяя обходить ограничения безопасности и доступа.
Атака затрагивает модели OpenAI, Microsoft, Google, Meta, Anthropic, Mistral, Deepseek и Qwen.
7. Исследователи из Positive Technologies выкатили отчет с отражением актуальной практики выстраивания компаниями процессов управления цифровыми активами, возникающих при этом проблем и задействуемого инструментария.
8. Группа анализа угроз Google (GTIG) представили аналитику по результатам 2024 года, сообщая об использовании злоумышленниками 75 0-day, более 50% из которых были связаны с атаками шпионского ПО.
9. Исследователи OPSWAT сообщают об обнаружении трех уязвимостей в интерфейсе веб-сервера Rack Ruby, которые позволяюь злоумышленникам получить несанкционированный доступ к файлам, внедрить вредоносные данные и подделать журналы.
10. Исследовательская группа Cybernews провела комплексное исследование недавно утекших учетных данных, дабы изучить практику использования паролей в 2025 году.
Результаты вас точно не обрадуют: только 6% из 19 030 305 929 оказались уникальны.
GreyNoise предупреждают о том, что злоумышленники резко активизировали поиски файлов конфигурации Git, которые потенциально раскрывают секреты и токены аутентификации, для компрометации облачных сервисов и репозиториев исходного кода.
Файлы конфигурации Git - это файлы конфигурации для проектов Git, которые могут включать информацию о ветках, URL-адреса удаленных репозиториев, хуки и скрипты автоматизации и, что самое важное, учетные данные и токены доступа.
Разработчики или компании развертывают веб-приложения, не исключая правильно каталоги .git/ из публичного доступа, непреднамеренно раскрывая эти файлы кому-либо.
Сканирование таких файлов является стандартной разведкой со стороны киберподполья, которая предоставляет множество возможностей для злоумышленников.
Так, в октябре 2024 года Sysdig выявила крупномасштабную кампанию EmeraldWhale, в ходе которой было проведено сканирование на предмет наличия уязвимых файлов конфигурации Git и извлечено 15 000 учетных данных облачных аккаунтов из тысяч частных репозиториев.
Кража учетных данных, ключей API, закрытых ключей SSH или даже доступ к внутренним URL-адресам позволяет злоумышленникам получать доступ к конфиденциальным данным, разрабатывать специализированные атаки и захватывать привилегированные учетные записи.
Именно этот метод злоумышленники задействовали для взлома The Wayback Machine в октябре 2024 года.
В своем новом отчете исследователи зафиксировали резкий всплеск попыток сканирования уязвимых конфигураций Git в период с 20 по 21 апреля 2025 года.
GreyNoise ежедневно регистрировала около 4800 уникальных IP-адресов с 20 по 21 апреля, что значительно превышает среднестатистические показатели.
GreyNoise сообщает, что последняя наблюдавшаяся активность в основном была нацелена на Сингапур, США, Испанию, Германию, Великобританию и Индию и стала самой масштабной волной атак, зафиксированной исследователями.
Для снижения рисков рекомендуется заблокировать доступ к каталогам .git/, настроить веб-серверы для предотвращения доступа к скрытым файлам, отслеживать журналы на предмет подозрительного доступа к .git/config и ротировать потенциально уязвимые учетные данные.
Исследователи из Лаборатории Касперского cообщают об обнаружении новой версии трояна Triada для Android, уже заразившего не менее 4500 устройств, большая часть из которых приходится на Россию (другие - в Великобритании, Нидерландах, Германии и Бразилии).
С развитием Android в прошивках стали добавляться ограничения, прежде всего, по части редактирования системных разделов, в том числе даже с правами суперпользователя.
В связи с чем, злоумышленники стали задействовать предустановленные зловреды в системных разделах, которые в отличие от попавших извне стали неудаляемыми.
Например, таким образом действовал загрузчик Dwphon, который был встроен в системные приложения для OTA-обновлений (over-the-air).
Новое исследование показало, что Triada теперь тоже адаптировался к сложностям с повышением привилегий в новых версиях Android.
Для этого злоумышленники встроили новый многоуровневый загрузчик в прошивки ряда устройств, что привело к заражению процесса Zygote и, как следствие, - любого запущенного приложения в системе.
Отчет по части описания модулей и функциональности вредоноснго ПО глубоко технически детализирован, отмечены подозрительные нативные библиотеки в прошивках, отражены основные особенности кампании, вектор распространения и цепочка заражения.
Основные выводы вкратце:
- Новые версии троянца Triada были обнаружены в устройствах, прошивки которых оказались заражены еще перед продажей. Это подделки под смартфоны известных брендов, и на момент исследования они по-прежнему были доступны на различных маркетплейсах.
- Копия троянца попадает в каждое приложение при его запуске на зараженном устройстве.
