39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
В Иране группа хакеров-активистов LabDookhtegan сообщила о проведении успешной кибератаки, в результате которой были выведены из строя бортовые системы связи 116 иранских кораблей.
Эксплуатацией судов занимаются Национальная иранская танкерная компания (50) и Судоходная компания Исламской Республики Иран (66).
Атака якобы была направлена на спутниковой связи VSAT двух компаний, где хакеры смогли зачистить устройства хранения данных. Они также заявили, что в проведении атаки ей помогали люди из правительства.
LabDookhtegan отмечают, что обе компании использовали свой флот для снабжения группировки у в Йемене, которая на протяжении последнего года совершала нападения на проходящие через Баб-эль-Мандебский пролив суда, посягая на морскую торговую логистику.
Хакеры замаячили на горизонте киберподполья еще в 2019 году и изначально засветились после разоблачения арсенала иранской кибергруппы APT34.
Далее сливали большие объемы конфиденциальных правительственных документов, в том числе раскрывающих структуры иранского правительства, киберподразделения и частных киберподрядчиков.
Тут следует отметить, что группа впервые взяла на себя ответственность за совершение акта саботажа, что заметно выделяется на фоне их привычной хакерской активности, до этого связанной исключительно с кибершпионажем.
Кроме того, удивительным образом эта атака "хактивистов" совпала с началом нанесения вооруженных ударов по хуситам американскими войсками. Бывает.
Исследователи F6 предупреждают о новых атаках проукраинский Sticky Werewolf в рамках продолжающейся ранее описанной кампании на российские госучреждения и промышленные предприятия.
На этот раз под удар попал производитель нефтегазового оборудования.
В ходе детектированный рассылки задействовались письма, во вложении к которым находился защищенный паролем 7z-архив с именем «Исходящий от 17.03.2025.7z».
В качестве приманки Sticky Werewolf использовали поддельное письмо от Минпромторга.
В результате выполнения классической для группировки цепочки атаки, включающей последоствательно дроппер установщик NSIS, BAT, AutoIt script, RegAsm (QuasarRAT) - создается процесс RegAsm.exe, в который внедряется QuasarRAT.
В конфигурации нагрузки замечены следующие C2 адреса: thelightpower[.]info:4782, crostech[.]ru:4782.
При этом домен crostech[.]ru используется группой в качестве C2 для QuasarRAT с октября 2024 года, второй домен (thelightpower[.]info) был зарегистрирован позже в декабре.
Самые ранние из известных атак с его использованием датируются мартом этого года.
🍏 Отравленное яблоко: руководство по сбору артефактов после сброса устройства.
• На мобильных устройствах компании Apple после ввода 10 неправильных комбинаций пароля удаляются ключи шифрования, и получить доступ к пользовательским данным становится достаточно проблематично, а иногда и в принципе невозможно. Извлечь информацию из устройства в такой ситуации возможно лишь до загрузки ОС устройства.
• На устройствах на базе процессоров А5–А11 (iPhone 4S — iPhone X) имеется аппаратная уязвимость, которая позволяет получить доступ к содержимому устройства в режиме BFU (Before First Unlock) с использованием эксплойта checkm8.
• О возможности извлечения данных из телефонов в состоянии «iPhone отключен. Подключитесь к iTunes» написано достаточно много статей, но нет обобщенной информации о том, какой конкретно набор данных можно извлечь и, что не менее важно, где все это можно увидеть! Как раз об этом и поговорим.
• Содержание следующее:
- Что открывается исследователю:
➡Артефакты мобильного устройства;
➡IMEI устройства и номер телефона;
➡Информация о модели и сетевых подключениях;
➡Информация о настройках приложения Find My iPhone;
➡Информация об устройстве и резервных копиях;
➡Информация об обновлениях.
- Данные, идентифицирующие пользователя:
➡Настройки сетевой конфигурации системы;
➡Идентификаторы сим-карты;
➡Информация о местоположении абонента;
➡Информация о сим-картах, которые использовались в устройстве;
➡Информация об AirDrop ID устройства;
➡Информация с настройками и предпочтениями из приложения «Настройки»;
➡Информация о подключенных Bluetooth-устройствах;
➡Информация о конфигурации приложения «Сообщения»;
➡Информация о точках Wi-Fi;
➡Информация об избранных контактах пользователя;
➡Информация о заблокированных контактах пользователя.
- Используемые приложения:
➡Информация об особо важных контактах пользователя в приложении «Почта»;
➡Информация о разрешениях для приложений;
➡Информация о приложениях, использующих сервисы геолокации;
➡Каталог со всеми установленными приложениями и многое другое...
• Как итог, даже после 10 неудачных попыток ввода пароля все же можно извлечь информацию, которая будет полезна не только для личного использования, но и при проведении расследований.
➡️ Читать статью [13 min].
S.E. ▪️ infosec.work ▪️ VT
Министерство государственной безопасности КНР официально приписала активность APT-группы, известной как PoisonIvy и GreenSpot, к Центру исследований и анализа сетевой среды при Командовании по информации, коммуникациям и радиоэлектронным силам Тайваня (или ICEFCOM).
В своем заявлении МГБ обвинило ICEFCOM во взломе китайских правительственных учреждений, военных объектов, организаций в критически важных секторах Китая и компаний частного сектора.
Дабы не быть голословными, китайские спецслужбы раскрыли имена четырех лиц, связанных с деятельностью PoisonIvy, в том числе руководителя центра, руководителя группы и двух его сотрудников.
Это уже второе разоблачение агентов ICEFCOM со стороны МГБ, в сентябре прошлого года трое сотрудников ведомства также были уличены в связях с хактивистской группой Anonymous64.
В свою очередь, тайваньские власти, как и стоило ожидать, отвергли все обвинения.
Но примечательно, что пресс-релиз китайских спецслужб на этот раз сопровождался публикацией отчетов ведущими китайскими инфосек-компаниями Antiy и QiAnXin, в которых уже были приведены конкретные артефакты по части названной МГБ атрибуции PoisonIvy/GreenSpot.
Наблюдаемый синхрон, по всей видимости, китайская сторона переняла у своих западных оппонентов в качестве бестпрактис, но в отличие от своих визави постарались подкрепить свои умозаключения хотя бы какой-то атрибуцией.
Исследователи из Лаборатории Касперского выкатили аналитический отчет по реагированию на инциденты за 2024 год.
В нем представлены анонимизированные данные по расследованиям, проведенным командой GERT, а также статистика и основные тенденции по целевым атакам, ransomware и инструментам злоумышленников, замеченным в течение года в реальных инцидентах.
В 2024 году отметился рост доли запросов в отношении реагирования на инциденты в большинстве регионов, при этом большая часть расследований проводилась в странах СНГ (50,6%), на Ближнем Востоке (15,7%) и в Европе (10,8%).
Распределение IR-запросов по отраслям соответствовало динамике 2023 года, сохранив в тройке лидеров промышленные (23,5%), государственные (16,3%) и финансовые (13,3%) организации.
Однако в этом году большиая часть запросов поступила от промышленных предприятий, тогда как госучреждения подвергались атакам реже, чем годом ранее.
Кроме того, наблюдается тенденция к росту инцидентов, связанных с транспортной отраслью - количество запросов на IR-услуги с 2023 года выросло вдвое.
В 2024 году число атак с использованием ransomware увеличилось на 8,3 пунктов по сравнению с показателями 2023 года и составило 41,6% от общего числа инцидентов.
Эксперты прогнозируют, что программы-вымогатели останутся основной угрозой для организаций по всему миру и в текущем году, продолжая тенденцию последних лет, поскольку эта угроза занимает лидирующие позиции среди инцидентов в организациях.
В большинстве случаев заражений встречались образцы семейства LockBit (43,6%), за которыми следуют Babuk (9,1%) и Phobos (5,5%). Выявлены и новые семейства программ-вымогателей, такие как ShrinkLocker и Ymir.
В результате расследований эксперты GERT также обнаружили примечательные вредоносные кампании, такие как Tusk, а также ряд инцидентов с эксплуатацией CVE-2023-48788.
Еще одной тревожной тенденцией, выявленной в реальных кейсах реагирования на инциденты, является более широкое использование таких инструментов, как Mimikatz (21,8%) и PsExec (20,0%) на этапе постэксплуатации для извлечения паролей и бокового перемещения.
Отдельно в ЛК отмечают усиливающуюся тенденцию, связанную с тем, что утечки данных теперь на втором месте по частоте IR-запросов (в 16,9% всех инцидентов), что коррелирует с предположениями ЛК относительно тенденций в методах доступа к учетным данным.
