39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Positive Technologies выкатили отчет с обзором основных трендов в развитии вредоносного ПО и оценки его роли в кибератаках, сравнив полученные результаты со статистикой прошлых лет.
В основе исследования - публичные сведениях об инцидентах, собственная экспертиза Positive Technologies, результаты анализа вредоносного ПО, географически охватывающие российский сегмент за период 2024 - первой половины 2025 года.
Отчет, как всегда получился достаточно объемный, так что отметим основные тренды:
- Доля атак с использованием вредоносного ПО продолжает расти: в 2024 и первой половине 2025 года такие атаки составили 65% по сравнению с 60% в 2023 году и 54% в 2022. Согласно прогнозам, в будущем вредоносное ПО сохранит свое ключевое положение в методах атакующих.
- Наиболее часто атакуемые организации с помощью вредоносного ПО - госучреждения (14% от общего числа атак с использованием ВПО), промышленные (11%) и IT-компании (8%). Для сравнения, в предыдущем году лидировали медучреждения (теперь 7%), организации сферы науки и образования (теперь 8% атак) и промышленность. Смена приоритетов объясняется высокой ценностью данных и инфраструктуры, а также наличием определенной специфики в этих отраслях.
- В атаках преобладало использование шифровальщиков, однако их доля заметно снизилась: с 57% в 2023 году до 44% в 2024 году. Это снижение совпало с масштабными действиями спецслужб в отношении крупнейших группировок, таких как LockBit (операция Cronos) и ALPHV (BlackCat) (действия ФБР в декабре 2023 года).
- Доля атак с использованием шпионского ПО на организации увеличилась с 12% в 2022 году до 23% в 2023 году, а затем снизилась до 20%: такое снижение может быть следствием возросшего интереса злоумышленников к вредоносному ПО для удаленного управления.
- На фоне общей для spyware и ransomware тенденции падения значительно выросло применение вредоносного ПО для удаленного управления (remote access trojan, RAT) — с 21% до 37% в атаках на организации. Такой рост тесно связан с развитием платформ MaaS и PhaaS.
- Наиболее часто встречающиеся семейства вредоносных ПО: FormBook, AgentTesla и SnakeKeylogger. Певрые сохранили свои лидирующие позиции по сравнению с прошлым годом, последний же заметно укрепил свои позиции, переместившись с восьмого места рейтинга на второе. Кроме того, стоит упомянуть семейства DarkWatchman и Prometei: оба они резко выросли по количеству обнаружений.
- В контексте действий вредоносных ПО наибольшую популярность набирают техники, связанные со сбором информации, шпионажем и маскировкой действий. Особый интерес вызывает появление техники Audio Capture (T1123), что может отражать растущий интерес к аудиоданным для использования в атаках методами социальной инженерии — в том числе с применением ИИ.
- В качестве основного метода доставки вредоносных ПО по-прежнему доминирует электронная почта (47%), хотя ее доля снизилась по сравнению с 2023 годом (было 57%); выросла доля атак, связанных с компрометацией компьютеров, серверов и сетевого оборудования (с 31% до 38%).
- Наиболее популярным типом вложений, используемых для доставки вредоносного ПО в 2024 году, как и годом ранее, остаются архивные файлы. Однако их доля продолжает снижаться: с 37% в 2023 году до 32% в 2024 году. На фоне снижения популярности архивов наблюдается значительный рост использования веб-страниц (файлы с расширениями .html, .htm и другими): по сравнению с 2023 годом их доля выросла с 15% до 32%.
Инфографика, статистка и рекомендации - в отчете.
Мы не раз шутили предупреждали, что ваш умный чайник или роутер вполне может атаковать Пентагон, пока вы неспешно проводите церемонию чаепития.
Во всяком случае в кейсе RapperBot так и получилось, ботнет реально как минимум трижды использовался для атак на сети Пентагона.
Но больше не будет. Его создатель и оператор 22-летний Итан Фольц, житель Орегона, был арестован.
Власти США предъявили ему обвинение в создании и эксплуатации DDoS-ботнета RapperBot, который он использовал совместно с Slaykings для заказных атак.
Нейтрализация ботнета проводилась в рамках операции PowerOff 6 августа во время рейда на резиденцию Фольца в Орегоне.
Вредоносный ботнет на базе Mirai, также известный как Eleven Eleven и CowBot, активен как минимум с 2021 года и заразил десятки тысяч цифровых видеорегистраторов (DVR) и маршрутизаторов. Пропускная способность составляла от 2 до 6 Тбит/с.
В среднем количество заражённых устройств достигало от 65 000 до 95 000.
