39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
DLS банды вымогателей Everest, по всей видимости, был взломан неизвестными, которые напоследок и отдефейсили, передав привет от чувака из Праги.
С этого времени Everest вовсе прикрыла сайт. При этом никак не комментируя ситуацию.
Пока неизвестно, как был получен доступ к DLS Everest и был ли он взломан, однако исследователи Flare указывают на уязвимость WordPress, которая могла быть задействована в этом деле.
С момента своего появления в 2020 Everest прошла путь от хищения данных с целью вымогательства до полноценной RaaS с шифрованием систем своих жертв.
Кроме того, операторы Everest также выступают в качестве брокеров первоначального доступа для других групп, реализуя доступ к взломанным корпоративным сетям.
За последние 5 лет Everest присовокупила более 230 жертв к своему DLS в рамках атак с двойным вымогательством, одной из последних стал бренд каннабиса STIIIZY.
Учитывая недавние разборки вымогателей, в скором времени Everest сама может оказаться на чьей-либо DLS. Но будем, конечно, посмотреть.
Нас попросили попиарить новый ТГ-канал, посвященный борьбе с украинскими мошенническими call-центрами. А мы всегда за доброе дело, как известно.
Поэтому вот.
Исследователи Validin раскрывают потенциальные операционные совпадения между Red Delta и APT41.
Все началось с отчета по анализу вредоносного ПО Mustang Panda/Red Delta, на основе которого была сгенерирована диаграмма IoC (полная картина - здесь), а анализ индикаторов, связанных с ее активностью, позволил выйти на дополнительную инфраструктуру и описанные пересечения APT.
В общем, подробности и техника - отчете. Там все достаточно наглядно раскидано и отражает то, о чем мы давно говорили.
По всей видимости, DragonForce снова наносит удар, на этот раз в отношении конкурентов из RansomHub RaaS, инфраструктура которой некоторое время назад перестала подавать признаки жизни.
Если это подтвердится, то их тоже можно записывать на счет DragonForce вслед за Mamona и BlackLock, о чем мы ранее также сообщали.
Но будем посмотреть.
Продолжаем следить за наиболее тресковыми уязвимостями, коих под накопилось. Вкратце ситуация выглядит следующим образом:
1. Злоумышленники начали сканировать в попытатках эксплуатации серверов Apache Camel с использованием недавно раскрытой CVE-2025-27636. По всей видимости, задействуется свежевыпущенный PoC.
2. Project Discovery опубликовал технические подробности и PoC для недавнего обхода аутентификации CrushFTP, отслеживаемого как CVE-2025-2825. Так что теперь она активно эксплуатируется.
3. Исследователи Endor Labs предупреждают о критической уязвимости в Apache Parquet с рейтингом серьезности 10/10, которая может быть использована для RCE и полной компрометации системы или приложения, импортирующие файлы Parquet.
CVE-2025-30065 описывается как проблема десериализации ненадежных данных и влияет на модуль библиотеки parquet-avro. Закралась с версии 1.8.0 библиотеки и была устранена с выпуском Parquet версии 1.15.1.
По данным Endor Labs, уязвимы все системы, которые считывают или импортируют файлы Parquet через фреймворки больших данных, такие как Hadoop или Spark, а также приложения, включающие код Parquet Java.
Пока нет никаких доказательств того, что уязвимость CVE-2025-30065 эксплуатировалась в реальных условиях, однако ее серьезность позволяет предположить, что злоумышленники вскоре могут добавить ее в свой арсенал.
4. Исследователь Пьер Ким обнаружил десять уязвимостей в коммутаторах Brocade Fiber Channel.
Некоторые из самых серьезных - это две RCE предварительной аутентификации и слабые учетные данные устройства по умолчанию.
При этом поставщик исправил только семь ошибок, а три остались незакрытыми, поскольку затрагивают EoL-устройства.
5. Он же опубликовал отчет о трех уязвимостях в межсетевых экранах Palo Alto Network.
6. Исследователи Tenable помогли исправить уязвимость в платформе Google Cloud, названную ImageRunner, которая задействует взаимосвязи между сервисами Cloud Run, Container Registry и Artifact Registry для переброски частных артефактов клиентов в учетную запись злоумышленника.
7. Microsoft сообщила об уязвимости, которая позволяет вредоносным приложениям запускать код через некоторые драйверы принтера Canon.
8. ERNW обнаружили три уязвимости в агентах VMware Carbon Black Cloud. Все они после этого исправлены.
9. Project Black опубликовала описание unauth RCE в ПО для обмена файлами ZendTo. Проблема была исправлена еще в 2021 году, но публичного CVE до сих пор нет.
10. Исследователь Эван Коннелли обнаружил уязвимость в APIO приложения Verizon Call Filter, которая могла быть использована для утечки данных клиентов Verizon.
11. Searchlight Cyber выкатила технический отчет в отношении уязвимости предварительной аутентификации SQLi в Halo ITSM, программном обеспечении для управления ИТ-поддержкой в облачных средах.
12. Cisco выпустила три рекомендации по безопасности для различных своих продуктов, а Jenkins - обновление для исправления двух уязвимостей в своем основном коде и шести других - в плагинах.
13. Исследователь SafeBreach сообщает об исправлении Google 10 уязвимостей в своей утилите передачи данных Quick Share.
Ошибки были раскрыты в прошлом году на DEFCON и позволяли злоумышленникам легко обмениваться файлами с пользователями без их согласия.
Исследователи Palo Alto Networks отследили истоки каскадной атаки на цепочку поставок GitHub Actions, которая произошла в марте 2025 года.
Артефакты указывают на то, персональный токен доступа (PAT) SpotBugs, скомпрометированный в декабре 2024 года, лег в основу наблюдавшегося масштабного инцидента.
14 марта код GitHub tj-actions/changed-files был изменен для выполнения вредоносного кода, который сбрасывал секреты CI/CD для создания журналов, вероятно, в целях подготовки дальнейших атак.
Неделю спустя исследователи обнаружили, что изначально злоумышленники сосредоточились на эксплуатации проекта Coinbase с открытым исходным кодом.
Однако после неудачи они расширили атаку, нацелившись на все проекты, полагающиеся на скомпрометированную Actions.
Согласно дереву зависимостей примерно 160 000 проектов используют Actions напрямую или косвенно. Однако только 218 репозиториев раскрыли секреты в результате этой атаки на цепочку поставок.
На этой неделе Palo Alto Networks выкатила обновленную информацию по результатам своего расследования первопричин атаки, в которой все началось со взлома PAT в декабре прошлого года.
PAT принадлежал разработчику SpotBugs и был добавлен в конце ноября в рабочий процесс spotbugs/sonar-findbugs.
Токен был украден злоумышленником 6 декабря с помощью вредоносного запроса на извлечение, отправленного на spotbugs/sonar-findbugs для использования рабочего процесса GitHub Actions посредством триггера pull_request_target (который позволяет рабочим процессам, запускаемым из форков, получать доступ к секретам).
11 марта злоумышленники использовали PAT, чтобы пригласить злонамеренного пользователя по имени jurkaofavak в репозиторий spotbugs/spotobugs в качестве участника, что предоставило им доступ на запись.
Две минуты спустя пользователь отправил вредоносный файл рабочего процесса GitHub Actions в репозиторий, создав вредоносный рабочий процесс, который раскрыл все секреты Spotbugs/Spotbugs, включая секреты специалиста по обслуживанию Reviewdog, имеющего доступ к репозиториям SpotBugs и Reviewdog.
Рабочий процесс шифровал все доступные секреты с помощью AES и симметричный ключ с использованием жестко закодированного открытого ключа RSA, что ограничивало доступность утечек.
11 марта злоумышленник использовал утекший PAT разработчика Reviewdog, который имел разрешения на отправку тегов в репозиторий reviewdog/action-setup, чтобы переопределить тег v1 репозитория и указать на вредоносный коммит, что повлияло на всех потребителей тега.
Это привело к компрометации действия tj-actions/eslint-changed-files, которое использовало reviewdog/action-setup в качестве зависимости, что впоследствии привело к компрометации GitHub tj-actions/changed-files.
