true_secator | Unsorted

Telegram-канал true_secator - SecAtor

39807

Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com

Subscribe to a channel

SecAtor

Ресерчеры из Лаборатории Касперского провели анализ последней волны Mirai, нацеленных на устройства TBK DVR с уязвимостью CVE-2024-3721.

Злоупотребление известными уязвимостями безопасности для развертывания ботов на уязвимых системах является широко признанной проблемой.

Автоматизированные боты постоянно сканят сеть на предмет известных уязвимостей на серверах и устройствах, подключенных к Интернету, особенно на тех, на которых запущены популярные сервисы.

Они реализуют RCE-эксплойты, нацеленные на HTTP-сервисы, что позволяет злоумышленникам встраивать команды Linux в запросы GET или POST, как в случае с использованием CVE-2024-3721 в попытках развернуть бот в одном из honeypot ЛК.

Уязвимость позволяет выполнять системные команды на устройствах TBK DVR без надлежащей авторизации в качестве точки входа, используя определенный запрос POST.

Запрос POST содержит вредоносную команду, представляющую собой однострочный скрипт оболочки, который загружает и запускает двоичный файл ARM32 на взломанной машине.

Обычно заражение ботами включает в себя скрипты оболочки, которые изначально исследуют целевую машину, чтобы определить ее архитектуру и выбрать соответствующий двоичный файл.

Однако в этом случае, поскольку атака специально нацелена на устройства, которые поддерживают только двоичные файлы ARM32, этап разведки не требуется.

Замеченный вариант оказался частью ботнета Mirai, нацеленного на системы мониторинга на базе DVR, которые широко используются многими производителями и могут управляться удаленно.

Исходный код ботнета Mirai был опубликован в Интернете почти десять лет назад, с тех пор модифицировался различными киберпреступными группами.

DVR-бот также основан на исходном коде Mirai, но также включает в себя различные функции, такие как шифрование строк с использованием RC4, проверки против VM и методы антиэмуляции.

Согласно телеметрии ЛК, большинство зараженных жертв находятся в таких странах, как Китай, Индия, Египет, Украина, Россия, Турция и Бразилия.

Вместе с тем, определить точное количество уязвимых и зараженных устройств во всем мире пока не представляется возможным.

Однако, проанализировав общедоступные источники, ресерчеры выявили более 50 000 уязвимых устройств DVR в сети, что указывает на то, что у злоумышленников есть широкое возможностей для атак неисправленных, уязвимых устройств.

Индикаторы компрометации и разбор обновленного функционала ботнета - в отчете.

Читать полностью…

SecAtor

Хакеры приступили к эксплуатации CVE-2025-49113 - критической уязвимости в широко используемом приложении веб-почты Roundcube с открытым исходным кодом, которая позволяет выполнять удаленные действия.

Roundcube
- одно из самых популярных решений, продукт включен в предложения известных хостинг-провайдеров, таких как GoDaddy, Hostinger, Dreamhost или OVH.

Проблема безопасности присутствует в Roundcube уже более десятилетия и затрагивает версии Roundcube webmail 1.1.0 по 1.6.10. Она получила исправление 1 июня, о чем ранее мы уже сообщали.

CVE-2025-49113 реализует RCE после аутентификации и получила критическую оценку серьезности 9,9 из 10, а теперь описывается как «электронный армагеддон», о чем сообщили в FearsOff, опубликовавшие технические подробности до окончания срока раскрытия информации.

Учитывая активную эксплуатацию и продажу эксплойта, исследователи решили все же выкатить полный технический анализ в интересах сообщества специалистов по ИБ , но пока без полной PoC.

Суть проблемы безопасности - отсутствие очистки параметра $_GET['_from'], что приводит к десериализации PHP-объекта. Когда восклицательный знак инициирует имя переменной сеанса, сеанс становится поврежденным и становится возможным внедрение объекта.

Злоумышленникам потребовалось всего несколько дней, чтобы отреверсить исправления, разработать эксплойт, который уже реализуется в киберподполье. Для его использования требуется работающий логин.

Однако необходимость ввода учетных данных для входа в систему не представляет сложности: селлер утверждает, что может извлечь его из журналов или взломать брутом.

В FearsOff также утверждают, что комбинацию учетных данных можно также получить с помощью подделки межсайтовых запросов (CSRF).

Исследователи также представили видео с демонстрацией того, как уязвимость может быть использована. При этом в демонстрации используется идентификатор уязвимости CVE-2025-48745, который в настоящее время отклонен как дубликат CVE-2025-49113.

Учитывая широкую распространенность приложения, исследователи FearsOff отмечают, что поверхность атаки не то, чтобы велика - она имеет промышленный характер. Действительно, в сети шарится не менее 1,2 миллиона хостов Roundcube.

Читать полностью…

SecAtor

Исследователи BI.ZONE выявили кампанию Fairy Wolf с новым вектором распространения - через мессенджер Telegram.

В этот раз атакующие не выдавали себя за гендира или бухгалтера, как делали это ранее.

Вместо этого они предлагали финансовую помощь за участие в коррупционной схеме. 

Злоумышленники засылали документ с детальными инструкциями - «Условия работы.rar» с файлом HTML Application Документ.hta, который являлся по факту дроппером стилера Unicorn.

«Документ.hta» содержал VBS-скрипт, создающий на диске файлы core_stablity_report.vbs, crash_report.vbs, service_report.vbs, update_logging.vbs, utility_report.vbs, nrgdhokmaiut.vbs. 

Стилер использовал реестр для хранения зашифрованного кода VBS-функций.

Закрепление в системе происходило через модификацию реестра, а также путем добавления следующих заданий в планировщике задач: Edge Services\Update\Check Update, Yandex Search Service\Check core stability, Yandex Search Service\Send reports, Yandex Search Service\Start utilities, Yandex Search Service\Update services.

Стилер осуществлял сбор файлов размером менее 100 МБ с расширениями doc, docx, rtf, odt, xls, xlsx, csv, ods, vdx, zip, rar, 7z, tar, jpg, jpeg, png, pdf, txt, cdr, kmz, kml, dwg, dxf, bak, ovpn.

Также извлекались содержимое папки %APPDATA%\Telegram Desktop\tdata и учетные данные браузеров Яндекс, Google Chrome, Edge, Opera.

Эксфильтрация выполнялась через POST-запрос на URL *.[имя домена].org/gpr-.

Кроме того, по данным BI.ZONE, Fairy Wolf существенно прокачала свои мощности. В мае было замечено: более 10 атак, связанных с распространением стилера Unicorn.

Атакам подверглись российские энергетические компании, а также организации в сфере тяжелой промышленности и ВПК.

Злоумышленники для этого использовали самые разные маскировки, выдавая ВПО за резюме специалистов, акты, договоры, документы с условиями работы и пр.

Ожидаем развернутый отчет с новыми подробностями активностей Fairy Wolf.

Читать полностью…

SecAtor

Исследователи F6 представили итоги исследования новых атак группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году.

Как заместили специалисты, в работе PhantomCore поменялись инструменты и цели атак: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.

PhantomCore 
- группировка, атакующая российские и белорусские компании и впервые обнаруженная F6 в 2024 году.

Отличительная черта группы - использование вредоносного ПО собственной разработки.

Судя по количеству таких самописных ПО, а также по числу атак, команда разработчиков этой группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за появлением новых уязвимостей.

При изучении инфраструктуры PhantomCore специалисты F6 смогли найти уникальные пересечения в регистрационных данных доменов, что позволило выявить дополнительные домены и связанные с ними семплы, датируемые 2022 годом, которые удалось атрибутировать группе.