- Поскольку в основе зловреда - модульная архитектура, атакующие получают практически неограниченный контроль над системой, включая возможность адаптировать функциональность под конкретные приложения.
- Полезные нагрузки в текущей версии Triada, в зависимости от приложения, в котором они работают, меняют адреса криптокошельков при попытке перевода криптовалюты, подменяют ссылки в браузерах, отправляют и перехватывают SMS, крадут учетные данные мессенджеров и соцсетей.
- Архитектура зловреда предоставляет операторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений.
Индикаторы компрометации - в отчете.
🥷 Вирус-шифровальщик обрушил рыночную стоимость Marks & Spencer почти на 77 миллиардов рублей
Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.
Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.
Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).
M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.
По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.
За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.
29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.
✋ @Russian_OSINT
Подкатили подробности недавно обнаруженной уязвимости iOS, которая позволяла злоумышленникам удаленно выводить из строя iPhone с помощью всего одной строки кода и была скрыта глубоко во внутренней системе обмена сообщениями.
Найти и устранить серьезную уязвимость помог Apple разработчик приложений и исследователь Гильерме Рамбо, который выкатил соответствующий PoC - приложение под названием EvilNotify.
Проблема была связана с уведомлениями Darwin - низкоуровневым механизмом межпроцессного взаимодействия в операционных системах Apple.
При этом не требовалось никаких специальных привилегий для отправки и получения уведомлений Darwin, а механизм проверки отправителя вовсе отсутствовал.
Они были доступны как публичный API и любой процесс на iOS, включая изолированные приложения, мог отправлять эти уведомления для базовых обновлений и изменений статуса.
Несмотря на весьма ограниченный объем данных, которые можно было передать, исследователь понял, что уведомления Darwin могут помешать работе системы, поскольку некоторые компоненты реагируют на них таким образом, что нарушает нормальную работу устройства.
Это может привести к тому, что устройство будет отображать определенные значки в строке состояния, например, для «обнаружения жидкости», активировать состояние подключения Display Port в Dynamic Island и блокировать общесистемные жесты для открытия Центра управления, Центра уведомлений и экрана блокировки.
Помимо прочего, вредоносное приложение может игнорировать сети Wi-Fi, заставляя систему использовать сотовое соединение, блокировать экран и переводить устройство в режим «процесса восстановления».
Последний вариант (режим «восстановление в процессе») стал идеальным вектором атаки типа DoS, поскольку из этого состояния не было иного выхода, кроме как нажать кнопку «перезагрузить», что всегда приводило к перезагрузке устройства.
Чтобы вызвать такой сбой, достаточно было включить в приложение всего одну строку кода.
Причем уведомления работали, даже когда приложение не отображалось на переднем плане, что приводило к неоднократной перезагрузке устройства.
Рамбо также создал расширение виджета VeryEvilNotify, которое фактически превращало устройство iOS в мягкий кирпич, требуя стирания и восстановления из резервной копии.
Причем, если бы приложение попало в резервную копию и устройство было восстановлено из нее, ошибка в конечном итоге сработала бы снова, что сделало бы ее еще более эффективной в качестве DoS.
Исследователь сообщил о проблеме в Apple 26 июня 2024 года.
Компания признала ошибку и исправила ее в последующих выпусках обновлений.
Конфиденциальные уведомления теперь требуют ограниченных прав.
Рэмбо подтвердил, что с выпуском iOS 18.3 все проблемы, продемонстрированные в PoC, были устранены, а исследователю выплачена премия в размере 17 500 долл.
Ransomware-индустрия также развивается: банда вымогателей DragonForce кардинально обновила свою программу RaaS и теперь формирует структуру, напоминающую картель.
Теперь DragonForce поддерживает услугу сдачи в аренду коллегам своей инфраструктуры, что позволяет другим бандам запускать собственные RaaS на более крупной платформе DragonForce, но под другим именем/брендом.
Такая распределенная модель партнерского брендинга реализует возможность другим владельцам RaaS вести свой бизнес без затрат и усилий на обслуживание инфраструктуры.
Представитель DragonForce при этом заявляют, что руководствуются исключительно финансовыми мотивами, но также следуют моральным принципам, выступая против атак на организации в сфере здравоохранения.
Обычно у рядовой RaaS-операции есть собственные операторы, а разработчик предоставляет вредоносное ПО для шифрования файлов и инфраструктуру.
Оператор создает вариант шифровального пакета, взламывает сети жертв и запускает программу-вымогатель. Он также ведет управление ключами дешифрования и переговоры с жертвой о выплате выкупа.
Разработчик также поддерживает так называемый сайт DLS, где публикует информацию, украденную у жертв, которые не заплатили злоумышленнику.
В обмен на использование своего вредоносного ПО и инфраструктуры разработчик взимает с партнеров комиссию от полученных выкупов, которая обычно составляет до 30%.
