Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Подкатили подробности куда более серьезного киберинцидента, связанного с халатностью представителей британских спецслужб.
Его уже окрестили самым масштабным в современной истории Соединенного Королевства и засекретили через отдельный судебный акт, который, в свою очередь, тоже засекретили.
Как передает BBC, местное правительство было вынуждено тайно переселить более 20 тысяч афганцев в Великобританию после масштабной утечки данных из Министерства обороны в 2023 году.
На эти цели, по данным The Guardian, за последние два года правительство Великобритании потратило более 2 млрд. фунтов стерлингов.
Как стало известно после частичного снятия судьей Высокого суда ограничения о неразглашении, в результате утечки были раскрыты личные данные более 33 000 афганских граждан, которые оказывали содействие британским войскам во время войны в Афганистане.
В базе данных также содержались личные данные почти 19 000 афганцев, подавших заявки на переселение в Великобританию после того, как Талибан восстановил контроль над страной в 2021 году.
Но помимо этого, были раскрыты личности более сотни сотрудников британской разведки MI-6, военнослужащих засекреченных подразедлений специального назначения SAS и SBS.
Утечка произошла в феврале 2022 года, когда сотрудник штаб-квартиры британских сил специального назначения в Лондоне случайно отправил по электронной почте базу данных за пределы правительственного учреждения.
Затем, каким-то образом 14 августа 2023 года анонимный пользователь на Facebook публикует небольшой отрывок из утекшего объема данных.
Далее уже инициируется особый протокол и втайне от общественности власти локализуют последствия инцидента.
Но судя по представленным фактам, за халатностью сотрудника, вероятно, скрывалась социнженерия и все причитающиеся атрибуты грамотно спланированной кампании, а все сопутствующие случайности вовсе оказались не случайны.
Но будем посмотреть.
Киберподполье не дремлет: сразу после появления общедоступных PoC стартовали первые RCE-атаки на Fortinet FortiWeb.
Предполагается, что несколько экземпляров Fortinet FortiWeb, недавно зараженных веб-шеллами, были скомпрометированы с помощью общедоступных эксплойтов для недавно исправленной RCE-уязвимости, отлеживаемой как CVE-2025-25257.
Детекты словили исследователи The Shadowserver Foundation, зафиксировав 85 заражений 14 июля и 77 на следующий день.
Исследователи сообщили, что замеченные экземпляры Fortinet FortiWeb предположительно, были взломаны благодаря уязвимости CVE-2025-25257.
CVE-2025-25257 - это критическая предварительно аутентифицированная уязвимость RCE через SQL-инъекцию (SQLi), затрагивающая FortiWeb версий 7.6.0-7.6.3, 7.4.0-7.4.7, 7.4.0-7.4.7 и 7.0.0-7.0.10.
Fortinet выпустила исправления 8 июля 2025 года, настоятельно рекомендовав пользователям обновиться до FortiWeb 7.6.4, 7.4.8, 7.2.11 или 7.0.11 и более поздних версий каждой ветки.
11 июля WatchTowr и один из первооткрывателей уязвимости «faulty *ptrrr» выкатили информацию об эксплойтах, которые включали методы внедрения веб-шеллов или открытия обратных шеллов на непропатченных конечных точках.
Эксплуатация включает выполнение SQLi с помощью специально созданных заголовков авторизации в HTTP-запросах, отправляемых на /api/fabric/device/status, что записывает вредоносный файл .pth в «site-packages» Python.
Затем осуществляется удаленный доступ к легитимному CGI-скрипту FortiWeb (/cgi-bin/ml-draw.py), что приводит к выполнению кода во вредоносном файле .pth и обеспечивает удаленное выполнение кода на устройстве.
На тот момент не было никаких свидетельств активной эксплуатации уязвимости, но ситуация быстро изменилась, как мы и предполагали.
Большинство (40) скомпрометированных конечных точек расположены в США, за ними следуют Нидерланды (5), Сингапур (4) и Великобритания (4).
При этом по данным The Shadowserver, 223 интерфейса управления FortiWeb все еще уязвимы, хотя информация о том, какую версию они используют, отсутствует.
Так что продолжаем следить.
🪱 Эволюция безопасности: Code Red.
• 15 июля 2001 года. Утро. Аналитики компании eEye Digital Security допивали очередную порцию газировки Code Red Mountain Dew, когда в лабораторию стали поступать предупреждения о массовом распространении нового компьютерного червя. Не мудрствуя лукаво, парни назвали вредонос в честь своего любимого напитка – "Code Red". Так эта угроза получила свое имя, которое многим жертвам червя запомнилось надолго — буквально за несколько дней Code Red захватил Интернет.
• Но начало этой истории было относительно удачным: распространение интернет-червя Code Red, атакующего системы на базе Windows с установленным веб-сервером Microsoft IIS (Internet Information Services for Windows Server), удалось выявить в самом начале эпидемии. На момент обнаружения специалисты занимались разработкой системы по поиску уязвимостей в Microsoft IIS. Их тестовый сервер неожиданно перестал отвечать на запросы. Вслед за этим последовала бессонная ночь, которую исследователи провели, изучая логи системы в поисках следов заражения.
• Однако относительно раннее обнаружение не особо помогло остановить эпидемию. Зловред использовал уже зараженные системы для дальнейших атак, и буквально за считанные дни распространился по всему миру. Интернет-червь использовал тривиальнейшую уязвимость в одном из модулей веб-сервера, а точнее, расширении для индексации данных. В библиотеке idq.dll
была обнаружена ошибка переполнения буфера. Уязвимость получила идентификатор MS01-33. По современным меркам это простейшая ошибка, которую можно проэксплуатировать, отправив на сервер чрезмерно длинный запрос такого вида:
GET /default.ida?NNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNNN%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u6858%ucbd3%u7801%u9090%u9090%u8190%u00c3%u0003%u8b00%u531b%u53ff%u0078%u0000%u00=a HTTP/1.0
N
интерпретируются как инструкции и выполняются. Вся вредоносная нагрузка содержится непосредственно в запросе, то есть при наличии уязвимой инсталляции Microsoft IIS система заражается моментально и со стопроцентной гарантией. Самым заметным следствием заражения становился дефейс веб-сайта, обслуживаемого веб-сервером. Вместо его содержимого выводилась заглушка (пример).X
” вместо “N
”.12 лет с момента обнаружения критических уязвимостей понадобилось Ассоциации американских железных дорог (AAR), чтобы прекратить использовать небезопасный радиопротокол, который может быть использован для активации тормозов на поездах в любой точке Северной Америки.
Этот радиопротокол связывает локомотив (голову поезда) с устройствами, установленными на последнем вагоне - оконечной сигнализации (ETD), иногда называемое EOT, мигающим задним фонарем (FRED) или датчиком и тормозным устройством (SBU).
Устройство используется для сбора телеметрических данных с задней части поезда, что особенно актуально для длинных грузовых поездов, длина которых часто превышает одну-две мили.
Помимо телеметрии, устройства также могут принимать команды от машинистов, самой важной из которых является торможение задней части поезда.
Еще в 2012 году исследователь Нил Смит пришел к выводу, что радиопротокол, используемый для отправки команд с локомотивов на устройства EoT, использует слабую форму аутентификации - простую контрольную сумму BCH.
Злоумышленник, имеющий дешевое оборудование стоимостью всего 500 долларов и программно-определяемую радиостанцию (SDR), способен создавать пакеты и отдавать команды устройству EoT для внезапного включения тормозов.
Расстояние зависит от усиления и прямой видимости. При этом EOT/HOT в том виде, в котором он разработан, работает лишь на расстоянии нескольких миль, поскольку в некоторых случаях поезда длиной 3 мили - не редкость.
Смит впервые сообщил о проблеме слабой аутентификации в ICS-CERT в 2012 году, после чего организация связалась с разработчиком протокола - Американской ассоциацией железных дорог.
AAR, в свою очередь, годами преуменьшала ее значение, рассматривая её лишь как теоретическую угрозу, даже несмотря на представленные Смитом доказательства обратного. Разрешение на проведение испытаний также не выдавало.
Поскольку AAR отказалась исправлять протокол, Смит публично раскрыл эту проблему в статье на Boston Review, однако неделю спустя AAR выпустила опровержение в Fortune.
По итогу Смит забил на эту ошибку.
Тем временем другой исследователь, Эрик Рейтер, независимо также наткнулся на ту же проблему два года спустя и даже представил ее на конференции DEFCON.
Тогда Смит решил вновь насесть на AAR и настоял на возобновлении кейса летом 2024 года.