Как выяснили в F6, в 2022 году PhantomCore распространяла дроппер VALIDATOR.msi с вредоносным ПО StatRAT и исполняемым файлом-приманкой, который мимикрировал под легитимное ПО Валидатор 1.0 для проверки сети на соответствие федеральному законодательству.

Троян удалённого доступа StatRAT, помимо обработки различных команд от сервера, имел модуль стилера, а также функциональные возможности для вайпа (повреждения и уничтожения) файлов в зараженной системе.

В 2025 году PhantomCore продолжила оттачивать свои инструменты и переписывать на различные языки программирования.

5 мая с помощью своих решений F6 обнаружила и заблокировала вредоносные рассылки, которые были атрибутированы PhantomCore.

Письма с темой «Документы на рассмотрение (повторно)» были отправлены с трех различных доменов, по всей видимости, заранее скомпрометированных. Среди адресатов – организации из сфер промышленности, энергетики, ЖКХ.

Письма содержали вложенный исполняемый файл в виде архива с именем «Документы_на_рассмотрение.zip».

В качестве приманки использовался файл «Сопроводительное_письмо.pdf», представлявший собой договор на поставку материалов и оборудования между двумя коммерческими компаниями.

Исполняемый файл был классифицирован специалистами F6 как обновленная версия бэкдора группы PhantomCore, получившая название PhantomeCore.GreqBackdoor v.2.

Все технические подробности и индикаторы компрометации – в новом отчете.

Читать полностью…

SecAtor

Cisco выпустила исправления для устранения трех уязвимостей с открытым кодом эксплойта в своих решениях Identity Services Engine (ISE) и Customer Collaboration Platform (CCP).

Наиболее серьезной из них является критическая статическая уязвимость учетных данных, отслеживаемая как CVE-2025-20286 и обнаруженная Кентаро Каване из GMO Cybersecurity в Cisco ISE.

Программное обеспечение реализует соблюдение политик на основе идентификации обеспечивает контроль доступа к конечным точкам и администрирование сетевых устройств в корпоративных средах.

Уязвимость вызвана неправильной генерацией учетных данных при развертывании Cisco ISE на облачных платформах и приводит к использованию общих учетных данных в различных развертываниях.

Уязвимость в облачных развертываниях Amazon Web Services (AWS), Microsoft Azure и Oracle Cloud Infrastructure (OCI) Cisco ISE позволяет неавторизованному удаленному злоумышленнику получить доступ к конфиденциальным данным, выполнить ограниченные административные операции, изменить системные конфигурации или нарушить работу служб в затронутых системах.

Однако, как пояснили в Cisco, злоумышленники могут успешно проэкусплуатировать этот недостаток только в том случае, если узел первичного администрирования развернут в облаке.

При этом Cisco PSIRT известно, что для уязвимости доступен код PoC-эксплойта.

Cisco
отмкетила, что следующие развертывания ISE не уязвимы для атак:

- все локальные развертывания с любыми форм-факторами, где артефакты устанавливаются из Центра загрузки ПО Cisco (ISO или OVA). Это включает в себя устройства и виртуальные машины с различными форм-факторами.
- на Azure VMware (AVS)
- на Google Cloud VMware Engine
- в облаке VMware в AWS
- гибридные развертывания ISE со всеми персонами администратора локально, а другие - в облаке.

Компания рекомендует администраторам, которые не способны немедленно применить выпущенные исправления, запустить команду application reset-config ise на облачном узле Primary Administration Persona, чтобы сбросить пароли пользователей на новые значения.

Однако администраторам следует также помнить, что эта команда вернет Cisco ISE к заводским настройкам и восстановление резервных копий также вернет исходные учетные данные.

Среди двух других исправленных ошибок с доступным PoC - произвольная загрузка файла (CVE-2025-20130) в Cisco ISE и раскрытие информации (CVE-2025-20129) в Cisco Customer Collaboration Platform (Cisco SocialMiner).

Читать полностью…

SecAtor

Исследователи Лаборатории Касперского продолжают бомбить отчетами, на этот раз подогнали аналитику по эксплойтам и уязвимостям за первый квартал 2025 года.

В первом квартале 2025 года продолжалась публикация уязвимостей, обнаруженных и исправленных в 2024 году, так как некоторые исследователи ранее не могли обнародовать подробности.

В целом показатели квартала демонстрируют достаточно большое количество зарегистрированных уязвимостей, при этом динамика их регистрации во многом повторяет предыдущие годы.

В целом многие CWE из TOP 10 для программных решений Microsoft и ядра Linux совпадают или являются аналогичными, а значит, уязвимости основаны на схожих принципах, что приводит часто к «портированию» механизмов атак для Linux на Windows и наоборот.

В первом квартале 2025 года количество атак с эксплойтами для платформы Windows выросло по сравнению с аналогичным периодом прошлого года.

Как и прежде, львиная доля обнаруженных эксплойтов была нацелена на продукты Microsoft Office.

Исследователи отмечают, что чаще их решения эксплойты для платформы Windows к следующим старым уязвимостям: CVE-2018-0802, CVE-2017-11882 (обе RCE в Equation Editor), CVE-2017-0199 (Microsoft Office и WordPad).

Все три оставались самыми распространенными на протяжении 2024 года, и мы предполагаем, что такая тенденция сохранится и в дальнейшем.

За ними следуют не менее популярные проблемы в WinRAR и в самой операционной системе Windows: CVE-2023-38831 (WinRAR), CVE-2024-35250 (уязвимость драйвера ks.sys) и CVE-2022-3699 (уязвимость драйвера Lenovo Diagnostics).

Для операционной системы Linux больше всего было обнаружено эксплойтов к следующим уязвимостям: CVE-2022-0847 (Dirty Pipe), CVE-2019-13272 (уязвимость некорректной обработки наследования привилегий) и CVE-2021-3156 (переполнение кучи в утилите sudo).

В первом квартале 2025 года операционные системы, как самое сложное программное обеспечение, продолжают лидировать по количеству опубликованных эксплойтов.

Кроме того, фиксируется стабильный рост числа эксплойтов к браузерам - эта тенденция сохранялась и на протяжении всего прошлого года.

Также увеличилась доля эксплойтов к уязвимостям в продуктах Microsoft Office.

Изучив данные об атаках APT, в ЛК выделили следующие наиболее часто использовавшиеся в первом квартале 2025 года: CVE-2025-0282, CVE-2024-21887 и CVE-2025-0283 (Ivanti Connect Secure), CVE-2020-1472 (Netlogon Windows), CVE-2023-46805 (Ivanti ICS), CVE-2023-48788 (Fortinet) и др.

Отметим, что в TOP 10 вернулась известная критическая уязвимость Zerologon, позволяющая получить доступ к контроллеру домена.

В качестве наиболее интересных уязвимостей, которые были опубликованы в первом квартале 2025 года ресерчеры ЛК выделили:

- ZDI-CAN-25373: уязвимость нарушения отображения параметров lnk-файлов в ОС Windows;

-
CVE-2025-21333: уязвимость переполнения буфера в куче в драйвере vkrnlintvsp.sys;

- CVE-2025-24071: уязвимость утечки NetNTLM-хэша в индексаторе файловой системы.

Подробная статистика и инфографика - в отчете.

Читать полностью…

SecAtor

Исследователи Sophos предупреждают киберподполье о вскрытой кампании, связанной с трояном Sakura RAT, исходный код которого доступен на GitHub и содержит скрытые бэкдоры, позволяющие злоумышленнику получить удаленный доступ к зараженным устройствам.