Но можно считать, что появилась новая категория: DragonForce называет себя картелем вымогателей и забирает свою долю в размере 20% от выплаченных выкупов.
В рамках этой модели операторы получают доступ к инфраструктуре (инструменты для ведения переговоров, хранилище для украденных данных, администрирование вредоносного ПО) и используют шифратор DragonForce под собственным брендом.
Группа объявила о новом направлении в марте, заявив, что операторы могут создавать свой «собственный бренд под эгидой уже проверенного партнера».
Как отмечают представители банды, DragonForce стремится управлять «неограниченным числом брендов», которые могут быть нацелены на системы ESXi, NAS, BSD и Windows.
DragonForce также сообщила, что их структура представляет собой рыночную площадку, где партнеры могут выбирать, проводить ли атаки под брендом DragonForce или под собственным.
По сути, банды вымогателей могут использовать сервис и White Label под своим собственным именем, создавая впечатление своей уникальности.
Кто того, им не придется заморачиваться с управлением сайтами DLS и переговоров, как и самими переговорами, а также разработкой вредоносного ПО.
Сама банда заявляет, что в числе ее клиентов - уже присутствуют именитые группы. Кто именно и сколько их она данный момент - DragonForce не сообщает.
Как отмечают исследователи Secureworks, увеличивая партнерскую базу, DragonForce потенциально может рассчитывать на увеличение прибыли за счет гибкости предлагаемой модели.
Но будем посмотреть.
Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия).
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
Исследователи VulnCheck выкатили отчет по уязвимостям за первый квартал 2025 года, наметив основные тренды их раскрытия и эксплуатации.
В общем было выявлено 159 CVE, которые эксплуатировались в реальных условиях, по сравнению со 151 в четвертом квартале 2024 года.
При этом сохраняется тенденция 2024 года, отражающая стремительный рост числа эксплуатируемых уязвимостей: 28,3% были использованы в течение 1 дня с момента их раскрытия CVE.
Это означает, что 45 уязвимостей безопасности были использованы в реальных атаках в течение дня после их раскрытия.
Четырнадцать других уязвимостей были использованы в течение месяца, а еще 45 уязвимостей были использованы в течение года.
Большинство эксплуатируемых уязвимостей было выявлено в CMS (35), за которыми следуют сетевые периферийные устройства (29), операционные системы (24), ПО с открытым исходным кодом (14) и серверное ПО (14).
Аутсайдерами среди поставщиков решений, уязвимости в которых эксплуатировались в течение изучаемого периода: Microsoft Windows (15), Broadcom VMware (6), Cyber PowerPanel (5), Litespeed Technologies (4) и маршрутизаторы TOTOLINK (4).
В среднем еженедельно раскрывалось 11,4 KEV, а в месяц — 53.
Из 159 уязвимостей 25,8% были признаны ожидающими или проходящими анализ NIST (NVD), а 3,1% был присвоен новый статус «Отложенный».
2 KEV, о которых было сообщено публично, имеют зарезервированные, но неопубликованные CVE, а еще 1 - был отклонен.
Во вторник федеральное жюри присяжных поставила точку в деле NSO Group, обязав поставщика spyware выплатить WhatsApp (принадлежащей признанной в РФ экстремистской Meta) 168 миллионов долларов в качестве возмещения ущерба за атаку Pegasus на 1400 ее пользователей.
Первоначально WhatsApp подала иск в отношении NSO Group еще в 2019 году, обвинив ее в использовании Pegasus для преследования журналистов, правозащитников и политической оппозиции.
Согласно представленным на разбирательствах судебным документам, жертвами шпионской кампании стали 456 пользователей в Мексике, 100 - в Индии, 82 - в Бахрейне, 69 - в Марокко и 58 - в Пакистане. Всего в прицеле Pegasus оказались пользователи из 51 страны.
В атаках для запуска шпионского ПО задействовался 0-day в функции голосовых вызовов WhatsApp (CVE-2019-3568, оценка CVSS: 9,8).
В ходе судебных прений NSO Group пыталась уйти от ответственности, утверждая, что не имеет представления о том, что ее клиенты делают с Pegasus, но эта линия защиты провалилась.
NSO была вынуждена признать, что ежегодно тратит десятки миллионов долларов на разработку новых методов внедрения вредоносного ПО, в том числе через SMS, мессенджеры, браузеры и ОС, а ее шпионское ПО и по сей день способно вмешиваться в работу устройств iOS или Android.
В постановлении, вынесенном в декабре 2024 года, окружной судья США Филлис Дж. Гамильтон отметила, что вредоносные сообщения Pegasus отправлялись через серверы WhatsApp, расположенные в Калифорнии, 43 раза в течение соответствующего периода времени в мае 2019 года.