12 марта, через пять дней после того, как специалист по обслуживанию Coinbase создал рабочий процесс в coinbase/agentkit, который зависел от tj-actions/changed-files, злоумышленник подготовил атаку, создав форки tj-actions/changed-files и несколько репозиториев Coinbase.
14 марта Coinbase выполнила вредоносную версию действия GitHub tj-actions/changed-files, что привело к раскрытию токена с правами на запись.
Уязвимый рабочий процесс coinbase/agentkit был удален полтора часа спустя, но злоумышленник отправил еще один вредоносный коммит в tj-actions/changed-files, заменив все теги вредоносными коммитами.
С этого момента злоумышленник повлиял на каждый запуск рабочего процесса GitHub, зависящий от действия tj-actions/changed-files.
📂 WinRAR снова под ударом 🥷 хакеров
Эксперты обнаружили критическую уязвимость в WinRAR (CVE-2025-31334), которая позволяет обойти механизм защиты Windows Mark of the Web (MotW) и выполнить вредоносный код на Windows без предупреждения. Несмотря на среднюю оценку по CVSS (6.8), уязвимость может иметь высокий риск эксплуатации в реальной среде из-за широкого распространения WinRAR и обхода встроенной защиты Windows.
Сценарий атаки предельно прост. Пользователь загружает на первый взгляд безвредный архив. Внутри, наряду с легитимными файлами, размещена символическая ссылка, замаскированная под обычный документ или исполняемый файл. Открытие этой ссылки активирует вредоносное ПО без каких-либо признаков опасности.
📖 Вектор атаки: посещение сайта с вредоносным архивом;
🦠 Доставка малвари: пока подтверждённых атак нет, но аналогичная уязвимость (CVE-2023-38831) использовалась для распространения DarkMe и Agent Tesla.
⛔️⚠️ Уязвимость не эксплуатируется массово, но угроза критична для систем с неправильно настроенными политиками безопасности.
🔧Что делать?
✅ Обновить WinRAR до версии 7.11 или выше;
✅ Запретить создание символьных ссылок обычным пользователям;
✅ Не открывать и не распаковывать подозрительные архивы из Интернета.
💡 Уязвимость найдена экспертом Тайхэй Симаминэ из 🇯🇵Mitsui Bussan Secure Directions и подтверждена JPCERT/CC. Это уже второй MotW-обход за год, после аналогичной уязвимости в 7-Zip (CVE-2025-0411).
Примечательно то, что это уже второй случай обхода MotW за год, после обнаружения уязвимости в 7-Zip (CVE-2025-0411).
👆WinRAR используется более чем 500 миллионами пользователей по всему миру.
✋ @Russian_OSINT
Исследователи Trend Micro расчехлили новую связанную с Китаем группу угроз под названием Earth Alux, которая нацелена на различные ключевые сектора, включая госуправление, технологии, логистику, производство, телекоммуникации, ИТ и ритейл в Азиатско-Тихоокеанском регионе и Латинской Америке.
Впервые активность была замечена во втором квартале 2023 года в Азии, а примерно с середины 2024 года Earth Alux также была замечена в Латинской Америке. Основной фокус на таких странах, как Таиланд, Филиппины, Малайзия, Тайвань и Бразилия.
Цепочки заражения начинаются с эксплуатации уязвимых сервисов в веб-приложениях, доступных через Интернет, с их помощью внедряется оболочка Godzilla для облегчения развертывания дополнительных полезных нагрузок, в том числе бэкдоров VARGEIT и COBEACON (Cobalt Strike Beacon).
VARGEIT реализует возможность загрузки инструментов непосредственно со своего сервера С2 в недавно созданный процесс Microsoft Paint (mspaint.exe) для проведения разведки, сбора и эксфильтрации.
VARGEIT также является основным методом, с помощью которого Earth Alux управляет дополнительными инструментами под различные задачи и боковое перемещение.
При этом он используется как бэкдор первой, второй или более поздней стадии, а COBEACON - как бэкдор первой стадии. Последний запускается с помощью загрузчика MASQLOADER или через RSBINJECT, загрузчик командной строки на основе Rust.
В последних версиях MASQLOADER была отмечена реализация техники перехвата API, позволяющая вредоносному ПО и встроенной в него полезной нагрузке оставаться незамеченными.
Выполнение VARGEIT приводит к развертыванию большего количества инструментов, включая компонент загрузчика RAILLOAD, который выполняется с использованием техники, известной как сторонняя загрузка DLL, и используется для запуска зашифрованной полезной нагрузки в другой папке.
Вторая полезная нагрузка - RAILSETTER, который изменяет временные метки, связанные с артефактами RAILLOAD на скомпрометированном хосте, а также создает запланированную задачу для запуска RAILLOAD.
Как отмечают исследователи, MASQLOADER используется и другими группами, помимо Earth Alux. Кроме того, разница в структуре кода MASQLOADER по сравнению с RAILSETTER и RAILLOAD предполагает, что его разработка ведется отдельно от этих инструментов.
Наиболее отличительной особенностью VARGEIT является его способность поддерживать 10 различных каналов для связи с C2 по протоколам HTTP, TCP, UDP, ICMP, DNS и Microsoft Outlook, последний из которых использует API Graph для обмена командами в заранее определенном формате с использованием папки черновиков почтового ящика, управляемого злоумышленником.
В частности, сообщение от сервера C2 начинается с r_, а сообщения от бэкдора — с p_. Среди его широкого спектра функций - обширный сбор данных и выполнение команд, что делает его мощным вредоносным ПО в арсенале злоумышленников.
Earth Alux осуществляет несколько тестов с RAILLOAD и RAILSETTER, включая обнаружения и попытки найти новые хосты для боковой загрузки DLL.
Задействуют ZeroEye, инструмент с открытым исходным кодом для сканирования таблиц импорта EXE-файлов на предмет импортированных DLL, которые могут быть использованы для боковой загрузки.
Также хакерская группа использует VirTest - еще один инструмент тестирования, широко используемый китайскоязычным сообществом.
Earth Alux представляет собой сложную и развивающуюся APT-угрозу, использующую разнообразный инструментарий и передовые методы для нацеливание на ключевые сектора в Азиатско-Тихоокеанском регионе и Латинской Америке, постоянно совершенствуя свои возможности.
🗞 Paged Out #6.
• В свободном доступе есть один интересный журнал по информационной безопасности и этичному хакингу. Единственный минус - журнал публикуется на английском языке, но его формат (1 страница = 1 статья) является весьма интересным, а перевести информацию на нужный язык не составит особого труда (особенно c chatgpt и deepl).
• Так вот, вчера был опубликован 6-й выпуск. Журнал весьма ламповый и полностью бесплатный, а контент собирают авторы со всего света. К слову, Вы можете направить свой материал для публикации, который пройдет модерацию и будет опубликован. Скачать все выпуски можно по ссылке: https://pagedout.institute. Приятного чтения =)
S.E. ▪️ infosec.work ▪️ VT
Исследователи из F6 предупреждают о новых атаках на клиентов российских банков с использованием связки Android-трояна CraxsRAT и приложения NFCGate, которые они относят к числу самых опасных киберугроз на этот год.
Теперь злоумышленники могут без единого звонка устанавливать на устройства пользователей вредоносный софт, способный через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
По данным телеметрии F6, в марте 2025 года в России суммарно насчитывалось свыше 180 тыс. скомпрометированных устройств, на которых установлены CraxsRAT и NFCGate.
Для передачи преступникам контроля над смартфоном достаточно неосторожно установить приложение, замаскированное под безобидную на первый взгляд программу.
Через мессенджеры WhatsApp и Telegram злоумышленники рассылают вредоносные APK-файлы, замаскированные под фотоархивы, видеофайлы и различные приложения.
Специалисты в ходе исследования обнаружили более 140 уникальных образцов CraxsRAT.
Так злоумышленники получают полный доступ к банковским приложениям, возможность перехватывать уведомления и коды, обналичивать похищенные деньги.
Основной вектор распространения CraxsRAT - классическая социнженерия, но уже без телефонного разговора.
В начале 2025 года для доставки NFCGate на устройства пользователей злоумышленники предпочитали использовать телефонные звонки и сообщения в мессенджерах.