Исследователи обнаружили, что код Sakura RAT по сути нефункционален, но имеет PreBuildEvent в проекте Visual Studio, который загружает и устанавливает вредоносное ПО на устройства тех, кто пытается его скомпилировать.

Издатель ischhfd83 напрямую или косвенно связан с еще 141 репозиторием GitHub, 133 из которых включают скрытые бэкдоры, что свидетельствует о скоординированной кампании по распространению вредоносного ПО.

Подборка бэкдоров включает в себя скрипты Python с запутанными полезными нагрузками, вредоносные файлы заставок (.scr), файлы JavaScript с закодированными полезными нагрузками и события Visual Studio PreBuild.

Несмотря на то, что ряд репозиториев, по-видимому, заброшены с конца 2023 года, но многие из них активны и регулярно обновляются.

Коммиты полностью автоматизированы, поэтому их единственная цель - создать ложное представление о ведущейся разработке, которое придает вредоносным проектам иллюзию легитимности.

В виду автоматизированных запусков рабочих процессов во многих проектах набралось большое количество коммитов (в одном из них их было почти 60 000, а создан он был лишь в марте 2025 года). Среднее количество коммитов в репозиториях составляло 4446.

Число участников ограничено тремя конкретными пользователями для каждого репозитория, и для каждого из них используются разные учетные записи издателей, при этом количество репозиториев, назначенных на одну учетную запись, никогда не превышает девяти.

Продвижение репозиториев реализуется через YouTube, Discord и постов в даркнете. Кроме того, Sakura RAT упоминался в публикациях СМИ.

После загрузки и запуска реализуется многоступенчатая цепочка заражения, включающая выполнение скриптов VBS на диске, загрузку PowerShell закодированной полезной нагрузки с жестко закодированных URL, получение архива 7zip из GitHub и запуск приложения Electron (SearchFilter.exe).

Приложение загружает объединенный архив, содержащий зашифрованный файл main.js и связанные с ним файлы, включая код для профилирования системы, выполнения команд, деактивации Защитника Windows и извлечения полезной нагрузки.

Дополнительные полезные нагрузки, загружаемые бэкдором, включают в себя Lumma Stealer, AsyncRAT и Remcos, все из которых обладают обширными возможностями кражи данных.

Помимо нацеливания на хакерское сообщество, троянизированные репозитории также таргетируются на геймеров, студентов и даже исследователей с использованием широкого спектра приманок, таких как игровые читы, инструментов для моддинга и фейковых эксплойтов.

Читать полностью…

SecAtor

Более 1000 промышленных устройств мониторинга производства канадской компании Instantel могут быть подвержены удаленному взлому из-за критической уязвимости, обнаруженной исследователями Microsec.

Micromate Instantel
предназначенный для регистрации вибрации, шума и избыточного давления воздуха, подвержен уязвимости, связанной с отсутствием аутентификации на порту конфигурации.

Уязвимый продукт широко используется в различных областях, включая горнодобывающую промышленность, прокладку туннелей, мониторинг мостов, строительство и охрану окружающей среды.

Уязвимость отслеживается как CVE-2025-1907 (CVSS 9,8) и может позволить злоумышленнику выполнять произвольные команды на устройстве.

При этом обнаружившие уязвимость исследователи Microsec выявили более 1000 подключенных к Интернету устройств Micromate по всему миру, которые могут быть уязвимы для атак.

Злоумышленник, которому удастся добиться выполнения команды на устройстве Micromate, может отключить функцию мониторинга, что приведет к передачи ложной или некорректной телеметрии.

По словам исследователей, устройство также может быть повреждено или отключено, что может привести к прерыванию критически важных операций.

Помимо прочего злоумышленник также может использовать взломанное устройство для проникновения в другие подключенные IT или ОТ-системы.

Как передает CISA, Instantel пока еще работает над обновлением прошивки для этой уязвимости, так что пока не появится исправление, пользователям рекомендуется ограничить доступ к уязвимому устройству доверенными IP-адресами. 

Читать полностью…

SecAtor

Ресерчеры Лаборатории Касперского расчехлили проукраинскую группу хактивистов BO Team, также известную как Black Owl, Lifting Zmiy и Hoody Hyena, которая отметилась серией разрушительных атак, в том числе с шифрованием данных, нацеленных на российские компании.

При этом BO Team помимо таргетирования на максимальное нанесение ущерба жертве, группа преследует цели по извлечению финансовой выгоды.

Группировка BO Team впервые заявила о себе в начале 2024 года через ТГ-канал, в котором обозначила свою позицию в контексте российско-украинского конфликта, что позволяет обоснованно отнести данную группировку к проукраинской стороне конфликта.

Для получения первоначального доступа злоумышленники используют фишинговые рассылки с вредоносными вложениями, которые реализуют цепочку заражения с полезной нагрузкой в виде бэкдоров: DarkGate, BrockenDoor и Remcos.

Группа мимикрирует под реально существующую компанию, которая специализируется на автоматизации технологических процессов, создавая тем самым правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах.

Для маскировки отправителя используются поддельные домены, стилизованные под домены легитимных компаний. При этом злоумышленники постоянно совершенствуют свои инструменты. 

После получения первоначального доступа к целевым системам злоумышленники из BO Team используют технику Living off the Land (LotL), то есть полагаются на встроенные средства операционной системы Windows в развитии атаки.

Для обеспечения постоянного доступа к скомпрометированной инфраструктуре BO Team применяет ряд техник закрепления, одна из которых - создание запланированных задач в операционной системе Windows.

Анализ показал, что для повышения привилегий атакующие используют ранее скомпрометированные учетные записи, принадлежащие штатным сотрудникам организации.

После компрометации целевых систем BO Team методично уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete.

В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk (для Windows), выдвигая впоследствии требования выкупа.

Про некоторые из своих атак BO Team открыто сообщает посредством Telegram, что служит как элементом психологического давления, так и способом самопиара в медиапространстве хактивистов.

По своим целям, риторике и общему алгоритму действий BO Team схожа с рядом проукраинских хактивистских группировок, появившихся после 2022 года.

Тем не менее, исследователи ЛК в ходе анализа атак зафиксировали инструменты и TTP, не характерные для аналогичных кампаний других хактивистов.

В совокупности артефакты позволяют предположить, что BO Team действует более автономно, обладая собственными ресурсами и подходами к использованию инструментов нежели их коллеги по цеху.

Полный разбор TTPы, инструментария и инфраструктуры BO Team - в отчете.

Читать полностью…

SecAtor

Google выпустила экстренное обновление Chrome 137 для исправления трех уязвимостей, включая 0-day высокой степени серьезности, эксплуатируемую в реальных условиях, по всей видимости, поставщиками spyware.

Указанная 0-day отслеживается как CVE-2025-5419 и представляет собой проблему чтения и записи за пределами выделенного буфера памяти в движке V8 JavaScript и WebAssembly.

По данным Google, эксплойт для CVE-2025-5419 существует в дикой природе, однако никаких дополнительных подробностей об уязвимости безопасности или эксплойте предоставлено не разглашается.

Компания выразила признательность Клементу Лесиню и Бенуа Севенсу из Google Threat Analysis Group (TAG), которые 27 мая 2025 года сообщили о проблеме.

Исследователи TAG ранее сообщали о многочисленных уязвимостях, используемых поставщиками шпионского ПО, включая такие ошибки в Chrome. Так что и CVE-2025-5419, вероятно, не является исключением.

Согласно рекомендациям NIST, эксплуатируемая 0-day позволяет удаленному злоумышленнику потенциально эксплуатировать повреждение кучи через созданную HTML-страницу.