Судебный прецедент в деле NSO Group, по мнению главы WhatsApp Уилл Кэткарт, можно назвать историческим и станет важнейшим сдерживающим фактором для индустрии шпионского ПО по всему миру.
Помимо штрафных санкций в размере 167 254 000 долларов США, присяжные постановили, что NSO Group должна выплатить WhatsApp 444 719 долларов США в качестве компенсации за работы, предпринятые инженерами для блокировки векторов атак.
Кроме того, согласно судебному постановлению NSO вынесен запрет когда-либо снова атаковать WhatsApp.
В свою очередь, после получения судебного постановления WhatsApp намерена финансово поддержать организации, специализирующиеся на защите цифровых прав и защите пользователей от подобных атак.
Несмотря на публичные заявления NSO Group в Courthouse News и POLITICO о задействовании ее технологий в борьбе с преступлениями и терроризмом, судебное решение полностью отражает стратегию американских властей, ранее также наложивших санкции на поставщика.
В целом, можно констатировать, что назначенные судом суммы возмещения могут серьезно подорвать экономику NSO Group и наступательные возможности разрабатываемого софта.
Но будем, опять же, посмотреть.
CISA предупреждает о том, что злоумышленники активно используют недавнюю критическую уязвимость в низкоуровневом конструкторе ИИ Langflow в неконтролируемых масштабах.
Langflow - это основанный на Python, независимый от LLM конструктор искусственного интеллекта, представляющий собой настраиваемую визуальную среду, которая поддерживает разработку многоагентных и поисковых приложений дополненной генерации (RAG).
Инструмент, имеющий почти 60 тыс. звезд и 6,3 тыс. форков на GitHub, используется разработчиками ИИ, исследователями и стартапами для создания прототипов чат-ботов, конвейеров данных, систем агентов и приложений ИИ.
Отслеживаемая как CVE-2025-3248 (CVSS 9,8) и раскрытая в начале апреля ошибка описывается как проблема внедрения кода в конечную точку проверки кода, устранена в версии Langflow 1.3.0.
Удаленный и неаутентифицированный злоумышленник может отправлять специально созданные HTTP-запросы для выполнения произвольного кода.
9 апреля Horizon3.ai опубликовала технические подробности об уязвимости, предупредив, что PoC, нацеленный на нее, уже выпущен и его можно использовать для получения полного контроля над уязвимыми серверами.
После публикации отчета Horizon3.ai и появления PoC исследователи SANS заметили всплеск обращений к уязвимой конечной точке Langflow.
Уязвимый код присутствует в самых ранних версиях Langflow, выпущенных два года назад. Проведенное исследователями тестирование показало, что большинство версий до 1.3.0, если не все, подвержены эксплуатации.
Причем Horizon3.ai отмечает, что смогла обнаружить несколько путей эксплуатации ошибки для удаленного выполнения кода.
При этом исправление в версии 1.3.0 добавило требование аутентификации, но не полностью устранило уязвимость. Ограничение сетевого доступа к фреймворку должно устранить риск эксплуатации.
Технически эта уязвимость все еще может быть использована для повышения привилегий от обычного пользователя до суперпользователя Langflow, но это уже возможно и без этой уязвимости.
Исследователи обращают внимание также на то, что не совсем понятно, зачем Langflow разделяет суперпользователей от обычных пользователей, если все обычные пользователи по умолчанию могут выполнять код на сервере.
Результаты сканирования Censys указывают на существование около 460 хостов Langflow, доступных через интернет. Однако неясно, сколько из них уязвимы.
CISA не предоставила никаких конкретных подробностей о наблюдаемой активности по эксплуатации и заявила, что в настоящее время неизвестно, используют ли уязвимость банды вымогателей.
Но будем посмотреть.
Google выкатила ежемесячные обновления безопасности для Android с исправлениями 46 уязвимостей, включая одну, которая, по данным поставщика, была использована в реальных целях.
CVE-2025-27363 имеет оценку CVSS: 8,1, затрагивает компонент System и может привести к локальному выполнению кода без необходимости получения дополнительных привилегий на выполнение.
Для эксплуатации не требуется взаимодействия с пользователем.
Уязвимость связана с библиотекой рендеринга шрифтов FreeType с открытым исходным кодом.
Впервые о проблеме сообщила Meta (признана в РФ экстремистской) в марте 2025 года, когда ее эксплуатировали в дикой природе.
Недостаток был описан как ошибка записи за пределами границ, которая могла привести к выполнению кода при разборе файлов TrueType GX и переменных шрифтов. Проблема была устранена в версиях FreeType выше 2.13.0.
Как отмечают в Google, были выявлены признаки того, что CVE-2025-27363 может подвергаться ограниченной целенаправленной эксплуатации, однако точные характеристики и обстоятельства атак в настоящее время неизвестны.
Майское обновление Google также устраняет восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могут быть использованы для повышения привилегий, раскрытия информации и DoS.