На этот раз ситуация изменилась.
Проблема получила идентификатор CVE-2025-1727, и на прошлой неделе CISA даже выдала официальное предупреждение, спустя 12 лет после первоначального обнаружения.
Рекомендация появилась через два месяца после того, как сама AAR объявила о планах заменить устаревший протокол HoT/EoT на протокол IEEE 802.16t Direct Peer-to-Peer (DPP), который поддерживает как безопасность, так и реализует меньшую задержку.
Теперь железнодорожникам предстоит заменить более 75 000 устройств EoT на поездах по всей территории США, Канады и Мексики.
Внедрение запланировано на 2026 год, а на полную модернизацию составов потребуется около 5–7 лет и от 7 до 10 миллиардов долл.
Этим, собственно, и объясняются все старания AAR приуменьшить значимость проблемы, несмотря на очевидные выводы двух независимых исследований.
Теперь же после раскрытия технических деталей риски и вероятность эксплуатации CVE-2025-1727 значительно возросли.
Особенно, если учитывать, что подобные атаки уже совершались. При этом смягчающих мер практически не существует.
По данным WIRED, в августе 2023, неизвестные злоумышленники использовали аналогичный метод (адаптированный под европейский протокол), парализовав движение поездов в районе города Щецин.
Популярный плагин для WordPress Gravity Forms подвергся атаке, предположительно, на цепочку поставок, о чем предупреждают исследователи PatchStack.
Gravity Forms - это премиум-плагин для создания контактных, платёжных и других онлайн-форм.
Согласно статистике разработчика, плагин работает на миллионе с лишним сайтов, некоторые из которых принадлежат таким известным компаниям, как Airbnb, Nike, ESPN, Unicef, Google и Yale.
Исследователи PatchStack задетектили подозрительные запросы, генерируемые плагинами, загруженными с сайта Gravity Forms.
После проверки смогли идентифицировать вредоносный файл (gravityforms/common.php), загруженный с сайта разработчика.
Более детальное изучение показало, что файл инициировал POST-запрос к подозрительному домену gravityapi.org/sites.
При дальнейшем анализе исследователи увидели, что плагин собирает обширные метаданные сайта, включая URL-адрес, путь администратора, тему, плагины и версии PHP/WordPress, и передает их злоумышленникам.
Ответ сервера содержит вредоносное PHP-программное обеспечение в кодировке base64, которое сохраняется как wp-includes/bookmark-canonical.php.
Вредоносное ПО маскируется под инструменты управления контентом WordPress, которые позволяют удаленно выполнять код без необходимости аутентификации с помощью таких функций, как handle_posts(), handle_media(), handle_widgets().
Все эти функции можно вызвать из __construct -> init_content_management -> handle_requests -> process_request.
По сути, их может вызвать неаутентифицированный пользователь.
Как отмечает PatchStack, из всех функций он выполнит вызов eval с введенными пользователем данными, что приведет к удаленному выполнению кода на сервере.
Домены, задействованные в кампании, были зарегистрированы 8 июля.
RocketGenius, разработчик Gravity Forms, была проинформирована о проблеме.
Компания подтвердила, что вредоносное ПО затрагивает ручные загрузки и установку плагина с помощью Composer.
Patchstack рекомендует всем, кто скачал Gravity Forms начиная со вчерашнего дня, переустановить плагин, установив чистую версию.
Администраторам также следует проверить свои сайты на наличие вредоносного ПО.
RocketGenius также опубликовала результаты собственного расследования инцидента, подтверждающие, что скомпрометированы версии Gravity Forms 2.9.11.1 и 2.9.12, доступные для ручной загрузки в период с 10 по 11 июля.
Служба Gravity API, которая управляет лицензированием, автоматическими обновлениями и установкой дополнений, инициированных из плагина Gravity Forms, не подверглась взлому.
Все обновления пакетов, управляемые через эту службу, остаются в безопасности.
RocketGenius утверждает, что вредоносный код блокировал попытки обновления, связывался с внешним сервером для загрузки дополнительных данных и добавлял учетную запись администратора, которая открывала злоумышленнику полный контроль над веб-сайтом.
Разработчик также представил методы проверки возможного заражения путем перехода по определенным ссылкам на своих веб-сайтах.
Для критической уязвимости SQLi в Fortinet FortiWeb стали доступны PoC, которые могут быть задействованы для RCE с предварительной аутентификацией на уязвимых серверах.
Уязвимость имеет оценку CVSS 9,8/10 и отслеживается как CVE-2025-25257.
Fortinet исправила её на прошлой неделе в версиях FortiWeb 7.6.4, 7.4.8, 7.2.11 и 7.0.11 (и более поздних).
Согласно бюллетеню Fortinet, неправильная нейтрализация специальных элементов, используемых в SQL-уязвимости в FortiWeb позволяет неаутентифицированному злоумышленнику выполнить несанкционированный SQL-код или команды с помощью специально созданных HTTP- или HTTPs-запросов.
Уязвимость была обнаружена Кентаро Каване из GMO Cybersecurity, который ранее также раскрыл уязвимость статического жестко запрограммированного пароля в Cisco ISE в прошлом месяце.
В свою очередь, исследователи WatchTowr совместно с исследователем false *ptrrr представили технические подробности и PoC, которые реализуют обратные оболочки или веб-шелл [1 и 2 соответственно].
При этом, как отмечается, уязвимость затрагивает Fabric Connector от FortiWeb - программное обеспечение, которое синхронизирует данные аутентификации и политики между продуктами Fortinet.
Ошибка кроется в get_fabric_user_by_token() функции, которая использует следующий код для выполнения запроса MySQL: snprintf(s, 0x400u, "select id from fabric_user.user_table where token='%s'", a1);
Этот код не обеспечивает надлежащую очистку токена-носителя, отправляемого в заголовках HTTP-запросов, что позволяет злоумышленникам внедрять пользовательский SQL-код в заголовок для реализации SQLi.
Злоумышленники могут активировать уязвимость через HTTP-запросы к конечной точке /api/fabric/device/status, внедрив SQL в заголовок Authorization (например, Bearer AAAAAA'or'1'='1), что позволяет злоумышленникам обходить проверки аутентификации.
Исследователи смогли расширить SQL-инъекцию до уровня удалённого выполнения кода, выполнив запрос MySQL SELECT … INTO OUTFILE через уязвимость SQLi для создания произвольных файлов на устройстве.
Это позволило им записать файл Python .pth в каталог site‑packages.
Поскольку файлы .pth автоматически загружаются и запускаются при выполнении Python, исследователи нашли скрипт FortiWeb CGI Python ( /cgi-bin/ml‑draw.py), который можно использовать для запуска вредоносного кода в файле .pth и достижения RCE.
Поскольку эксплойты теперь общедоступны, администраторам настоятельно рекомендуется накатить исправления, дабы предотвратить взлом серверов.
На данный момент нет никаких признаков того, что уязвимость активно эксплуатируется, но в ближайшем будущем ситуация, вероятно, изменится.
Но будем посмотреть.
📚 Искусство тестирования на проникновение в сеть.
• По ссылке ниже можно найти руководство по моделированию недостатков внутренней безопасности компании. В роли злоумышленника Вы пройдете все этапы профессионального пентеста, от сбора информации до захвата полного контроля над сетью. Подбирая пароли, обнаруживая открытые порты и повышая права доступа до уровня администратора, вы сможете усвоить, в чем заключаются сетевые уязвимости и как ими воспользоваться.
☁️ Руководство можно скачать бесплатно в нашем облаке.
S.E. ▪️ infosec.work ▪️ VT
Исследователи JFrog обнаружили критическую CVE-2025-6514 в проекте mcp-remote с открытым исходным кодом, которая может привести к выполнению произвольных команд операционной системы и имеет оценку CVSS 9,6 из 10,0.
Уязвимость позволяет злоумышленникам инициировать выполнение произвольной команды ОС на машине, на которой работает mcp-remote, когда она инициирует соединение с ненадежным сервером MCP, что создает риск полной компрометации системы.
Mcp-remote появился после выпуска Anthropic протокола контекста модели (MCP), фреймворка с открытым исходным кодом, который стандартизирует способ, посредством которого приложения на основе LLM интегрируют и обмениваются данными с внешними источниками данных и службами.
Он действует как локальный прокси-сервер, позволяя клиентам MCP, таким как Claude Desktop, взаимодействовать с удалёнными серверами MCP, а не запускать их локально на том же компьютере, что и приложение LLM. Пакет был скачан более 437 000 раз.