Сейчас злоумышленники всё чаще выбирают троян CraxsRAT для доставки NFCGate на устройства пользователей.
CraxsRAT – это многофункциональный Android-троян, изначально созданный на исходных кодах вредоносного ПО SpyNote.
Проникает на мобильные устройства под видом легитимных приложений и обновлений.
После установки предоставляет злоумышленникам возможность удалённого управления, включая выполнение различных действий без ведома пользователя.
В феврале 2025-го число заражений CraxsRAT в России увеличилось в 2,5 раза по сравнению с декабрем 2024-го, а количество скомпрометированных Android-устройств, на которых было установлено это ВПО, превысило 22 тыс.
В свою очередь, NFCGate – мобильное приложение, разработанное немецкими студентами в 2015 году. На его основе злоумышленники создали вредоносное ПО.
При установке такого приложения на устройство под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести пин-код, данные сразу же передаются на устройство преступников и позволяют им обналичить деньги со счета в банкомате.
Как отмечают исследователи, сумма ущерба от атак с использованием NFCGate за первые два месяца 2025-го - 200 млн рублей.
Число скомпрометированных Android-устройств с вредоносными версиями NFCGate по итогам февраля превысило 158 тыс. и продолжает расти.
Рекомендации для пользователей и подразделений ИБ в банковских структурах - в отчете.
GreyNoise предупреждает о скоординированной кампании, нацеленной на поиск потенциально уязвимых экземпляров Palo Alto Networks GlobalProtect, вероятно, в целях подготовки к целенаправленной эксплуатации.
За последний месяц зафиксировано более 24 000 попыток доступа к порталам GlobalProtect с уникальных IP-адресов, что свидетельствует о скоординированных усилиях со стороны киберподполья.
Начиная с 17 марта активность значительно возросла: ежедневно детектировалось около 20 000 уникальных IP-адресов, выполняющих сканирование входов в систему с помощью GlobalProtect, и оставалась высокой до 26 марта.
GreyNoise поясняет, что около 23 000 IP-адресов, задействованных в этой деятельности, классифицируются как подозрительные, а небольшая подгруппа из 150 IP-адресов считается вредоносной.
По данным компании, скоординированные усилия, вероятно, направлены на проверку сетевой защиты перед запланированными попытками эксплуатации уязвимостей.
За последние 18–24 месяца исследователи наблюдали последовательную закономерность преднамеренного использования старых уязвимостей или давно известных схем атак и разведки в отношении определенных решений.
Причем часто это совпадают с новыми уязвимостями, появляющимися через 2–4 недели.
Большинство атак исходят из США, где базируются более 16 000 выявленных IP-адресов. Канада на втором месте с более чем 5 800 IP-адресами.
Сканирование в основном нацелено на США, небольшой процент сканирований нацелен на Великобританию, Ирландию, Россию и Сингапур.
GreyNoise также отмечает, что более 20 000 выявленных IP-адресов связаны с 3xK Tech GmbH под ASN200373. Другие связаны с Fast Servers Pty Ltd., Oy Crea Nova Hosting Solution Ltd и PureVoltage Hosting Inc.
Помимо порталов GlobalProtect, сканирования также затронули и другие устройства, работающие под управлением PAN-OS, включая Crawler.
По мнению ресерчеров, наблюдаемые попытки имеют сходство с активностью в отношении Cisco в апреле прошлого года, когда было замечено, что злоумышленники нацелились на устройства Cisco, серверы Microsoft Exchange и периферийные устройства других поставщиков.
Учитывая необычный характер детектируемых сканирований, организациям, чьи системы Palo Alto Networks подверглись атаке, следует просмотреть журналы за март для детального поиска угроз в работающих системах и выявления любых признаков компрометации.
Западные инфосек-журналисты рассматривают очередной отчет Recorded Future
Читать полностью…
Исследователи Solar сообщают об обнаружении нового вредоносного ПО в арсенале проукраинской группы кибершпионажа Shedding Zmiy, включающей бывших участников группировки Cobalt.
В ноябре 2024 года к Соларам обратилась ИТ-компания для оказания помощи в расследовании инцидента, поводом к которому стали задетектированные обращения к С2, относящимся к Shedding Zmiy.
Причем, как оказалось, злоумышленники находились в инфраструктуре более полутора лет и намеревались там оставаться еще долго.
В результате анализа Linux-систем исследователям удалось обнаружить как известное вредоносное ПО, характерное для группировки, так и новые образцы руткита Puma, который в декабре заметила Elastic Security Labs.
На некоторых системах злоумышленники даже обновляли руткит Puma, и если Elastic никак не атрибутировала руткит, то Солары уверены в принадлежности нового инструмента к Shedding Zmiy, который задействовал его совместно с другими их характерными инструментами.
Новое вредоносное ПО включало четыре новых руткита Linux (Puma, Pumatsune, Kitsune и Megatsune) и бэкдор Bulldog.
При проведении расследования удивление вызвало неожиданно большое количество и разнообразие вредоносных образцов, что позволило проследить эволюцию руткита и его принадлежность к Shedding Zmiy.
В совокупности найденные артефакты указывали на то, что жертва как будто использовалась в качестве полигона для их обкатки.
Всего нашлось: 10 руткитов Puma различных версий, 15 образцов Bulldog Backdoor (GoRed), и Megatsune (Kitsune руткит, в котором переменная среды называлась MEGATSUNE, а не KITSUNE) с ранее известными C2.
Puma – это комплексный Linux-руткит уровня ядра на вооружении Shedding Zmiy. В его состав входят: загрузчик, сам руткит и userspace-руткит Pumatsune (обновленная версия ранее известного руткита Kitsune).
Для закрепления Puma используется загрузчик, которым заменяют легитимный файл cron. Он в ходе выполнения запускает легитимный cron в памяти для максимальной скрытности.
Техника подмены легитимных файлов – одна из любимых у группировки Shedding Zmiy. Вторая – подмена отображаемого имени процесса (argv0).
Puma получает команды через хук команды rmdir и может скрывать процессы, файлы и сетевые соединения, повышать привилегии, воровать аутентификационные данные и криптографические ключи.
Руткит использует уникальный бесфайловый механизм запуска компонента Pumatsune, основная задача которого – взаимодействие с C2, выполнение команд и эксфильтрация чувствительных данных.
Помимо руткитов Megatsune, Puma и Pumatsune, группировка также развернула на исследованных системах свой привычный набор инструментов: gsocket и Bulldog Backdoor.
Shedding Zmiy действуют по-разному в зависимости от данных о жертве, полученных в ходе первичной разведки.
В исследованном инциденте атакующие практиковали кибершпионаж.
Однако в случаях, когда цель не представляет интереса, они могут изменить вектор атаки в сторону шифрования или даже уничтожения инфраструктуры жертвы, что обеспечивается функциональностью указанных руткитов.
Таким образом, Shedding Zmiy продолжает оставаться серьезной угрозой для российских компаний, активно развивая существующие инструменты (Bulldog Backdoor, userland руткит Megatsune), а также пополняя свой арсенал новыми - руткитом Puma в связке с userland руткитом Pumatsune.
Израильская Check Point отчасти подтвердила инцидент после того, как в даркнете появились сообщения о краже ценных данных из систем компании.
На выходных хакер с псевдонимом CoreInjection объявил на BreachForums о продаже информации, предположительно, принадлежащей Check Point, по цене в 5 биткоинов (примерно 430 000 долларов США).
Злоумышленник заявил о краже широкого спектра данных, включая проектную документацию, учетные данные, схемы сетевой архитектуры, исходный код, двоичные файлы и контактные данные сотрудников.
Для подтверждения в качестве пруфов прилагается ряд скринов, демонстрирующих доступ к системам Check Point.
По мнению одного из соучредителей Hudson Rock, представленные общественности скриншоты выглядят подлинными, особенно с учетом того, что на счету хакера уже есть кейсы с реальными утечками.
Начиная с середины марта, CoreInjection реализует данные, якобы украденные у пяти компаний, большинство из которых базируются в Израиле.
Диапазон запрашиваемого прайса на остальные четыре листинга варьируются от $30 000 до $100 000.