Несмотря на то, что эксплуатация многих проблем в Android затрудняется улучшениями в новых версиях платформы, Google призывает всех пользователей скорее обновиться до последней версии.
Исследователи из команды реагирования на инциденты Stroz Friedberg из Aon раскрыли новый метод обхода EDR под условным наименованием Bring Your Own Installer, который задействуется в атаках с использованием ransomware Babuk.
В основе метода лежит брешь в процессе обновления агента, которая позволяет злоумышленникам завершить работу агентов EDR, оставляя устройства незащищенными.
Атака была обнаружена в ходе расследования инцидента у одного из клиентов с решением SentinelOne, который в начале этого года подвергся атаке с целью программ-вымогателей.
В реализации замеченного метода не используются сторонние инструменты или драйверы, как обычно это бывает при обходе EDR, вместо этого использовался сам установщик SentinelOne.
Исследователи пояснили, что SentinelOne защищает своего агента EDR с помощью функции защиты от несанкционированного доступа, которая требует ручного действия в консоли управления SentinelOne или уникального кода для удаления агента.
Однако, как и многие другие установщики ПО, при установке другой версии агента установщик SentinelOne завершает все связанные процессы Windows непосредственно перед тем, как существующие файлы будут перезаписаны новой версией.
Злоумышленники смогли воспользоваться этим небольшим окном, запустив легитимный установщик SentinelOne, а затем принудительно прервав процесс установки после того, как он завершит работу служб запущенного агента, оставив устройства незащищенными.
В рамках расследования атаки на сеть клиента Aon проанализировали журналы и выяснили, что злоумышленники получили административный доступ к сети клиента через уязвимость.
Затем злоумышленники использовали этот новый обходной путь, завершив msiexec.exe процесс SentinelOne Windows Installer (" ") до того, как он смог установить и запустить новую версию агента. После отключения защиты злоумышленники смогли развернуть программу-вымогатель.
При этом злоумышленники могут использовать новые или старые версии агента для проведения этой атаки, поэтому даже если на устройствах запущена последняя версия, они все равно уязвимы.
Aon ответственно уведомили об этой атаке SentinelOne, которая в частном порядке поделилась с клиентами способами ее устранения в январе 2025 года.
Для смягчения последствий необходимо включить функцию «онлайн-авторизация» в настройках политики Sentinel. Если эта функция включена, перед локальными обновлениями, понижениями или удалениями агента требуется одобрение консоли управления SentinelOne.
В свою очередь, SentinelOne также поделилась рекомендациями исследователей относительно новой техники со всеми другими крупными поставщиками EDR.
Исследователи Socket обнаружили три вредоносных модуля Go, которые включают в себя запутанный код для извлечения полезных нагрузок следующего этапа, способные безвозвратно перезаписать основной системный диск Linux.
Среди найденных репозиториев: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy.
Как отмечают исследователи, несмотря на то, что эти модули выглядели легитимными, они содержали сильно запутанный код, предназначенный для извлечения и выполнения удаленных полезных нагрузок.
Пакеты разработаны для проверки относимости ОС к Linux и дальнейшего извлечения полезной нагрузки следующего этапа с удаленного сервера с помощью wget.
Последняя представляет собой разрушительный скрипт оболочки, который перезаписывает весь основной диск (/dev/sda) нулями, фактически предотвращая загрузку машины.
Причем применяемый метод гарантирует, что ни один инструмент восстановления или криминалистическая экспертиза не позволит восстановить данные, поскольку напрямую и необратимо перезаписывает их.
Вредоносный скрипт полностью парализует работу целевых серверов Linux или сред разработки, подчеркивая чрезвычайную опасность современных атак на цепочки поставок, которые могут превратить, казалось бы, надежный код в разрушительную угрозу.
Хакеры активировали секретные бэкдоры, которые им удалось внедрить еще шесть лет назад в плагины Magento, что позволило взломать почти 1000 Интернет-магазинов.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Каждый раз, когда ИБ засылает тестовый фишинг сотрудникам после их обучения
Читать полностью…
👾 Уязвимости online.
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Oligo Security раскрыли уязвимости в протоколе AirPlay и SDK, в совокупности названные AirBorne, которые подвергают Zero-click RCE, MITM и DoS атакам неисправленные устройства Apple и сторонних производителей.
Кроме того, ошибки могут быть задействованы для обхода списков контроля доступа (ACL), получения доступа к конфиденциальной информации и произвольным локальным файлам.
В общей сложности Oligo обнаружила 23 уязвимости, о чем уведомила Apple, которая 31 марта выпустила обновления для устранения этих уязвимостей в iPhone и iPad (iOS 18.4 и iPadOS 18.4), Mac (macOS Ventura 13.7.5, macOS Sonoma 14.7.5 и macOS Sequoia 15.4) и Vision Pro (visionOS 2.4).