Уязвимость затрагивает все версии mcp-remote от 0.0.5 до 0.1.15, и была устранена в 0.1.16, выпущенной 17 июня 2025 года.
Как отмечают исследователи, ранее вышедшие исследования хоть и описывали риски, связанные с подключением клиентов MCP к вредоносным серверам, но это первый случай, когда в реальном сценарии на клиентской ОС достигается полное удаленное выполнение кода.
Недостаток связан с тем, как вредоносный сервер MCP, подконтрольный злоумышленнику, позволяет внедрить команду на этапе первоначального установления связи и авторизации, которая при обработке mcp-remote приводит к ее выполнению в базовой ОС.
Если эта проблема приводит к выполнению произвольных команд ОС в Windows с полным контролем параметров, в системах macOS и Linux - к выполнению произвольных исполняемых файлов с ограниченным контролем параметров.
Чтобы снизить риск, связанный с уязвимостью, пользователям рекомендуется обновить библиотеку до последней версии и подключаться только к доверенным серверам MCP, используя безопасные методы соединения, такие как HTTPS.
В противном случае уязвимости, подобные CVE-2025-6514, вероятно, приведут к захвату клиентов MCP в постоянно растущей экосистеме MCP.
Пока один уходят, возвращаются другие.
RansomedVC вновь объявилась после двухлетнего отсутствия и не с пустыми руками. Она раскрыла закрытую переписку Medusa, утверждая, что один из её администраторов исчез и, вероятно, был арестован.
По мнению RansomedVC, Medusa либо пытается соскамиться, либо была разоблачена силовиками. Аналитик Ракеш Кришнан опубликовал анализ утечки.
Кроме того, на горизонте нарисовались также новые игроки - Devman RaaS и D4Rk4Rmy. Последняя уже выкатила восемь жертв на своем DLS.
Впервые появившаяся в 2020 проиранская Pay2Key вновь вернулась в сеть с новой платформой RaaS. По данным Morphisec, с момента перезапуска в феврале этого года банда успела заработать более 4 миллионов долларов с 51 транша в качестве выкупов.
Примечательной особенностью последней версии Pay2Key.I2P является то, что это первая известная RaaS-платформа, размещенная на Invisible Internet Project (I2P). Кроме того, хакеры практикуют высокие выплаты операторам (до 80%).
Продолжая тему июльского PatchTuesday, хотелось бы отметить, что наступил он не у всех.
Впервые за шесть лет Google пришла к своим пользователям с пустыми руками: в этом месяце обновлений безопасности Android не будет.
Так что, лучше поглядим, что там у других поставщиков по части уязвимостей и исправлений:
1. Исследователи General Analysis обнаружили проблему на серверах Supabase MCP, которая может использоваться для утечки таблиц базы данных SQL.
Атака является результатом сочетания двух недостатков проектирования: чрезмерного привилегированного доступа к базе данных (service_role) и излишнего доверия к контенту, предоставленному пользователем.
2. Установки по умолчанию SailPoint IQService задействуют жёстко запрограммированный ключ шифрования, который позволяет удалённым злоумышленникам запускать вредоносный код в контексте служб SailPoint IAM.
По данным NetSPI, ключ шифрования хранится в одном из DLL-файлов.
SailPoint выпустила обновления, чтобы защитить свой сервис от возможных эксплойтов после майских обновлений безопасности.
При этом для ошибки доступен PoC.
3. Исследователи Silverfort обнаружили новую DoS-уязвимость в протоколе Netlogon от Microsoft.
CVE-2025-47978 получила название NOTLogon и позволяет любому компьютеру, подключенному к домену, с минимальными привилегиями отправлять специально созданный запрос аутентификации, который приводит к сбою контроллера домена и полной перезагрузке.
4. Группа учёных опубликовала подробности в отношении новой атаки на TLS-соединения, которая была названа Опоссум и может использоваться с позиций MitM для фиксации сеанса, запутывания ресурсов, XSS или утечки файлов cookie.
Исследователи утверждают, что атака очень надёжна, но необходимые условия выполняются крайне редко.
5. Исследовательская лаборатория Security Explorations польской AG Security Research провела широкий анализ eSIM и eUICC и обнаружила уязвимости, которые можно эксплуатировать для клонирования eSIM жертвы и контроля за ее мобильными коммуникациями.
Стоит отметить, что проект Security Explorations был сосредоточен на продуктах Kigen, чипы eUICC/eSIM от ряда других поставщиков могут быть уязвимы для аналогичных атак, поскольку основная проблема связана с серией уязвимостей, обнаруженных в Java Card от Oracle.
6. Обновления безопасности, выпущенные для Ivanti Connect Secure (ICS) и Policy Secure (IPS), Endpoint Manager Mobile (EPMM) и Endpoint Manager (EPM), устраняют в общей сложности 11 ошибок, для эксплуатации которых требуется аутентификация.
Традиционно в своем сообщении компания сообщает, что у нее нет никаких доказательств того, что какие-либо из этих уязвимостей эксплуатируются в реальных условиях.
Но, как мы знаем, обычно клиенты Ivanti читают в обратно порядке.
7. Fortinet опубликовала восемь рекомендаций, в которых подробно описаны одна критическая, одна высокой, пять средней и одна низкой степени уязвимости, затрагивающие FortiAnalyzer, FortiIsolator, FortiManager, FortiOS, FortiProxy, FortiSandbox, FortiSASE, FortiVoice и FortiWeb.
Критическая CVE-2025-25257 (CVSS 9,6) связана с SQL-инъекцией в FortiWeb и может быть эксплуатирована посредством специально созданных HTTP/HTTPS-запросов для выполнения неавторизованного SQL-кода или команд.
Для успешной эксплуатации аутентификация не требуется.
Fortinet не упоминает о каких-либо эксплуатациях недавно устраненных уязвимостей.
8. Наиболее важные из 12 рекомендаций, опубликованных Splunk, устраняют критические и высокосерьёзные уязвимости в Splunk SOAR, Enterprise и DB Connect.
Большинство из них - это ошибки прошлого года, несколько CVE 2022 и 2023, а также одна проблема - от 2013 года.
Ведущие поставщики промышленных решений Siemens, Schneider Electric и Phoenix Contact выкатили рекомендации по безопасности ICS в рамках PatchTuesday за июль 2025 года.
Siemens выпустила девять новых рекомендаций, а также отдельный бюллетень по безопасности с отражением мер по защите своих промышленных систем в условиях растущих угроз на ландшафте ОТ.
В предупреждении упоминается текущая геополитическая ситуация и недавнее предупреждение правительства США о прогнозируемом росте числа атак со стороны Ирана.
Промышленный гигант также предупредил своих клиентов, что устройства Sentron Powermanager и Desigo CC не подвержены недавно обнаруженной RCE-уязвимости в Apache Tomcat.
Siemens устранила две критические и одну уязвимость высокой степени серьёзности в Sinec NMS. Все они могли привести к повышению привилегий и выполнению кода.
Высокосерьезные проблемы также былы обнаружены в инфраструктуре TIA Administrator (EoP и RCE), Sicam Toolbox II (MitM), Solid Edge (DoS или RCE), Ruggedcom ROS (MitM и несанкционированный доступ) и Simatic CN 4100 (DoS).
Проблемы средней степени серьёзности были устранены в продуктах Siemens выпустила девять новых рекомендаций, а Они могут привести к раскрытию конфиденциальной информации и DoS.
Schneider Electric опубликовала четыре новых бюллетеня, в одном из которых описаны ряд критических и высокосерьёзных уязвимостей, затрагивающих EcoStruxure IT Data Center Expert.
Ошибки могут быть использованы для удалённого выполнения кода без аутентификации, получения пароля root, удалённого выполнения команд и повышения привилегий.
В другом бюллетене описывается проблема раскрытия данных вций, а также отдельный бюллетень по безопасности с отражеВ двух других бюллетенях описывается влияние дефектов сторонних компонентов на EcoStruxure Power Operation и устаревшие промышленные ПК.
Phoenix Contact также представила четыре новых бюллетеня.
Два из них посвящены критическим уязвимостям в прошивке PLCnext, позволяющие злоумышленникам перезагружать ПЛК, получать доступ к файлам и выполнять их, вызывать DoS и выполнять другие действия.
Большинство проблем затрагивают компоненты сторонних производителей. Аналогичные информационные бюллетени также опубликованы VDE CERT.
Два других предупреждения Phoenix Contact затрагивают уязвимости в контроллерах зарядки электромобилей Charx, включая критические.
Они могут быть использованы для получения доступа к чтению/записи, вызова DoS и EoP.