В свою очередь, Check Point отреагировала на заявления хакера, утверждая об отсутствии новой утечки и указывая на значительное преувеличение важности украденных данных.
По данным Check Point, утечка относится к инциденту, произошедшему в декабре 2024 года после того, как были скомпрометированы креды одной учетной записи с портала, которая имела ограниченный доступ, а вторжение было немедленно нейтрализовано.
Причем скомпрометированная среда не включала в себя системы клиентов, прод или архитектуру безопасности, и в целом явно не соответствует описанию хакера.
Компания пояснила, что в результате инцидента было раскрыто несколько учетных записей с названиями продуктов, список адресов электронной почты сотрудников и три учетные записи клиентов с именами контактных лиц.
Вторжение было оперативно и тщательно расследовано, все слитые данные обновлены, а также достоверно установлено, что клиентская информация риску утечки не подверглась, а по части безопасности все угрозы курированы.
Но будем посмотреть.
Исследователи Лаборатории Касперского раскрыли сложный инструмент, который APT ToddyCat пыталась задействовать для скрытого запуска в скомпрометированных системах.
Он использует цепочку уязвимостей, а также старую версию известного вредоносного ПО с открытым исходным кодом, в которую злоумышленники внесли изменения, расширяющие ее функциональность.
Чтобы скрыть свою активность в зараженных системах, APT-группы прибегают к разным техникам обхода защиты.
Большинство из них хорошо известны и обнаруживаются как EPP-решениями, так и средствами мониторинга и реагирования на угрозы класса EDR.
Одним из вариантов в Windows-системах могут быть руткиты уровня ядра, в частности вредоносные драйверы, но в современных ОС они загружаются только при наличии цифровой подписи Microsoft.
Злоумышленники обходят этот защитный механизм при помощи легитимных драйверов, которые имеют такую подпись, но содержат уязвимые функции, позволяющие выполнять вредоносные действия в контексте ядра.
Средства мониторинга отслеживают такие манипуляции, однако в ToddyCat именно этим и решили воспользоваться, запустив свой инструмент в контексте защитного решения.
В рамках расследования инцидентов с ToddyCat исследователи в на начале прошлого года обнаружили во временной директории на нескольких устройствах 64-разрядную DLL-библиотеку с именем version.dll на C++, которая представляет собой комплексный инструмент под названием TCESB.
Он предназначен для скрытого выполнения полезной нагрузки в обход средств защиты и мониторинга, установленных на устройстве.
Статический анализ DLL-библиотеки показал, что что для запуска вредоносного кода злоумышленники используют технику проксирования DLL.
Вредоносная DLL экспортирует все функции легитимной DLL, но вместо их реализации перенаправляет вызовы этих функций в оригинальную DLL.
Таким образом, приложение, которое загружает вредоносную библиотеку, продолжит работать без сбоев, при этом в его контексте в фоновом режиме будет выполняться вредоносный код.
Отыскать файл, загружающий инструмент TCESB, удалось не сразу, но благодаря допущенной оператором ошибке исследователи вышли на компонент EPP решения ESET - сканер, запускаемый из командной строки (ESET Command line scanner).
Динамический анализ показал, что он небезопасно загружает системную библиотеку version.dll: сначала проверяет наличие файла в текущей директории, а затем ищет его в системных директориях, что может привести к загрузке вредоносной DLL-библиотеки.
По итогу после уведомления ESET найденной уязвимости был присвоен CVE-2024-11859, а 21 января 2025 года поставщик выпустил обновление, а 4 апреля информация была опубликована в рекомендациях по безопасности.
Изучая функционал TCESB исследователи провели анализ строк, находящихся в его DLL, который показал, что большинство из них принадлежат вредоносному инструменту с открытым исходным кодом EDRSandBlast.
На его основе злоумышленники из APT ToddyCat создали DLL TCESB.
Переработав код, они добились расширения функциональности, добавив возможности, помимо прочего, модификации структуры ядра ОС, чтобы отключить системные уведомления (notification routines).
Технический разбор инструментария и индикаторы компрометации - в отчете.
Google выкатила исправления для 62 уязвимостей в Android за апрель 2025 года, включая две 0-day, которые использовались в целевых атаках.
Один из нулей - это уязвимость безопасности с высокой степенью риска, связанная с EoP (CVE-2024-53197) в драйвере USB-audio ядра Linux для устройств ALSA.
Как отмечается, ошибка задействовалась спецслужбами Сербии для разблокировки изъятых устройств Android в рамках цепочки эксплойтов, разработанной израильской в сфере цифровой криминалистики Cellebrite.
Кроме того, в цепочка также включала уязвимость нулевого дня USB Video Class (CVE-2024-53104), исправленную в феврале, и другой 0-day Human Interface Devices (CVE-2024-50302), закрытую в марте.
Она была обнаружена, связанная с EoP (CVE-2024в середине 2024 года в ходе анализа журналов, найденных на устройствах, разблокированных сербской полицией.
В январе Google предоставила исправления OEM-партнерам.
Другая исправленная в апреле 0-day отслеживается как CVE-2024-53150 и представляет собой уязвимость раскрытия информации ядра Android, вызванную проблемой чтения за пределами выделенного буфера памяти, позволяя локальным злоумышленникам получать доступ к конфиденциальной информации на уязвимых устройствах без взаимодействия с пользователем.
Обновления безопасности Android за март 2025 года также содержат исправления для 60 других уязвимостей, большинство из которых относится к категории серьезные проблем, приводящих к EoP.
Традиционно Google анонсировала два набора исправлений: уровни 2025-04-01 и 2025-04-05. Последний также включает обновления для сторонних компонентов с закрытым исходным кодом и подкомпонентов ядра, которые не обязательно применимы ко всем устройствам Android.
Устройства Google Pixel получают эти обновления немедленно, в то время как другим поставщикам часто требуется больше времени для тестирования и настройки исправлений безопасности для своих конкретных конфигураций оборудования.
Исследователи Meridian Group отмечают тревожную тенденицию, связанную с задействованием киберподпольем взломанных учетных записей правоохранительных структур и госорганов для реализации экстренных запросов данных (Emergency Data Request) в крупные онлайн-платформы.
Если ранее киберпреступники продавали креды/доступы, то все более сложная и структурированная EDR-as-a-Service теперь поддерживает модель «под ключ», охватывая каждый этап процесса отработки запроса и нацеливаясь на более широкий круг платформ.
Заказчики конфиденциальной информации теперь получают услугу с возможностью непосредственной обработки запроса на платформах и оперативной доставки интересующих данных, всего лишь оплатив требуемую сумму в Bitcoin или Monero согласно прайсу.
В более организованных схемах селлеры предоставляют услугу условного депонирования, удерживая сумму на депозите, пока покупатель не подтвердит действительность полученных данных.
Кроме того, потенциальным покупателям доступны информационные материалы, представленные в виде «подробного руководства» по надлежащему использованию услуг EDR, в том числе отражающих, как правильно заполнять и незаконно отправлять запросы.
Так что даже неопытные операторы с ограниченными навыками взлома могут быстро приобрести необходимые знания для успешной пересылки поддельных EDR.
Отдельно предоставляются инструкции о том, как использовать полученную информацию, чтобы более эффективно нацеливаться на жертв посредством социнженерии и прочих вредоносных кампаний.
В отчете Meridian Group подчеркивается, что наряду с отдельными субъектами потенциальный интерес к теме фиксируется и среди банд вымогателей, что предвещает дальнейшую эволюцию их преступной модели.
Правда, конкретные случаи еще не были задокументированы.
Стремительный рост черного рынка EDR-as-a-Service подчеркивает предприимчивость киберподполья, представители которого смогли выстроить эффективную и устойчивую систему сбора широкого спектра конфиденциальной информации в рамках EDR.
Исследователи Outpost24 представили продолжение своего отчета в отношении профиля EncryptHub, финансово мотивированной группировки, также известной как Water Gamayun и Larva-0208.
По результатам расследования Outpost24 пришли к выводу, что группировку, по всей видимости, возглавляет украинец из Харькова, который около 10 лет назад сбежал из своего родного и сейчас базируется, предположительно, где-то недалеко от побережья Румынии.