Компания также внесла исправления в AirPlay audio SDK, AirPlay video SDK и CarPlay Communication Plug-in.
Всего было выпущено 17 идентификаторов CVE для выявленных проблем, и Apple совместно с Oligo работала над их устранением в последних выпусках iOS, iPadOS и macOS.
Несмотря на то, что AirBorne могут быть использованы злоумышленниками только в той же сети через беспроводные или одноранговые соединения, они позволяют захватывать уязвимые устройства и использовать доступ в качестве стартовой площадки для взлома других устройств с поддержкой AirPlay (в той же сети).
Исследователи Oligo смогли продемонстрировать, как именно злоумышленники могут реализовать CVE-2025-24252 и CVE-2025-24132 для RCE с возможностью червя.
При этом CVE-2025-24206 (обход взаимодействия с пользователем) позволяет злоумышленнику обходить требования нажатия кнопки «принять» в запросах AirPlay и может быть объединена с другими уязвимостями для запуска атак без нажатия кнопки.
Злоумышленник потенциально может захватить определенные устройства с поддержкой AirPlay и выполнить развертывание вредоносного ПО, которое может распространяться на устройства в любой локальной сети, к которой подключается зараженное.
Это может привести к осуществлению других сложных атак, связанных с кибершпионажем, ransomware, атаками на цепочки поставок и др.
CVE-2025-24271, уязвимость ACL, позволяющая неаутентифицированным злоумышленникам отправлять команды AirPlay без сопряжения, может быть связана с CVE-2025-24137 (исправлена в январе 2025 года) для RCE в один клик.
Уязвимость CVE-2025-24132, связанная с переполнением буфера в стеке, может быть использована для RCE без щелчка на динамиках и ресиверах с использованием AirPlay SDK, независимо от их конфигурации, а также может быть использована для создания вредоносных программ-червей.
Поскольку AirPlay является основополагающим ПО для устройств Apple (Mac, iPhone, iPad, AppleTV и т.д.), а также для сторонних девайсов, использующих AirPlay SDK, этот класс уязвимостей может иметь далеко идущие последствия, особенно если учесть их широкое распространение.
При этом по данным Apple, в мире представлено более 2,35 млрд. активных яблочных устройств, а по оценкам Oligo - также десятки млн. сторонних стройств с поддержкой AirPlay, не считая автомобильных информационно-развлекательных систем с поддержкой CarPlay.
Промышленные коммутаторы и продукты сетевого управления, производимые тайваньской компанией Planet Technology, подвержены нескольким критическим уязвимостям.
По этому поводу на прошлой неделе вышла отдельная рекомендация CISA с описанием пяти уязвимостей, обнаруженных в системах управления сетями UNI-NMS-Lite, NMS-500 и NMS-1000V, а также в коммутаторах WGS-804HPT-V2 и WGS-4215-8T2S.
Всем уязвимостям присвоен критический уровень серьезности.
Они могут быть использованы удаленными, неаутентифицированными злоумышленниками для получения прав администратора для уязвимого продукта (через жестко закодированные учетные данные), создания учетной записи администратора из-за отсутствия аутентификации и проведения инъекции для выполнения команд ОС или манипулирования данными устройства.
CISA отметила, что затронутые устройства используются по всему миру, в том числе в критически важных производственных секторах.
Кевин Брин из Immersive, которому приписывают сообщение об уязвимостях, раскрыл технические подробности на следующий день после того, как CISA опубликовала предупреждение.
Исследователь обнаружил уязвимости в ходе анализа нескольких проблем в устройствах Planet Technology, о которых в прошлом году сообщила Claroty.
По словам Брина, результаты сканирования Censys показывают сотни, а возможно, и тысячи потенциально уязвимых устройств Planet Technology, которые имеют выход в Интернет.
Planet Technology устранила все уязвимости. Поставщик был уведомлен об этом 6 марта через CISA, а исправления выпущены - 16 апреля.
В CISA отметили, что им пока неизвестно о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях.
BreachForums, в очередной раз, пал, на этот раз результате атаки с использованием 0-day PHP, которая позволила скомпрометировать «устаревшее и неисправленное ПО» форума (если верить сообщениям админов).
После того, как на прошлой неделе BreachForums (BF) ушел в оффлайн, новый админ, по всей видимости, взял на себя управление, обещая возродить сайт независимо от любых «подозрительных личностей» из прошлых версий.
Новый владелец - пользователь Momondo - также утверждает, что является представителем «первоначальной» команды, что подразумевает прямую связь с основателем рынка и администратором OG Pompompurin.
Помпомпурин же, 20-летний Конор Брайан Фицпатрик из Нью-Йорка, был арестован в 2023 году в ходе операции ФБР, что привело к дальнейшей чехарде администраторов и адресов сайта, ни один из которых не смог продержаться на длительное время.