Эксплуатация таких дефектов часто приводит к выполнению произвольного кода.

CVE-2025-5419 - это вторая активно эксплуатируемая уязвимость нулевого дня, исправленная Google в этом году после CVE-2025-2783 (CVSS: 8,3), которая, по данным Лаборатории Касперского, использовалась в атаках на организации в России.

Последнее обновление браузера также устраняет CVE-2025-5068, уязвимость средней степени серьезности use-after-free в Blink, которая принесла исследователю, сообщившему об ошибке, вознаграждение в размере 1000 долларов.

Последняя версия Chrome теперь доступна как 137.0.7151.68/.69 для Windows и macOS, а также 137.0.7151.68 - для Linux.

Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.

Читать полностью…

SecAtor

Исследователи AhnLab сообщают об атаках на Интернет-кафе в Южной Корее, связанных с заражением криптомайнерами T-Rex в ходе исистемно организованной кампании.

Согласно отчету AhnLab, злоумышленник активен с 2022 года, при этом атаки на Интернет-кафе были инициированы, начиная со второй половины 2024 года.

Метод первоначального доступа неизвестен, и большинство атак были нацелены на системы с установленными корейскими программами управления Интернет-кафе, которые реализуют комплексную поддержку работы оператора в части предоставления услуг.

Злоумышленник задействовал Gh0st RAT для обеспечения управления зараженной системой и в конечном итоге установил CoinMiner T-Rex для добычи криптовалюты.

Gh0st RAT
- это вредоносное ПО для удаленного управления, разработанное китайской группой C. Rufus Security Team, исходный код находится в открытом доступе.

AhnLab
полагает, что злоумышленник детально изучил ПО, получив базовые знания о нем. Злоумышленник использовал вредоносное ПО для исправления памяти целевого ПО и дропперы Gh0st RAT, которые были установлены в соответствующих путях для поддержания устойчивости.

Дроппер упакован с использованием Themida или MPRESS. Он включает Gh0st RAT в область ресурсов и загружает его по пути типа «C:\map1800000.dll».

Gh0st RAT,
загруженный в память, регистрирует себя как службу для работы и может управлять зараженной системой в соответствии с командами, полученными от сервера C2.

Конкретный замеченный в атаках штамм включает в себя не только основные функции удаленного управления, такие как управление файлами и процессами, но и функции сбора информации, такие как кейлоггинг и захват экрана.

Примечательной деталью атак является то, что злоумышленник использовал RAT для загрузки вредоносного ПО Patcher, который ищет определенный процесс программы управления Интернет-кафе среди запущенных в данный момент процессов.

Затем он считывает шаблон памяти и сравнивает его с доступным шаблоном и, если совпадение найдено, память патчится.

В отличие от других злоумышленников, использующих XMRig для Monero, злоумышленник в этом случае использует T-Rex CoinMiner.

Вероятно, это связано с тем, что ПК в компьютерных кафе обычно оснащены графическими процессорами для поддержки высокопроизводительных игр, которые использует T-Rex для майнинга таких монет, как Ethereum и RavenCoin.

Несмотря на то, что подробности о злоумышленниках неизвестны, есть весьма четкие догадки кто бы это мог быть, учитывая, что их основной целью был майнинг криптовалюты.

Читать полностью…

SecAtor

Правоохранительные органы Финляндии, Нидерландов (1) и США (2) нейтрализовали инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.

AVCheck
функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.

Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.

Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.

Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.

Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.

Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.

В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».

В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.

Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.

К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.

Читать полностью…

SecAtor

Компания-разработчик ПО из Флориды ConnectWise стала жертвой APT-атаки, которая затронула среду и ограниченное количество клиентов ScreenConnect.

ConnectWise
реализует решения по управлению ИТ, удаленному мониторингу, кибербезопасности и автоматизации для поставщиков управляемых услуг (MSP) и ИТ-структур.

Одним из ее продуктов является ScreenConnect - инструмент удаленного доступа и поддержки, позволяющий техническим специалистам безопасно подключаться к клиентским системам для устранения неполадок, установки исправлений и обслуживания системы.

К расследованию оперативно привлекли специалистов Mandiant и силовой блок.

По некоторым сведениям, нарушение произошло в августе 2024 года, а ConnectWise обнаружили подозрительную активность только в мае 2025 года, а в результате инцидента пострадали только облачные экземпляры ScreenConnect.

Позже Джейсон Слэгл, руководитель CNWR, заявил, что пострадало ограниченное число клиентов, что указывает на вероятную целевую атаку в отношении конкретных организаций.

На Reddit клиенты поделились дополнительной информацией, заявляя о том, что инцидент связан с уязвимостью ScreenConnect, отлеживаемой как CVE-2025-3935, которая была исправлена 24 апреля.

CVE-2025-3935 представляет собой серьезную ошибку внедрения кода ViewState, вызванную небезопасной десериализацией ASP.NET ViewState в ScreenConnect версии 25.2.3 и более ранних.

Злоумышленник с привилегированным доступом на системном уровне может красть секретные машинные ключи, используемые сервером ScreenConnect, и использовать их для создания вредоносных полезных нагрузок, которые запускают удаленное выполнение кода на сервере.

ConnectWise
не указывала на эксплуатацию именной этой уязвимости, однако присвоила ей «высокий» приоритет, что свидетельствует о ее активном использовании, либо значительных рисках использования.

Компания отметила, что уязвимость была устранена на ее облачных платформах ScreenConnect по адресам «screenconnect.com» и «hostedrmm.com» до того, как она была публично раскрыта клиентам.

Поскольку нарушение затронуло только размещенные в облаке экземпляры ScreenConnect, вполне возможно, что злоумышленники сначала взломали системы ConnectWise и похитили ключи машины.

Используя их, злоумышленники смогли бы осуществить удаленное выполнение кода на серверах ScreenConnect компании и потенциально получить доступ к средам клиентов.

Однако ConnectWise не подтвердила, были ли взломаны экземпляры клиентов именно таким образом.

Более того, компания даже не поделилась IOC и любой другой информацией о произошедшем.

Причем в прошлый раз годом ранее другая CVE-2024-1709 в ScreenConnect также использовалась бандами вымогателей и северокорейской APT для запуска вредоносного ПО.

Так что будем следить за развитием ситуации.

Читать полностью…

SecAtor

🔐 С чего начать? Схема карьерных треков в кибербезопасности.

• На интерактивной схеме показаны рабочие роли (трудовые функции) в области кибербезопасности, сформированные на основе анализа текущих вакансий.

• Если вы задаетесь вопросом "как развиваться в кибербезопасности и куда расти? Какие задачи вы сможете решать через несколько лет? Сможете ли вы изменить свой карьерный путь, если поймете, что вам становится скучно?", то эта карта вам обязательно поможет:

https://cybersecurity-roadmap.ru

• На схеме показаны девять направлений (ролей) развития специалиста по кибербезопасности:

Безопасность объектов критической информационной инфраструктуры;
Исследование безопасности;
Управление уязвимостями;
Администрирование средств защиты информации;
Аналитик SOC;
Комплаенс-аналитика;
Аналитика ИБ;
Безопасная разработка приложений.

• В процессе движения по карьерному пути специалист по кибербезопасности пробует себя в различных ролях и, как следствие, может претендовать на новые должности в компании, подразумевающие более сложные и интересные задачи.

• Специалист также может расти как эксперт в одной роли, например накапливать знания и навыки в области анализа защищенности или реверс-инжиниринга различных систем.

