39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Qrator Labs сообщают об обнаружении одного из самых крупных ботнетов, который включал более чем 1,33 млн устройств, используемых в DDoS-атаках на порталы онлайн-ставок.
В ботнет в основном входили устройства, расположенные в Бразилии (51,1%), Аргентине (6,1%), России (4,6%), Ираке (3,2%) и Мексике (2,4%).
Ботнет очень похож на тот, который Qrator наблюдала в прошлом году.
Он идеально вписывается в тенденцию, которую исследователи выделили в отчете за 2024 год: рост числа массивных ботнетов DDoS, созданных с помощью устройств, расположенных в развивающихся странах.
Они связали эту тенденцию с медленным темпом замены устаревших устройств, которые больше не получают обновлений, в сочетании с постоянным улучшением подключения.
Такие условия особенно распространены в развивающихся регионах из-за экономических ограничений.
Помимо основной находки в своем отчете Qrator Labs отметила основные тренды по DDoS за первый квартал:
- Общее количество DDoS-атак L3-L4 в первом квартале 2025 года выросло более чем вдвое по сравнению с первым кварталом 2024 года (+110%).
- Наибольшее количество DDoS-атак L3-L4 было направлено на сегменты «ИТ и телекоммуникации» (26,8%), «Финтех» (22,3%) и «Электронная коммерция» (21,5%).
- Самая мощная DDoS-атака L3-L4 в первом квартале 2025 года достигла пика всего в 232 Гбит/с, что составляет лишь малую долю от рекорда предыдущего года в 1140 Гбит/с.
- Несмотря на это, нет никаких признаков снижения интенсивности атак — средние значения битрейта и скорости передачи пакетов значительно выше, чем зафиксировано в прошлом году.
- Самая длинная атака DDoS L3-L4 квартала длилась всего 9,6 часов. Для сравнения, рекорд 2024 года был установлен атакой, которая длилась почти 19 дней.
- В первом квартале 2025 года атаки L7 DDoS чаще всего были направлены на сегменты «Fintech» (54%), «E-commerce» (14,4%) и «IT&Telecom» (8,1%).
- На уровне микросегмента основными целями DDoS-атак L7 были «Банки» (31,6%), «Платежные системы» (12,2%) и «Интернет-ритейл» (7,1%).
- Самая продолжительная атака L7 в первом квартале длилась около 30 часов.
- Основными источниками атак L7 DDoS в первом квартале 2025 года остались те же страны, что и в прошлом году: Россия (28,2%), США (14,4%) и Бразилия (6,1%).
- Средняя активность плохих ботов в первом квартале соответствовала прошлогодним показателям. Однако в марте наблюдался резкий рост - на 28% по сравнению с февралем.
- В марте произошли самые крупные и быстрые атаки вредоносных ботов, а также попытка атаки через CDN.
- Количество автономных систем, ответственных за перехваты BGP, сократилось на 17,6% по сравнению с первым кварталом 2024 года. Между тем, количество автономных систем, вовлеченных в утечки маршрутов, осталось практически неизменным (–1,6%).
- Число глобальных инцидентов BGP резко сократилось: за весь первый квартал фиксировалось всего 3 глобальных утечки маршрутов BGP и ни одного перехвата BGP. Для сравнения, в 2024 году исследователи наблюдали в среднем 3,6 глобальных инцидента в месяц.
Более подробная инфографика и цифры - в отчете.
Исследователи F6 обнаружили новую вредоносную версию легитимного приложения NFCGate для атак на клиентов банков.
Главное отличие: вместо перехвата NFC-данных карты жертвы злоумышленники создают на его устройстве клон собственной карты.
Предпринимая попытки зачислить на свой счёт через банкомат, вся сумма отправляется на карту дропа.
Аналитики F6 отмечают стремительное развитие вредоносного софта, способного через NFC-модули дистанционно перехватывать и передавать данные банковских карт.
Первая атака с применением NFCGate в России произошла в августе 2024 года, а уже по итогам первого квартала 2025 года общий ущерб от использования вредоносных версий этого софта составил 432 млн рублей.
Каждый день с января по март преступники совершали в среднем по 40 успешных атак.
Средняя сумма ущерба от действий злоумышленников, использующих NFCGate, составила 120 тыс. рублей.
В феврале 2025 года F6 зафиксировала появление принципиально новой сборки NFCGate, которая используется в т.н. «обратной» схеме.
Разработчики вредоносного ПО адаптировали приложение под готовый сервис для мошеннических колл-центров.
При использовании первых версий NFCGate дропы подходили к банкомату, чтобы снять деньги жертвы.
Обратная версия NFCGate пропускает этот шаг: мошенники под разными предлогами направляют жертву к банкомату, чтобы зачислить деньги себе, но на самом деле – преступникам.
Как и прежде, атака на пользователей банковских карт с использованием обратного NFCGate проводится в два этапа. Вначале преступники действуют по стандартному для схемы с NFCGate сценарию.
Используя приёмы социальной инженерии, потенциальную жертву пытаются убедить в необходимости установки вредоносного APK-файла на устройство под видом полезной программы.
Злоумышленники объясняют, что это требуется, например, для «защиты» банковского счёта или получения более выгодных условий обслуживания в виде вклада с повышенной процентной ставкой.
Кроме того, в марте 2025 года мошенники стали предлагать потенциальным жертвам внести сбережения на счёт цифрового рубля.
Изученные аналитиками компании F6 образцы ВПО маскировались под приложения финансового регулятора.
После установки приложения в качестве платёжной системы по умолчанию смартфон незаметно для владельца устанавливает контакт с устройством злоумышленников. Затем на смартфон жертвы отправляются NFC-данные банковской карты мошенников и происходит её эмуляция.
На втором этапе атаки пользователя убеждают отправиться к банкомату: якобы для того, чтобы зачислить сбережения на свой счёт. Это похоже на распространённый сценарий мошенничества с «безопасным счётом».
Разница в том, что пользователя не просят назвать код из СМС и не пытаются выведать другую чувствительную информацию, чтобы не вызвать подозрений в обмане.
Напротив, пользователю сообщают «новый» ПИН-код якобы от его же карты.
Когда жертва приложит своё устройство к NFC-датчику банкомата, произойдёт авторизация карты дропа.
Злоумышленники используют одну карту как минимум для трёх-четырёх атак.
Другие особенности новой схемы и рекомендации - в отчете.
Cisco подтверждает, что некоторые продукты затронуты критической уязвимостью удаленного выполнения кода Erlang/OTP CVE-2025-32433.
Уязвимость, обнаруженная группой исследователей из Рурского университета в Бохуме (Германия), отслеживается как CVE-2025-32433 и описывается как проблема обработки сообщений протокола SSH, которая может позволить неавторизованному злоумышленнику получить доступ к уязвимым системам и выполнить произвольный код.
Исследователи предупредили, что эксплуатация уязвимости может привести к полной компрометации хостов, что позволит третьим лицам получить несанкционированный доступ к конфиденциальным данным и манипулировать ими, а также к атакам типа DoS.
CVE-2025-32433 был исправлен в OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20. Предыдущие версии затронуты.
Вскоре после того, как существование уязвимости стало известно, сообщество специалистов по кибербезопасности обнаружило, что эксплуатация CVE-2025-32433 тривиальна, а технические подробности и PoC-эксплойты стали общедоступными в течение 24 часов.