Momondo попытался представил объяснение тому, с чем столкнулись сотни тысяч пользователей BF, опубликовав пояснения на очередном новом адресе веб-сайта, на этот раз с расширением .SX.
Из объяснений стало известно, что BreachForums (breachforums.st) использовал устаревшую и неисправленную версию ПО форума MyBB.
В виду игнорирования критических обновлений безопасности и исправлений инфраструктура могла оказаться уязвимой, что позволило третьим лицам или правоохранительным органам получить потенциальный несанкционированный доступ.
Momondo также дал понять, что он дистанцирован от последней команды админов сайта, включая недавнего владельца BreachForum «Anastasia», которая с треском провалила запуск четвертой версии рынка, обещанный на прошлый четверг, 24 апреля.
Фактически, вместо перезагрузки BreachForums на целевой странице сайта в четверг появилось уведомление, якобы от Анастасии, с предложением продать резервную копию базы данных BreachForums (от 10 апреля) и исходный код всего за 2000 долларов.
Возвращаясь к последним событиям, и Momondo, и Anastasia так или иначе упоминали о возможной причастности ФБР к атаке, однако исследователи Cybernews полагают виновной Dark Storm Team, которая периодически атаковала сайт BF незадолго до ожидаемого перезапуска.
Dark Storm Team, пропалестинская хактивистская банда, предположительно Script Kiddies, известная своими недавними DDoS-атаками на аккаунт Илона Маска X, допускала публичные нападки на Anastasia, транслируя все в Telegram.
Тем не менее, Momondo, дабы еще больше прояснить ситуацию, во втором посте раскрыл уязвимость PHP и объяснил, почему решил выйти из нынешней команды, выражая крайнюю неблагонадежность нынешнего руководства и мер безопасности.
Кроме того, Momondo отказался также от сотрудничества с представителями Shiny Hunters, действия которых, по его мнению, ставят под угрозу целостность и безопасность всего сообщества BF.
Напомним, ранее BreachForums после первого захвата ФБР в 2023 году был реанимировал его вторым админом, Блафометом, но в мае 2024 года ФБР снова прикрыли его.
С тех пор за третью версию Breached взялись Shiny Hunters и еще один известный завсегдатай форума, USDoD.
Потом все они исчезли из поля зрения и, по всей видимости, также были арестованы ФБР.
Сами спецслужбы пока ника мне комментируют ситуацию.
В свою очередь, администраторы BreachForums публично заверили, что ни один член команды не был арестован, а инфраструктура остается в безопасности.
Но будем посмотреть.
Исследователи обращают внимание на набирающий все большую популярность тревожный тренд, связанный с активным злоупотреблением NFC в схемах банковского мошенничества.
Как мы ранее отмечали, одной из последних фишек хакеров стала принципиально новая схема краж, получившая название обратный NFCGate, о которой сообщили исследователи F6 в своем недавнем отчетом.
Она подразумевает взаимодействие с жертвой, по результатам которого последнюю побуждают установить вредоносное приложение, включающее в себя набор инструментов NFCGate с жестко запрограммированными данными карты злоумышленника.
В ходе пополнения счета банковской карты, жертва вместо собственной зачисляет денежные средства на карту злоумышленника, которому теперь не нужно окучивать банкоматы для их снятия, как в случае с обычным NFCGate.
Вслед за F6 проблематику также затронули исследователи Cleafy, обнаружившие SuperCard X, платформу MaaS, созданную китайскоязычным разработчиком, которая позволяет клиентам легко распространять и контролировать вредоносное ПО, вдохновленное NFCGate.
Также отметился KrebsOnSecurity, сообщая в своем отчете о том, что китайские банды добавляют данные фишинговых карт в свои собственные кошельки Apple и Google, откуда они инициируют операции по снятию наличных с помощью бесконтактных транзакций через банкоматы.
В отчете Resecurity также рассматривается китайская даркнет-площадка, специализирующаяся на реализации POS-терминалов с поддержкой NFC для обработки мошеннических бесконтактных платежей, поступающих от хакерских групп, злоупотребляющих NFC и кошельками Apple/Google.
Исследователи констатируют, что складывающаяся ситуация указывает на то, что все больше преступных групп начинают фокусировать свое внимание на NFC и экосистему бесконтактных платежей.
Причем передовой опыт в киберподполье активно ретранслируется: в Россию NFCGate перекочевал из Чехии, а теперь распространился и на Китай.
Учитывая, что бесконтактные платежи работают примерно одинаково везде, в обозримой перспективе новая волна банковского мошенничества будет расширяться географически, экономически и технологически.
Киберподполье активно взялось за Craft CMS, успев, по всей видимости, скомпрометировать сотни серверов.
Злоумышленники нацелились на две недавно обнаруженные критические уязвимости для реализации 0-day атак с целью получения несанкционированного доступа.