При этом в Microsoft признали, что, вероятнее всего, скрывающийся за личностью EncryptHub обнаружил и сообщил о двух уязвимостях Windows в прошлом месяце, что указывает на карьеру хакера в в сфере ИБ по совместительству с киберпреступностью.
Уязвимости были приписаны SkorikARI with SkorikARI, что является другим именем пользователя, используемым EncryptHub.
Раскрытые CVE-2025-24061 (оценка CVSS: 7,8) и CVE-2025-24071 (оценка CVSS: 6,5) были исправлены в рамках Patch Tuesday в прошлом месяце.
EncryptHub оказался в центре внимания в середине 2024 года в рамках кампании, в которой задействовался поддельный сайт WinRAR для распространения различных видов вредоносного ПО, размещенного в репозитории GitHub под названием encrypthub.
В последние недели злоумышленнику приписывают эксплуатацию 0-day в консоли управления Microsoft (CVE-2025-26633, оценка CVSS: 7.0, также известной как MSC EvilTwin) для доставки стилеров и ранее не документированных бэкдоров под названием SilentPrism и DarkWisp.
По данным PRODAFT, за последние девять месяцев своей работы EncryptHub предположительно скомпрометировал более 618 ценных целей в различных отраслях.
Outpost24 удалось изучить цифровой след EncryptHub, основываясь на «самозаражениях злоумышленников из-за ненадлежащих методов opsec» и выявить новые аспекты по части инфраструктуры и TTPs.
После переезда в неуказанное место недалеко от Румынии фигурант не привлекал к себе внимания и прокачивал свои скилы через онлайн-курсы, и параллельно искал работу в сфере IT.
Однако активность этого злоумышленника резко прекратилась в начале 2022 года, совпав с началом СВО.
При этом Outpost24 полагают, что это было связано с заключением в тюрьму примерно в то же время.
После освобождения хакер возобновил поиски работы, на этот раз предлагая услуги по разработке веб-сайтов и приложений на фрилансе.
После непродолжительных и неудачных попыток участия в программах BugBounty в марте 2024 года переключился на киберпреступность.
проектов стал Fickle Stealer, который был впервые задокументирован Fortinet FortiGuard Labs в июне 2024 года как вредоносное ПО на основе Rust для кражи информации, распространяющееся по нескольким каналам.
В недавнем интервью с исследователем g0njxa злоумышленник заявил, что Fickle «дает результаты в системах, где StealC или Rhadamantys (sic) никогда не сработают» и «обходит высококачественные корпоративные антивирусные системы».
При этом стиллер не только распространяется в частном порядке, но и является «неотъемлемой частью» другого их продукта, получившего название EncryptRAT.
Исследователи же смогли связать Fickle Stealer с псевдонимом, ранее связанным с EncryptHub.
Кроме того, один из доменов, связанных с этой кампанией, соответствует инфраструктуре, использовавшейся в законной фриланс-работе.
Причем EncryptHub широко использовал ChatGPT от OpenAI как для разработки вредоносного ПО, так и повседневных дел (перевода электронных писем и сообщений).
Кейс EncryptHub подчеркивает, что слабая операционная безопасность остается одной из самых критических слабостей для киберпреступников.
Элементарные ошибки - такие как повторное использование паролей, открытая инфраструктура и смешивание личной и преступной деятельности - в конечном итоге привели к его разоблачению.
Исследователи Group-IB сообщают об изумлениях в деятельности банды вымогателей Hunters International, которая проводит ребрендинг и переходит исключительно к тактике эксфильтрации.
Широко известная в киберподполье банда вымогателей Hunters International реализует с конца 2023 года собственную RaaS, адаптировав в свой арсенал и TTPs банды Hive после того, как последнюю развальцевали силовики в ходе международной операции в январе 2023 года.
Как выяснили исследователи, операторы, вовлеченные в схемы RaaS, тогда после ее ухода стали получать предложения от админов Hunters с тех же учетных записей, что и Hive.
В числе последних значимых достижении на счету банды - атака на крупную индийскую Tata Technologies.
Причем группировка продолжала действовать, несмотря на объявление 17 ноября 2024 года о закрытии из-за снижения рентабельности и нападками спецслужб.
На DLS в Tor группа разместила более 300 жертв, почти половина из которых - в Северной Америке. Хакеры также атаковали более 50 организаций в Европе и два десятка в Азии.
Основной фокус на - госсектор, недвижимость, здравоохранение, финансы и энергетику.
Партнерская панель Hunters позволяет операторам регистрировать жертву, настраивать вредоносное ПО и вести общение с жертвой.
Также предоставляет инструмент Storage Software, который собирает метаданные о файлах, украденных у жертвы, и отправляет их на серверы Hunters.
Партнеры могут установить сумму выкупа с панели, им предоставляется вредоносное ПО для шифрования файлов, совместимое с архитектурами x64, x86 и ARM и работающее на Windows и Linux.
Если жертва платит, оператор получает 80% от выручки.
Group-IB отмечает, что последняя версия программы-вымогателя больше не оставляет записку с требованием выкупа и не переименовывает зашифрованные файлы.
Начиная с августа 2024 года группа предпочитает напрямую связываться с руководством и ключевыми сотрудниками компании-жертвы, не раскрывая инцидент и повышая тем самым шансы на одобрение выплаты выкупа.
Hunters сотрудничает со сторонним подрядчиком, который оказывает им услуги OSINT для сбора информации о сотрудниках атакованной компании, которая затем используется для вымогательства.
На основании внутренних заметок операторов RaaS, исследователи пришли к выводу, что банда планирует отказаться от шифрования файлов, поскольку это становится слишком рискованным и не приносит соответствующей прибыли.
Начиная с января 2025 года они запустили новый проект под названием World Leaks.
Вместо проведения двойного вымогательства схема переориентирована на атаки, направленные исключительно на эксфильтрацию.
Операторам будет предоставляться инструмент для автоматизированной кражи данных (вероятно доработанный Storage Software), который будет полностью незаметен и сможет устанавливать сетевые соединения через прокси-сервер, например.
В Group-IB полагают, что большинство групп вымогателей, вероятно, перейдут к той же тактике в будущем, полагаясь исключительно на эксфильтрацию.
Новая коричневая полоса в жизни клиентов Ivanti связана с критической уязвимостью Connect Secure, которая позволяет удаленно выполнять код и активно эксплуатируется китайской APT как минимум с середины марта 2025 года.
CVE-2025-22457 вызвана уязвимостью переполнения буфера на основе стека и влияет на Pulse Connect Secure 9.1x (поддержка которого закончилась в декабре), Ivanti Connect Secure 22.7R2.5 и более ранние версии, Policy Secure и Neurons для шлюзов ZTA.
Согласно рекомендациям Ivanti, удаленные злоумышленники могут использовать ее в сложных атаках, не требующих аутентификации или взаимодействия с пользователем. Ошибка исправлено 11 февраля 2025 года с выпуском Ivanti Connect Secure 22.7R2.6.
При этом она была идентифицирована поставщиком как непригодная для удаленного выполнения кода и не отвечающая требованиям отказа в обслуживании.
Однако к удивлению Ivanti исследователи выяснили, что уязвимость можно эксплуатировать с помощью сложных средств, и обнаружили доказательства ее активной эксплуатации в реальных условиях.
При этом исправления для шлюзов ZTA и Ivanti Policy Secure все еще находятся в разработке и будут выпущены только к 19 и 21 апреля соответственно, но Ivanti заверяет, что ей «не известно о каких-либо случаях эксплуатации» шлюзов.
Тем не менее Ivanti порекомендовала администраторам полагаться на ICT и следить за возможными сбоями веб-сервера. Если будут обнаружены какие-либо признаки компрометации, следует сбросить настройки затронутых устройств и вернуть их в эксплуатацию с помощью версии 22.7R2.6.
Пока в Ivanti отмалчиваются по поводу эксплуатации, исследователи Mandiant и Google Threat Intelligence Group (GTIG) сообщают, что предполагаемый злоумышленник (UNC5221) эксплуатировал уязвимость, по крайней мере с середины марта 2025 года.