Исследователи Qualys полагают, что после обнаружения ошибки многие устройства могут быть уязвимы для атак, учитывая, что большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, те, которые используются в устройствах OT/IoT и периферийных вычислительных устройствах, подвержена риску взлома.
Arctic Wolf также проанализировала потенциальное воздействие и указала, что помимо Ericsson и Cisco, которые связывают Erlang с несколькими продуктами, это ПО используют National Instruments, Broadcom, EMQ Technologies, Very Technology, Apache Software Foundation и Riak Technologies.
Однако для них обычно требуется отдельная установка Erlang/OTP.
В своюочередь, Cisco продолжает оценку воздействия CVE-2025-32433, изучая ряд продуктов для маршрутизации, коммутации, унифицированных вычислений, управления сетями и сетевых приложений.
На данный момент компания точно подтверждает, что затронуты продукты ConfD, Network Services Orchestrator (NSO), Smart PHY, Intelligent Node Manager и Ultra Cloud Core.
Сетевой гигант отметил, что, хотя уязвимости подвержены ConfD и NSO (выпуск исправлений ожидается в мае), они не уязвимы для удаленного выполнения кода из-за своей конфигурации.
Исследователи Cybernews вскрыли серьезное нарушение конфиденциальности, связанное с утечкой из WorkComposer, приложения для мониторинга сотрудников, которым пользуются более 200 000 человек в тысячах компаний.
Приложение предназначено для отслеживания производительности путем регистрации активности и регулярного создания снимков экрана рабочих хостов сотрудников.
Как обнаружили исследователи, все они в количестве более 21 млн. изображений оказались в незащищенном хранилище Amazon S3, транслируя кадр за кадром то, как сотрудники проводят свой день на рабочих местах.
Так что в слитых скринах оказалась масса крайне конфиденциальных данных, включая полноэкранные снимки электронных писем, внутренних чатов и деловых документов, а также страницы входа в систему, учетные данные, ключи API и др. информацию, которую можно использовать для атак на компании по всему миру.
21 февраля Cybernews уведомили WorkComposer, после чего 19 марта с поставщиком связался CERT, а к 1 апреля доступ удалось залочить.
Официальных комментариев пока не последовало.
Тем не менее, как полагают исследователи клиенты и сам поставщик WorkComposer теперь могут столкнуться с нарушениями GDPR или CCPA (или других законодательных требований).
На практике это уже первый случай - в ходе предыдущего расследования Cybernews была раскрыта утечка WebWork, включавшая более 13 млн. снимков экрана с личными и другими конфиденциальными данными пользователей.
🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
Ресерчеры из Лаборатории Касперского выкатили увесистый отчет по результатам исследования каналов распространения мегапопулряного в киберподполье стилера Lumma.
С развитием модели MaaS входной барьер для начинающих киберпреступников значительно снизился, а стилеры стали одним из самых доходных инструментов в арсенале злоумышленников.
Среди подобных предложений наиболее выделяется стилер Lumma, впервые представленный в 2022 году злоумышленником с ником Lumma.
Изначально он распространялся под названием LummaC2 со стартовой ценой 250 долл., но смог быстро набрать популярность в даркнете.
По состоянию на март 2025 года число связанных с ним предложений в даркнете и Telegram-каналах продолжает расти, а клиентская база стилера насчитывает более тысячи активных подписчиков.
Обычно доставка Lumma обычно требует взаимодействия с пользователем, который должен, например, перейти по ссылке или запустить выполнение вредоносных команд.
Недавно в ходе обработки одного из обращений команда реагирования на киберинциденты Лаборатории Касперского (GERT) обнаружила в системе клиента стилер Lumma.
Анализ показал, что причиной инцидента послужили действия пользователя: его обманом заставили запустить вредоносную команду через поддельную CAPTCHA.
Несмотря на то, что ЛК уже рассматривали этот метод распространения в одной из предыдущих статей, с тех пор удалось обнаружить новые детали этой кампании.
В новом отчете исследователи подробно изучили процесс заражения в сценарии с поддельной CAPTCHA, и представили индикаторы компрометации.
Исследователи Dr.Web раскрыли новую вредоносную кампанию с использованием шпионского ПО для Android, нацеленную на российских военнослужащих под видом картографического ПО Alpine Quest.
По всей видимости, основной целью кампании является контроль за перемещениями и позициями российских военных, прежде всего в зоне проведения СВО.
При этом шпионское ПО (отслеживается Dr.Web как Android.Spy.1292.origin) скрыто внутри легитимных версий Alpine Quest - мобильного приложения, которое используется российскими военными для координации войсковых операций.
Зараженные приложения распространяются в виде APK-файла через каналы в Telegram, рекламирующие пиратскую PRO-версию приложения, и даже через некоторые российские порталы приложений для Android.
Причем изначально злоумышленники размещали ссылки для загрузки приложения в одном из российских каталогов приложений через Telegram, однако позднее троянизированная версия распространялась напрямую в виде APK-файла в качестве обновления приложения.
После установки на устройство Android вредоносное приложение выглядит и функционирует так же, как оригинал, что позволяет ему оставаться незамеченным в течение длительного времени, собирая при этом конфиденциальные данные.
После заражения цели шпионское ПО собирает данные с устройства и отправляет их на удаленный сервер. В их числе: номер телефона жертвы, список контактов, данные геолокации и данные о локальных файлах.
По данным Dr.Web, злоумышленники особенно заинтересованы в поиске и извлечении «конфиденциальных документов», которые военнослужащие могли отправить через Telegram и WhatsApp.
Они также крадут locLog, файл AlpineQuest, который регистрирует данные о местоположении и может использоваться для воспроизведения перемещений жертвы во времени.
Кроме того, шпионская программа поддерживает возможность загрузки и запуска дополнительных модулей, значительно расширяющих ее функциональность.
Несмотря на то, что Dr.Web не называет источник атаки, атрибутировать угрозу в данном случае не составляет особого труда - это очевидно.
Исследователи Palo Alto Networks сообщают о пугающей простоте, с которой северокорейские «ИТ-шники» задействуют технологию deepfake в режиме реального времени для проникновения в организации через удаленные рабочие места.
В ходе экспериментов исследователям потребовалось чуть больше часа без какого-либо предварительного опыта, чтобы понять и освоить технологию создания deepfake в реальном времени, используя легкодоступные инструменты и бюджетное оборудование.
Такая доступность технологии позволяет злоумышленникам легко воссоздавать убедительные синтетические личности и действовать незамеченными, обходя при этом существующие ограничения.
Как отмечают в Palo Alto, в последнее время фиксируется настоящий всплеск инцидентов с использованием deepfakes в реальном времени в ходе собеседований.
Задокументировали случаи, когда соискатели представляли синтетические видеопотоки, используя идентичные виртуальные задние фоны для разных профилей кандидатов.
Кроме того, как отмечает Pragmatic Engineer, выявлен кейс, когда в ходе найма в польскую компанию по разработке ИИ собеседование проходил один и тот же кандидат, но под разными личностями.
Причем второй раз он уже имел более четкие ответы на задаваемые вопросы.
По мнению Palo Alto, указанные Pragmatic Engineer обстоятельства этого собеседования указывают на причастность к афере северокорейских ИТ-работников.
В целом, они постоянно демонстрируют значительный интерес к методам манипулирования личностью.