Атаки, впервые обнаруженные Orange Cyberdefense SensePost 14 февраля 2025 года, включают в себя цепочку следующих уязвимостей:
- CVE-2024-58136 (CVSS: 9,0): ненадлежащая защита от ошибки альтернативного пути в фреймворке Yii PHP, используемом Craft CMS, которая может быть использована для доступа к ограниченным функциям или ресурсам (регресс CVE-2024-4990).
- CVE-2025-32432 (CVSS: 10,0): уязвимость удаленного выполнения кода в Craft CMS (исправлено в версиях 3.9.15, 4.14.15 и 5.6.17).
По данным компании, CVE-2025-32432 кроется во встроенной функции преобразования изображений, которая позволяет администраторам сайтов сохранять изображения в определенном формате.
CVE-2025-32432 связана с тем, что неаутентифицированный пользователь может отправить запрос POST на конечную точку, ответственную за преобразование изображения, и данные в POST будут интерпретированы сервером.
В версиях 3.x Craft CMS идентификатор актива проверяется до создания объекта преобразования, тогда как в версиях 4.x и 5.x идентификатор проверяется после.
Таким образом, для того чтобы эксплойт функционировал с каждой версией Craft CMS, злоумышленнику необходимо найти действительный идентификатор актива.
Идентификатор актива в контексте Craft CMS относится к способу управления файлами документов и медиафайлами, при этом каждому активу присваивается уникальный идентификатор.
Злоумышленники, стоящие за кампанией, запускают несколько POST-запросов до тех пор, пока не будет обнаружен действительный идентификатор актива, после чего выполняется скрипт Python, определяя уязвимость сервера и загружая PHP-файл на сервер из репозитория GitHub.
В период с 10 по 11 февраля злоумышленники заметно отточили свои скрипты, многократно протестировав загрузку filemanager.php на веб-сервер с помощью скрипта Python.
Файл filemanager.php был переименован в autoload_classmap.php 12 февраля и впервые был использован 14 февраля.
По состоянию на 18 апреля 2025 года выявлено около 13 000 уязвимых экземпляров Craft CMS, из которых около 300 предположительно были взломаны.
Как отмечают разработчики Craft CMS, если при проверке журналов брандмауэра или веб-сервера обнаружатся подозрительные запросы POST к конечной точке контроллера Craft actions/assets/generate-transform, в частности, со строкой __class в теле, то можно полагать, что сайт сканировался на наличие этой уязвимости.
При наличии доказательств компрометации пользователям рекомендуется обновить ключи безопасности, сменить учетные данные базы данных, сбросить пароли пользователей в целях предосторожности и заблокировать вредоносные запросы на уровне брандмауэра.
Исследователи BI.ZONE выявили новую кампанию Fairy Wolf, в рамках которой злоумышленники маскировали стилер Unicorn под легитимные файлы.
Атакующие распространяли архив с названием Тех.схема-№4533, внутри которого находился Проект№4533.pdf.lnk.
Фишкой было то, что LNK содержал текст популярной в сети песни бодибилдеров Даниила Изместьева и Виктора Костырева.
Цепочка заражения начиналась с запуска LNK-файла и загрузки с использованием утилиты mshta.exe вредоносного HTA-файл, замаскированного под PDF, с ihsue[.]telehram[.]org.
Загруженный sbtotakz.pdf включал VBS-скрипт, который отвечал за создание на диске ряда файлов с различным функционалом:
- crash_report.vbs — обходит директории пользователя и собирает файлы с заданными расширениями;
- service_report.vbs — собирает файлы с заданными расширениями на съемных носителях;
- core_stablity_report.vbs — собирает учетные данные мессенджера Telegram и браузеров;
- utility_report.vbs — отвечает за эксфильтрацию собранных данных;
- update_logging.vbs — отвечает за закрепление в системе и в качестве механизма самозащиты пересоздает на диске перечисленные выше файлы.
Дополнительно скрипт создает в реестре (в ветках Search Band, Core и Servers, расположенных в Software\Yandex Service) ключи WB, MX, KM, GE, GF и др., куда записывает зашифрованный код VBS-функций. Эти функции затем используются вышеуказанными скриптами.
Закрепление в системе происходит через модификации раздела реестра CurrentVersion\Run и добавление задания в планировщике задач.
Стилер собирает файлы размером менее 100 МБ с целевыми расширениями, а также извлекает содержимое папки %APPDATA%\Telegram Desktop\tdata и учетные данные браузеров Яндекс, Google Chrome, Edge, Opera.
Информация обо всех скопированных файлах и дате их последних изменений сохраняется в текстовых файлах apgs, ipgs, opgs, которые сверяются при каждом последующем запуске.
Эксфильтрация выполняется через POST-запрос на URL, cгенерированный методом DGA.