Свои рекомендации отметили ABB (обход аутентификации RMC-100, уязвимости раскрытия информации) и Mitsubishi Electric (DoS в Melsec и выполнение кода в Melsoft).
Исследователи PCA Cyber Security обнаружили критические уязвимости в широко используемом стеке Bluetooth BlueSDK, которые позволяют реализовать RCE в автомобильных системах и использоваться для удаленного взлома миллионов автомобилей.
В общем же анализ фреймворка BlueSDK Bluetooth, разработанного OpenSynergy, позволил выявить проблемы, которые также позволяют обходить механизмы безопасности и приводят к утечке информации.
Они продемонстрировали возможность объединения их в так называемую атаку PerfektBlue для удалённого взлома информационно-развлекательной системы автомобиля.
Успешная атака откроет злоумышленнику возможность отслеживать местоположение автомобиля, записывать звук из салона и получать данные телефонной книги.
Кроме того, он также сможет проникнуть в другие системы и потенциально получить контроль над рулевым управлением, звуковым сигналам и работе стеклоочистителей.
Взлом PerfektBlue был апробирован на последних моделях информационно-развлекательных систем, поставляемых в Mercedes-Benz, Skoda и Volkswagen, а также на решениях, произведенных другим, неназванным OEM-производителем, который лишь недавно узнал о результатах проверки.
BlueSDK присутствует в миллионах устройств помимо автомобилильных систем, включая мобильные телефоны и другие портативные гаджеты, производимые десятками крупных технологических компаний.
Для проведения атаки хакеру необходимо находиться в зоне действия устройства и иметь возможность подключить свой ноутбук к целевой информационно-развлекательной системе по Bluetooth.
В некоторых случаях подключение возможно без взаимодействия с пользователем, в других - требуется подтверждение пользователя, а иногда и вовсе невозможно.
Как отмечают в PCA Cyber Security, по сути, для того, чтобы PerfektBlue был реализован злоумышленником по беспроводной связи, достаточно одного щелчка мыши со стороны пользователя.
Подробности уязвимостей PerfektBlue были раскрыты OpenSynergy еще в мае 2024 года и получили идентификаторы CVE: CVE-2024-45434, CVE-2024-45431, CVE-2024-45432 и CVE-2024-45433.
Исправления были разработаны и распространены среди клиентов, начиная с сентября 2024 года, несмотря на это, исследователи PCA Cyber Security не стали торопиться и выкатили отчет лишь недавно, дождавшись широкого распространения исправлений.
Пройдя успешную обкатку, схема легализации разведданых по типу TopSec и iSoon превращается в конвейер.
Подкатила очередная порция сливов про «всемогущую империю китайского кибершпионажа», по всей видимости, инициированная теми исполнителями при погонах.
На этот раз через DarkForums были легализованы две партии различных материалов, анализ которых приводят представители SpyCloud.
Первая партия посвящалась компании VenusTech, которая является крупным китайским поставщиком решений для информационной безопасности, ориентированным на госсектор.
Вторая якобы разоблачает ряд компаний, стоящих за атаками APT Salt Typhoon, и их государственных заказчиках.
Примечательно, что оба поста были опубликованы через вновь зарегистрированные аккаунты, которые, по-видимому, именно для этого и предназначались.
Формат и подача материалов реализованы так, чтобы четко был понятен источник их происхождения - объект 1 и объект 2.
Судя по результатам анализа материалов, на этот раз разведка отработала не так четко: представленные образцы, связанные с этими утечками, оказались далеко не так глубоки и обширны, как это было в случае с iSoon или TopSec.
Впрочем, для дальнейшей уже официальной копипасты в отчеты и расследования достаточно.
Microsoft анонсировала июльский PatchTuesday, который включает обновления безопасности для 137 уязвимостей, включая одну публично раскрытую 0-day.
В общей сложности исправлено 14 критических уязвимостей, 10 из которых представляют собой RCE-уязвимости, 1 - уязвимость раскрытия информации и 2 - атак по сторонним каналам AMD.
Общее распределение по категориям представлено следующим образом: 53 - уязвимости EoP, 8 - обхода функций безопасности, 41 - RCE, 18 - раскрытия информации, 6 - DoS, 4 - спуфинга.
В их число не вошли 4 проблемы Mariner и 3 проблемы в Microsoft Edge.
Публично раскрытая 0-day затрагивает Microsoft SQL Server и отслеживается как CVE-2025-49719. Она связана с раскрытием информации и позволяет удаленному неаутентифицированному злоумышленнику получить доступ к данным из неинициализированной памяти.
Неправильная проверка входных данных в SQL Server позволяет неавторизованному злоумышленнику раскрыть информацию по сети.
Администраторы могут устранить эту уязвимость, установив последнюю версию Microsoft SQL Server и драйвер Microsoft OLE DB 18 или 19.
Microsoft приписывает обнаружение этой уязвимости Владимиру Алексичу и не приводит подробностей ее раскрытия.
Microsoft также исправила многочисленные критические RCE-уязвимости в Microsoft Office, которые можно было использовать, просто открыв специально созданный документ или просматривая его через панель предварительного просмотра.
При этом, как отмечает Microsoft, обновления безопасности для устранения этих уязвимостей пока недоступны для Microsoft Office LTSC для Mac 2021 и 2024, но будут выпущены в ближайшее время.
Компания также исправила еще одну критическую RCE-уязвимость в Microsoft SharePoint, идентифицированную как VE-2025-49704, которую можно эксплуатировать удаленно, если у пользователя есть учетная запись на платформе.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
На прошлой неделе в Милане (Италия) был арестован гражданин Китая, которого местные спецслужбы подозревают в связях с APT Silk Typhoon, ответственной за кибератаки на американские организации и правительственные учреждения.
По данным итальянского издания ANSA, 33-летний Сюй Цзэвэй был арестован в миланском аэропорту Мальпенса 3 июля после прибытия рейсом из Китая.
Итальянская полиция действовала согласно международному ордеру, выданному правительством США.
ANSA поясняет, что Сюй выдвинули обвинения в связях с китайской Silk Typhoon, также известной как Hafnium, которая причастна к широкому спектру кибератак против США и других стран в целях кибершпионажа.
В частности, итальянские СМИ освещают связь Сюй с кибератаками Silk Typhoon 2020 года, жертвами которых стали исследователи в области инфекционных заболеваний и из числа организации здравоохранения, а главной целью - кража данных о вакцинах для COVID.
Тогда ФБР и CISA США выпустили совместное консультативное заключение по этому поводу, предупреждая об угрозах исследованиям, связанным с COVID-19.
Хакерская группа также была связана с более поздними кампаниями по кибершпионажу, в том числе в отношении Управления по контролю за иностранными активами (OFAC) Министерства финансов США и Комитета по иностранным инвестициям.
В марте Microsoft сообщала об атаках Silk Typhoon на цепочки поставок с помощью инструментов удаленного управления и облачных сервисов, получая таким образом доступ к сетям нижестоящих клиентов.
Возвращаясь к Сюй Цзэвэй, его поместили в тюрьмю Бусто-Арсицио в рамках начала иницииации процедуры экстрадиции в США, где он должен будет предстать перед судом после всестороннего уголовного расследования.
Будем следить.
Исследователи Google отслеживают вредоносную кампанию, нацеленную на устройства удалённого доступа Secure Mobile Access (SMA) SonicWall с использованием бэкдора и руткита пользовательского режима.
Злоумышленник, отслеживаемый Google как UNC6148, действует как минимум с октября 2024 года, а задействуемых арсенал реализует кражу данные, вымогательство и развертывание ransomware.
При этом окончательно понять мотивацию исследователям так и не удалось.
Исследователи Google идентифицировали ограниченное число пострадавших организаций, но при этом не смогли определить первоначальный вектор атаки.
Согласно расследованию Google Mandiant, скомпрометированные устройства SonicWall были полностью пропатчены.
Однако исследователи не считают, что для первоначального доступа была использована 0-day SonicWall SMA 100.
Они полагают, что злоумышленники ранее воспользовались одной из нескольких известных уязвимостей, чтобы получить учетные данные локального администратора, которые впоследствии можно было бы использовать для доступа к устройствам.
В числе таких, позволяющих получить учетные данные администратора целевого устройства SMA, могли оказаться CVE-2025-32819, CVE-2024-38475, CVE-2021-20035, CVE-2021-20038 и CVE-2021-20039.
Как известно, все они эксплуатировались.
Используя полученные учетные данные, злоумышленники установили сеанс SSL-VPN на целевом устройстве SMA и создали обратный шелл.