Полная версия отчета доступна здесь и содержит дополнительную информацию о реальных инцидентах, включая новые угрозы, а также подробным разбором деятельности APT и статистикой по наиболее активным группам.
Команда ресерчеров из Cybernews выкатила первое в своем роде исследование безопасности, охватывающее 156 080 случайно выбранных приложений iOS (или 8 ТБ из App Store), которые излучались на протяжении шести месяцев.
App Store от Apple традиционно славится своим закрытым подходом и строгим процессом проверки приложений.
Однако он не охватывает код приложения на наличие жестко закодированных секретов.
Так что по результатам исследования нарисовалась весьма неудобная ситуация - секреты утекают с ошеломляющей скоростью.
Кстати, ранее два года назад команда провела похожее исследование в отношении приложений Android в Google Play.
Самой сложной частью исследования стала загрузка 150 000 приложений на устройство исследователя.
Для загрузки восьми терабайт данных, исследователи сначала попытались подключить iPhone к USB Rubber Ducky.
Однако в конечном итоге этот метод оказался медленным и ненадежным.
Поэтому в конце концов команда нашла другое решение, которое работало в масштабе и было намного быстрее: загрузка приложений из App Store напрямую в их облачное хранилище.
После загрузки приложения можно разархивировать и просканировать.
Исследователи использовали скрипт, чтобы пройти по каждому файлу внутри приложения и проверить более тысячи различных ключевых слов, которые включали пароль, конечную точку, API, ключ пароля или части слов (такие как «pass»).
Теперь к результатам.
Из выборки в 150 000 приложений, включая некоторые из самых популярных в App Store, команде исследователей удалось извлечь конфиденциальную личную информацию пользователей в 70% случаев, код среднего приложения раскрывает 5,2 секрета.
Большинство приложений в App Store, по всей видимости, допускают утечку по крайней мере одного жестко закодированного секрета.
В целом исследование всех приложений выявило свыше 815 000 жестко запрограммированных секретов.
Влияние на среднестатистического пользователя iPhone сильно разнится в зависимости от приложения.
Однако некоторые из раскрытых секретов позволили получить доступ к крайне конфиденциальным данным, включая:
- почти 83 000 жестко запрограммированных конечных точек облачного хранилища, 836 из которых не требуют аутентификации, приводят к утечке 406 ТБ данных;
- более 51 000 конечных точек Firebase, тысячи из которых открыты для посторонних;
- тысячи ключей открыты для Fabric API, Live Branch, MobApp Creator и других.
- сотни наиболее конфиденциальных ключей могут быть использованы для осуществления платежей и возвратов, а также для получения конфиденциальных личных данных, в том числе фотографий и сообщений.
Новое исследование фактически рушит парадигму безопасности приложении iOS, многие из которых, как выяснилось, содержат легкодоступные жестко закодированные учетные данные, открытые базы данных с персональными данными и доступной инфраструктурой.
В Apple отказались от каких-либо комментариев.
Исследователи из Лаборатории Касперского в своем новом отчете представили разбор новых TTPs группы Head Mare, атакующей российские компании.
Злоумышленники продолжают совершенствовать свои методы, используя как знакомые инструменты из прошлых инцидентов, так и новые инструменты на основе PowerShell.
Кроме того, Head Mare в значительной степени полагалась на инструменты, ранее связанные с Twelve, наряду с серверами С2, которые ранее до недавних инцидентов использовались исключительно последней, что указывает на тесные взаимосвязи связи между ними.
Для достижения своих целей злоумышленники использовали различные инструменты, включая ПО с открытым исходным кодом и просочившиеся проприетарные инструменты: mimikatz, ADRecon, secretsdump, ProcDump, Localtonet, revsocks, ngrok, cloudflared, Gost, fscan, SoftPerfect Network Scanner, mRemoteNG, PSExec, smbexec, wmiexec, LockBit 3.0 и Babuk.
Причем некоторые из этих инструментов уже упоминались в предыдущем отчете в отношении Head Mare, в то время как другие стали новинкой в арсенале, в том числе были замечены в атаках других групп.
Например, хакеры использовали бэкдор CobInt для удаленного доступа к контроллерам домена, ранее замеченный только в атаках Twelve на российские компании.
Кроме того, с августа 2024 года злоумышленники стали использовать собственный бэкдор PhantomJitter, установленный на серверах для удаленного выполнения команд.
Если предыдущие атаки Head Mare основывались исключительно на фишинге, то теперь группа также проникает в инфраструктуру жертв через скомпрометированных подрядчиков с доступом к платформам автоматизации бизнеса и RDP-подключениям.
Метод установления персистентности изменился.
Вместо запланированных задач злоумышленники теперь создают новых привилегированных локальных пользователей на сервере платформы автоматизации бизнеса, устанавливая также инструменты туннелирования трафика, такие как Localtonet, для постоянного доступа к целевому хосту.
Чтобы получить удаленный доступ к скомпрометированной инфраструктуре, хакеры полагаются на пользовательский скрипт PowerShell с именем proxy.ps1 для установки и настройки cloudflared и Gost.
Атакующие использовали обычные инструменты системной разведки - quser.exe, tasklist.exe и netstat.exe на локальных хостах.
В основном - fscan и SoftPerfect Network Scanner для локальной сетевой разведки, а также ранее не замеченный в арсенале ADRecon, инструмент для сбора информации из Active Directory.
Для извлечения учетных данных помимо общедоступной mimikatz злоумышленники использовали secretsdump и ProcDump, а в рамках горизонтального перемещения - RDP для подключения к системам, в том числе с привилегированными учетными записями.
Они подключались к серверам NAS через SSH и использовали такие инструменты, как mRemoteNG, smbexec, wmiexec, PAExec и PsExec для удаленной связи с хостом.
Еще одним новым инструментом в арсенале Head Mare стал скрипт, запускающий wusa.exe, который на самом деле является утилитой rclone.exe.
Как и в предыдущих атаках, хакеры зашифровали данные с помощью вариантов LockBit 3.0 (для Windows) и Babuk (для устройств NAS).
Учитывая совпадения в инфраструктуре, TTPs, вредоносном ПО и виктимологии, в ЛК предполагают, что Head Mare и Twelve действуют сообща, обмениваясь доступом к серверам С2 и различным инструментам для проведения атак на государственные и частные компании в России.
Технические подробности и IoCs - в отчете.
Исследователь Йоханес Нугрохо раскрыл подробности метода взлома для шифрования Akira ransomware и восстановления исходных файлов.
На основе результатов своего исследования разработал дешифратор для Linux-версии Akira, который задействует вычислительную мощность GPU для извлечения ключа дешифрования и разблокировки файлов.
При этом сам метод не универсален и работает только с вариантами Akira 2024.
За разработку дешифратора Йоханес взялся после обращения его друга с просьбой о помощи.
Тогда он рассчитал, что зашифрованную систему можно взломать за неделю, учитывая, что Akira генерирует ключи шифрования с использованием временных меток (в наносекундах).
Но в виду непредвиденных сложностей на это потребовалось три недели и 1200 долларов на аренду мощности графического процессора, которая позволила взломать ключ шифрования.
Дешифратор работает иначе, нежели традиционные инструменты дешифрования.
Он перебирает ключи шифрования (уникальные для каждого файла) в расчете на то, что шифратор Akira генерирует свои ключи шифрования на основе текущего времени в качестве начального числа.
Начальное значение шифрования - это данные, используемые с криптографическими функциями для генерации сильных, непредсказуемых ключей шифрования.
Akira полагается не на один момент времени, а использует четыре, каждый с наносекундным разрешением.
Генерация ключа сложна, включает 1500 раундов SHA-256 для каждой временной метки.
Уровень точности временных меток реализует более миллиарда возможных значений в секунду, что затрудняет подбор ключей с помощью брута.
Кроме того, Akira на Linux шифрует несколько файлов одновременно, используя многопоточность, что затрудняет определение используемой временной метки и еще больше усложняет ситуацию.
Исследователь сузил возможные временные метки, просмотрев файлы журналов, которыми поделился его друг.
Это позволило увидеть, когда была запущена программа-вымогатель, метаданные файла для оценки времени завершения шифрования и создать бенчмарки шифрования на различном оборудовании для создания предсказуемых профилей.
Первые попытки с использованием RTX 3060 были слишком долгими, с потолком всего в 60 млн. тестов шифрования в секунду. Обновление до RTC 3090 тоже не помогло.
В конце концов исследователь обратился к облачным сервисам RunPod и Vast.ai, чтобы подтвердить эффективность своего инструмента.