Убедиться в этом исследователи смогли, когда расследовали взлом Cutout.pro, сервиса обработки изображений с использованием ИИ.
Тогда им удалось выявить множество адресов электронной почты, вероятно, связанных с деятельностью ИТ-специалистов из КНДР.
Теперь же северокорейские хакеры усовершенствовали свою методологию проникновения, внедрив технологию deepfake в реальном времени, получая два операционных преимущества.
Во-первых, это позволяет одному оператору проводить собеседования на одну и ту же должность несколько раз, используя разные синтетические персоны.
Во-вторых, это помогает им избегать идентификации и попадания в розыскные сводки.
Так что угроза синтетической идентичности, типичная для северокорейских операций, представляет собой развивающуюся проблему и становится все более актуальной для организаций по всему миру.
Исследователи Лаборатории Касперского обращают внимание в новом отчете на фишинговые атаки с использованием HTML в SVG.
Традиционно злоумышленники совершенствуют фишинговые атаки, практикуя все более изощренные методы обмана пользователей и обхода защитных механизмов.
Для этих целей задействуют хитрые способы перенаправления пользователя в URL-адресах, добавляя адрес вредоносного сайта в аргументы к внешне безобидной ссылке, вставляют ссылки в PDF, рассылают HTML-вложения, размещая в них фишинговый сайт целиком или открывающий его JavaScript.
Недавно в ЛК заметили новый тренд, связанный с тем, что злоумышленники начали распространять вложения в формате Scalable Vector Graphics (SVG), который обычно используется для хранения изображений.
Если открыть такой файл в текстовом редакторе, можно увидеть XML-разметку, которую можно редактировать.
Поскольку в основе формата SVG лежит XML, в отличие от JPEG или PNG, он поддерживает JavaScript и HTML.
Благодаря этому дизайнерам удобнее работать с неграфическим контентом: текстом, формулами, интерактивными элементами и т.д.
Однако злоумышленники пользуются этим в своих целях, вставляя в файл с изображением скрипт со ссылкой на фишинговую страницу.
В начале 2025 года исследователи ЛК задетектили фишинговые письма, которые очень напоминали атаки с вложенным HTML, но при этом содержали SVG-файл.
Если открыть код письма, можно увидеть, что вложение относится к типу image.
При этом, открыв файл в текстовом редакторе, становится понятно, что он представляет собой, по сути, HTML-страницу, в которой нет даже упоминания векторной графики.
В браузере такой файл будет выглядеть как HTML-страница со ссылкой якобы на аудиофайл.
При переходе по ссылке пользователь попадает на фишинговую страницу, маскирующуюся под сервис Google Voice.
Аудиодорожка вверху страницы представляет собой некликабельную картинку.
При попытке прослушать сообщение, нажав на кнопку Play Audio, пользователь попадает на фейковую страницу ввода логина и пароля от корпоративной почты.
Эта страница тоже содержит упоминание Google Voice, а также лого атакуемой компании для усыпления бдительности пользователя.
В другом примере, отдаленно напоминающем уведомление от сервиса электронной подписи, злоумышленники выдают SVG-вложение за документ, который необходимо изучить и подписать.
В отличие от первого варианта, где SVG-файл выполнял роль HTML-страницы, в данном кейсе в него вставлен JavaScript, который при попытке открыть файл загружает браузер с фишинговым сайтом, содержащим фальшивую форму авторизации в сервисах Microsoft.
По данным телеметрии ЛК, в марте 2025 года количество рассылок с SVG-вложениями значительно выросло. Всего за первый квартал 2025 года было обнаружено 2825 таких писем.
В апреле тенденция к росту продолжилась: за первую половину месяца мы обнаружили 1324 письма с SVG-вложениями - более двух третей от мартовского показателя.
Несмотря на то, что пока подобные атаки выглядят сравнительно примитивно, использование SVG в качестве контейнера для вредоносного контента может применяться и в более сложных целевых атаках.
Исследователи из Positive Technologies связали активность группы Team46 (замеченную в прошлом году при атаке на российского оператора ж/д-перевозок) с хакерами TaxOff, отслеживая обе в качестве единой группы.
В марте 2025 года Позитивы расследователи атаку, в которой использовалась 0-day для браузера Chrome, атрибутировав инцидент к группировке TaxOff, ранее уже попадавшей в поле зрения.
В атаке использовалось фишинговое письмо со ссылкой, при переходе на которую жертва активировала 1-click exploit (CVE-2025-2783) и устанавливала бэкдор Trinper, которым традиционно орудовала группировка TaxOff.
В ходе исследования этого инцидента им удалось выйти на более раннюю атаку, совершенную в октябре 2024 года, которая начиналась с фишингового письма, по структуре и стилистике до боли похожего на письмо из новой атаки.
По ссылке https[://]mil-by[.]info/#/i?id=[REDACTED] из письма скачивается архив с ярлыком, запускающим powershell.exe с командой, которая ранее также фигурировала в атаках Team46.
Powershell-скрипт, который скачивался после ее выполнения, и скрипт после деобфускации также похожи на скрипты из арсенала Team46.
Для нейминга документа-приманки на компьютере жертвы обе группировки применяли один и тот же паттерн: umawbfez-bkw5-f85a-3idl-3z4ql69v8it0.pdf и 399ha122-tt9d-6f14-s9li-lqw7di42c792.pdf.
В обоих случаях при скачивании файла использовался User-Agent Edge, а при скачивании полезной нагрузки - User‑Agent Яндекс Браузера.
Также в обоих случаях имя компьютера передавалось через параметр query.
Отличалась лишь полезная нагрузка.
Ранее атакующие для ее запуска применяли уязвимость DLL-Hijacking для Яндекс.Браузера (CVE-2024-6473) с подменой библиотеки Wldp.dll.
В новом кейсе использовался системный компонент rdpclip.exe, также уязвимый к DLL-Hijacking, с подменой системной библиотеки winsta.dll.
При этом библиотека winsta.dll представляет собой загрузчик бэкдора Trinper'a группировки TaxOff.
Бэкдор использовал управляющий сервер common-rdp-front.global.ssl.fastly.net.
В аналогичной атаке, зафиксированной в сентябре 2024 года, рассылался архив с ярлыком Ростелеком.pdf.lnk, который также запускал powershell.exe с характерной для Team46 командой.
Документ-приманка в данной атаке включал указание номера телефона в конце страницы, также выполнен в стиле Team46: некорректный, содержащий случайно набранный на клавиатуре набор цифр.
Полезной нагрузкой в данной атаке являлся файл AdobeARM.exe, представляющий собой загрузчик бэкдора из первой известной Позитивам атаки Team46, описанный исследователями из Dr.Web.
Причем ранее ПТ обнаружили этот бэкдор, также имеющий имя AdobeARM.exe, на одной системе с бэкдором Trinper во время одного из инцидентов, а анализ показал, что загрузчик TaxOff функционально идентичен загрузчику Trojan.Siggen27.11306 Team46.
Кроме того, обе группировки использовали синтаксически похожие домены с мимикрией под легитимные сервисы с дефисами в названии: ms‑appdata‑fonts.global.ssl.fastly[.]net (Team46) и fast‑telemetry‑api.global.ssl.fastly[.]net (TaxOff).
По итогу, исследователи заключили, что Team46 и TaxOff являются одной и той же APT-группой, для которой Позитивы теперь выбрали единое наименование - Team46.