UNC5221 известен тем, что нацеливается на 0-day в сетевых периферийных устройствах с 2023 года, включая различные устройства Ivanti и NetScaler.
Совсем недавно китайские хакеры задействовали CVE-2025-0282, еще одно переполнение буфера Ivanti Connect Secure для доставки нового вредоносного ПО Dryhook и Phasejam на скомпрометированные устройства VPN.
Год назад хакерская группа также объединила две 0-day Connect Secure и Policy Secure (CVE-2023-46805 и CVE-2024-21887) для удаленного выполнения произвольных команд на целевых устройствах ICS VPN и IPS network access control (NAC). Одной из их жертв стала корпорация MITRE.
По данным Volexity, в январе 2024 года UNC5221 взломал более 2100 устройств Ivanti, используя веб-шелл GIFTEDVISITOR, в атаках, объединяющих две 0-day.
В новых замеченных атаках после успешной эксплуатации наблюдалось развертывание двух новых семейств вредоносных ПО: дроппера TRAILBLAZE, работающего только в памяти, и пассивного бэкдора BRUSHFIRE.
Кроме того, также выявлены ранее задокументированной экосистемы вредоносных ПО SPAWN, приписываемой UNC5221.
Злоумышленник, вероятно, изучил исправление для уязвимости в ICS 22.7R2.6, отыскав варианты эксплуатации 22.7R2.5 и более ранних версий для удаленного выполнения кода.
Впрочем, такими темпами и обходы для последней версии скоро назреют.
Так что новый сезон захватывающего сериала под названием Ivanti, можно констатировать, - только начинается.
Исследователи F6 выявили уникальные артефакты, позволяющие связать кибершпионскую кампанию HollowQuill с уже известной группой FakeTicketer.
В марте этого года Seqrite Labs сообщала об обнаружении кампании кибершпиоанажа, получившей название Operation HollowQuill. Атаки были нацелены на российские промышленные предприятия.
По данным исследователей, хакеры использовали файл, мимикрирующий под официальный документ, написанный от имени Балтийского государственного технического университета ВОЕНМЕХ.
Причем впервые эту активность обнаружили исследователи Positive Technologies в конце 2024 года, а дополнительный анализ позволил специалистам F6 установить пересечения с деятельностью группы FakeTicketer.
Злоумышленники действуют как минимум с июня 2024 года, основной их мотивацией, предположительно, является шпионаж, а среди целей были замечены промышленные организации, госорганы и спортивные функционеры.
Анализ вредоносных ПО и инфраструктуры злоумышленников показал, что в кампании HollowQuill и у FakeTicketer обнаружены пересечения в коде дропперов и именовании доменов.
При более детальном анализе удалось выявить некоторые пересечения с вредоносной программой Zagrebator.Dropper, приписываемой группе FakeTicketer:
- оба дроппера (LazyOneLoader и Zagrebator.Dropper) написаны на C#;
- используют одинаковые названия иконок (faylyk);
- схожее именование файлов и классов.
- файлы для дроппера и иконка хранятся в ресурсах, дроппер читает данные из ресурсов и записывает ресурс в файл, используя один и тот же класс BinaryWrite;
- код для создания ярлыков практически идентичен;
- в обоих случаях файлы OneDrive*.exe и OneDrive*.lnk используются для сокрытия активности.
Исследователи F6 обнаружили еще одно весомое совпадение между HollowQuill и группой FakeTicketer.
В свое время, группа FakeTicketer зарегистрировала несĸольĸо доменов, используя одни и те же регистрационные данные.
Один из них - phpsymfony[.]info, при этом в ĸампании HollowQuill использовался созвучный домен - phpsymfony[.]com в ĸачестве C2-сервера для Cobalt Strike.
Таким образом, по мнению эĸспертов F6, найденные доĸазательства позволяют со средней уверенностью приписать кампанию, именуемую HollowQuill, группе FakeTicketer.
Исследователи из Лаборатории Касперского обнаружили новые каналы распространения загрузчика TookPS, которые ранее попадал в поле зрения ресерчеров в рамках исследования, посвященного нескольким вредоносным кампаниям с приманками под DeepSeek.
Изучая телеметрию, в ЛК заметили, что один из описанных зловредов - загрузчик TookPS, мимикрирует не только под популярную нейросеть.
В частности, были найдены фейковые сайты, имитирующие официальные ресурсы различного ПО для удаленного доступа и 3D-моделирования, а также страницы, предлагающие бесплатно его загрузить.
При этом фигурирующие UltraViewer, AutoCAD и SketchUp часто используются в бизнесе, так что потенциальными жертвами этой кампании могут быть как частные пользователи, так и организации.
Помимо вредоносных сайтов в телеметрии засветились имена детектируемых файлов: Ableton.exe и QuickenApp.exe.
Ableton - это ПО для написания музыки, звукозаписи, микширования и сведения треков и т.д., Quicken - приложение для управления финансами и счетами.
Цепочка заражения аналогична той, что описывалась в статье про атаки, использующие DeepSeek в качестве приманки.
Попав на устройство жертвы, загрузчик связывается с C2, домен которого содержится в его коде, чтобы получить PowerShell-скрипт.
Причем разные образцы вредоноса обращаются к разным доменам, откуда получает команды, закодированные в base64.
Разные образцы команды содержат разные URL-адреса, однако в остальном они идентичны. Они последовательно скачивают с указанного URL три PowerShell-скрипта и запускают их.
Первый из обнаруженных скриптов выкачивает с С2 файл sshd.exe, конфигурацию для него (файл config) и файл с ключом RSA.
Второй получает параметры командной строки для запуска sshd: адрес удаленного сервера, порт и имя пользователя - после чего запускает sshd.
Запускается сервер SSH, который устанавливает туннель между зараженным устройством и удаленным сервером. Для аутентификации используется скачанный ранее ключ RSA, а конфигурация сервера берется из файла config.
Туннель позволяет злоумышленнику получать доступ к системе и выполнять произвольные команды в ней, а третий скрипт, в свою очередь, пытается скачать на компьютер жертвы модификацию известного бэкдора Backdoor.Win32.TeviRat.
Изученный вариант устанавливает на зараженное устройство ПО для удаленного доступа TeamViewer, которое изменяет при помощи метода DLL side-loading. В исследуемой кампании в качестве C2 использовался домен invoicingtools[.]com.
Помимо этого, на зараженное устройство загружается бэкдор Backdoor.Win32.Lapmon. Он использует домен twomg[.]xyz в качестве C2.
Таким образом, злоумышленники получают полный доступ к компьютеру жертвы несколькими разными способами.
Изучая структуру доменов, к которым обращаются вредоносные скрипты и программы в этой атаке, исследователи вышли и на другие, полагая с высокой вероятностью, что TookPS, Lapmon и TeviRat - не первые в арсенале этих злоумышленников.
В целом, атаки с использованием DeepSeek в качестве приманки в случае TookPS оказались лишь вершиной айсберга - более масштабной кампании, нацеленной как на домашних пользователей, так и на организации.
Индикаторы компрометации - в отчете.
Исследователи Лаборатории Касперского задетектили модифицированную версию троянца Triada, которая внедрялась в прошивки совсем новых Android-устройств - подделки под разные популярные модели смартфонов.
Ничего не подозревающий покупатель рискует приобрести такой гаджет, например, в онлайн-магазинах по сниженным ценам.
Новой версией Triada оказались заражены более 2600 пользователей в разных странах, большинство из которых в России.
Причем эта статистика охватывает период с 13 по 27 марта 2025 года.
Обновленная версия распространяется в прошивках заражённых Android-устройств и внедряется в системный фреймворк устройства, затрагивая фактически все системные процессы.
Зловред обладает широкой функциональностью и реализует злоумышленникам почти неограниченные возможности контроля над гаджетом, включая:
- кражу аккаунтов пользователей в мессенджерах и соцсетях, в частности в Telegram и TikTok;
- скрытую отправку сообщений от лица жертвы в WhatsApp и Telegram с удалением следов активности;
- кражу крипты через подмену адреса кошельков в нужных приложениях;
- контроль активности жертвы в браузерах и подмену ссылок;
- подмену вызываемого номера во ходе соединения;
- контроль СМС: перехват, отправка и удаление сообщений, в том числе премиум-СМС;
- загрузку и запуск других программ на заражённом смартфоне;
- блокировку сетевых соединений.