В частности, он задействовал шестнадцать графических процессоров RTX 4090 для подбора ключа дешифрования примерно за 10 часов.
Однако в зависимости от количества зашифрованных файлов, требующих восстановления, процесс может занять несколько дней.
Исследователь отметил в своей статье, что эксперты по графическим процессорам могут оптимизировать его код, поэтому производительность, вероятно, может быть улучшена.
Дешифратор доступен на GitHub вместе с инструкциями по восстановлению файлов, зашифрованных Akira.
Исследователи из F6 расчехлили ранее неизвестную APT-группировку Telemancon, нацеленную на объекты промышленности, особое внимание при этом уделяя военной составляющей этого сектора.
Задетектить новую угрозу удалось в феврале 2025 года в ходе мониторинга угроз, при этом анализ инфраструктуры указывает, что самая ранняя активность группы датируется февралем 2023 года.
Группа использует в атаках самописный дроппер и бэкдор, которым были даны имена соответственно TMCDropper и TMCShell.
Название APT-группы было выбрано на основе совокупности уникальных черт: tele - поскольку TMCShell подключается к сервису https://telegra.ph для получения адресов C2, man - от «manufactory» и con - поскольку нагрузка во всех раскрытых атаках сохраняется в %userprofile%\Contacts.
Выявленные атаки, судя по содержимому документов-приманок, были направлены на российские организации в сфере промышленности.
В частности, были зафиксированы две рассылки в адрес производителя военной техники и другого транспорта.
Вложение представляет собой архив 7z, содержащий вредоносный исполняемый файл .scr, который был классифицирован как дроппер TMCDropper, написанный на языке C++.
TMCDropper выполняет три основные задачи: проверку выполнения в режиме отладки/в песочнице, извлечение и закрепление следующей стадии в виде бэкдора TMCShell, а также отображение документа-приманки.
Причем схожие приманки были замечены в атаках группы Core Werewolf.
Файл второй стадии – это обфусцированный Powershell-скрипт, которому исследователи присвоили имя TMCShell. Он выполняет подключение к легитимному сервису https://telegra.ph, адрес URL-страницы генерируется на основе текущей даты.
TMCShell парсит заметку из ответа сервера и извлекает из нее два поля, следующих после даты. Первое число в заметке – это закодированный адрес С2, второе число – это цифровая подпись, которая добавлена для предотвращения подмены С2. Подключение по TCP-соединению на порту 2022.
В ходе исследования одного из сэмплов удалось установить, что TMCShell выполнял на машине жертвы следующие команды, полученные от управляющего сервера: net.exe user; net.exe user {username}; whoami.exe; whoami.exe /groups /fo csv; ipconfig.exe /all и ARP.EXE -a.
Исследователи отмечают, что виктимология APT совпадает с нацеленностью группы Core Werewolf. Кроме того, выделяется банальный метод сокрытия адресов C2, основанный на использовании сервиса telegra.ph.
При этом как отмечали исследователи Securonix, такая техника по части C2 уже была замечена в арсенале Gamaredon, но в более простом виде, без генерации URI-пути и проверки подписи.
В свою очередь, Core Werewolf также известна как PseudoGamaredon, поскольку часто копирует TTPs группировки Gamaredon.
В целом, исследователи F6 предполагают, что за активностью Telemancon может стоять группа Core Werewolf. Но артефактов для уверенной атрибуции пока недостаточно.
Более детально технические подробности, разбор замеченных рассылок, вредоносного инструментария и TTPs - в отчете.
Злоумышленник скомпрометировал популярный GitHub Action в результате атаки на цепочку поставок, добавив вредоносный код, предположительно нацеленный на секреты, связанные с непрерывной интеграцией и непрерывной доставкой (CI/CD).
По данным StepSecurity, инцидент начался 14 произошел и затронул tj-actions/changed-files (далее - Changed-Files), предназначенный для отслеживания изменений файлов и каталогов и используемый в более чем в 23 000 проектов GitHub.
Action используется в сложных конвейерах CI/CD для запуска других действий на основе того, какие файлы были изменены. Это базовый, но очень важный скрипт автоматизации, который фактически стал одним из самых популярных действий GitHub.
Злоумышленник изменил код Changed-files для выполнения вредоносного скрипта Python, который выгружает секреты CI/CD из процесса Runner Worker.
Пока неясно, как злоумышленник взломал Changed-Files, но, проникнув внутрь, он добавил вредоносный код в каждую версию действия, а это значит, что репозитории, использующие старые версии, также были затронуты.
Секреты записываются в журнал сборки проекта (build log), поэтому для приватных доказательств риск утечки ниже, а вот публичным проектам теперь нужно провести ротацию секретов.
Тем не менее, StepSecurity отметила об отсутствии доказательств того, что утечка секретов была как-либо реализована.
Большинство существующих тегов версий Changed-files были обновлены для указания на вредоносный коммит. Этому инциденту был присвоен идентификатор CVE-2025-30066.
Исследователи Endor Labs также отследили этот инцидент и не нашли никаких доказательств того, что были затронуты библиотеки с открытым исходным кодом или контейнеры.
Злоумышленник, скорее всего, не искал секреты в публичных репозиториях - они уже опубличены. Скорее всего, хотел скомпрометировать цепочку поставок ПО для других библиотек с открытым исходным кодом, двоичных файлов и артефактов, созданных в процессе.
Любой публичный репозиторий, который создает пакеты или контейнеры как часть конвейера CI, мог быть затронут. Это означает, что потенциально 1000 пакетов с открытым исходным кодом могут быть скомпрометированы.
Причем это относится к корпоративным структурам, имеющим как частные, так и публичные репозитории. Если эти репозитории совместно используют секреты конвейера CI/CD для реестров артефактов или контейнеров.
15 марта GitHub удалил действие tj-actions/changed-files и восстановил его в тот же день после того, как вредоносный коммит был удален из всех тегов и веток.
Разработчики Tj-actions и компании по безопасности поделились рекомендациями, IoC и мерами по реагированию на инциденты.
По поводу этого инцидента высказывались различные предположения: некоторые полагали, что это могла быть атака, совершенная неопытным злоумышленником, или это была простая попытка повысить осведомленность о потенциальных рисках.
В частности, один исследователей отметил, что еще год назад он опубликовал теоретический сценарий атаки, нацеленной на tj-actions/changed-files.
Исследователи GreyNoise предупреждают об обнаружении скоординированной массовой кампании по эксплуатации уязвимостей SSRF, охватывающих несколько платформ.
Активность стартовала 9 марта, задействовалась группа из 400 IP-адресов.
Атаки были нацелены одновременно на ошибки SSRF в Zimbra, GitLab, DotNetNuke, VMware, ColumbiaSoft, Ivanti, BerriAI и OpenBMCS и многих других программах.
Большинство атак были направлены на организации в США, Германии, Индии, Японии и Сингапуре, но на прошлой неделе особое внимание атакующими было уделено Израилю и Нидерландам.
В числе эксплуатируемых уязвимостей SSRF:
- CVE-2017-0929 (CVSS: 7,5, DotNetNuke),
- CVE-2020-7796 (CVSS: 9,8, Zimbra Collaboration Suite,
- CVE-2021-21973 (CVSS: 5,3, VMware vCenter,
- CVE-2021-22054 (CVSS: 7,5, VMware Workspace ONE UEM),
- CVE-2021-22175 (CVSS: 9,8, GitLab CE/EE,
- CVE-2021-22214 (CVSS: 8,6) и CVE-2021-39935 (CVSS: 7,5, GitLab CE/EE),
- CVE-2023-5830 (CVSS: 9,8, ColumbiaSoft DocumentLocator),
- CVE-2024-6587 (CVSS: 7,5, BerriAI LiteLLM),
- CVE-2024-21893 (CVSS: 8,2, Ivanti Connect Secure),
- OpenBMCS 2.4 и Zimbra Collaboration Suite (без CVE).
Как утверждает GreyNoise, многие из IP-адресов нацелены одновременно на несколько уязвимостей SSRF, отмечая, что шаблон наблюдаемой активности предполагает структурированную эксплуатацию, автоматизацию или сбор разведывательной информации перед компрометацией.
Эксплуатация уязвимостей SSRF позволяет злоумышленникам составлять карты внутренних сетей, выявлять уязвимые сервисы и красть учетные данные для облачных сервисов.
GreyNoise отметила, что такие уязвимости сыграли важную роль в утечке Capital One в 2019 году, которая затронула более 100 миллионов пользователей.