Критическая уязвимость в устройствах XPort Lantronix может быть использована для удаленного взлома систем в критически важных секторах, прежде всего энергетической инфраструктуры.
Согласно сообщению CISA, в Lantronix XPort, продукте, который обеспечивает удаленное подключение и управление устройствами, была обнаружена серьезная ошибка, связанная с отсутствием аутентификации.
Уязвимость позволяет злоумышленнику получить несанкционированный доступ к интерфейсу конфигурации устройства.
По данным CISA, XPort используется по всему миру в таких секторах, как производство, транспорт, водоснабжение и энергетика, а также в работе светофоров, промышленноости и систем наблюдения.
По словам исследователя Microsec Сувика Кандара, обнаружившего уязвимость, изученный продукт по большей части имеет широкое распространение в нефтегазовой отрасли.
Исследователь смог идентифицировать более 1400 экземпляров XPort, доступных через Интернет, в том числе более 300, развернутых в нефтегазовой инфраструктуре, в том числе, в системах управления топливом на АЗС.
Он предупредил, что злоумышленник может воспользоваться уязвимостью для получения полного удаленного контроля над целевым устройством, включая его конфигурацию и рабочие параметры.
Хакеры также смогут проникнуть в другие подключенные системы сети и вызвать серьезные проблемы в работе критической инфраструктуры.
Касаемо энергетической отрасли, в частности, заправочных станций, эксплуатация проблемы может повлиять на системы автоматического измерения уровня топлива в резервуарах (ATG), что может привести к сбоям в обслуживании и финансовым потерям.
Учитывая характер развертывания и количество выявленных экземпляров, уязвимость представляет значительную угрозу для кибербезопасности энергетического сектора, особенно систем подачи и распределения газа и ГСМ.
Lantronix был извещен о проблеме, но, судя по сообщениям CISA, так и не выпустил исправление.
Вместо этого поставщик посоветовал клиентам перейти на другой продукт - XPort Edge, который не подвержен уязвимости.
Представители Vx-underground решили потрепать нервишки разрабам Bubble io, платформы для создания функциональных приложений на основе ИИ без необходимости написания кода, угрожая слить 0-day эксплойт для обнаруженной критической баги.
Дело в том, что в 2024 году два исследователя обнаружили критическую уязвимость в решении, о чем незамедлительно уведомили поставщика, однако по какой-то причине отчет остался без внимания.
Впоследствии они даже выступали с докладом по уязвимости, опубликовали PoC и даже написали статью, но и после этого достучаться до поставщика не удалось.
Так что клиентов Bubble, в числе которых Danone, SeaGate, Unity, Shopify, Paramount Pictures, HubSpot, Amazon, PWC, Yamaha, L'Oreal, да и саму компанию, ожидают увлекательные выходные, судя по описанию уязвимости.
Но будем посмотреть.
Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Исследователи Cymulate сообщают о четырех уязвимостях в основном компоненте службы планирования задач Microsoft Windows, которые могут быть использованы локальными злоумышленниками для EoP и очистки журналов с целью сокрытия доказательств вредоносной деятельности.
Проблемы были обнаружены в двоичном файле schtasks.exe, который позволяет администратору создавать, удалять, запрашивать, изменять, запускать и завершать запланированные задачи на локальном или удаленном компьютере.
По сути уязвимость представляет собой обход запроса контроля учетных записей, что позволяет злоумышленнику выполнять команды с высоким уровнем привилегий (SYSTEM) без одобрения пользователя.
Используя эту уязвимость, злоумышленники могут повысить свои привилегии и запустить вредоносные ПО с правами администратора, что приведет к несанкционированному доступу, краже данных или дальнейшей компрометации системы.
По данным Cymulate, проблема возникает, когда злоумышленник создает запланированную задачу с использованием пакетного входа в систему (т.е. пароля) вместо интерактивного токена, в результате чего служба планировщика задач предоставляет запущенному процессу максимально допустимые права.
Однако для того, чтобы эта атака сработала, злоумышленнику необходимо получить пароль другими способами, например, взломав хэш NTLMv2 после аутентификации на сервере SMB или использовав уязвимости, такие как CVE-2023-21726.
Конечный результат этой проблемы приводит к тому, что пользователь с низкими привилегиями может использовать двоичный файл schtasks.exe и выдать себя за члена таких групп, как «Администраторы», «Операторы резервного копирования» и «Пользователи журнала производительности», с известным паролем, чтобы получить максимально допустимые привилегии.
Регистрация запланированной задачи с использованием метода аутентификации Batch Logon с помощью XML-файла также может открыть путь для двух методов обхода защиты, которые позволяют перезаписывать журнал событий, эффективно стирая аудиторские следы предыдущей активности, а также переполнять журналы безопасности.
Как отмечают исследователи, первая обнаруженная уязвимость - это не просто обход UAC: по сути, это способ выдать себя за любого пользователя с его паролем из CLI для получения максимально предоставленных привилегии в сеансе выполнения задачи с флагами /ru и /rp.
В реализации SSH на базе Erlang/Open Telecom Platform (OTP) обнаружена критическая уязвимость, которая позволяет злоумышленнику с сетевым доступом к SSH-серверу выполнить произвольный код без какой-либо аутентификации при определенных условиях.
CVE-2025-32433 присвоен максимальный балл CVSS 10,0.
Проблема возникает из-за неправильной обработки сообщений протокола SSH, которые по сути позволяют злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Успешное использование недостатков может привести к выполнению произвольного кода в контексте демона SSH.
Риск еще больше усугубляется тем, что если процесс-демон запущен с правами root, то это позволяет злоумышленнику получить полный контроль над устройством, что, в свою очередь, открывает путь для неправомерного доступа, манипулирования конфиденциальными данными или DoS.
Все пользователи, использующие SSH-сервер на основе библиотеки Erlang/OTP SSH, вероятно, затронуты CVE-2025-32433.
Рекомендуется обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
В качестве временных обходных путей доступ к уязвимым SSH-серверам можно запретить с помощью соответствующих правил брандмауэра.
Исследователи Qualys описывают уязвимость как чрезвычайно критическую, которая открывает злоумышленнику возможности для установки программ-вымогателей или кражи конфиденциальных данных.
Erlang часто устанавливается в системах высокой доступности из-за его надежной и параллельной поддержки обработки.
Причем большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, используемую в устройствах OT/IoT, периферийных вычислительных устройствах, подвержена эксплуатации.
Обновление до исправленной версии Erlang/OTP или поддерживаемых производителем версий устранит уязвимость.
В качестве мер по смягчению следует ограничить доступ к порту SSH только для авторизованных пользователей.
Исследователи ARMO обнаружили серьезную брешь в системе безопасности среды выполнения Linux, связанную с интерфейсом io_uring, которая позволяет руткитам работать в системах незамеченными, обходя передовое защитное ПО.
Дабы продемонстрировать практичность и осуществимость атак, использующих io_uring для обхода безопасности, исследователи даже разработали экспериментальный руткит под названием Curing.
io_uring - это интерфейс ядра Linux для эффективных асинхронных операций ввода-вывода.
Он был представлен в 2019 году в Linux 5.1 для решения проблем производительности и масштабируемости традиционной системы ввода-вывода.