Причем доступ к оболочке изначально в принципе был невозможен на этих устройствах. Исследователи Mandiant и SonicWall (PSIRT) поломали голову над этим, но понять как UNC6148 установил этот обратный шелл, так и не смогли.
Возможно, использовалась неизвестная ошибка.
Проведя разведку скомпрометированной системы, злоумышленники запустили ранее неизвестную вредоносную программу, получившую название Overstep.
Вредоносное ПО описывается как устойчивый бэкдор и руткит пользовательского режима, способный скрытно изменять процесс загрузки скомпрометированного устройства для обеспечения его устойчивости. Обеспечивает кражу учётных данных, токенов сеансов и одноразовых паролей.
Установить точный характер действий злоумышленников на взломанных устройствах также не удалось в виду того, что атакующие подчистили и замели все следы своего присутствия, опустошив соответствующие файлы журналов.
Несмотря на отсутствие четких доказательств возможной монзтизации доступа к взломанным устройствам SonicWall, исследователи все же нащупали некоторые связи с World Leaks (преемник банды вымогателей Hunters International), а также с Abyss.
В своем отчете Google поделилась индикаторами компрометации (IoC) и правилами обнаружения для блокировки потенциальных атак UNC6148.
Google выпустила обновления для Chrome с исправлениями полдюжины уязвимостей, одна из которых активно использовалась злоумышленниками для обхода защиты «песочницы» браузера.
CVE-2025-6558 получила оценку CVSS 8,8 и была обнаружена исследователями группы анализа угроз Google TAG 23 июня.
Проблема описывается как недостаточная проверка ненадёжных входных данных в ANGLE и GPU и затрагивает все версии Google Chrome до 138.0.7204.157.
Злоумышленник, успешно эксплуатирующий ошибку, может совершить побег из песочницы, используя специально созданную HTML-страницу.
Компонент Chrome Sandbox - это основной механизм безопасности, который изолирует процессы браузера от базовой ОС, тем самым предотвращая распространение вредоносного ПО за пределы веб-браузера и нанесение ущерба устройству.
В свою очередь, ANGLE (Almost Native Graphics Layer Engine) - это абстрактный графический слой с открытым исходным кодом, используемый Chrome для преобразования вызовов API OpenGL ES в Direct3D, Metal, Vulkan и OpenGL.
Поскольку ANGLE обрабатывает команды GPU из ненадежных источников, таких как веб-сайты, использующие WebGL, ошибки в этом компоненте могут иметь критические последствия для безопасности.
Уязвимость позволяет удалённому злоумышленнику, используя специально созданную HTML-страницу, выполнить произвольный код в графическом процессоре браузера. Google как обычно не раскрыла технических подробностей.
Учитывая высокий риск и активный статус эксплуатации CVE-2025-6558, пользователям Chrome рекомендуется как можно скорее обновиться до версии 138.0.7204.157/.158.
Текущее обновление Chrome также включает исправления для пяти уязвимостей, в том числе серьёзной уязвимости в движке V8 (CVE-2025-7656) и проблемы использования памяти после освобождения в WebRTC (CVE-2025-7657).
Ни одна из них активно не эксплуатируется. Во всяком случае пока.
Исследователи EclecticIQ сообщают о задействовании новой RaaS под названием GLOBAL GROUP передовых ИИ-технологий для реализации своих кампании, нацеленных на широкий спектр компаний в Австралии, Бразилии, Европе и США.
С момента своего появления в начале июня 2025 года GLOBAL GROUP продвигалась на форуме Ramp4u злоумышленником, известным как $$$, который ранее был причастен к управлению Mamona и BlackLock RaaS.
Последняя - это ребрендинг Eldorado.
Предполагается, что GLOBAL GROUP - это ребрендинг BlackLock после того, как сайт утечки данных последнего был взломан картелем вымогателей DragonForce.
Группа активно использует IAB для распространения программы-вымогателя, используя доступ к уязвимым периферийным устройствам Cisco, Fortinet и Palo Alto Networks.
Также применяются утилиты для подбора паролей к порталам Microsoft Outlook и RDWeb.
Передача работ по проникновению на аутсорсинг другим акторам, специализирующихся на реализации скомпрометированных точек входа в корпоративные сети, позволяет операторам фокусировать свои усилия на доставку полезной нагрузки, вымогательство и переговоры.
Платформа RaaS включает в себя портал переговоров и панель партнёров, которая позволяет киберпреступникам управлять жертвами, создавать вредоносные программы-вымогатели для VMware ESXi, NAS, BSD и Windows, а также отслеживать операции.
Стремясь привлечь больше операторов, владельцы RaaS обещают выплаты гонораров до 85%.
Но примечательно то, что GLOBAL GROUP для проведения переговоров о выкупе использует автоматизированную систему, работающую на основе чат-ботов с ИИ, что позволяет не говорящим по-английски операторам эффективнее взаимодействовать с жертвами.
По состоянию на 14 июля 2025 года банда заявила о 17 жертвах в Австралии, Бразилии, Европе и США из здравоохранения, производства нефтегазового оборудования, машиностроения, автоиндустрии и аутсорсинга бизнес-процессов (BPO).
Взаимосвязь BlackLock и Mamona обусловлена использованием одного и того же российского VPS-провайдера IpServer и сходством исходного кода с Mamona.
В частности, GLOBAL GROUP считается усовершенствованной версией Mamona с дополнительными функциями, позволяющими устанавливать программы-вымогатели на весь домен.
Более того, вредоносная программа, как и BlackLock, написана на языке Go.
Как отмечают в EclecticIQ, GLOBAL GROUP - это результат продуманной стратегии владельцев RaaS-бизнеса, нацеленной на расширение рентабельности и обеспечение конкурентоспособности.
Новый бренд предлагает рынку ransomware такие киллер-фичи, как ведение переговоров на основе ИИ, мобильные панели и настраиваемые конструкторы полезной нагрузки.
Посетил вчера мероприятие «Граунд Солянка», где специалисты «Лаборатории Касперского», MWS AI (МТС) и X5 рассказывали про свой опыт взаимодействия с ИИ.
❤️Формат, подача, содержание и сами спикеры — 🫶ТОП.
С удовольствием послушал про 🤖RAG и 🖥ИИ-агентов.
Скучать слушателям 😅не давали)
Организаторам отдельное спасибо! Получилось классно!
Соглашусь с @CyberSachok: «Таких форматов в Москве, кажется, почти нет.»
--------------------------
📖Взял себе на заметку цифры из нового исследования «Лаборатории Касперского» и MWS AI. Примечательно, что только 24% пользователей ИИ на работе беспокоятся о конфиденциальности данных.
Компания MWS AI (входит в МТС Web Services) провела исследование и узнала, как россияне применяют инструменты генеративного искусственного интеллекта в работе, какие задачи решают с их помощью и с какими трудностями сталкиваются.
📊 Ответы 1600 представителей крупного, среднего и малого бизнеса помогли составить карту сценариев использования инструментов GenAI. Вместе с «Лабораторией Касперского» специалисты также напомнили о ключевых правилах цифровой безопасности при работе с ИИ.
🟢Ключевые выводы:
1️⃣ Российские пользователи преимущественно применяют генеративный ИИ на работе для решения креативных задач (67% сценариев) нежели рутинных (33% сценариев).
2️⃣ Дизайнеры и разработчики являются самыми активными пользователями инструментов на базе GenAI – регулярно их применяют 69% и 72% представителей этих профессий соответственно.
3️⃣ Галлюцинации и трудности при формулировании промптов – главная сложность при использовании ИИ.
4️⃣ Беспокойство специалистов по 💻кибербезопасности вызывает тот факт, что только 24% респондентов — постоянных пользователей ИИ-систем — указали, что ограничивают их применение на работе из-за опасений, связанных с безопасностью и конфиденциальностью данных. При этом в рабочих процессах сейчас преобладают публичные, а не корпоративные ИИ-решения.
5️⃣ Лишь 7% пользуются корпоративными GenAI-системами, в то время как большинство обращается к общедоступным продуктам в формате BYOAI (bring your own AI).
6️⃣ 65% специалистов из числа тех, кто не использует GenAI в работе, указали в качестве главной причины отказа от технологии уверенность в собственных знаниях.
«Применяя нейросети в работе, всегда важно помнить о 🛡цифровой безопасности: не стоит делиться с ИИ-решениями конфиденциальными данными, важно критически относиться к интерпретации ответов больших языковых моделей, использовать официальные приложения и сервисы, а также защищать аккаунты в них надежными паролями и двухфакторной аутентификацией».