В связи с активными попытками эксплуатации крайне важно применить последние исправления, ограничить исходящие соединения необходимыми конечными точками и отслеживать подозрительные исходящие запросы.
Исследователи Forescout анонсировали нового оператора вымогателей Mora_001, который задействует две уязвимости Fortinet для получения несанкционированного доступа к межсетевым экранам и развертывания специального штамма ransomware SuperBlack.
Речь идет о двух уязвимостях, позволяющих обойти аутентификацию, CVE-2024-55591 и CVE-2025-24472, о которых Fortinet сообщила в январе и феврале соответственно.
14 января компания Fortinet впервые раскрыла CVE-2024-55591, подтвердив ее эксплуатацию в качестве 0-day, а Arctic Wolf заявила, что она использовалась в атаках с ноября 2024 года для взлома межсетевых экранов FortiGate.
При этом 11 февраля Fortinet добавила CVE-2025-24472 в свой январский бюллетень, что заставило многих поверить, что это недавно эксплуатируемая уязвимость.
Однако позже отметила, что эта ошибка также была исправлена в январе 2024 года и не эксплуатировалась.
Однако в новом отчете Forescout утверждается, что они обнаружили атаки SuperBlack в конце января 2025 года, а злоумышленник использовал CVE-2025-24472 еще 2 февраля 2025 года.
Сама Forescout не сообщала напрямую об эксплуатации уязвимости в Fortinet, уведомления поставщику ушли от пострадавшей компании, с которой работали исследователи.
Вскоре после этого, 11 февраля, Fortinet обновила свои рекомендации, признав уязвимость CVE-2025-24472 активно эксплуатируемой.
Возвращаясь к Mora_001, следует отметить четко структурированную цепочку атак, которая не сильно отличается от жертвы к жертве.
Во-первых, злоумышленник получает привилегии super_admin, эксплуатируя две уязвимости Fortinet с помощью атак на основе WebSocket через интерфейс jsconsole или отправляя прямые HTTPS-запросы на открытые интерфейсы брандмауэра.
Затем они создают новые учетные записи администраторов (forticloud-tech, fortigate-firewall, adnimistrator), изменяя задачи автоматизации так, чтобы воссоздать их в случае удаления.
После этого злоумышленник составляет карту сети и пытается выполнить горизонтальное перемещение, используя украденные учетные данные VPN и недавно добавленные учетные записи VPN, инструментарий управления Windows (WMIC) и SSH, а также аутентификацию TACACS+/RADIUS.
Mora_001 крадет данные посредством специализированного инструмента, а затем шифрует файлы для двойного вымогательства, отдавая приоритет файловым серверам и серверам баз данных, а также контроллерам доменов.
После процесса шифрования записки с требованием выкупа сбрасываются на систему жертвы, после чего запускается специально разработанный вайпер WipeBlack, который удаляет все следы исполняемого файла программы-вымогателя, чтобы затруднить криминалистический анализ.
Forescout удалось обнаружить многочисленные доказательства, указывающие на тесную связь между операциями SuperBlack и вымогательским ПО LockBit, хотя первое, по-видимому, действует независимо.
Шифровальщик SuperBlack [VirusTotal] основан на утекшем в сеть конструкторе LockBit 3.0, обладающем идентичной структурой полезной нагрузки и методами шифрования, но с полностью оригинальным брендингом.
Во-вторых, в записке SuperBlack о выкупе указан идентификатор чата TOX, связанный с операциями LockBit, что позволяет предположить, что Mora_001 является либо бывшим оператором LockBit, либо бывшим членом ее основной команды, управляющей выплатой выкупа и переговорами.
Третий элемент, предполагающий связь, - это обширные совпадения IP-адресов с предыдущими операциями LockBit.
Кроме того, WipeBlack также использовался программами-вымогателями BrainCipher, EstateRansomware и SenSayQ, все из которых связаны с LockBit.
Обширный список IoC, связанных с атаками SuperBlack - в отчете.
Исследователи из Positive Technologies с головой окунулись в рынок темной паутины и по результатам выкатили объемный отчет с упором на интересы киберпреступников, популярные темы, тенденции и прогнозы по кибербезопасности за период с 2023 по 3 квартал 2024 года.
Внимание исследователей было ориентировано на стоимость инструментов и услуг, начальные суммы инвестиции в атаки и ключевые аспекты теневого рынка, включая его экосистему, мотивацию участников, принципы транзакций, конкуренцию и стратегии привлечения клиентов.
Позитивы проанализировали 40 источников, включая основные платформы киберподполья (форумы и площадки) и каналы в Telegram на разных языках.
В общей сложности аналитика охватила более 20 000 сообщений, связанных с вредоносным ПО, уязвимостями, эксплойтами, доступом к корпоративным сетям, инфраструктурой и услугами (взломы, перенаправление трафика, распространение вредоносного ПО, кардинг и DDoS-атаки).
Материал изложен в широком обзорном формате и будет полезен как для опытных представителей ИБ-сообщества, так и для неискушенных читателей, кому интересна текущая обстановка в сфере киберпреступности.
Если в вкратце, то в качестве ключевых исследователи отмечают стили следующие тренды:
- Киберпреступный бизнес имеет общие черты с традиционным: тут и работа над репутацией, маркетинг, стратегии конкуренции (в том числе агрессивные), вознаграждения за обнаружение уязвимостей и поддержка сотрудников.
- Самым популярным типом вредоносного ПО в даркнете являются инфоркрады (19%).
- Самым дорогим типом вредоносного ПО являются ransomware, средняя стоимость которых составляет 7500 долларов США.
- Треть продаваемых эксплойтов - это 0-day.
- Стоимость эксплойтов может достигать нескольких миллионов долларов.
- В 62% случаев доступ к скомпрометированным ресурсам обходится в сумму до 1000 долларов США.
- Наибольшее количество объявлений о продаже доступа связано со сферой услуг (20%).
- Почти половина объявлений (49%) касается взломов ресурсов.
- Чистая прибыль от успешной кибератаки может в 5 раз превысить затраты на ее организацию.
Все подробности с инфографикой, разъяснениями, примерами и цифрами - в отчете.
Fortinet предупреждает клиентов об исправлении 18 уязвимостей, влияющих на FortiOS, FortiProxy, FortiPAM, FortiSRA, FortiAnalyzer, FortiManager, FortiAnalyzer-BigData, FortiSandbox, FortiNDR, FortiWeb, FortiSIEM и FortiADC.
К уязвимостям высокой степени серьезности относится CVE-2023-48790 - уязвимость XSS в FortiNDR, которую могут использовать неавторизованные злоумышленники для выполнения произвольного кода или команд.
В FortiOS, FortiProxy, FortiPAM, FortiSRA и FortiWeb исправлена CVE-2024-45325, которая позволяет привилегированному злоумышленнику выполнять код или команды с помощью специально созданных запросов.
Технические подробности для ошибки, по-видимому, общедоступны.
Другая CVE-2023-40723 высокой степени серьезности влияет на FortiSIEM и позволяет неавторизованному злоумышленнику удаленно считывать пароль базы данных с помощью специально созданных API-запросов.
В FortiSandbox Fortinet исправила уязвимости CVE-2024-45328 (повышение привилегий), CVE-2024-52961 (внедрение команд) и CVE-2024-54027 (чтение конфиденциальных данных), все они получили оценку высокий степени серьезности.
В FortiIsolator устранена CVE-2024-55590, которая позволяет злоумышленнику с правами администратора только на чтение выполнять код, а в FortiADC компания исправила уязвимость CVE-2023-37933, которая допускает аутентифицированные XSS-атаки.
Уязвимости средней степени серьезности, исправленные Fortinet в своих продуктах, могут использоваться для выполнения кода, выполнения команд, произвольной записи файлов и обхода защиты веб-брандмауэров.
Также была устранена проблема низкой степени серьезности, допускающая несанкционированные операции.
Fortinet заявила, что многие из этих уязвимостей были обнаружены внутри компании, не упоминая при этом о фактах эксплуатации какой-либо из них.
Но, как показывает практика, это только пока.
Mandiant в новом отчете сообщает об обнаружении новой кампании китайских хакеров из UNC3886, нацеленной на маршрутизаторы Juniper Networks Junos OS MX, срок службы которых истек (EoL).
В замеченных в середине 2024 года атаках задействовались несколько специализированных бэкдоров, работающих на маршрутизаторах Junos OS от Juniper Networks.
Они представляют собой варианты вредоносного ПО TinyShell - инструмента с открытым исходным кодом, который обеспечивает обмен данными и выполнение команд в системах Linux, который на протяжении многих лет неоднократно применялся многочисленными группами злоумышленников.