Triada известена давно, но всё ещё остаётся одной из наиболее сложных и опасных угроз для Android.
Его новая версия проникает в прошивки смартфонов ещё до того, как гаджеты попадают в руки пользователей.
Вероятно, на одном из этапов цепочка поставок оказывается скомпрометированной, поэтому в магазинах могут даже не подозревать, что реализуют среди покупателей смартфоны с предустановленной Triada под капотом.
Решения Лаборатории Касперского детектируют новую версию Triada как Backdoor.AndroidOS.Triada.z.
При этом операторы новой версии Triada активно монетизируют свои разработку и судя по транзакциям их заработки составляют почти 270 тысяч долларов в разной криптовалюте.
В реальности сумма больше, ведь злоумышленники также нацелены на Monero, которую трудно отследить.
Тайваньский производитель сетевого оборудования DrayTek поделился некоторыми разъяснениями относительно недавних перезагрузок маршрутизаторов, о которых сообщfли клиенты по всему миру, но некоторые вопросы остаются без ответа.
В конце марта пользователи маршрутизаторов DrayTek в Великобритании, Австралии и других странах столкнулись с массовыми перегрузками своих устройств, что приводило к проблемам с подключением.
Когда появились первые отчеты, поставщик предположил, что может быть задействована эксплуатация уязвимости, но не поделился никакой информацией о том, какой именно недостаток мог быть причиной проблем.
В ответ на растущее число жалоб DrayTek опубликовала второе информационное сообщение, в котором пояснила, что инциденты, по всей видимости, в основном затрагивают старые модели маршрутизаторов с устаревшей прошивкой.
Расследование показало, что маршрутизаторы DrayTek подвергались повторным, подозрительным и потенциально вредоносным попыткам подключения TCP, исходящим от IP-адресов с известной негативной репутацией.
Замеченные попытки могли привести к перезагрузке маршрутизатора на необновленных устройствах, если на этих устройствах включен SSL VPN или включено удаленное управление без защиты списка контроля доступа (ACL).
Компания перечислила несколько моделей маршрутизаторов Vigor, которые, по-видимому, были затронуты, но отметила, что обновления прошивки, выпущенные для них в 2020 году, должны исправить «проблему», эксплуатация которой в реальных условиях наблюдается сейчас впервые.
Однако до сих пор остается непонятным, какая именно уязвимость (или уязвимости) была задействована.
Кроме того, неясно, какова цель злоумышленников и являются ли перезагрузки устройств запланированным результатом или следствием неудачных попыток эксплуатации.
Причем 26 марта в социальной сети X компания DrayTek заявила, что проблема, по всей видимости, связана с уязвимостью, обнаруженной в начале марта, но и тогда не уточнила, с какой именно.
В начале марта поставщик опубликовал два бюллетеня безопасности: один описывает полдюжины уязвимостей маршрутизатора Vigor, допускающих DoS-атаки, раскрытие информации и выполнение кода, а второй - две уязвимости выполнения кода.
В обоих бюллетенях компания указала, что исправления прошивки, устраняющие эти недостатки, доступны с осени 2024 года.
В свою очередь, GreyNoise наблюдала, что в последние дни в отношении маршрутизаторов DrayTek использовались три уязвимости, включая CVE-2020-8515, CVE-2021-20123 и CVE-2021-20124, но компания не смогла подтвердить, была ли какая-либо из них замешана в недавних атаках.
Так что будем следить.
Apple выпустила обновления с исправлениями для активно эксплуатируемых уязвимостей, использовавшихся в качестве 0-day для более старых версий операционных систем.
Кроме того, исправления подкатили и для многочисленных проблем безопасности в последних стабильных версиях iOS, iPadOS и macOS.
Первый бэкпорт касается CVE-2025-24200, обнаруженной Citizen Lab, которая задействовалась в решениях для мобильной криминалистики и приводила к деактивации «ограниченного режима USB» на заблокированных устройствах.
Apple устранила уязвимость в iOS 18.3.1, iPadOS 18.3.1 и 17.7.5, выпущенных 10 февраля 2025 года.
Вторая уязвимость, портированная на более старые версии ОС, - CVE-2025-24201, которая позволяла хакерам выходить за рамки «песочницы» на движке WebKit с помощью специально созданного веб-контента.
Apple предупредила, что уязвимость использовалась в чрезвычайно сложных» атаках, и устранила ее 11 марта 2025 года с выпуском iOS 18.3.2, iPadOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1.
Поставщик уже включил исправления для CVE-2025-24200 и CVE-2025-24201 в iOS 16.7.11 и 15.8.4, а также iPadOS версий 16.7.11 и 15.8.4.
Третья уязвимость, исправленная на старых устройствах, - CVE-2025-24085, связана с проблемой повышения привилегий в фреймворке Core Media компании Apple.
Компания устранила проблему в конце января 2025 года, выпустив iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, watchOS 11.3, visionOS 2.3 и tvOS 18.3.
Теперь исправления для CVE-2025-24085 стали доступны в iPadOS 17.7.6 и macOS версий 14.7.5 (Sonoma) и 13.7.5 (Ventura).
Помимо бэкпортов, Apple также выпустила обновления безопасности для последних стабильных версий своих ОС и ПО, включая Safari и Xcode.
В частности, последнее обновление для iOS 18.4 и iPadOS 18.4 устраняет 77 уязвимостей, в том числе CVE-2025-30456 (обход изолированной среды приложения, позволяющий повысить привилегии до root), CVE-2025-24097 (произвольный доступ к метаданным файла) и CVE-2025-31182 (произвольное удаление файла).
В macOS Sequoia 15.4 Apple устранила 123 уязвимости, включая CVE-2025-24228 (произвольное выполнение кода с привилегиями ядра), CVE-2025-24267 (повышение привилегий до root) и CVE-2025-24178 (выход из песочницы).
В последней версии Safari 18.4 Apple закрыла 13 уязвимостей, включая CVE-2025-24213 (повреждение памяти WebKit), CVE-2025-30427 (использование WebKit после освобождения памяти) и CVE-2025-24180 (путаница с учетными данными WebAuthn).
Несмотря на то, что в представленных бюллетенях не упоминается об эксплуатации уязвимостей, пользователям следует как можно скорее установить обновления для нейтрализации потенциальных атак.
В новом отчете Paradigm подробно рассматривается экосистема APT-подполья Северной Кореи, в которой помимо нашумевшей Lazarus Group перечислены и ряд иных субъектов угроз, нацеленных на организации и частных лиц за рубежом.
Поводом стало ограбление Bybit на рекордную сумму в более 1,4 млрд долларов США после фактической компрометации инфраструктуры Safe{Wallet}, что буквально, по мнению авторов, разорвало парадигму существующих моделей угроз.
Первые две рассмотренные в отчете группы - Contagious Interview и Wagemole - идентифицированы как реализующие схему «найма ИТ-сотрудников».
Например, Contagious Interview выдает себя за рекрутеров известных компаний и заманивают разработчиков на фейковые собеседования, обманом при этом заставляя их загружать вредоносное ПО, которое способно красть широкий спектр данных, включая криптоактивы.
Хакеры из Wagemole, наоборот, стремятся получить должность в иностранных компаниях, а вместе с ней и доступ к системам жертвы для кражи активов компании. В некоторых случаях инсайдерам удавалось оставалось внедряться в организации на срок до года, прежде чем предпринимать активные действия.
Другой отмеченной группой является AppleJeus, которая, в первую очередь, сфокусирована на распространении вредоносного ПО, иммигрируя под легальное, в том числе трейдинговые приложения или криптоутилиты. APT заточена под атаки на цепочки поставок.
В свою очередь, Dangerous Password фокусируется на низкоуровневых атаках на основе социнженерии в криптоиндустрии. Эти хакеры все еще рассылают фишинговые письма, но также эволюционировали и задействуют теперь и другие платформы, прежде всего - Telegram.
TraderTraitor - последняя в представленном списке APT, которая описывается как «самая изощренная группа угроз, нацеленная на криптовалютную индустрию».