Исследователи из Лаборатории Касперского рассказали о результатах своего расследования инцидента, жертвой которого стал блокчейн-разработчик из России.
Как оказалось, фейковое расширение для редактора кода Cursor AI IDE заражало устройства инструментами удаленного доступа и инфостилерами, что в случае с упомянутым разрабом привело к краже у него криптовалюты на 500 000 долл.
Cursor AI IDE представляет собой среду разработки с ИИ, основанную на Visual Studio Code от Microsoft.
Она включает поддержку Open VSX, альтернативы Visual Studio Marketplace, что позволяет устанавливать совместимые с VSCode расширения для расширения функциональности ПО.
Примечателоьно, что ОС жертвы была установлена всего за несколько дней до инцидента. На зараженное устройство были загружены лишь самые необходимые и популярные программы.
Но, как сообщается, не было установлено антивирусное ПО, использовались бесплатные онлайн-сервисы.
Получив образ жесткого диска устройства и, проанализировав его, исследователи ЛК обнаружили вредоносный JavaScript-файл с именем extension.js, расположенный в каталоге .cursor/extensions.
Расширение получило название Solidity Language и было опубликовано в реестре Open VSX. Заявлено, что это инструмент подсветки синтаксиса для работы со смарт-контрактами Ethereum.
Несмотря на то, что плагин выдавал себя за легитимное расширение подсветки синтаксиса Solidity, на самом деле выполнял скрипт PowerShell с удаленного хоста angelic[.]su для загрузки дополнительных вредоносных полезных данных.
Удаленный скрипт PowerShell проверял, установлен ли уже ScreenConnect, и, если нет, запускал другой скрипт для его установки.
После этого злоумышленники получили полный удалённый доступ к компьютеру разработчика.
Используя ScreenConnect, загрузили и выполнили файлы VBScript, которые использовались для загрузки дополнительных полезных данных на устройство.
Последний скрипт атаки загружал вредоносный исполняемый файл с archive[.]org, содержащий загрузчик, известный как VMDetector, который устанавливал: Quasar RAT (способный выполнять команды на устройствах) и стиллер PureLogs (крадет учетные данные и файлы cookie аутентификации из веб-браузеров, а также данные криптокошельков).
По данным Лаборатории Касперского, Open VSX показал, что расширение было загружено 54 000 раз, прежде чем оно было удалено 2 июля.
Однако исследователи полагают, что число установок было искусственно завышено, чтобы придать ему видимость легитимности.
Днем позже злоумышленники опубликовали практически идентичную версию под названием solidity, увеличив количество установок этого расширения почти до двух миллионов.
Злоумышленники смогли повысить рейтинг своего расширения выше легитимного в результатах поиска Open VSX, обойдя алгоритм и резко завысив количество установок, что и побудило жертву установить вредоносное расширение, приняв его за легитимное.
Исследователи также обнаружили схожие расширения в магазине Microsoft Visual Studio Code под под названиями solaibot, among-eth и blankebesxstnion, которые также запускали скрипт PowerShell для установки ScreenConnect и инфостилеров.
Таким образом, в ЛК настоятельно рекомендуют разработчикам с осторожностью загружать пакеты и расширения из открытых репозиториев, которые в последнее время все чаще становятся источниками заражения вредоносным ПО.
Вредоносные opensource-пакеты продолжают представлять серьёзную угрозу для криптоиндустрии и до сих пор остаются для злоумышленников привлекательным способом заработка, ведь ногие проекты сегодня полагаются на инструменты с открытым исходным кодом.
Исследователи Binarly предупреждают об уязвимостях [1, 2, 3, 4], затрагивающих несколько реализаций прошивки Gigabyte, которые позволяют злоумышленникам отключать механизмы безопасности UEFI и получать контроль над уязвимыми системами.
Проблемы были обнаружены в режиме управления системой (SMM) - высокопривилегированном режиме ЦП, который обрабатывает низкоуровневые системные операции, позволяя UEFI напрямую взаимодействовать с оборудованием.
Операции SMM выполняются в защищенной памяти и доступны только через обработчики прерываний системного управления (SMI), которые используют определенные буферы для обработки данных.
Как отмечают в CERT (CERT/CC) Университета Карнеги-Меллона, ненадлежащая проверка этих буферов открывает злоумышленникам возможности выполнить произвольный код до загрузки ОС, а модули UEFI в прошивке Gigabyte делают системы уязвимыми для таких атак.
Злоумышленник может воспользоваться одной или несколькими из уязвимостей для повышения привилегий и выполнения произвольного кода в среде SMM процессора с поддержкой UEFI.
Первоначально проблемы были обнаружены в прошивке AMI, и производитель ранее устранил их с помощью конфиденциальных сообщений.
Однако теперь они вновь обнаружены в прошивке Gigabyte, и, как сообщается, затрагивают десятки продуктов.
CVE-2025-7026, CVE-2025-7027, CVE-2025-7028 и CVE-2025-7029 позволяют записывать данные в указанную злоумышленником память, записывать произвольное содержимое в SMRAM и управлять критически важными операциями флэш-памяти.
Злоумышленник с локальными или удаленными правами администратора может воспользоваться этими уязвимостями для выполнения произвольного кода в режиме управления системой (кольцо 2), обходя защиту на уровне ОС.
Успешная эксплуатация позволит отключить механизмы безопасности UEFI, включая безопасную загрузку, и внедрить бэкдоры или импланты прошивки, получив постоянный контроль над системой.
Такие импланты не будут обнаружены традиционными средствами защиты конечных точек, поскольку SMM работает на более низком уровне, чем ОС.
Как полагают исследователи Binarly, уязвимости также могут быть использованы для обхода некоторых типов изоляции памяти гипервизоров.
Gigabyte признала наличие уязвимостей месяц назад и выпустила обновления прошивки для устранения проблем.
Пользователям следует мониторить обновления на сайте безопасности производителя.
Исследователи Trellix сообщают о новых атаках связанной с Индией APT DoNot Team (APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 и Viceroy Tiger), нацеленных на структуры МИД Европы с помощью вредоносного ПО под названием LoptikMod с целью кибершпионажа.
DoNot APT действует с 2016 года и известна использованием вредоносного ПО для Windows, в том числе бэкдоров, таких как YTY и GEdit, которые часто распространяются через фишинговые письма или вредоносные документы.
Группа обычно таргетируется на государственные структуры, министерства иностранных дел, оборонные организации и НПО, преимущественно в Южной Азии и Европе.
Цепочка атак начинается с фишинговых писем, цель которых - заставить получателей нажать на ссылку Google Drive для загрузки RAR-архива, открывая путь для развертывания LoptikMod, которое использовалось группировкой с 2018 года.
По данным Trellix, для рассылки сообщении задействуются с адреса Gmail, мимикрирующие под должностных лиц министерства обороны, а в теме письма упоминается визит итальянского военного атташе в Дакку, Бангладеш.
Для повышения легитимности особое внимание уделяется к деталям: в одном из писем применялось форматирование HTML с кодировкой UTF-8 для правильного отображения специальных символов, таких как «é» в слове «Attaché».
Архив RAR, распространяемый по электронной почте, содержит вредоносный исполняемый файл, имитирующий PDF-документ, открытие которого приводит к запуску трояна удаленного доступа LoptikMod.
Закрепление на хосте реализуется с помощью запланированных задач.
Он подключается к удаленному серверу для отправки системной информации, получения дополнительных команд, загрузки модулей и кражи данных.
LoptikMod также использует обфускацию ASCII-кода, затрудняя выполнение в виртуальных средах и обеспечивая уклонение от анализа, что значительно осложняет определение назначения инструмента.
Более того, злоумышленник обеспечивает работу в скомпрометированной системе лишь одного экземпляра вредоносного ПО.
На момент исследования Trellix сервер C2, использовавшийся в этой кампании, был неактивен, в связи с чем изучить точный набор передаваемых команд на зараженные конечные точки и возвращаемых в качестве ответов данных не представилось возможным.
По всей видимости, инфраструктура либо временно отключена, либо злоумышленник переехал на совершенно иной сервер.
Тем не менее, APT-операции DoNot характеризуются долгосрочным доступом и кражей данных, а основная активность сфокусирована на Южной Азии, включая Пакистан, Шри-Ланка и Бангладеш.
Новый инцидент затрагивает теперь Европу, что свидетельствует о явном расширении их развединтересов на европейском направлении.
Хотя как отмечают в Trellix, DoNot APT в единичных случая нападал на европейцев: в 2016 году их жертвами становились ряд британских компаний и телеком-оператор в Норвегии.