• В общем и целом, добавляйте ссылку в закладку и изучайте.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

SecAtor

Группа Google Threat Intelligence Group (GTIG) выявила новое вредоносное ПО под названием ToughProgress в арсенале китайской APT41, которое задействует инфраструктуру Google Calendar и Workspace для C2, скрывая вредоносную активность за доверенным облачным сервисом.

Использование Google Calendar в качестве механизма C2 не является новинкой, не так давно Veracode сообщила о вредоносном пакете в Node Package Manager (NPM), использовавшем похожую тактику.

Кроме того, ранее APT41 также злоупотребляла сервисами Google, в том числе Google Таблицы и Google Диск во рамках проведения вредоносной кампании Voldemort в апреле 2023 года.

Обнаруженная в конце 2024 года новая цепочка заражения начинается с отправки вредоносного электронного письма, содержащего ссылку на ZIP-архив, размещенный на ранее взломанном правительственном веб-сайте.

Архив содержит файл Windows LNK, выдающий себя за документ PDF, основную полезную нагрузку, замаскированную под файл изображения JPG, и файл DLL, используемый для расшифровки и запуска полезной нагрузки, также замаскированный под файл изображения.

DLL - это PlusDrop, компонент, который расшифровывает и выполняет следующий этап, PlusInject, полностью в памяти. Затем последний выполняет очистку легитимного процесса Windows svhost.exe и внедряет финальную стадию ToughProgress.

Вредоносная ПО подключается к жестко запрограммированной конечной точке Google Calendar и опрашивает определенные даты событий для команд, которые APT41 добавляет в поле описания скрытых событий.

После их выполнения ToughProgress возвращает результаты в новые события календаря, чтобы злоумышленник мог соответствующим образом скорректировать свои дальнейшие действия.

Поскольку полезные данные выполняются в памяти, а связь с C2 осуществляется через легитимный облачный сервис, вероятность обнаружения вредоносным ПО на зараженном хосте минимальна.

Тем не менее Google выявила подконтрольные злоумышленникам экземпляры Google Calendar и удалила все связанные с ними учетные записи Workspace и соответствующие события Calendar.

В отчете не названы конкретные скомпрометированные организации или жертвы, но Google утверждает, что уведомила их напрямую в сотрудничестве с Mandiant.

Google
также поделилась образцами ToughProgress и журналами трафика с жертвами, чтобы помочь им выявить заражения в своих средах.

Читать полностью…

SecAtor

BreachForums как бы возвращается после взлома конкурентом в середине апреля. По крайней мере, об этом говорят как бы создатели хакерского форума.

В прошлом месяце BreachForums ушел в двухнедельный бан, который, как полагают, стал результатом силовых действий спецслужб.

Теперь же один из админов форума - ShinyHunters объявил о его возвращении с полностью переписанным кодом, дабы предотвратить повторение инцидента.

Как сообщается, им удалось успешно идентифицировать и исправить эксплойт PHP, который повлиял на предыдущий бэкэнд.

После этого он был полностью переписан и поддерживает улучшенную безопасность, стабильность и производительность.

Кроме того, в ходе аудита и процесса перестройки также обнаружись уязвимости в нескольких сторонних плагинах. В качестве меры предосторожности эти плагины были временно отключены.

Будем, конечно, посмотреть. Очередной сезон охоты можно считать открытым.

Читать полностью…

SecAtor

Исследователи Cybernews сообщают об обнаружении крупнейшей утечки данных объемом 631 гигабайт, когда-либо произошедшей в Китае, раскрывшей более 4 миллиардов пользовательских записей.

Огромная база данных в открытом экземпляре без пароля оставалась без пароля, выдавая ошеломляющие миллиарды документов с финансовыми данными, сведениями WeChat и Alipay, а также другими конфиденциальными персональными данными сотен миллионов пользователей.

Cybernews
полагает, что набор данных был тщательно собран и сохранен для создания всесторонних поведенческих, экономических и социальных профилей практически на любого гражданина КНР.

База данных состояла из многочисленных коллекций, содержащих от полумиллиона до более 800 миллионов записей из различных источников, открывая широкие возможности для любых вредоносных действий, начиная с фишинга и мошенничества до продвинутых APT-атак.

Внушительный объем и разнообразие типов данных в этой утечке позволяют предположить, что это, вероятно, была централизованная точка агрегации, потенциально используемая для целей наблюдения, профилирования или обогащения данных.

Несмотря на все усилия, Cybernews удалось лишь частично оценить базу данных, поскольку обнаруженный экземпляр был быстро удален, что также помешало раскрыть личность ее владельцев базы данных.

Однако сбор и поддержка такого рода базы данных требуют времени и усилий, часто связанных с высокоуровневыми субъектами угроз или очень мотивированными исследователями.

Команде удалось просмотреть шестнадцать наборов, названных, вероятно, по типу включенных в них данных.

Самая большая коллекция насчитывала более 805 миллионов записей и получила название «wechatid_db», что, скорее всего, указывает на данные, поступающие из суперприложения WeChat, принадлежащего Baidu.

Вторая по величине коллекция, address_db, содержала более 780 миллионов записей, содержащих данные о жилых помещениях с географическими идентификаторами.

Третья по величине коллекция, названная bank, содержала более 630 миллионов записей финансовых данных, включая номера платежных карт, даты рождения, имена и номера телефонов.

Другая крупная подборка была названа на китайском языке, что примерно переводится как «трехфакторные проверки». Коллекция содержала более 610 миллионов записей, скорее всего, - идентификаторы, номера телефонов и имена пользователей.

Между тем, коллекция под названием wechatinfo содержала почти 577 миллионов записей. Поскольку идентификаторы пользователей WeChat хранились в отдельной коллекции, wechatinfo, скорее всего, имел метаданные, журналы общения или даже разговоры пользователей.

Еще 300 миллионов записей хранились в zfbkt_db, содержащей информацию о картах и токенах Alipay. Более 353 миллионов записей были неравномерно распределены между девятью другими выборками по очень широкому спектру тем.

Исследователи полагают, что одна коллекция, названная tw_db, содержит сведения, связанные с Тайванем.

Несмотря на все усилия, команда не смогла приписать утечку кому-либо. Не было никаких артефактов или заголовков, указывающих на владельца, а инфраструктура была удалена из публичного доступа вскоре после обнаружения на следующий день 20 мая 2025 г.

Читать полностью…

SecAtor

⚙️ SOCMINT: инструменты для поиска информации в социальных сетях.

• Вчера @cybdetective поделилась ссылкой на очень интересный ресурс, где собрано большое количество инструментов и сервисов для поиска информации в социальных сетях. Список состоит из 113 актуальных инструментов с открытым исходным кодом, которые будут полезны OSINT и ИБ специалистам. Однозначно в избранное:

➡️ https://r00m101.com/tools

• Напомню, что дополнительную информацию вы всегда сможете найти в нашей подборке.

S.E. ▪️ infosec.work ▪️ VT

Читать полностью…

SecAtor

Исследователи обнаружили задействование Meta (признана экстремистской) и Yandex ранее недокументированной техники, которая злоупотребляет локальными портами хоста для отслеживания мобильных пользователей, когда они просматривают веб-страницы.

Веб-сайты, использующие скрипты Meta Pixel и Yandex Metrica, открывают локальные порты на устройствах Android, позволяя деанонимизировать посетителей, чьи уникальные идентификаторы из браузеров Firefox и Chromium отправляются в их собственные приложения.

Причем злоупотребление наблюдалось только в Android, и данные свидетельствуют о том, что Meta Pixel и Yandex Metrica нацелены только на пользователей этой платформы.