Вместо того чтобы полагаться на системные вызовы, приводящие к зависаниям процессов, io_uring задействует кольцевые буферы, общие для программ и ядра системы, для постановки в очередь запросов ввода-вывода, которые при этом обрабатываются асинхронно.
По данным ARMO, обнаруженная проблема возникает из-за того, что большинство инструментов безопасности отслеживают подозрительные системные вызовы и перехваты (например, ptrace или seccomp), полностью игнорируя все, что связано с io_ring, что открывает опасную серую зону.
Исследователи объясняют, что io_uring поддерживает широкий спектр операций посредством 61 типа операций, включая чтение/запись файлов, создание и принятие сетевых подключений, порождение процессов, изменение прав доступа к файлам и чтение содержимого каталогов, что делает его мощным вектором руткита.
Риск настолько велик, что Google вовсе отключила эту функцию по умолчанию в Android и ChromeOS, которые используют ядро Linux и наследуют многие из его уязвимостей.
Разработанный ARMO Curing - специализированный руткит, который использует io_uring для извлечения команд с удаленного сервера и выполнения произвольных операций без активации системных вызовов.
Тестирование Curing с использованием нескольких известных средств обеспечения безопасности во время выполнения показало, что большинство из них не смогли обнаружить его активность.
Анализ ARMO доступных в настоящее время инструментов безопасности среды выполнения Linux показал, что и Falco, и Tetragon не видят операций на основе io_uring, поскольку они в значительной степени зависят от перехвата системных вызовов.
Тестируя коммерческие инструменты, ARMO также подтвердила неспособность обнаружить вредоносное ПО на основе io_uring и взаимодействия ядра, которые не включают системные вызовы.
Однако ARMO не поделилась тем, какие коммерческие именно программы они тестировали.
Для желающих самостоятельно протестировать свою среду на предмет этой угрозы, ARMO представила Curing в открытом доступе на GitHub.
Исследователи ARMO полагают, что проблему можно решить с помощью внедрения инструментария безопасности среды выполнения ядра KRSI, который позволяет прикреплять программы eBPF к событиям ядра, связанным с безопасностью.
Ответственные органы бьются за информационную безопасность (иногда друг с другом)
Читать полностью…
Исследователи Лаборатории Касперского сообщают о новой кампании группы Lazarus, получившей название Операция SyncHole и нацеленной с ноября прошлого года на организации в Южной Корее.
В ходе атак задействуется сложная тактика заражения через легитимные сайты (watering hole) и эксплуатации уязвимостей в южнокорейском ПО.
Жертвами Операции SyncHole стали как минимум шесть организаций в сферах IT, разработки, финансов, производства полупроводников и телекоммуникаций в Южной Корее.
Однако на самом деле потенциально пострадать могло гораздо больше компаний.
Оперативно ключевая информация была передана ЛК в Агентство по интернету и кибербезопасности Южной Кореи (KrCERT/CC) для быстрого реагирования, по результатам использованное в кампании ПО было обновлено до версий с устраненными уязвимостями.
В числе других выделенных особенностей Операции SyncHole - использование 0-day в Innorix Agent для горизонтального перемещения, а также новые разновидности вредоносных утилит: ThreatNeedle, загрузчик Agamemnon, wAgent, SIGNBT и COPPERHEDGE с обновленными возможностями.
Первый случай заражения был обнаружен в ноябре прошлого года, когда ЛК зафиксировала одну из разновидностей бэкдораобщают о новой кам- одного из флагманских зловредов группы Lazarus, использованного в атаке на южнокорейского разработчика ПО.
Зловред работал в памяти легитимного процесса SyncHost.exe в качестве подпроцесса Cross EX - легитимного ПО, разработанного в Южной Корее.
Скорее всего, это стало отправной точкой для компрометации еще пяти жертв.
В южнокорейском сегменте для доступа к онлайн-банкингу и государственным сайтам требуется установка специального защитного ПО, обеспечивающего защиту от кейлоггеров и цифровую подпись на основе сертификатов.
Подобные программы для реализации своих возможностей постоянно работают в фоновом режиме для взаимодействия с браузером.
Lazarus же продемонстрировала глубокое понимание этой специфики, разработав стратегию атак на южнокорейские организации, которая основана на сочетании уязвимостей в таком ПО с атаками типа watering hole.
Решение Cross EX обеспечивает работу вышеописанного защитного ПО в различных браузерах и запускается с пользовательскими правами, за исключением первого запуска после установки.
Хотя точный способ доставки вредоносного ПО через Cross EX остался неизвестен, в ЛК предполагают, что в ходе атаки злоумышленникам удалось повысить привилегии, поскольку в большинстве случаев процесс запускался с высоким уровнем целостности.
В самой ранней атаке этой операции группа Lazarus также воспользовалась уязвимостью в другом южнокорейском ПО - Innorix Agent, чтобы обеспечить возможность горизонтального перемещения и установить дополнительное вредоносное ПО на целевые машины.
Более того, для эксплуатации этой уязвимости злоумышленники разработали специализированный зловред, автоматизирующий процессы и повторяемые действия.
Во время анализа поведения вредоносного ПО исследователи обнаружили еще одну 0-day в Innorix Agent, позволяющую загружать произвольные файлы, успев уведомить KrCERT и поставщика, прежде чем ею воспользовались злоумышленники в реальных атаках.
Цепочка заражения активировалась после того, как пользователь атакуемой системы посещал ряд южнокорейских новостных сайтов, на этом этапе компрометация начиналась с бэкдора ThreatNeedle.
В целом, операция протекала в два этапа: в зависимости от используемого вредоносного ПО.
Первый этап включал цепочку выполнения с ПО ThreatNeedle и wAgent.
За ним последовал второй этап, в рамках которого применялись SIGNBT и COPPERHEDGE.
В целом исследователи выделили четыре различные цепочки выполнения вредоносного ПО, которые имели место как минимум в шести пострадавших организациях.
Технические подробности по каждой из них с разбором инструментария и индикаторы компрометации - в отчете.
ASUS выпустила исправление для ошибки AMI, которая позволяет хакерам выводить из строя серверы.
CVE-2024-54085 представляет собой уязвимость максимальной степени серьезности и затрагивает ПО MegaRAC Baseboard Management Controller (BMC) компании American Megatrends International, используемое десятками поставщиками серверного оборудования, включая HPE, ASUS и ASRock.
Как отмечает Eclypsium, локальный или удаленный злоумышленник может воспользоваться уязвимостью, получив доступ к интерфейсам удаленного управления (Redfish) или внутреннему хосту интерфейса BMC (Redfish).
Эксплуатация позволяет злоумышленнику удаленно управлять взломанным сервером, удаленно развертывать вредоносное ПО, вносить изменения в прошивку, выводить из строя компоненты материнской платы (BMC или BIOS/UEFI), наносить потенциальный физический ущерб серверу и осуществлять бесконечные циклы перезагрузки, которые жертва не сможет остановить.
Хотя AMI выпустила бюллетень вместе с исправлениями 11 марта 2025 года, затронутым OEM-производителям потребовалось время для внедрения исправлений в свои продукты.
Так что на днях ASUS объявила о выпуске своих исправлений для CVE-2024-54085 для четырех моделей материнских плат, затронутых этой ошибкой.