В свою очередь, UNC3886 известен проведением сложных атак с использованием 0-day для компрометации платформ виртуализации и периферийных сетевых устройств.
В 2023 году китайские хакеры провернули серию атак на правительственные организации, используя 0-day Fortinet (CVE-2022-41328) для развертывания пользовательских бэкдоров.
Позже в том же году использовали 0-day VMware ESXi для доставки бэкдора на хосты ESXi.
Mandiant зафиксировала атаки UNC3886, начиная с терминальных с терминальных серверов, используемых для управления сетевыми устройствами, где злоумышленники использовали скомпрометированные учетные данные для доступа к командной строке ОС Junos и перехода в режим оболочки FreeBSD.
Исследователи отмечают, что Junos OS имеет систему целостности файлов Veriexec, которая предотвращает запуск несанкционированного кода на устройствах.
Защита Veriexec предотвращает выполнение несанкционированных двоичных файлов. Это создает проблему для злоумышленников, поскольку отключение защиты может вызвать оповещения.
Однако выполнение ненадежного кода все еще возможно, если оно происходит в контексте доверенного процесса. Расследование Mandiant показало, что UNC3886 смог обойти эту защиту, внедрив вредоносный код в память легитимного процесса.
Используя этот метод, UNC3886 развернул шесть специальных бэкдоров на маршрутизаторах MX, все на основе TinyShell, имитирующие одноименные процессы: активные appid и to, пассивные irad, oemd и jdosd, а также утилиту lmpad, каждый с различным функционалом.
Для обеспечения скрытности и устойчивости каждый из шести бэкдоров, используемых UNC3886 в атаках, имеет отдельный метод связи и использует отдельный набор жестко запрограммированных адресов серверов C2.
Учитывая, что UNC3886 нацелен на маршрутизаторы Juniper MX в состоянии EoL, приоритетной задачей должна стать замена этих устройств на новые модели, которые активно поддерживаются, а затем их обновление до последней версии прошивки.
Хотя на этот раз Juniper не выпустила исправлений, но выкатила бюллетень, включающий рекомендации по смягчению последствий и обновленные сигнатуры для своего инструмента удаления вредоносных программ Juniper (JMRT).
Системным администраторам также следует усилить безопасность аутентификации, используя централизованную систему управления идентификацией и доступом (IAM) и внедрив MFA для всех сетевых устройств.
Полный список IoC, связанных с этой кампанией, а также правила YARA и Snort/Suricata, - в отчете Mandiant.
Продолжаем отслеживать трендовые уязвимости и связанные с ними угрозы:
1. Набор уязвимостей, известный как DRAY:BREAK, теперь эксплуатируется ботнетом Mirai. Под угрозой маршрутизаторы DrayTek Vigor.
2. Исследователи watchTowr выявили три уязвимости в Kentico Xperience CMS, которые можно использовать для взлома уязвимых сайтов.
Они включают два обхода аутентификации и RCE после аутентификации. Патчи выпущены, но CVE отсутствуют.
3. Исследователь Александр Тан обнаружил две уязвимости в библиотеке JavaScript XML-crypto, которые могут быть использованы для обхода систем аутентификации, где библиотека используется для проверки подписанных XML-документов.
WorkOS подтвердила, что ошибки могут быть использованы для обхода аутентификации SAML и выдачи себя за любую учетную запись. При этом другие реализации SAML, использующие библиотеку, также могут быть затронуты.
4. В SIEM с открытым исходным кодом Wazuh обнаружена ошибка удаленного выполнения кода (CVE-2025-24016).
5. 0-day в Windows экспортировалась в рамках нескольких кампаний кибершпионажа в течение последних восьми лет.
Ошибка позволяет злоумышленникам добавлять аргументы командной строки в файлы ярлыков LNK, которые невидимы для пользователя.
По крайней мере 11 APT задействовали нуль для сокрытия вредоносных инструкций в файлах LNK.
Trend Micro обнаружила почти 1000 вредоносных файлов LNK, злоупотребляющих этой техникой.
Но больше всего удивляет Microsoft, которая отказалась исправлять проблему после отчета Trend Micro в сентябре прошлого года. Видимо, не согласовали кураторы.
6. Уязвимости WordPress становятся все проще эксплуатировать, на что указывают выводы из отчета Patchstack за 2024 год.
43% всех уязвимостей WordPress, обнаруженных в прошлом году, не требовали аутентификации для эксплуатации, а подавляющее большинство затрагивало плагины, продолжая тенденцию, наблюдавшуюся в предыдущие годы.
При этом было использовано лишь несколько уязвимостей, но время эксплуатации было короче, чем в предыдущие годы. По итогам взломано более полумиллиона сайтов WordPress.
7. Исследователи PRODAFT раскрыли подробности двух критических уязвимостей в mySCADA myPRO, системе диспетчерского управления и сбора данных, используемую в средах OT, которые позволяют злоумышленникам получить контроль над уязвимыми системами.
Обе проблемы связаны внедрением команд ОС, оцениваются на 9,3 по CVSS v4 и отслеживаются как CVE-2025-20014 и CVE-2025-20061.
Успешная эксплуатация любой из двух уязвимостей может позволить злоумышленнику внедрить системные команды и выполнить произвольный код.
Проблемы устранены в mySCADA PRO Менеджер 1.3 и mySCADA PRO Runtime 9.2.1.
Исследователи ESET сообщают о причастности китайской APT MirrorFace к взлому центральноевропейского дипломатического института в связи с выставкой Expo 2025, которая пройдет в Осаке, Япония.
MirrorFace, также известная как Earth Kasha, действует под эгидой APT10, связанной с Китаем.
Ее основными целями являются японские организации, включая министерства иностранных дел и обороны, а также объекты в сфере космоса, политики, СМИ и консалтинга.
Новая кампания в отношении дипинститута получила название Operation AkaiRyū (по-японски RedDragon) и является первой известной атакой MirrorFace на европейскую организацию.
Кроме того, претерпели изменения TTPs и арсенал группы.
MirrorFace начала использовать бывший бэкдор APT10 Anel (также известный как Uppercut), а также кастомизированную версию AsyncRAT.
Атаки начинались с тщательно разработанных фишинговых писем, содержащих вредоносные вложения.
ESET отмечает, что использование Anel подтверждает гипотезу о том, что MirrorFace является подгруппой APT10, поскольку бэкдор изначально предназначался исключительно для этой китайской группы.
В рамках детектированных атак в период с июня по сентябрь 2024 года MirrorFace также развернула модифицированный вариант AsyncRAT, используя сложную цепочку выполнения для его запуска в изолированной среде Windows, задействовав также VS Code для туннелирования и выполнения кода.
При этом Anel применялся лишь на первых этапах атак, затем группа разворачивала свой флагманский бэкдор HiddenFace, еще больше усилив стойкость на зараженных системах, отказавшись от использования бэкдора LodeInfo.
В июне 2024 года APT была замечена в атаке на двух сотрудников японского исследовательского института в цепочке атак с подписанным исполняемым файлом McAfee для загрузки Anel.
В августе группа атаковала дипинститут с помощью вредоносной ссылки OneDrive, которая привела к заражению Anel.
Среди других инструментов замеченных в атаках: Anelldr (загрузчик Anel), HiddenFace (бэкдор), FaceXInjector (загрузчик HiddenFace), AsyncRAT (выполнялся внутри Windows Sandbox, включался вручную и требовал перезагрузки), а также Hidden Start (инструмент для обхода UAC).
В описываемом инциденте MirrorFace похитила данные одной из системы (включая контактную информацию, данные автозаполнения, ключевые слова и сохраненную информацию о кредитных картах в Chrome), установив различные инструменты в другой системе для получения более глубокого доступа к сети.
Для реализации этой атаки злоумышленник использовал предстоящую всемирную выставку Expo 2025, которая пройдет в Осаке, в качестве приманки.
Результаты исследования ESET показывает, что даже с учетом этого нового более широкого географического таргетинга MirrorFace, по-прежнему в основном фокусируется на Японии и связанных с ней событиях.
Ресерчеры из Лаборатории Касперского отловили нового инфокрада под названием Arcane, кампания по распространению которого началась в ноябре 2024 года и включала несколько этапов развития, в том числе и замену основной полезной нагрузки.
Недавно обнаруженное вредоносное ПО способно красть большой объем пользовательских данных и при этом никак не пересекается с Arcane Stealer V, который уже много лет циркулирует в киберподполье.
Как сообщают исследователи, все переговоры и публичные сообщения операторов ведутся на русском языке, а телеметрия ЛК указывает на концентрацию заражений Arcane в России, Беларуси и Казахстане.