При этом исследователи полагают, что чисто технически нацелиться на iOS возможно, поскольку браузеры на этой платформе позволяют разработчикам программно устанавливать локальные соединения, которые приложения могут отслеживать на локальных портах.

Однако, в отличие от iOS, Android реализует меньше контроля на локальные хост-коммуникации и фоновые выполнения мобильных приложений, а также внедряет более строгий контроль в процессах проверки магазина приложений, чтобы ограничить такие злоупотребления.

Чрезмерно разрешительная конструкция позволяет Meta Pixel и Yandex Metrica отправлять веб-запросы с идентификаторами веб-отслеживания на определенные локальные порты, которые постоянно отслеживаются приложениями Facebook, Instagram и Yandex.

Затем приложения могут связывать веб-идентификаторы с фактическими идентификаторами пользователей.

Исследователи назвали эту технику обменом идентификаторами между веб-приложениями и полагают, что она обходит механизмы защиты конфиденциальности, включая режим инкогнито, элементы управления разрешениями Android и очистку файлов cookie.

Meta и Yandex
достигают обхода, злоупотребляя базовой функциональностью, встроенной в современные мобильные браузеры, которая позволяет браузеру обмениваться данными с собственным приложением.

Она позволяет браузерам отправлять веб-запросы на локальные порты Android для установки различных служб, включая медиаподключения через протокол RTC, обмен файлами и отладку для разработчиков.

Хотя технические основы различаются, и Meta Pixel, и Yandex Metrica выполняют «злоупотребление протоколом», чтобы получить непроверенный доступ, который Android предоставляет к портам localhost на IP-адресе 127.0.0.1. Браузеры получают доступ к портам без уведомления пользователя.

К расследованию оперативно подключилась Google и намерена тщательно изучить подобные злоупотребления, которые фиксируются со стороны Яндекс.Метрикой начиная с мая 2017 года, а в случае с Meta Pixel - сентября прошлого года.

Представитель Google заявил, что такое поведение нарушает условия обслуживания Play Market и ожидания пользователей в отношении конфиденциальности.

Meta
прекратили использовать эту технику после того, как она была раскрыта исследователями. В свою очередь, Яндекс также сообщила, что прекращает эту практику.

Тем не менее, исследователи предупреждают, что текущие исправления настолько специфичны для кода в трекерах Meta и Yandex, что их можно будет легко обойти с помощью простого обновления.

А Google до сих пор не давала никаких указаний на то, что планирует перепроектировать способ, которым Android обрабатывает доступ к локальному порту.

Читать полностью…

SecAtor

Микромягкие традиционно «оперативно» реагируют на новые вызовы, примерно также, как подготовка к апокалипсису - после наступления апокалипсиса.

В общем, Microsoft приступила к тестированию новой функции под названием Quick Machine Recovery, которая представляет собой новый параметр, позволяющий (после включения) ОС искать и извлекать решения для проблем с загрузкой непосредственно с серверов Microsoft.

Компания разработала эту функцию после глобального сбоя, связанного с CrowdStrike в прошлом году.

В настоящее время Quick Machine Recovery проходит ограниченное тестирование в бета-версиях Windows 11 и сборках Insider Preview.

Если бы в ИБ существовал аналог премии Дарвина - то претендентов можно на двух пальцах пересчитать.

Читать полностью…

SecAtor

Hewlett Packard Enterprise (HPE) в своем новом бюллетене по безопасности предупреждает о восьми уязвимостях, влияющих на работу StoreOnce, решения для резервного копирования и дедупликации на основе дисков.

HPE StoreOnce
обычно используется для резервного копирования и восстановления на крупных предприятиях, в ЦОДах, у поставщиков облачных услуг и в целом в организациях, обрабатывающих большие данные или крупные виртуализированные среды.

StoreOnce
интегрируется с ПО для резервного копирования, включая HPE Data Protector, Veeam, Commvault и Veritas NetBackup, обеспечивая непрерывность бизнеса и эффективное управление резервным копированием.

Особое внимание следует обратить на уязвимость обхода аутентификации критической степени серьезности (CVSS v3.1: 9,8), которая отслеживается как CVE-2025-37093.

Кроме того, исправлены четыре RCE (CVE-2025-37089, 37091, 37092, 37096), две проблемы обхода каталогов (CVE-2025-37094 и CVE-2025-37095) и проблема подделки запросов на стороне сервера (CVE-2025-37090).

Затронуты все версии HPE StoreOnce до 4.3.11, которая теперь является рекомендуемой версией обновления. На этот раз подробностей о недостатках раскрыто не так много.

Однако Zero Day Initiative (ZDI) упоминает, что критическая CVE-2025-37093 связана с machineAccountCheck и является результатом неправильной реализации алгоритма аутентификации.

CVE-2025-37093 - единственная уязвимость, оцененная как критическая, при этом другие также несут в себе значительные риски, даже если они относятся к более низким категориям по уровню серьезности.

ZDI
поясняет, что проблема обхода аутентификации является ключом к раскрытию потенциала всех остальных уязвимостей, поэтому их риск не стоит расценивать изолированным.

Примеры CVE-2025-3794 и CVE-2025-37095, двух уязвимостей средней степени серьезности, связанных с удалением файлов и раскрытием информации, показывают, что эксплуатация уязвимости на практике проще, чем это отражено в оценке.

Эта уязвимость позволяет удаленным злоумышленникам раскрывать конфиденциальную информацию о затронутых установках Hewlett Packard Enterprise StoreOnce VSA. Хотя для эксплуатации требуется аутентификация, существующий механизм аутентификации можно обойти.

Примечательно, уязвимости были обнаружены еще в октябре 2024 года и потребовалось целых семь месяцев, прежде чем исправления наконец-то стали доступны. Тем не менее, нет никаких сообщений об активной эксплуатации.

HPE
не отметила в бюллетене никаких обходных путей для восьми недостатков, поэтому рекомендуемым решением является обновление.

Читать полностью…

SecAtor

📱 В Android обнаружили три критических 0-day уязвимости, связанных с Qualcomm

В июньском бюллетене безопасности Android компания Google официально подтвердила исправление трёх эксплуатируемых уязвимостей нулевого дня в компонентах Qualcomm, которые, как было подтверждено, активно используются в атаках.

Согласно бюллетеню безопасности Qualcomm, активно эксплуатируемые уязвимости, CVE-2025-21479, CVE-2025-21480 и CVE-2025-27038, затрагивают драйверы GPU Adreno.

🔐 CVE‑2025‑21479 — неправильная авторизация в компоненте GPU приводит к повреждению памяти (memory corruption), если злоумышленник отправит специально сформированную последовательность команд. Это может позволить локальному атакующему выполнить произвольный код в контексте драйвера.
🔐 CVE‑2025‑21480 — почти идентична CVE‑2025‑21479. Также связана с некорректной проверкой прав доступа внутри микромодуля GPU, что ведёт к memory corruption при обработке GPU-команд. Возможна эскалация привилегий.
🔐 CVE‑2025‑27038 — уязвимость типа use-after-free при рендеринге графики в драйверах Adreno, которая может активироваться в том числе при работе браузера Chrome.

Обнаружили проблемы 📱Android Security и подразделение 🌐Threat Analysis Group (TAG), после чего Google уведомила Qualcomm. Патчи были переданы производителям оборудования ещё в мае. Qualcomm настоятельно рекомендует как можно скорее обновиться.