Однако по результатам нового расследования можно констатировать эскалацию угрозы, о чем свидетельствует первое задокументированное использование LoptikMod в отношении европейского госсектора.
Как полагают исследователи, APT реализует переход от конъюнктурных атак к полноформатному сбору дипломатической информации, что указывает на расширение их оперативных возможностей и соответственно разведзадач со стороны кураторов.
Но будем посмотреть.
Группа исследователей из Университета Торонто реализовали практическую демонстрацию GPUHammer - атаку Rowhammer на графические процессоры, которая приводит к снижению точности моделей машинного обучения, доказав возможность и осуществимость подобных атак.
Метод атаки Rowhammer известен уже более десяти лет.
Он заключается в многократном доступе (или «ударе») к строке памяти DRAM, что может вызвать электрические помехи, приводящие к инвертированию битов в соседних областях.
За прошедшие годы исследователи продемонстрировали, что атаки Rowhammer могут привести к повышению привилегий, несанкционированному доступу к данным, повреждению данных и нарушению изоляции памяти (в виртуализированных средах).
Однако до сих пор атаки Rowhammer были сосредоточены на центральных процессорах и памяти на их основе.
Однако исследователи из Университета Торонто решили проверить, можно ли проводить подобные атаки в отношении графических процессоров, особенно в свете их растущего использования в системах ИИ и машинного обучения.
По итогу им удалось успешно реализовать атаку Rowhammer на память GDDR6 в графическом процессоре NVIDIA A6000.
Они смогли оценить влияние GPUHammer на модели машинного обучения на основе глубоких нейронных сетей (DNN), в частности, на модели ImageNet, используемых для распознавания визуальных объектов.
Тесты показали, что изменение одного бита может привести к снижению точности модели машинного обучения с 80% до 0,1%.
В опубликованном бюллетене Nvidia подтвердила результаты исследования и сообщила клиентам, что системный код коррекции ошибок (ECC) - известный способ защиты от Rowhammer - может предотвратить атаки.
Производитель графических процессоров поделился конкретными инструкциями для различных продуктов.
Однако исследователи отмечают, что включение ECC снижает роизводительность и объем памяти.
Кроме того, исследователи заявили, что их PoC потенциально можно модифицировать и под другие графические процессоры на базе архитектуры Ampere от Nvidia.
Правда тесты на других графических процессорах, как утверждают исследователи, в отличие от центральных, где модули DRAM можно легко заменить, в графических процессорах они впаяны, что делает подобные тесты весьма накладными.
Исследователи разработали специализированный сайт для GPUHammer и представили статью с изложением всех своих выводов.
Исследователи Huntress предупреждают начале масштабной эксплуатации недавно обнаруженной критической уязвимости, затрагивающей FTP-сервер Wing.
Уязвимость отслеживается как CVE-2025-47812 и получила максимальную оценку CVSS: 10,0.
Ошибка связана с некорректной обработкой нулевых байтов ('\0') в веб-интерфейсе сервера, что реализует RCE. Устранена в версии 7.4.4.
Веб-интерфейсы пользователя и администратора неправильно обрабатывают байты '\0', что в конечном итоге позволяет внедрять произвольный код Lua в файлы сеансов пользователя, что может привести к выполнению произвольных системных команд с привилегиями FTP-сервиса (по умолчанию root или SYSTEM).
Ещё более тревожным является тот факт, что уязвимость можно эксплуатировать через анонимные FTP-аккаунты.
Подробный технический анализ уязвимости был опубликован в конце июня 2025 года исследователем RCE Security Джулиену Аренсу.
В свою очередь, исследователи Huntress обнаружили, что злоумышленники задействуют уязвимость для загрузки и выполнения вредоносных файлов Lua, проведения разведки и установки ПО для удаленного мониторинга и управления.
Поскольку CVE-2025-47812 связана с обработкой нулевых байтов в параметре имени пользователя (в частности, в loginok.html, отвечающим за аутентификацию), это позволяет удалённым злоумышленникам выполнить Lua-инъекцию после использования нулевого байта в параметре имени пользователя.
Воспользовавшись внедрением нулевого байта, злоумышленник нарушает ожидаемый ввод в файле Lua, в котором хранятся эти характеристики сеанса.
Артефакты активной эксплуатации были впервые обнаружены у одного из клиентов 1 июля 2025 года, всего через день после раскрытия подробностей об эксплойте.
Получив доступ, злоумышленники выполнили команды сканирования и разведки, создали новых пользователей для обеспечения персистентности и загрузили файлы Lua для установки ScreenConnect.
Атаку удалось оперативно вскрыть и нейтрализовать, избежав её дальнейшего развития.
Кто стоит за этой активностью пока неясно.
По данным Censys, в сети присутствует почти 8103 общедоступных устройств, использующих Wing FTP Server, из которых 5004 имеют открытый веб-интерфейс.
Большинство устройств расположены в США, Китае, Германии, Великобритании и Индии.
В связи с активной эксплуатацией уязвимости пользователям необходимо как можно скорее установить последние исправления и обновить свои FTP-серверы Wing до версии 7.4.4 или более поздней.
🤫 Секреты...
• Два месяца назад GitHub опубликовали интересный отчет о выявленных утечках конфиденциальных данных (ключи шифрования, пароли к СУБД и токены доступа к API) за 2024 год. В общем итоге было выявлено более 39 миллионов случаев подобных утечек.
• Как правило, конфиденциальные данные оставляют в коде по недосмотру. Например, в репозиторий попадают файлы конфигурации с паролями к СУБД, а также прописанные в коде токены или ключи доступа к API, которые часто добавляют в процессе тестирования, но забывают удалить перед сохранением изменений в Git или не учитывают, что они могут остаться в сопутствующих файлах с ресурсами (например, могут остаться в предкомпилированном файле с байткодом, несмотря на удаление в исходном коде).
➡ https://github.blog/next-evolution-github-advanced-security
• Напомню, что на эту тему есть хорошая статья на хабре, где автор восстанавливал удаленные файлы в GitHub репозиториях, находил недостижимые объекты, распаковывал .pack
- файлы и находил API-ключи, активные токены и учетки. А когда он сообщил компаниям об утечках, заработал более $64 тыс. на баг-баунти.
➡️ https://habr.com/ru/post/916752
• В дополнение: grep.app и code-search — инструменты, которые предназначены для поиска по тексту и коду, с удобным интерфейсом для поиска в публичных репо. Эти тулзы будут полезны не только разработчикам, но и помогут в защите от утечек данных! Основные возможности следующие:
➡Поиск по публичным репозиториям;
➡Поддержка регулярных выражений;
➡Фильтрация по языкам программирования;
➡Поиск с учетом регистра;
➡Оптимизация для быстрого поиска.
➡ https://grep.app
➡ https://github.com/features/code-search
S.E. ▪️ infosec.work ▪️ VT
Подошли новости об уходе с рынка ransomware банды вымогателей Satanlock, которая заявила об этом на своем DLS, обещая раскрыть украденные данные всех своих жертв.
Причину закрытия группировка не назвала. Satanlock стартовала в начале апреля, за время работы ей удалось наработать более 70 жертв, по крайней мере, так заявлялось самими хакерами.
Команда исследователей из Технического университета Вены и Университета Байройта (Филипп Бир, Марко Скварчина, Себастьян Рот, Мартина Линдорфер) разработала новый метод tapjacking, который будет представлен на предстоящем симпозиуме USENIX.
В отличие от традиционного тапджекинга с использованием оверлея, атаки TapTrap задействуют анимацию пользовательского интерфейса для обхода системы разрешений Android, получения доступа к конфиденциальным данным или инициирования определенных действий.
TapTrap злоупотребляет способом обработки переходов активности Android с помощью специальных анимаций, создавая визуальное несоответствие между тем, что видит пользователь, и тем, что фактически регистрирует устройство.
Вредоносное приложение, установленное на целевом устройстве, запускает конфиденциальный системный экран (запрос на разрешение, системные настройки и т.д.) из другого приложения, используя startActivity() с пользовательской анимацией с низкой непрозрачностью.
Ключом к эффективности TapTrap является использование анимации, которая делает целевую активность практически невидимой.
Этого можно добиться, определив пользовательскую анимацию с начальной и конечной непрозрачностью (альфа), установленной на низкое значение, например 0,01, что делает вредоносную или опасную активность почти полностью прозрачной.
При желании можно применить анимацию масштабирования для увеличения масштаба определенного элемента пользовательского интерфейса (например, кнопки разрешения), чтобы он занимал весь экран и увеличивал вероятность того, что пользователь нажмет на него.