Кампания по распространению Arcane Stealer реализуется через ролики на YouTube с рекламой читов для игр, обманом заставляя пользователей переходить по ссылке для загрузки защищенного паролем архива.
Файлы содержали start.bat. Его содержимое было обфусцировано, а его функциональность сводилась к запуску PowerShell для скачивания другого запароленного архива, а затем распаковки его с помощью утилиты UnRAR.exe, в аргументы которой передавался вшитый в BATCH-файл пароль.
Загруженные файлы добавляют исключение в фильтр SmartScreen защитника Windows для всех корневых папок дисков или полностью отключают его с помощью изменений реестра Windows.
В качестве стилера выступала модификация троянца Phemedrone, которую злоумышленники называли VGS, но в ноябре 2024 года они переключились на Arcane.
Злоумышленники регулярно обновляют его, поэтому код и возможности стилера меняются от версии к версии.
Исследователи Лаборатории Касперского также задетектили последние изменения в методе распространения, включая использование поддельного загрузчика ПО, предположительно для кряков и читов популярных игр, под названием ArcanaLoader.
ArcanaLoader активно рекламируется на YouTube и Discord, причем операторы даже приглашают создателей контента продвигать его в своих блогах/видео за определенную плату.
Исследователи ЛК отмечают, что масштабная кампания кражи данных выделяет Arcane среди множества вредоносных программ в категории стилеров.
Сначала Arcane Stealer составляет профиль зараженной системы, похищая данные об оборудовании и программном обеспечении, такие как версия ОС, сведения о центральном и графическом процессоре, установленном антивирусе и браузерах.
Текущая версия вредоносного ПО нацелена на данные:
- VPN-клиентов (OpenVPN, Mullvad, NordVPN, IPVanish, Surfshark, Proton, hidemy.name, PIA, CyberGhost, ExpressVPN),
- сетевых инструментыов (ngrok, Playit, Cyberduck, FileZilla, DynDNS),
- мессенджеров (ICQ, Tox, Skype, Pidgin, Signal, Element, Discord, Telegram, Jabber, Viber),
- почтовых и игровых клиентов (Riot Client, Epic, Steam, Ubisoft Connect (ex-Uplay), Roblox, Battle.net, различные клиенты Minecraft),
- криптокошельков (Zcash, Armory, Bytecoin, Jaxx, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi),
- браузеров (сохраненные логины, пароли и файлы cookie).
Кроме того, стилер собирает различную системную информацию (версию и дату установки ОС, цифровой ключ для активации системы и проверки лицензии, имя пользователя и компьютера, местоположение, сведения по железу, об установленных антивирусах и браузерах.
Также Arcane делает скриншоты зараженного устройства, получает списки запущенных процессов и сохраненных в ОС Wi-Fi-сетей, а также пароли к последним.
Несмотря на то, что в настоящее время Arcane имеет конкретную таргетинговую направленность, операторы могут в любой момент расширить охват кампании, нацеливаясь на пользователей из других стран или другой аудитории.
Veriti сообщает о попытках задействования злоумышленниками SSRF-уязвимости в ChatGPT, обнаруженной год назад, в атаках на компании финансового и правительственного секторов в США.
Ошибка отслеживается как CVE-2024-27564 и является проблемой средней степени серьезности, связанной с файлом pictureproxy.php.
Она позволяет злоумышленникам вставлять созданные URL-адреса в параметр url, заставляя приложение выполнять произвольные запросы.
Впервые об уязвимости сообщили еще в сентябре 2023 года, а год назад она была публично раскрыта.
Ее можно эксплуатировать без аутентификации, а код PoC-эксплойта уже некоторое время находится в открытом доступе.
По данным Veriti, по крайней мере один злоумышленник добавил эксплойт для CVE-2024-27564 в свой арсенал и начал сканить глобальную сеть на наличие уязвимых приложений.
В течение одной недели исследователи зафиксировали более 10 000 попыток атак с одного IP-адреса.
При этом, по мнению Veriti, примерно треть целевых организаций потенциально подвержены риску эксплуатации из-за неправильных конфигураций в своих решениях по защите.
Большинство атак были направлены на американские организации в гос/финсекторе.
Указанные компании зависят от сервисов на базе ИИ и интеграции API, что делает их уязвимыми для SSRF-атак, которые реализуют доступ к внутренним ресурсам или позволяют красть конфиденциальные данные.
Кроме того, аналогичные объекты, включая медицину, были атакованы в Германии, Таиланде, Индонезии, Колумбии и Великобритании.
Несмотря на то, что проблема CVE-2024-27564 имеет среднюю степень серьезности, к настоящему времени - стала реальным вектором атак.
Так что потенциально уязвимым организациям следует заняться проблемой как можно скорее, проверяя свои IPS и брандмауэры на наличие неверных конфигураций и отслеживая журналы на предмет известных IP-адресов атакующих.
Исследователи Eclypsium предупреждают о критической уязвимости в прошивке контроллера управления материнской платой MegaRAC Baseboard Management Controller (BMC) производства American Megatrends International, которая подвергает многие устройства удаленным атакам.
Eclypsium специализируется на исследовании безопасности AMI BMC уже не первый год.
Летом 2023 года исследователи раскрыли две серьезные уязвимости, которые затрагивали миллионы устройств, использующих MegaRAC BMC от AMI, открывая возможности для захвата и физического повреждения.
На этот раз исследователи откопали новую уязвимость CVE-2024-54085, которая схожа с CVE-2023-34329, одной из уязвимостей 2023 года, которая позволяет обойти аутентификацию.
Правда, до конца непонятно, является ли CVE-2024-54085 результатом неполного исправления или представляет собой совершенно новую проблему безопасности - эти вопросы еще в работе.
BMC позволяет администраторам удаленно контролировать и управлять устройствами, в том числе обновлять прошивку и устанавливать операционные системы.
BMC AMI присутствует в миллионах устройств по всему миру, включая устройства производства Asrock, Asus, Arm, Dell, Gigabyte, HPE, Huawei, Inspur, Lenovo, Nvidia и Qualcomm.
По данным Eclypsium, CVE-2024-54085 затрагивает серверы HPE, Asus, Asrock и Lenovo.
При этом AMI, Lenovo и HPE уже выкатили соответствующие рекомендации, информируя клиентов об исправлениях и мерах по смягчению последствий.
Несмотря на то, что AMI уже выпустила исправления, очередь теперь за OEM-производителями, которым следует распространить их среди своих клиентов через обновления.
Уязвимость затрагивает интерфейс управления Redfish, ее эксплуатация может привести к обходу аутентификации.
Удаленные неаутентифицированные злоумышленники могут использовать эту уязвимость безопасности максимальной степени серьезности в атаках низкой сложности, не требующих взаимодействия с пользователем.
Локальный или удаленный злоумышленник может воспользоваться уязвимостью, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish).
Эксплуатация позволяет злоумышленнику удаленно управлять взломанным сервером, развертывать вредоносное ПО, вносить изменения в прошивку, выводить из строя компоненты материнской платы (BMC или потенциально BIOS/UEFI), наносить потенциальный физический ущерб серверу и осуществлять бесконечные циклы перезагрузки, которые жертва не сможет остановить.
Результаты сканирования Shodan позволяют идентифицировать более 1000 экземпляров MegaRAC, доступных через Интернет, которые могут быть уязвимы для подобных атак, хотя в реальности это число значительно выше учитывая неучтенный потенциал локальных или сетевых злоумышленников.
Исследователи Microsoft сообщают об обнаружении нового RAT, который использует сложные методы для уклонения от обнаружения, обеспечения персистентности в целевой среде и кражи конфиденциальных данных.
StilachiRAT с момента выявления в ноябре 2024 году еще не успел широко распространиться, но в Microsoft несмотря на это, решили все же поделиться индикаторами и рекомендациями по смягчению последствий.
В виду ограниченного числа случаев развертываний StilachiRAT в реальных условиях Microsoft пока не смогла атрибутировать вредоносное ПО с конкретным субъектом угроз и понять его географическую привязку.
Из новых функций RAT исследователи отметили такие разведывательные возможности, как сбор системных данных, включая идентификаторы оборудования, наличие камер, активные сеансы RDP и запуск приложений на основе графического интерфейса для профилирования целевых систем.
Анализ модуля WWStartupCtrl64.dll StilachiRAT, содержащего возможности RAT, показал использование различных методов для кражи широкого спектра информации из целевой системы.