Обновления и рекомендуемые версии прошивки BMC, до которых следует обновиться пользователям:
- PRO WS W790E-SAGE SE – версия 1.1.57 (здесь)
- PRO WS W680M-ACE SE – версия 1.1.21 (здесь)
- PRO WS WRX90E-SAGE SE – версия 2.1.28 (здесь)
- Pro WS WRX80E-SAGE SE WIFI – версия 1.34.0 (здесь)
Учитывая серьезность уязвимости и возможность ее удаленной эксплуатации, крайне важно как можно скорее выполнить обновление.
Подробные инструкции по безопасному обновлению прошивки MBC и устранению неполадок - здесь.
Продолжаем отслеживать трендовые уязвимости:
1. Исследователь безопасности Чжовэй Чжан опубликовал PoC для CVE-2024-53104, уязвимости нулевого дня, используемой Cellebrite для разблокировки устройств Android.
Google исправила уязвимость в феврале, а Amnesty International утверждает, что 0-day использовалась сербскими правоохранителями для разблокировки телефонов оппозиции и журналистов.
2. Microsoft выделила более 1,6 млн долларов в качестве призов во время своего первого в истории хакерского конкурса Zero Day Quest.
Исследователи представили более 600 уязвимостей в облачных и ИИ-сервисах Microsoft.
Компания отмечает, что мероприятие Zero Day Quest прошло успешно, и планирует проводить его ежегодно.
3. Varonis разработала PoC-инструмент под названием Cookie-Bite, который использует мошенническое расширение браузера для кражи файлов cookie для Azure Entra и доступа к облачным ресурсам с помощью атаки с перехватом сеанса.
4. WinZIP выкатила исправление для нового обхода Mark-of-the-Web (CVE-2025-33028).
По-видимому, это патч для неполного исправления прошлогоднего обхода MotW (CVE-2024-8811).
5. Tenable обнаружила EoP-уязвимость в Google Cloud Platform (GCP).
Проблема, которую Tenable назвала ConfusedComposer, уже исправлена.
6. Исследователь sharon.brizinov/how-i-made-64k-from-deleted-files-a-bug-bounty-story-c5bd3a6f5f9b">Шарон Бризинов рассказал, как ему удалось заработать более 64 000 долл. в качестве вознаграждения за обнаружение ошибок, охотясь за секретами и токенами в ранее удаленных файлах GitHub.
Соларам удалось дотянуться до инфраструктуры проукраинской хакерской группы Shedding Zmiy, где их ожидала любопытная находка.
На одном из их C2-серверов в открытом доступе оказалась веб-панель, относящаяся к вредоносному ПО Bulldog Backdoor.
Bulldog Backdoor представляет собой кастомный кроссплатформенный имплант, написанный на языке Golang, имеет широкую функциональность, которая позволяет злоумышленникам выполнять различные задачи в инфраструктуре жертвы.
Впервые о ге стало известно как минимум в 2024 году. Данный вредонос уже фигурировал в предыдущих отчетах RT-Solar, посвященных инструментарию Shedding Zmiy (1 и 2), а Positive Technologies делали подробный разбор ранних версий этого ВПО.
Обнаруженная Соларами панель управления представляет собой веб-приложение, написанное на React.js (frontend-часть) и предоставляет операторам интерфейс для взаимодействия с уже развернутыми имплантами, а также содержит функциональность для генерации новых.
Исследователи считают данную панель ключевым элементом инфраструктуры группировки, поскольку она агрегирует собранные в ходе вредоносных кампаний данные, служит интерфейсом управления активными операциями и обеспечивает централизованный контроль над всей сетью зараженных систем.
Среди основных возможностей панели:
- генерация новых имплантов;
- управление активными сессиями, установленными во внутренней инфраструктуре жертвы;
- передача команд развернутым имплантам;
- сбор статистики - количество активных, завершенных и потерянных сессий, а также подробности по каждой из них;
- интерактивная карта инфраструктуры жертвы, обновляющаяся в реальном времени;
- система сущностей с многоуровневой абстракцией;
- автоматизированный перебор паролей, выполняемый на основе уже собранных учётных данных с зараженных хостов;
- возможность создания заметок для целей и связанных с ними хостов.
Солары загрузили весь исходный код frontend-части веб-панели (v0.1.15) и смогли провести более детальный технический анализ ее структуры и механизмов, а также понять подходы Shedding Zmiy к созданию инструмента управления вредоносным ПО.
Все подробности - в отчете.
🐺 От Buhtrap до Watch Wolf.
• На фоне кампаний крупных киберпреступных кластеров, приводящих, например, к масштабным утечкам и шифрованию всех данных в инфраструктуре, часто не видны действия небольших группировок. Про них практически ничего неслышно в инфополе, но их деятельность наносит большой ущерб бизнесу на территории РФ.
• Эксперты BI.ZONE вчера опубликовали новое исследование, где рассказали про одну из самых заметных хакерских группировок, которая прошла путь от небольшого объединения до целого кластера активности.
• Группировка Buhtrap с первых лет активности постоянно дробилась на более мелкие части, исходные коды инструментов утекали, а панели управления выставляли на продажу. С 2014 года под Buhtrap понимались различные группировки, которых объединяли инструменты, способы проведения атак и общая цель — кража денег. К 2023 году Buhtrap переросла в целый кластер активности, которая в конечном итоге получила название Watch Wolf.
• Данное исследование содержит подробное описание жизненного цикла атак, известные кампании, используемые инструменты и методы, которые применялись в ходе атак на малый и средний бизнес в России.
➡ Скачать можно отсюда: https://bi.zone/upload/Buhtrap
S.E. ▪️ infosec.work ▪️ VT
Исследователи Symantec в новом отчете сообщают о новой кампании китайской APT Lotus Panda, нацеленной на ряд компаний в неназванной стране Юго-Восточной Азии в период с августа 2024 года по февраль 2025 года.
Целями атак стали: министерство, организация управления воздушным движением, оператор связи и строительная компания.
Атаки включали использование новых специальных инструментов, включая загрузчики, стилеры и SSH-утилита.
Кроме того, одной из целей атаки выступало информационное агентство, расположенное в другой стране Юго-Восточной Азии, и организация, занимающаяся авиаперевозками, расположенная в другом соседнем государстве.
По оценкам ИБ-подразделения Broadcom, кластер угроз является продолжением кампании, о которой исследователи сообщали еще в декабре 2024 года как о широкомасштабном кластере атак в Юго-Восточной Азии, проводившихся по крайней мере с октября 2023 года.
В свою очередь, в прошлом месяце Cisco Talos связала Lotus Panda с атаками, нацеленными на правительственный, производственный, телекоммуникационный и медийный секторы на Филиппинах, во Вьетнаме, Гонконге и Тайване, с помощью бэкдора, известного как Sagerunex.
Сама Lotus Panda (Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon и Thrip) имеет богатый опыт организации кибератак в отношении правительственных и военных организаций в этом регионе.
Группа действует с 2009 года, но впервые оказалась в центре внимания в июне 2015 года, когда Palo Alto приписала ей кампанию целевого фишинга с использованием уязвимости Microsoft Office (CVE-2012-0158) для распространения бэкдора Elise (Trensil), предназначенного для выполнения команд и операций с файлами.
В последующих атаках APT задействовала уязвимость Microsoft Windows OLE (CVE-2014-6332) с помощью вредоносного вложения в фишинговом письме, нацеливаясь на сотрудников МИД Франции на Тайване, для развертывания еще одного трояна, связанного с Elise, с условным названием Emissary.