Несмотря на то, что запущенное приглашение получает все сенсорные события, пользователь видит только базовое приложение, отображающее собственные элементы пользовательского интерфейса, поскольку поверх него прозрачный экран, с которым он фактически взаимодействует.
Думая, что он взаимодействует с приложением, пользователь может нажимать на определенные позиции на экране, которые соответствуют определенным действиям, например, на кнопки «разрешить» или «авторизовать» на почти невидимых подсказках.
Исследователи проанализировали около 100 000 приложений из Play Store и обнаружили, что 76% из них уязвимы для TapTrap.
При этом в Android 15 анимация включена (пока пользователь не отключит ее в параметрах разработчика или настройках специальных возможностей), что делает устройства уязвимыми для атак TapTrap.
Тесты, проведенные исследователями, оказали, что в Android 16 проблема также остается нерешенной.
Разработчики GrapheneOS подтверждают, что последняя версия Android 16 уязвима для TapTrap, и заверили об исправлении проблемы в следующем выпуске.
Аналогичное заявление сделали представители Google.
Решения Ruckus Wireless Virtual SmartZone (vSZ) и Network Director (RND) подвержены многочисленным уязвимостям, которые могут позволить злоумышленникам скомпрометировать управляемые среды, оставаясь при этом неисправленными до настоящего времени.
Ruckus Wireless (Ruckus Networks) реализует широкую линейку сетевых устройств и программного обеспечения для операторов мобильной связи, поставщиков услуг широкополосного доступа и корпоративного сектора.
Программное обеспечение для управления vSZ поддерживает управление крупными сетями - до 10 000 точек доступа Ruckus, - а RND позволяет управлять несколькими кластерами vSZ.
Обеспокоенность высказали представители CERT Университета Карнеги-Меллона (CERT/CC) в своих недавних рекомендациях, обращая внимание на 9 недостатков, обнаруженных Claroty Team82, которые приводят к обходу аутентификации, произвольному чтению файлов и RCE.
Приложение vSZ содержит несколько жёстко запрограммированных данных, включая ключ подписи JWT и ключи API, что позволяет злоумышленникам получить доступ к устройству с высокими привилегиями. Проблема отслеживается как CVE-2025-44957.
Используя заголовки HTTP и действительный ключ API, можно логически обойти методы аутентификации, предоставив доступ на уровне администратора любому, кто это сделает.
Другая ошибка в vSZ, CVE-2025-44962, позволяет аутентифицированным пользователям перемещаться по путям каталогов и считывать конфиденциальные файлы.
Кроме того, vSZ хранит открытые и закрытые ключи RSA по умолчанию для встроенного пользователя с привилегиями root в каталоге SSH пользователя (CVE-2025-44954), предоставляя любому, кто знает ключи, права root через SSH, приводя к неаутентифицированному RCE.
Две другие RCE-уязвимости в vSZ обусловлены отсутствием очистки контролируемого пользователем параметра в маршруте API (CVE-2025-44960) и предоставленного пользователем IP в качестве аргумента, который может быть командой вместо адреса (CVE-2025-44961).
В свою очередь, RND также использует жёстко запрограммированные данные, включая токен JWT, для внутреннего веб-сервера, что позволяет злоумышленникам создавать действительный JWT, обходить аутентификацию и получать доступ с правами администратора (CVE-2025-4496).
Кроме того, RND содержит встроенный джейлбрейк, поддерживающий настройку устройства без доступа к командной оболочке базовой ОС. Жёстко запрограммированный пароль, отслеживаемый как CVE-2025-44955, обеспечивает доступ к серверу с правами root.
Платформа RND также имеет жестко запрограммированные ключи SSH (CVE-2025-6243) для встроенной учетной записи «sshuser», которая имеет привилегии root и использует жестко запрограммированный слабый секретный ключ (CVE-2025-44958) для шифрования паролей, возвращая при этом пароли в виде открытого текста.
Влияние всех этих уязвимостей варьируется от утечки информации до полного нарушения безопасности беспроводной среды, управляемой уязвимыми продуктами.
При этом ряд уязвимостей могут быть объединены в цепочку, позволяя злоумышленнику комбинировать атаки для обхода различных средств защиты.
По данным CERT/CC, попытки связаться с Ruckus Wireless или головной компанией Commscope остались без ответа, а исправлений для этих уязвимостей пока нет.
Пользователям следует ограничить доступ к уязвимым продуктам.
Более миллиона пользователей установили расширения для браузеров, которые фактически превращают их в прокси-серверы для ботнета, который задействуется для сбора данных в Интернете.
Все они включают библиотеку Mellowtel, которая ожидает перехода пользователей в состояние неактивности, отключает средства защиты страницы, а затем грузит удалённый сайт в скрытый iframe. После этого сайт отправляется на удалённый URL для анализа.
Исследователи SecureAnnex обнаружили библиотеку Mellowtel в 245 расширениях для Chrome, Edge и Firefox.
Некоторые разработчики начали удалять Mellowtel из своего кода после того, как разработчики браузеров приступили к исправлению проблемы.
Тем не менее на данный момент лишь 12 из 45 расширений Chrome удалили Mellowtel, 8 из 129 в Edge и 2 из 69 в Firefox.
Mellowtel обрела популярность, продвигая свой продукт среди разработчиков и предлагая монетизацию расширений путем продажи «неиспользованной пропускной способности» пользователей.
SecureAnnex также обнаружила связи между Mellowtel и Olostep - онлайн-сервисом, рекламирующим «рентабельный API для веб-скрапинга», который позволяет избегать обнаружения ботами и распараллеливать до 100 000 запросов.
Джон Такнер, основатель SecureAnnex, полагает, что библиотека служит бэкэндом для Olostep, позволяя компании направлять часть веб-скрапинга через расширения Mellowtel.
Исследователи полагают, что подобная практика в ряде случаев противоречит законам (когда пользователи должным образом не были проинформированы), но в любом случае потенциальная «передача» своего браузера в чужие руки - не есть хорошая идея.
Во-первых, Mellowtel удаляет заголовки безопасности с сайтов, на которых загружает скрытый iframe, чтобы обеспечить веб-скрейпинг.
Во-вторых, Mellowtel может легко запускать вредоносный код внутри Интранет-порталов и других корпоративных приложений, открывая компании (посредством утраты контроля над браузерами своих пользователей) для непредвиденных атак.
И, наконец, неясно, кому Olostep или команда Mellowtel будут реализуют свои услуги и как будет использоваться библиотека в будущем.
Возможно, сегодня - это парсинг страниц, а на завтра - запуском фишинга.
Grafana выпустила обновления для устранения четырех уязвимостей высокой степени серьезности в библиотеке Chromium, используемой в плагине Grafana Image Renderer и Synthetic Monitoring Agent.
Наиболее важной из этих проблем является CVE-2025-6554 - путаница типов в движке JavaScript V8 браузера Chrome, которая может быть использована удаленно для выполнения произвольных операций чтения/записи.
Проблема использовалась в качестве 0-day и в Google на прошлой неделе официально также подтверждали существование эксплойта для CVE-2025-6554. Устранена в Chrome 138.0.7204.96/.97 для Windows, 138.0.7204.92/.93 для macOS и 138.0.7204.96 для Linux.
Grafana также выпустила исправления для CVE-2025-5959 - ошибки путаницы типов в движке V8, которая может позволить удаленным злоумышленникам выполнять произвольный код в «песочнице» с помощью специально созданных HTML-страниц.
Google устранила проблему в версиях Chrome 137.0.7151.103/.104 для Windows и macOS, 137.0.7151.103 для Linux.
Кроме того, плагин Image Renderer и Synthetic Monitoring Agent получили исправления для CVE-2025-6191, дефекта целочисленного переполнения в движке Chrome V8, и CVE-2025-6192, ошибки использования после освобождения памяти в компоненте браузера Profiler.
Ошибки были устранены в версиях Chrome 137.0.7151.119/.120 для Windows и macOS, 137.0.7151.119 для Linux.
Она позволяют удаленным злоумышленникам потенциально выполнять доступ к памяти за пределами выделенного пространства и эксплуатировать повреждение кучи соответственно.
По данным Grafana, эти уязвимости затрагивают версии Grafana Image Renderer до 3.12.9 и Synthetic Monitoring Agent до 0.38.3, пользователям следует как можно скорее обновиться до исправленных версий.
Пользователям, которые используют плагин Grafana Image Renderer или имеют локальную установку Synthetic Monitoring Agent, рекомендуется обновить свои системы. При этом облачные развертывания были автоматически обновлены.