Хакеры в качестве основных целей таргетируются на криптобиржи и другие компании с крупными активами, используя в отношении своих жертв высокотехнологичные методы целевого фишинга.
Так, в случае взлома Axie Infinity TraderTraitor связался со старшим инженером через LinkedIn и успешно убедил его пройти серию интервью, прежде чем отправить «предложение» с вредоносным ПО под капотом.
Постарались описать общими словами, однако в статье представлено достаточно много разбора конкретных инцидентов со ссылками на детализированные отчеты.
Вообще, подобная сводная аналитика по APT встречается редко, так что настоятельно рекомендуем ознакомиться с материалом.
Ivanti вновь под ударом киберподполья, о чем чем предупреждает CISA, проливая свет на новую вредоносную программу под названием RESURGE, которая была развернута в рамках кампании, нацеленной на уже исправленную уязвимость в устройствах Ivanti Connect Secure (ICS).
RESURGE содержит функционал варианта SPAWNCHIMERA, включая сохранение после перезагрузки, однако также имеет и отличительные команды, которые изменяют его поведение, реализуя возможности руткита, дроппера, бэкдора, буткита, прокси и туннелера.
Проблема, связанная с развертыванием вредоносного ПО, отслеживается как CVE-2025-0282 и представляет собой RCE-уязвимость переполнения буфера в стеке, затрагивая Ivanti Connect Secure до версии 22.7R2.5, Ivanti Policy Secure до версии 22.7R1.2 и Ivanti Neurons for ZTA gateways до версии 22.7R2.3.
По данным Mandiant, CVE-2025-0282 была использована для нацеливание и доставки так называемой экосистемы вредоносного ПО SPAWN (SPAWNANT, SPAWNMOLE и SPAWNSNAIL).
Использование SPAWN приписывается группе кибершпионажа, связанной с Китаем и получившей название UNC5337.
В прошлом месяце JPCERT/CC фиксировал, что ошибка используется для распространения обновленной версии SPAWN, известной как SPAWNCHIMERA, которая объединяет все вышеупомянутые разрозненные модули в одну монолитную вредоносную ПО, а также включает изменения для более эффективного межпроцессного взаимодействия через доменные сокеты UNIX.
Новая версия содержала функцию исправления уязвимости CVE-2025-0282, которая затрудняет другим злоумышленникам использовать ее в собственных кампаниях.
Улучшения RESURGE (libdsupgrade.so), согласно CISA, связаны с поддержкой дополнительного функционала:
- злоупотребление ld.so.preload, настройка веб-оболочки, управление проверками целостности и изменение файлов;
- разрешения на использование веб-оболочек для сбора учетных данных, создания учетных записей, сброса паролей и повышения привилегий;
- копирование веб-оболочки на загрузочный диск Ivanti и управление запущенным образом coreboot.
Стоит отметить, что CVE-2025-0282 также использовалась в качестве 0-day и другой связанной с Китаем группой угроз, известной как Silk Typhoon (ранее Hafnium), о чем Microsoft сообщала ранее в этом месяце.
Последние результаты показывают, что операторы вредоносного ПО, активно совершенствуют свои технологии, поэтому организациям крайне важно обновлять экземпляры Ivanti до последней версии и следовать мерам смягчения последствий.
Но, как показывает практика, особого эффекта от этого клиенты Ivanti не испытывают, только лишь оттенки серого (или не всегда серого).
Microsoft рапортует об успешном опыте задействования своего инструмента Security Copilot на базе ИИ для обнаружения 20 ранее неизвестных уязвимостей в загрузчиках с открытым исходным кодом GRUB2, U-Boot и Barebox.
GRUB2 (GRand Unified Bootloader) является загрузчиком по умолчанию для большинства дистрибутивов Linux, включая Ubuntu, а U-Boot и Barebox обычно используются во встраиваемых устройствах и устройствах Интернета вещей.
11 проблем исследователи нашли в GRUB2, включая целочисленные переполнения (CVE-2025-0677 - 0678, 0684 - 0686, CVE-2025-1125), чтение за пределами выделенной памяти (CVE-2025-0689), запись за пределами допустимого диапазона (CVE-2025-0690) и переполнения буфера (CVE-2024-56737), недостатки команд (CVE-2025-1118) и атаку по побочному каналу (CVE-2024-56738).
Всем вышеперечисленным уязвимостям присвоен средний уровень серьезности, за исключением CVE-2025-0678, которой присвоен высокий с оценкой CVSS v3.1: 7,8.
Кроме того, в U-Boot и Barebox было найдено 9 переполнений буфера при анализе SquashFS, EXT4, CramFS, JFFS2 и символических ссылок, для эксплуатации которых требуется физический доступ.
Недавно обнаруженные уязвимости затрагивают устройства с UEFI Secure Boot и при соблюдении определенных условий злоумышленники могут обойти средства защиты и выполнить произвольный код на устройстве.
Несмотря на то, что эксплуатация уязвимостей U-boot или Barebox, скорее всего, потребует локального доступа к устройствам, предыдущие атаки с использованием буткитов, таких как BlackLotus, достигались посредством заражения вредоносным ПО.
При этом в случае GRUB2 уязвимости могут быть дополнительно использованы для обхода Secure Boot и установки скрытых буткитов или потенциального обхода других механизмов безопасности, таких как BitLocker.
По словам Microsoft, Security Copilot значительно ускорил процесс обнаружения уязвимостей в большой и сложной кодовой базе, такой как GRUB2, позволив сэкономить примерно 1 неделю, которая потребовалась бы для ручного анализа.
Инструмент на основе ИИ не только выявил ранее не задокументированные уязвимости, но и предоставил целевые рекомендации по смягчению последствий, которые могли бы служить ориентирами для выпуска исправлений, особенно в проектах с открытым исходным кодом.
Причем применение Security Copilot позволило также обнаружить схожие ошибки в проектах, использующих общий код с GRUB2, включая U-boot и Barebox.
GRUB2, U-boot и Barebox выпустили обновления безопасности для уязвимостей в феврале 2025 года, так что обновление до последних версий устраняет все перечисленные недостатки.
Хакеры злоупотребляют малоизвестной функцией WordPress под названием Must Use Plugins для установки и сокрытия вредоносного ПО от администраторов сайта, обеспечивая при этом постоянный удаленный доступ.
Функция Must Use Plugins, также известная как mu-plugins, была добавлена в WordPress CMS в 2022 году.
Плагины, помещенные в специальную папку с именем /mu-plugins, выполняются WordPress без необходимости их явного включения и одобрения через панель администратора.
Они не отображаются в обычном разделе «Плагины» бэкэнда WordPress, так чтобы пользователи не могли случайно отключить или удалить их. Это делает каталог идеальным местом для размещения вредоносного ПО.
По данным GoDaddy Sucuri, злоумышленники начали злоупотреблять Must Use Plugins по крайней мере с февраля этого года.
Теперь эта активность значительно прогрессировала.
Хакеры взламывают сайты WordPress и размещают вредоносное ПО в папку mu-plugins, зная, что оно будет автоматически запущено и не отобразится в бэкэндах сайта.
Более того, поскольку это относительно неизвестная функция, многие инструменты безопасности WordPress даже не сканируют папку на предмет возможных угроз.
Sucuri обнаружила, что злоумышленники задействуют mu-plugins для развертывания бэкдоров и веб-шеллов, размещения SEO-спама на взломанных сайтах, а также перенаправления трафика на вредоносные сайты, размещая различные варианты вредоносного PHP-кода:
- wp-content/mu-plugins/redirect.php
- wp-content/mu-plugins/index.php
- wp-content/mu-plugins/custom-js-loader.php
При этом redirect.ph» маскируется под обновление веб-браузера, чтобы обманом заставить жертв установить вредоносное ПО, которое может похищать данные или сбрасывать дополнительные полезные данные.
Широкий спектр злоупотреблений указывает на то, что этот кейс набирает популярность среди киберподполья, представители которого используют этот каталог в качестве устойчивого плацдарма для вредоносной активности.
Владельцам сайтов рекомендуется мониторить содержимое папки, и если плагины Must Use не используются - удалить их, убедившись в безвозвратности этого действия.