После внедрения на взломанные системы злоумышленники могут задействовать StilachiRAT для кражи криптоактивов, сканируя информацию о конфигурации более 20 расширений криптокошельков, включая Coinbase Wallet, Phantom, Trust Wallet, Metamask, OKX Wallet, Bitget Wallet и др.
Вредоносная ПО также извлекает учетные данные, сохраненные в локальном файле состояния Google Chrome, с помощью API Windows и отслеживает активность буфера обмена на предмет конфиденциальной информации, такой как пароли и ключи криптовалюты, а также отслеживает активные окна и приложения.
После запуска в качестве автономного процесса или службы Windows StilachiRAT поддерживает постоянство с помощью диспетчера управления службами Windows (SCM), обеспечивая автоматическую переустановку при необходимости.
StilachiRAT способен отслеживать активные сеансы RDP, клонируя токены безопасности, что позволяет операторам перемещаться по сетям жертвы после развертывания RAT на серверах RDP, где зачастую размещаются административные сеансы.
Возможности RAT также включают обширные функции уклонения от обнаружения и антианализа, - прежде всего, зачистску журналов событий и проверку «песочницы».
Даже если трояну придется работать в песочнице, вызовы Windows API StilachiRAT кодируются как контрольные суммы, которые динамически разрешаются во время выполнения и дополнительно запутываются, чтобы замедлить анализ.
Наконец, StilachiRAT позволяет выполнять команды и потенциально применять SOCKS-подобное проксирование с использованием команд с сервера C2 на зараженные устройства, что позволяет операторам перезагрузить систему, очистить журналы, выкрасть учетные данные, запустить приложения и манипулировать системными окнами.
Дополнительно реализованный функционал предназначен для приостановки работы системы, изменения значений реестра Windows и перечисления открытых окон.
Критическая RCE-уязвимость в Apache Tomcat, известная как CVE-2025-24813, теперь активно эксплуатируется, позволяя злоумышленникам захватывать серверы с помощью простого запроса PUT.
При этом атакующие задействовали в атаках PoC-эксплойты, опубликованные на GitHub всего через 30 часов после обнаружения уязвимости на прошлой неделе.
Она была раскрыта Apache в понедельник 10 марта 2025 года и затрагивает Apache Tomcat версий 11.0.0-M1–11.0.2, 10.1.0-M1–10.1.34 и 9.0.0.M1–9.0.98.
Исследователи Wallarm подтвердили вредоносную активность, предупреждая, что традиционные средства безопасности не способны ее обнаружить, поскольку запросы PUT выглядят вполне естественно, а вредоносный контент маскируется с помощью кодировки base64.
В частности, злоумышленник отправляет запрос PUT, содержащий закодированную в base64 сериализованную полезную нагрузку Java, сохраненную в хранилище сеансов Tomcat.
Затем злоумышленник отправляет запрос GET с cookie-файлом JSESSIONID, указывающим на загруженный файл сеанса, заставляя Tomcat десериализовать и выполнить вредоносный код Java, предоставляя злоумышленнику полный контроль.
Атака предельно проста, не требует аутентификации и вызвана тем, что Tomcat принимает частичные запросы PUT и сохраняет сеанс по умолчанию.
Единственное требование заключается в том, чтобы Tomcat использовал файловое хранилище сеансов, что является обычным явлением во многих развертываниях.
Apache рекомендует всем пользователям обновиться до версий Tomcat 11.0.3+, 10.1.35+ или 9.0.99+, которые содержат исправления для CVE-2025-24813.
Кроме того, пользователи Tomcat также могут решить проблему, вернувшись к конфигурации сервлета по умолчанию (readonly= "true"), отключив частичную поддержку PUT и избегая хранения конфиденциальных файлов в подкаталогах общедоступных путей загрузки.
Тем не менее, исследователи Wallarm полагают, что более серьезной проблемой в данном случае является не сама эксплуатация, а потенциальная возможность появления большего количества RCE-уязвимостей, возникающих из-за частичной обработки PUT в Tomcat.
Злоумышленники, вероятно, начнут менять тактику, загружая вредоносные файлы JSP, изменяя конфигурации и размещая бэкдоры за пределами хранилища сеансов, так что текущая кампания - это лишь первая волна, по их мнению.
Но будем посмотреть.
Нам тут подсказывают некоторые подробности конфуза (так завуалировано мы обозвали следственные мероприятия) в офисе компании AVSoft, случившегося на прошлой неделе. Как оказалось это была неудавшейся модная коллаборации компании AVSoft со столпами отечественного антивирусостроения Лабораторией Касперского и Доктора Веба.
Молодые и талантливые программисты из AVSoft решили усилить отечественную информационную безопасность путем увеличения количества АВ-продуктов на один погонный метр российского Интернета. Для этого они включили антивирусные движки ЛК, Др.Веба и ряда других производителей в свой продукт Athena в целях последующей его реализации по ценам ниже рыночных. Правообладателей, как говорят, уведомить забыли. Есть версия, что Athena просто уронили на стол, где лежали другие АВ-решения, и последние случайно в него закатились.
А ведь где-то плачут голодные дети антивирусных аналитиков!
За любовь к инфосеку - 5, за отбор горбушки хлеба у аналитических детей - 2 с минусом.
Банда вымогателей BlackBasta разработала и задействовала автоматизированную платформу под названием BRUTED для взлома корпоративных брандмауэров и VPN.
С инструментом ознакомились исследователи EclecticIQ, обнаружив ее в ходе анализа утекшей переписки банды.
Инструмент позволил BlackBasta оптимизировать получение первоначального доступа к сети и масштабировать атаки с использованием ransomware на уязвимые конечные точки, доступные через Интернет.
Причем в течение 2024 года фиксировалось несколько подобных масштабных атак в отношении указанных устройств, некоторые из которых могут быть связаны с BRUTED или аналогичными операциями.
Как отмечает исследователи, Black Basta как раз начала использовать BRUTED с 2023 года для проведения атак с подстановкой учетных данных и брутфорсом на периферийные сетевые устройства.
Инструмент написан на PHP и специально разработан для подбора учетных данных в следующих продуктах: SonicWall NetExtender, Palo Alto GlobalProtect, Cisco AnyConnect, Fortinet SSL VPN, Citrix NetScaler (Citrix Gateway), Microsoft RDWeb (Remote Desktop Web Access) и WatchGuard SSL VPN.
Фреймворк ищет общедоступные периферийные сетевые устройства, соответствующие списку целей, перечисляя поддомены, разрешая IP-адреса и добавляя префиксы, такие как «.vpn» или «remote».
Все совпадения передаются обратно на сервер C2, откуда извлекаются списки паролей и реализуется множество запросов на аутентификацию с помощью нескольких процессов ЦП.
При этом BRUTED может извлекать общее имя (CN) и альтернативные имена субъектов (SAN) из SSL-сертификатов целевых устройств, что помогает генерировать дополнительные варианты паролей на основе домена цели и соглашений об именовании.
Чтобы избежать обнаружения, фреймворк использует список прокси-серверов SOCKS5 с интересным доменным именем, которое скрывает инфраструктуру злоумышленника за промежуточным слоем.
ElecticIQ в отчете также поделилась перечнем IP и доменов, используемых BRUTED, которые следует учесть для блокировки запросов от вредоносной инфраструктуры.
Исследователи Lookout раскрывают новое шпионское ПО KoSpy, которое задействуется северокорейскими хакерами с марта 2022 года в атаках на корейских и англоговорящих пользователей.
Инструмент слежки приписывают северокорейской APT ScarCruft, также известной как APT37, которая действует с 2012 года, нацеливаясь в основном на компании в Южной Корее, а также в Китае, Индии, Японии, Кувейте, Непале, Румынии, России, Вьетнаме и странах Ближнего Востока.
Цепочки атак, в первую очередь, включают RokRAT как инструмент сбора конфиденциальных данных из систем Windows, macOS и Android.
KoSpy распространялся под видом пяти приложений: File Manager, Phone Manager, Smart Manager, Software Update Utility и Kakao Security.
Все идентифицированные приложения предлагают обещанную функциональность, чтобы не вызывать подозрения, при этом скрытно развертывая компоненты, связанные со шпионским ПО, в фоновом режиме.
После установки приложения-приманки KoSpy извлекает из облачной базы данных Firebase Firestore данные конфигурации, которые позволяют злоумышленникам включать и отключать шпионское ПО, а также менять его С2 в любое время.
Затем вредоносная ПО проверяет, является ли устройство-жертва эмулятором, и не наступила ли текущая дата позже жестко запрограммированной даты активации.