Затронутые чипсеты охватывают широкий спектр продукции Qualcomm, от флагманских SoC Snapdragon 8 Gen 2 и Gen 3 до платформ среднего и бюджетного уровня, таких как Snapdragon 695, 778G и 4 Gen 1/2. Пострадали также носимые устройства, автомобильные модули и компоненты сетевой инфраструктуры, работающие на FastConnect, QCA, QCS и другом оборудовании Qualcomm.

«Android-партнёры были уведомлены об этих уязвимостях как минимум за месяц до публикации. Патчи переданы в AOSP и должны быть включены в сборки с уровнем безопасности 2025‑06‑05. Мы рекомендуем пользователям обновить свои устройства до последней версии Android, если это возможно»

🔎 https://docs.qualcomm.com/product/publicresources/securitybulletin/june-2025-bulletin.html

🔎 https://source.android.com/docs/security/bulletin/2025-06-01

🛡@Russian_OSINT

Читать полностью…

SecAtor

Исследователи FearsOff раскрыли подробности критической уязвимости в программном обеспечении веб-почты Roundcube, которая оставалась незамеченной в течение десятилетия и могла быть использована для захвата уязвимых систем и выполнения произвольного кода.

Уязвимость отслеживается как CVE-2025-49113 и имеет оценку CVSS 9,9 из 10,0.

Она связана с удаленным выполнением кода после аутентификации посредством десериализации объекта PHP.

Риску подвержены Roundcube Webmail до версии 1.5.10 и 1.6.x до версии 1.6.11, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объектов PHP

Недостаток, который затрагивал все версии программного обеспечения до 1.6.10 включительно, был устранен в 1.6.11 и 1.5.10 LTS.

FearsOff
намерена опубликовать дополнительные технические подробности и представить PoC в ближайшее время, но оставляет временной лаг для установки необходимых исправлений.

Медлить не стоить, ведь ранее раскрытые уязвимости в Roundcube уже становились целями атак, как в случае с CVE-2024-37383 в прошлом году.

Тогда Positive Technologies сообщала об эксплуатации уязвимости Roundcube в рамках фишинговой атаки, направленной на кражу учетных данных пользователей.

Читать полностью…

SecAtor

Microsoft и CrowdStrike решили возглавить давно назревшую отраслевую инициативу и запустили проект по унификации наименовании субъектов угроз с целью упростить для сообщества процесс согласования разведданных, в помощь им вызвались также Google и Palo Alto Networks.

Сложилось так, что существующие сотни различных групп угроз отслеживаются под десятками различных наименований, которые присваивается инфосек-компаниями согласно собственным шаблонам.

Так, связанная с Китаем APT41 также отслеживается как Bronze Atlas, Earth Baku, Wicked Panda и Winnti, среди прочих.

Microsoft
использует таксономию именования, связанную с погодой. В свою очередь, CrowdStrike использует имена, ассоциированные с животными (Panda для Китая и Spider для киберпреступников).

Mandiant
известен использованием форматов APT[number] и UNC[number].

CrowdStrike
отмечает, что на данном этапе заставить всю отрасль кибербезопасности использовать единое название для каждой группы угроз нецелесообразно и фактически нереализуемо, однако важно внести ясность в атрибуцию угроз между поставщиками.

В рамках новой инициативы имена, присвоенные Microsoft, сопоставляются с другими именами, присвоенными тому же субъекту угрозы CrowdStrike и другими поставщиками.

Как поясняют в CrowdStrike, альянс поможет отрасли лучше сопоставлять псевдонимы субъектов угроз, не навязывая единый стандарт именования.

В будущем он будет расширяться и включать другие организации, которые также практикуют искусство атрибуции. 

Главная цель - устранение конфликтов имен для создания связного и устойчивого сопоставления существующих систем именования друг с другом.

Кроме того, там, где телеметрия дополняет друг друга, есть возможность расширить атрибуцию на большее количество плоскостей и векторов - создавая более богатое и точное представление о кампаниях злоумышленников.

Microsoft
отметила, что инициатива должна помочь повысить уверенность в идентификации групп угроз, оптимизировать корреляцию и ускорить действия защитников, а также выработать единый стандарт именования.

При этом Microsoft заверила, что Google (Mandiant) и Palo Alto Networks также намерены внести свой вклад в проект.

На самом деле над этим вопросом уже давно задумались в немецком Институте связи, обработки информации и эргономики имени Фраунгофера и реализовали проект Malpedia, который на протяжении последних лет успешно отслеживает различные названия, присвоенные каждой группе угроз, включая и используемые ими штаммы вредоносных ПО. 

По всей видимости, разработанная четверкой карта именований - будет иметь более пропагандистский эффект, вряд ли мы сможем отыскать в унифицированном списке представителей экосистемы западных APT. Впрочем, как и отчетов.

Но будем посмотреть.

Читать полностью…

SecAtor

Исследователи Intrinsec обнаружили две британские автономные системы, которые связаны с защищенным хостинг-провайдером BtHoster.

Проанализировав сети, которые чаще всего поражали подконтрольные honeypots с февраля по март 2025 года, исследователи обнаружили две автономные системы Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476).

При этом атаки исходили с IP-адресов указанных небольших автономных систем, состоящими всего из нескольких префиксов IPv4.

Поискав информацию о природе автономных систем и компаниях, которые ими управляют, Intrinsec обнаружили, что некоторые из них были всего лишь ребрендингами известного провайдера пуленепробиваемого хостинга под названием Bulletproof Hosting BtHoster.

BtHoster
реализует предварительно настроенные серверы Masscan с пропускной способностью маршрутизации до 1300kpps.

Такая инфраструктура часто используется большинством IAB, нацеленных на начальный доступ к корпоративной сети через открытые и уязвимые активы.

Обе сети базируются в Соединенном Королевстве и зарегистрированы, как считается, подставными компаниями. Как оказалось, транзитируют свой трафик через общего провайдера upstream под названием UAB Host Baltic (AS209605) в Литве.

Изучая IP-адреса этой сети, Intrinsec обнаружили наличие сотен вариантов Mirai и других вредоносных C2, таких как RisePro, Cobalt Strike, Remcos, Moobot и HookBot.

Исследователи отмечают, что несколько префиксов IPv4, ранее связанных с иранской сетью, были задействованы в сетях, базирующихся в Великобритании, и еще одной - в Сербии.

Причем все эти сети были вовлечены в атаки BGP и bruteforce. Описание и геолокация предыдущих иранских автономных системных префиксов были сохранены в новых, что создавало впечатление, что атаки исходили из Ирана.

Детали расследования и технические подробности - в полном отчете.

Читать полностью…

SecAtor

Исследователи Horizon3 выкатили технические подробности для максимально серьезной уязвимости произвольной загрузки файлов Cisco IOS XE WLC, отслеживаемой как CVE-2025-20188.

Несмотря на то, что в отчете исследователей не содержится готового к запуску сценария RCE-эксплойта, однако предоставленной информации вполне достаточно для его разработки опытным злоумышленником.

7 мая 2025 года Cisco раскрыла критическую уязвимость в IOS XE для контроллеров беспроводных локальных сетей, которая позволяет злоумышленнику получить контроль над устройствами.

Поставщик заявил, что проблема вызвана жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, выполнять обход пути и выполнять произвольные команды с привилегиями root.

В бюллетене отмечается, что уязвимость CVE-2025-20188 опасна только в том случае, если на устройстве включена функция «Загрузка образа точки доступа по внешнему каналу».

Она затрагивает Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller для коммутаторов серий 9300, 9400, and 9500 Series Switches, Catalyst 9800 Series Wireless Controllers и Embedded Wireless Controller на Catalyst APs.