В последней волне атак, наблюдаемых Symantec, злоумышленники использовали легитимные исполняемые файлы Trend Micro (tmdbglog.exe) и Bitdefender (bds.exe) для загрузки вредоносных DLL, которые использовались в качестве загрузчиков для расшифровки и запуска полезной нагрузки следующего этапа, встроенной в локально сохраненный файл.
Двоичный файл Bitdefender также использовался для загрузки другой DLL, хотя точная природа файла неясна.
Другим неизвестным аспектом кампании является начальный вектор доступа.
Атаки проложили путь обновленной версии Sagerunex, инструмента, используемого исключительно Lotus Panda.
Он обладает возможностями сбора информации о целевом хосте, ее шифрования и передачи на внешний сервер злоумышленника.
В атаках также задействованы инструмент обратного SSH и два стилера ChromeKatz и CredentialKatz, которые способны перехватывать пароли и файлы cookie, хранящиеся в браузере Google Chrome.
Злоумышленники также разворачивали общедоступный инструмент Zrok, используя функцию совместного использования инструмента для предоставления удаленного доступа к службам, которые были раскрыты внутри.
Помимо этого в атаках применял и другой легитимный инструмент под названием datechanger.exe, который способен изменять временные метки файлов, предположительно, чтобы запутать аналитиков при расследовании инцидента.
Обновленные индикаторы компрометации - в отчете.
Прошло не так много времени с момента раскрытия, а критическая ошибка Erlang/OTP SSH RCE уже обзавелась общедоступными эксплойтами.
Упоминаемая проблема отслеживается как CVE-2025-32433 и позволяет неавторизованным злоумышленникам удаленно выполнять код на уязвимых устройствах.
Исследователи из Рурского университета в Бохуме (Германия) в среду раскрыли ее, предупреждая, что все устройства, на которых запущен этот демон, уязвимы.
Как отмечает OpenWall, проблема вызвана ошибкой в обработке сообщений протокола SSH, которая позволяет злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Она была исправлена в версиях 25.3.2.10 и 26.2.4, но поскольку платформа широко используется в телекоммуникационной инфраструктуре, базах данных и системах высокой доступности, немедленное обновление устройств может оказаться непростой задачей.
Однако ситуация стала еще более серьезной, поскольку исследователи в частном порядке навали массово разрабатывать эксплойты, реализующие удаленное выполнение кода на уязвимых устройствах.
Среди них - Питер Гирнус из Zero Day Initiative и представители Horizon3, которые заявили, что уязвимость оказалась на удивление легко эксплуатируемой.
Вскоре после этого ProDefense опубликовала PoC на GitHub, затем еще один эксплойт был анонимно размещен на Pastebin, и оба быстро распространились через соцсети.
Так что теперь, когда эксплойты пошли в массы, злоумышленники достаточно быстро начнут сканировать уязвимые системы и эксплуатировать их.
Согласно данным Shodan, обнаружено более 600 000 IP-адресов, работающих под управлением Erlang/OTP.
Однако исследователи полагают, что большинство этих устройств работают под управлением CouchDB, который не подвержен уязвимости.
Представитель Apache CouchDB также подтверждает, что в CouchDB не используются функции SSH-сервера или клиента из Erlang/OTP, поэтому опасений по поводу CVE-2025-32433 нет.
Тем не менее, это не приуменьшает значимости угрозы и потенциально объемного числа атак. Будем следить.
Китайская APT-группа совершила ошибку, некорректно настроив на непродолжительное время один из серверов, а в Hunt Intelligence смогли оперативно ей воспользоваться и поглядеть на раскрытый таким образом инструментарии, задействованный в ее атаках.
Исследователи полагают, что сервер, вероятно, управлялся APT, отслеживаемой как RedGolf (которая пересекается с APT41), и был связан с вредоносным ПО KeyPlug.
Работавший менее суток сервер привел к утечке, предположительно, включающей скрипты эксплойтов для брандмауэров и VPN Fortinet, веб-оболочек PHP и скриптов сетевой разведки, нацеленных на крупную японскую компанию.
Как отмечают исследователи, помимо представления об инструментарии, найденные артефакты запечатлели логику работу группы: сканирование, фильтрацию, подготовку и постановку задач, все это отобразилось через рабочие скрипты.
В общем, достаточно редкая возможность увидеть, как APT-шники готовят доступ и задействуют инфраструктуру для проведения «тихой работы» в отрезке между первоначальным входом и реализацией долгосрочных целей.
Подробный разбор - в отчете.
Исследователи из Лаборатории Касперского сообщают об атаках китайской IronHusky на российские и монгольские правительственные учреждения с использованием обновленного RAT MysterySnail.
Новый имплант был найден исследователями в ходе расследования недавних атак, когда злоумышленники развертывали троян с помощью вредоносного скрипта MMC, замаскированного под документ Word, который загружал полезные нагрузки второго этапа и сохранялся на скомпрометированных системах.
Одной из вредоносных полезных нагрузок был неизвестный промежуточный бэкдор, который помогал передавать файлы между серверами С2 и взломанными устройствами, запускать командные оболочки, создавать новые процессы, удалять файлы и многое др.
По данным телеметрии, эти файлы оставляют следы вредоносного ПО MysterySnail RAT, импланта, который ЛК описала еще в 2021 году.
В наблюдаемых случаях заражений MysterySnail RAT был настроен на сохранение на скомпрометированных машинах в качестве службы.
Примечательно, что вскоре после того, как удалось заблокировать недавние вторжения, связанные с MysterySnail RAT, злоумышленники продолжили атаки, задействуя модернизированную и более лайтовую версию, состоящую из одного компонента, - MysteryMonoSnail.
Обновленная вредоносная ПО поддерживает десятки команд, что позволяет злоумышленникам управлять службами на скомпрометированном устройстве, выполнять команды оболочки, запускать и завершать процессы, а также управлять файлами и выполнять другие действия.
Последняя версия бэкдора похожа на оригинальный MysterySnail RAT, который ЛК впервые обнаружила в конце августа 2021 года в ходе широкомасштабных шпионских атак на ИТ-компании, военных подрядчиков и дипучреждения в России и Монголии.
В то время было замечено, что хакерская группа IronHusky развертывала вредоносное ПО на системах, взломанных с помощью 0-day эксплойтов, нацеленных на уязвимость драйвера ядра Windows Win32k (CVE-2021-40449).
При этом китайская APT была впервые обнаружена исследователями в 2017 году при расследовании кампании, нацеленной на российские и монгольские правительственные структуры с конечной целью сбора разведданных о российско-монгольских военных переговорах.
Год спустя ЛК также заметила, что хакеры эксплуатируют уязвимость повреждения памяти Microsoft Office (CVE-2017-11882) для распространения RAT, которые обычно используются китайскими хакерскими группами, включая PoisonIvy и PlugX.
Индикаторы компрометации и дополнительные технические подробности атак IronHusky с использованием MysterySnail RAT - в отчете.
Исследователи Positive Technologies сообщают о новой волне атак APT Cloud Atlas, нацеленных на российские компании в сфере военно-промышленного комплекса.
Выявить их удалось в рамках расследования инцидента на одном из таких предприятий, что позволило своевременно обнаружить начало новой кибератаки, отследить миграцию С2-инфраструктуры и эволюцию вредоносных документов, а также проинформировать потенциальных будущих жертв.