KoSpy способна собирать SMS, журналы вызовов и геолокаций, делать снимки экрана, записывать звук с микрофона, делать фото, получать доступ к файлам и папкам, записывать нажатия клавиш, а также информацию о сетях Wi-Fi и составлять список установленных приложений.
Кроме того, KoSpy имени возможности также загружать дополнительные плагины и конфигурации для достижения своих разведцелей.
Собранные данные шифруются перед отправкой на удаленный сервер.
Lookout выявила в общей сложности пять проектов Firebase и серверов С2, используемых вредоносным ПО.
Исследователи полагают, что эта кампания KoSpy была нацелена на корейских и англоговорящих пользователей.
Более половины приложений имеют названия на корейском языке, а пользовательский интерфейс поддерживает: английский и корейский.
Ряд из приложений KoSpy были обнаружены в Google Play, другие - в Apkpure. Самые последние образцы были выявлены в марте 2024 года.
К настоящему времени все замеченные приложения удалены из официального магазина наряду с проектами Firebase.
Lookout с умеренной уверенностью приписывает KoSpy ScarCruft, отмечая, что APT43 (Kimsuky и Thallium), по-видимому, также использовала шпионскую утилиту, судя по пересечениям инфраструктуры.
📖 GitLab устранил ↔️ критические уязвимости в аутентификации!
Компания GitLab выпустила обновления безопасности для Community Edition (CE) и Enterprise Edition (EE), устранив 9 уязвимостей, включая две критические в библиотеке ruby-saml, используемой для SAML Single Sign-On (SSO).
Все недостатки были устранены в версиях GitLab CE/EE 17.7.7, 17.8.5 и 17.9.2. Все предыдущие версии остаются уязвимыми. GitLab уже обновлён, а клиенты GitLab Dedicated получат уведомление после обновления их инстанса. Пользователи, использующие самостоятельно управляемые инсталляции на собственной инфраструктуре, должны обновиться вручную.
⬇️ CVE-2025-25291 (ruby-saml) – критическая
⬇️ CVE-2025-25292 (ruby-saml) – критическая
⬇️ CVE-2025-27407 (graphql) – уязвимость высокой степени опасности
(gitlab_rails['omniauth_block_auto_created_users'] = true).
Нам тут пишут, что в офисе российской компании AVSoft, которая, как понятно из названия, занимается разработкой антивирусных решений, прошли обыски в связи с уголовным делом по статье "Нарушение авторских прав".
Достоверно неизвестно что конкретно нарушили молодые и таланливые программисты из AVSoft, продукты которой входят в российский аналог VirusTotal, проект Национальный мультисканер (придумали же название, уж лучше тогда окрестили бы Российским турбоантивирусом). Но, учитывая то, как они демпинговали со своими АВ-решениями, мы, кажется, догадываемся.
Продолжаем наблюдать.
💬 Lazarus: история самых успешных хакеров в мире.
• Lazarus — APT-группа, которую связывают с правительством Северной Кореи. Наиболее известна по взлому Bybit, Sony Pictures и шифровальщику WannaCry, от которого пострадали более 150 стран. Имеет в своем арсенале вредоносные программы почти для всех платформ: Windows, MacOS, Linux и Android. Группа активна по крайней мере с 2009 года, организует широкомасштабные кампании кибершпионажа, операции с применением программ-шифровальщиков, а также атаки на криптовалютный рынок.
• В последние годы группа была сосредоточена на атаках на финансовые учреждения по всему миру. Однако с 2019 года среди целей хакеров оказались и предприятия оборонной промышленности. С начала 2021 года Lazarus стала проводить атаки также на исследователей в области кибербезопасности.
• В этой статье представлена хронология "подвигов" Lazarus и говориться о том, кто же такие Lazarus, и почему на протяжении уже 16 (!) лет им сходят с рук самые невероятные киберпреступления:
➡ Читать статью [13 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Лаборатории Касперского предупреждают об активизации распространения бэкдора DCRat, платный доступ к которому реализует группа злоумышленников в рамках модели MaaS.
Помимо этого, операторы также обеспечивают комплексную техподдержку, в том числе настраивая инфраструктуру для размещения командных серверов.
DCRat распространяется через видеохостинг YouTube, где атакующие создают поддельные аккаунты (либо используют украденные) и загружают видеоролики с рекламойразличных читов, кряков, игровых ботов и другого аналогичного ПО.
В описание видеоролика добавляют ссылку на скачивание якобы рекламируемого продукта.
Она ведет на легитимный файлообменник, в котором находится запароленный архив, - пароль от него также указывается в описании под видео.
Конечно, вместо игрового ПО в этих архивах содержится образец троянца DCRat, а также мусорные файлы и папки - лишь для усыпления бдительности жертвы.
Распространяемый бэкдор относится к семейству троянцев удаленного доступа DCRat, или Dark Crystal RAT (Remote Access Trojan), которое было задокументировано еще в 2018 году. Троянец способен загружать дополнительные модули, значительно расширяющие его функциональность.
За весь период существования бэкдора исследователям ЛК удалось проанализировать 34 различных плагина, наиболее опасными функциями которых являются фиксация нажатий клавиш, доступ к веб-камере, скачивание файлов и эксфильтрация паролей.
Для поддержки инфраструктуры злоумышленники регистрируют домены второго уровня (чаще всего в зоне RU) и на их основе создают домены третьего уровня, которые используются в качестве С2.
С начала года группа зарегистрировала как минимум 57 новых доменов второго уровня, пять из которых уже обслуживают более сорока доменов третьего уровня.
Отличительной чертой исследуемой кампании является наличие определенных наименований в доменах второго уровня вредоносной инфраструктуры - nyashka, nyashkoon, nyashtyan и т.д. Подобный сленг позволяет таргетироваться на сообществе фанатов японского аниме и манги.
Судя по данным телеметрии ЛК, полученным с начала 2025 года, образцы DCRat, использующие такие домены в качестве С2, в 80% случаев загружались на устройства российских пользователей. Также со зловредом столкнулось в Беларуси, Казахстане и КНР.
Также исследователи детектировали кампании, в которых через запароленные архивы распространялось и другое вредоносное ПО: стилеры, майнеры и загрузчики.v
Исследователи Check Point раскрывают кампанию Blind Eagle, жертвами которой стали более чем 1600 целей в Колумбии.
APT, также известная как APT-C-36 и действующая с 2018 года, нацелена на правительственные, финансовые и критически важные инфраструктурные организации в Колумбии и Эквадоре.
Злоумышленник в основном задействует фишинг с вредоносными вложениями или URL-адресами для доставки троянов удаленного доступа, таких как NjRAT, AsyncRAT и Remcos, а недавно расширил свой арсенал дополнительным вредоносным ПО, включая вариант PureCrypter.
В декабре 2024 года злоумышленник нацелился на уязвимость NTLM CVE-2024-43451, которую Microsoft исправила в ноябре 2024 года после ее активного использования киберподпольем в атаках в качестве 0-day.
Ошибка может быть вызвана простым взаимодействием пользователя с файлом URL, содержащим вредоносный код. Успешная эксплуатация может привести к тому, что злоумышленник получит хэш NTLMv2 пользователя.
По данным Check Point, примерно через шесть дней после того, как Microsoft объявила о выпуске исправлений для CVE-2024-43451, APT расширила свой арсенал, добавив свой вариант эксплойта для этой уязвимости.
Несмотря на то, что этот вариант фактически не раскрывает хэш NTLMv2, на устройствах, уязвимых для CVE-2024-43451, запрос WebDAV срабатывает еще до того, как пользователь вручную взаимодействует с файлом.
Исследователи отмечают, что нажатие на вредоносный URL-файл, даже в пропатченных системах, запускает загрузку и выполнение полезной нагрузки следующего этапа.
Таким образом Blind Eagle задействовала уязвимость в атаках на многочисленные государственные и частные организации в Колумбии, сумев заразить своим вредоносным ПО более 1600 организаций.
В течение двух месяцев в ходе этих атак злоумышленник сменил более 10 серверов С2, а в конце января был замечен за распространением вредоносных URL-файлов с использованием потенциально скомпрометированных учетных записей Google Drive.
Цепочка заражения включала выполнение в памяти варианта PureCrypter, который собирал системную и пользовательскую информацию и загружал Remcos RAT из репозитория GitHub. В декабре для размещения RAT использовались два репозитория Bitbucket.
Как констатирует Check Point, Blind Eagle остается одним из самых активных и опасных субъектов угроз в Латинской Америке, уделяя особое внимание государственному и частному секторам Колумбии. При этом масштаб и настойчивость группировки вызывают серьезные опасения.