Как отмечают в Horizon3, уязвимость существует из-за жестко запрограммированного резервного секретного ключа JWT («notfound»), используемого внутренними скриптами Lua для конечных точек загрузки, в сочетании с недостаточной проверкой пути.

В частности, бэкэнд использует скрипты OpenResty (Lua + Nginx) для проверки токенов JWT и обработки загрузок файлов, но если файл '/tmp/nginx_jwt_key' отсутствует, скрипт возвращается к строке "notfound" в качестве секрета для проверки JWT.

По сути, это позволяет злоумышленникам генерировать действительные токены, не зная никаких секретов, просто используя «HS256» и «notfound».

Horizon3
представили пример с отправкой HTTP-запроса POST с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443 и использованием обхода пути имени файла, чтобы поместить безобидный файл (foo.txt) за пределы предполагаемого каталога.

Для расширения уязвимости загрузки файлов до уровня RCE, злоумышленник может перезаписать файлы конфигурации, загруженные внутренними службами, сбросить веб-оболочки или использовать отслеживаемые файлы для запуска несанкционированных действий.

В случае с Horizon3, реализовано злоупотребление службой «pvp.sh», которая отслеживает определенные каталоги, перезаписывает файлы конфигурации, от которых она зависит, и запускает перезагрузку даже для запуска команд злоумышленника.

Учитывая повышенный риск эксплуатации уязвимости, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или более новой).

В качестве временного решения администраторы могут отключить функцию загрузки образа точки доступа по внешнему каналу, чтобы закрыть уязвимую службу.

Читать полностью…

SecAtor

Исследователи из Лаборатории Касперского в своем новом отчете отслеживают активную эволюцию банковского трояна Zanubis для Android.

С момента своего появления в середине 2022 года Zanubis был нацелен на банки и финансовые организации в Перу, добавив затем к числу своих целей виртуальные карты и криптокошельки.

Основной вектор заражения Zanubis - мимикрирование под легитимные перуанские приложения для Android с последующим получением обманным путем различных разрешений.

После их получения вредоносная ПО реализует обширные возможности, которые позволяют ее операторам красть банковские данные и учетные данные пользователя, а также выполнять удаленные действия, в том числе управлению устройством без ведома пользователя.

При этом Zanubis постоянно эволюционирует, превратившись из простого банковского трояна в очень сложную и многогранную угрозу.

Новейшие замеченные образцы имеют значительно расширенный функционал по эксфильтрации данных и удаленного управления, а также поддерживают новые методы обфускации и приемы социнженерии.

Операторы продолжают на постоянно основе оттачивать его код, добавляя новые функции, переключаясь между алгоритмами шифрования, меняя цели и настраивая методы социнженерии для ускорения темпов заражений, что коррелирует с хронологией их кампаний.

На основе всестороннего анализа Zanubis и ряда индикаторов в ЛК полагают, что субъекты угрозы, стоящие за вредоносным ПО, могут действовать из Перу.

К таким индикаторам относятся, прежде всего, постоянное использование латиноамериканского испанского в коде, знание специфики перуанских банковских и госучреждений, данные телеметрии ЛК и VirusTotal, а также таргетирование на перуанском сегменте.

Как полагают исследователи, постоянное совершенствование показывает, что Zanubis - устойчивая угроза, способная к дальнейшим мутациям для достижения финансовых целей в интересах своих операторов.

В двух словах глубину исследования не передать, и не будем. Разбор всех этапов разработки Zanubis и соответствующих им вредоносных кампаний - в отчете.

Читать полностью…

SecAtor

Но был один, который не стрелял (с)

Трое отважных (и мы нисколько не шутим) еврейских исследователей из Университета Тель-Авива пошли против трендов и выпустили статью, посвященную отчетам западных инфосек компаний о прогосударственных хакерских группах (aka APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.

В результате анализа материалов за период с 2010 по 2022 годы (а сейчас, скажем по секрету, и все еще хуже), эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.

Что "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".

Говоря простым языком, западные инфосек исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.

Что формирует гротескно искаженное представление ширнармасс, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится, пичаль, беда. Видимо Stuxnet и Regin от сырости завелись.

Мы про такое положение вещей говорим давно, однако израильтяне подвели под него определенное научное основание и проиллюстрировали очевидные тенденции, за что им спасибо.

Ведь и в самом деле, представить что западные инфосек кампании сегодня способны активно разбирать кибероперации западных же спецслужб, как, например, Symantec в далеком 2010 году, совершенно невозможно.

Осталось смотреть только на Касперских, Позитивов, Бизонов, бывших Грибов и Qihoo 360. Спасибо, что есть.

Читать полностью…

SecAtor

Исследователи F6 выкатили новый отчет, в котором затронули проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы».

Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.

Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.

Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.

И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.

Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.

Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.

В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:

- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.

Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.

- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.

- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.

Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.

По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.

Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.

Так, только в одном документе нашлось почти 1300 записей.

И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.

Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.

Подробный отчет с примерами выявленных утечек - в блоге F6.

Читать полностью…

SecAtor

А исследователи Darktrace задетектили другой вредоносный ботнет на основе Go под названием PumaBot, который нацелен на устройства Linux IoT для кражи учетных данных SSH и майнинга криптовалют.

Примечательной особенностью нового ботнета является то, что PumaBot реализует попытки входа методом подбора на порт 22 для открытого доступа по протоколу SSH по спискам IP, полученным с C2 (ssh.ddos-cc[.]org), вместо широкого сканирования глобальной сети.

В ходе этого процесса он проверяет наличие строки «Pumatronix», которая, по мнению Darktrace, может соответствовать целям в сфере систем видеонаблюдения и камер слежения за дорожным движением.

После того, как цели определены, вредоносная ПО получает учетные данные для брута. В случае успеха запускает «uname -a» для получения информации об окружении и проверки того, что целевое устройство не является приманкой.

Затем PumaBot записывает свой основной двоичный файл (jierui) в /lib/redis и устанавливает службу systemd (redis.service) для обеспечения сохранения работоспособности при перезагрузках устройства.

Наконец, внедряет свой собственный SSH в файл authorized_keys для сохранения доступа даже в случае очистки, которая удаляет первичное заражение.

Если заражение остается активным, PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражи данных для горизонтального перемещения.

Примерами полезных нагрузок, обнаруженных Darktrace, являются самообновляющиеся скрипты, руткиты PAM, которые заменяют легитимный pam_unix.so, и демоны (двоичный файл «1»).

Вредоносный модуль PAM собирает локальные и удаленные данные входа SSH и сохраняет их в текстовом файле (con.txt). Двоичный файл watcher (1) реализует постоянный поиск этого текстового файла, а затем высылает его на C2, после эксфильтрации он стирается с зараженного хоста.

Кроме того, поддерживает networkxm, инструмент для взлома SSH, который функционирует аналогично начальной стадии ботнета, извлекая список паролей с сервера C2 и пытаясь подключиться через SSH через список целевых IP-адресов.

Масштабы кампании и эффективность PumaBot в настоящее время Darktrace затрудняется оценить, как и объемы списков целевых IP-адресов.

В целом, ботнет похожим на червя и представляет собой постоянную угрозу SSH на основе Go, которая использует автоматизацию, подбор учетных данных и собственные инструменты Linux для получения и сохранения контроля над скомпрометированными системами

Как полагают исследователи, новый вредоносный ботнет выделяется тем, что реализует целевые атаки, открывающие путь к более глубокому проникновению в корпоративные сети, вместо прямого использования зараженных IoT-устройств для менее серьезных DDoS или прокси.

Но будем посмотреть.

Читать полностью…
Subscribe to a channel