При изучении попавшего в поле зрения документа было установлено, что при его открытии зараженный узел реализует соединение с управляющим центром APT Cloud Atlas officeconfirm.technoguides[.]org, который был идентифицирован в ноябре 2024 года.
Полагаем, что день и время отправки вредоносного документа - пятница, конец рабочего дня - были выбраны группировкой с расчетом на открытие документа невнимательным сотрудником, в спешке.
Вероятно, по замыслу атакующие намеревались комфортного перемещаться в зараженной инфраструктуре между невыключенными компьютерами в течение выходных дней.
Последующий детальный анализ вредоносного файла подтвердил сокрытие в нем информации об управляющей инфраструктуре в потоке 1Table документа Microsoft Office - характерная техника АРТ Cloud Atlas.
В январе 2025 года исследователи обнаружили другой вредоносный документ Microsoft Office, также содержавший информацию об указанном управляющем центре в потоке 1Table.
Он был отправлен в адрес опытно-конструкторского подразделения предприятия ОПК РФ. Целевое предприятие было незамедлительно проинформировано о готовящейся кибератаке.
Однако спустя несколько дней, в конце января 2025 года, внимание Позитивов привлек схожий по адресанту, тематике и структуре документ, отличавшийся управляющим центром, инкапсулированным в поток 1Table документа Microsoft Office, - cyberservice24[.]com.
Сбор и анализ сетевых артефактов, оставленных Cloud Atlas, позволил группе киберразведки установить вредоносную инфраструктуру, на которую мигрировали атакующие для проведения новой волны кибератак.
При исследовании новой инфраструктуры было обнаружено, что на сервере 45.140.169[.]16 на стандартном TCP-порте 993 был активирован протокол IMAP с TLS-сертификатом для домена block-monitor[.]net.
На начальных стадиях новой волны кибератак сервер, вероятно, использовался для рассылки вредоносных электронных писем.
Использование TLS-сертификата обеспечивало шифрование тела сообщений и вложений, что помогало группировке оставаться незамеченной для систем обнаружения и предотвращения вторжений на сетевом периметре атакуемых предприятий.
При этом MX-запись (DNS) для домена block-monitor[.]net отсутствовала, АРТ-группировка не планировала получать ответные письма и вступать в переписку с жертвами.
Наблюдение за вредоносной инфраструктурой позволило в режиме реального времени отследить весь масштаб новой киберактивности Cloud Atlas, вскрыть факты использования электронной почты ранее зараженных предприятий для отправки вредоносных документов Microsoft Office в адрес контрагентов (BEC-атаки).
Обнаруженные артефакты в совокупности указывают на то, что Cloud Atlas для формирования вредоносных файлов использует непубличные характерные для государственного сектора документы Microsoft Office, вероятнее всего, украденные у ранее зараженных предприятий.
Перед использованием в кибератаках из документов удаляются метаданные во избежание раскрытия информации, которая позволит идентифицировать скомпрометированные группировкой учреждения и предприятия.
Рекомендации, индикаторы и MITRE ATT&CK - в отчете.
Исследователи Лаборатории Касперского совместно со специалистами Т-Технологий в ходе расследования киберинцидента обнаружили новый сложный бэкдор, нацеленный на компьютеры, подключенные к сетям ViPNet.
Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.
Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.
Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.
Имя данного файла различается от архива к архиву.
Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.
Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.
Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.
Последние инциденты зафиксированы в апреле 2025 года.
При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.
Исследователи Trend Micro выкатили отчет с разбором активности новой банды вымогателей CrazyHunter, которая проворачивает сложную кампанию, нацеленную на тайваньские организации, в основном в секторах здравоохранения, образования и промышленности.
Как отмечают исследователи, CrazyHunter зарекомендовала себя как серьезную угрозу, способную нарушить функционирование критических секторов.
CrazyHunter полагается на сложные TTPs, в частности задействует метод BYOVD, который позволяет им эффективно обходить меры безопасности.
Почти 80% инструментария банды состоит из инструментов с открытым исходным кодом.
При этом группа значительно расширила свой арсенал, интегрировав такие инструменты с открытым исходным кодом из GitHub, как: Prince Ransomware Builder и ZammoCide, для улучшения своих операционных возможностей.
Группа впервые отметилась в прошлом месяце, запустив свой сайт DLS, где размещено десять жертв - все из Тайваня.
Анализ телеметрии позволил выявить исследователям четкую схему целенаправленных нападений.
Как отмечает Trend Micro, наблюдения показывают, что CrazyHunter модифицируют свободно доступные исходные коды в соответствии со своими конкретными потребностями и значительно расширяют свои возможности.
Исследователи выявили и разобрали в отчете три инструмента с открытым исходным кодом, предоставленных GitHub, каждый из которых служит определенной цели.
Модифицированный вариант инструмента ZammoCide применяется в качестве AV/EDR-убийцы, способного завершать процессы EDR с помощью подхода BYOVD, использующего уязвимый драйвер zam64.sys.
Программа нацелена на определенные жестко закодированные имена процессов, в первую очередь, связанные с продуктами Trend Micro AV и EDR, а также процессы Microsoft Defender и Avira.
Банда также задействует SharpGPOAbuse для эксплуатации объектов групповой политики (GPO).
Используя права редактирования пользователя в GPO, они компрометируют объекты, контролируемые через GPO, и, таким образом, развертывают полезные нагрузки, добиваясь повышения привилегий и обеспечивая горизонтальное перемещение по сети жертвы.
И, наконец, основа атаки - вариант Prince ransomware, заказного вымогателя на основе Go.
Он использует шифрование ChaCha20 и ECIES для надежного шифрования файлов.
Злоумышленники настроили его, добавив расширение ".Hunter" к зашифрованным файлам.
Вымогатель сбрасывает записку с требованием выкупа под названием "Decryption Instructions.txt", изменяет обои рабочего стола жертвы и требует выплатить выкуп.
При этом атакующие не только полагались на инструменты с открытым исходным кодом, но и расширили свой арсенал дополнительным инструментарием и методами исполнения.
Технические подробности и IoCs - в отчете.
Apple выкатила экстренные обновления для исправления двух 0-day, которые использовались в «чрезвычайно сложной атаке» на iPhone ряда узко таргетированных целей.
Проблемы связаны с CoreAudio (CVE-2025-31200) и RPAC (CVE-2025-31201), затрагивая iOS, macOS, tvOS, iPadOS и visionOS.
CVE-2025-31200 была обнаружена Apple и Google Threat Analysis. Ее можно эксплуатировать, обрабатывая аудиопоток во вредоносном медиафайле для удаленного выполнения кода на устройстве.
Компания также исправила CVE-2025-31201, обнаруженную Apple.
Ошибка позволяет злоумышленникам с доступом на чтение или запись обходить Pointer Authentication (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.
Обе уязвимости были исправлены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.
Список затронутых устройств включает как старые, так и новые модели: iPhone XS и более поздние, iPad Pro 13 дюймов, iPad Pro 13,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения и новее, macOS Секвойя, Apple TV HD и Apple TV 4K (все модели), а также Apple Vision Pro.
Несмотря на то, что эти 0-day использовались в целенаправленных атаках, пользователям настоятельно рекомендуется установить их как можно скорее.
Apple традиционно не стала делиться подробностями о том, как именно уязвимости использовались в атаках. Но поглядим еще.