Rapper Bot использовался для атак на более чем 18 000 организаций в 80 странах, включая правительственные системы, медиаплатформы и крупные технологические компании, а также поддерживал криптомайнинг.
Amazon Web Services (AWS) помогла отследить инфраструктуру С2 и предоставила спецслужбам важную развединформацию, согласно которой с апреля 2025 года Rapper Bot осуществил 370 000 атак.
Мощность этих атак варьировалась от нескольких терабит до более 1 миллиарда пакетов в секунду (pps), при этом мощность осуществлялась с помощью более чем 45 000 взломанных устройств в 39 странах. Атаки часто сопровождались вымогательством.
Согласно судебным документам, установить личность Фольца удалось после того, как он оплатил сервера С2 RapperBot со своего счёта PayPal.
Исследователь Марек Тот обнаружил, что расширения для браузеров 1Password, Bitwarden, Dashlane, Enpass, Keeper, LastPass, LogMeOnce, NordPass, ProtonPass, RoboForm и Apple iCloud Passwords уязвимы для атак типа clickjacking, которые могут привести к краже конфиденциальных данных.
Эти расширения достаточно популярны, их общее число активных установок составляет около 40 миллионов, согласно данным официальных репозиториев расширений для браузеров Chrome, Edge и Firefox.
При этом некоторые поставщики уже устранили уязвимости, но для Bitwarden 2025.7.0, 1Password 8.11.4.27, iCloud Passwords 3.1.25, Enpass 6.11.6, LastPass 4.146.3 и LogMeOnce 7.12.4 исправления все еще не выпущены. Несмотря на то, что поставщиков оповестили о проблемах еще в апреле 2025 года.
Результаты своей работы Тот представил в начале этого месяца на конференции DEF CON, также опубликовав отчет в блоге с подробным описанием анализа.
Исследователи Socket также подтвердили выводы и координировали раскрытие информации.
Clickjacking реализует метод атаки, при котором злоумышленник обманным путём заставляет пользователя нажимать на скрытые элементы веб-страницы.
Злоумышленник создаёт веб-сайт, содержащий вредоносные кнопки или другие прозрачные элементы, которые размещаются поверх безобидных на вид элементов страницы.
Когда жертва посещает сайт злоумышленника и взаимодействует с этими безобидными на вид элементами, она фактически нажимает на вредоносный элемент, неосознанно выполняя опасные действия.
Тот продемонстрировал, как использовать clickjacking расширений на основе DOM и функцию автозаполнения менеджеров паролей для кражи конфиденциальных данных, включая персональные данные, имена пользователей и пароли, ключи доступа и информацию о платежных картах.
Исследователь также продемонстрировал возможность использования метода, при котором пользовательский интерфейс следует за курсором мыши, поэтому любой щелчок мышью, независимо от его положения, запускает автозаполнение данными.
В исследуемых атаках для достижения цели жертве потребуется от 0 до 5 кликов, причём в большинстве случаев достаточно одного клика по безобидному на вид элементу страницы.
Атаки с одним кликом часто включали эксплуатацию XSS или других уязвимостей.
Тот отмечает, что универсальный скрипт атаки может быть использован для определения активного менеджера паролей в браузере цели, а затем можно адаптировать атаку в режиме реального времени.
Реакция поставщиков оказалась достаточно медлительной, хотя их предупреждали о раскрытии в августе. На этой неделе Socket также вновь уведомила их о назначении CVE на их продукты.
Bitwarden сообщила, что на этой неделе будет выпущено исправление уязвимости версии 2025.8.0.
LogMeOnce подтвердила результаты исследования и активно работает над устранением проблемы.
Пока неясно, планируют ли LastPass и 1Password кардинально решать проблему.
Разработчики ссылаются на то, что clickjacking - это давно существующий метод атак и общий риск, управление которым должны осуществлять сами пользователи. Их решения уже содержат базовые меры защиты.
Исправления были реализованы следующими поставщиками: Dashlane (6.2531.1 от 1 августа), NordPass, ProtonPass, RoboForm и Keeper (17.2.0 от июля).
Пока не появятся исправления, Тот рекомендует пользователям отключить функцию автозаполнения в своих менеджерах паролей и использовать только копирование/вставку.
Исследователь Итон Звеаре раскрыл подробности нескольких уязвимостей, благодаря которым ему удалось получить доступ к служебной и личной информации более 270 000 сотрудников Intel.
Расчехлить корпоративные системы ему удалось еще в октябре 2024 года, после чего в Intel спешно их устраняли.
Изначально Звеаре отыскал уязвимость, которая позволяла ему обойти аутентификацию на портале Intel India, который обеспечивал оформление заказов на визитки для сотрудников компании.
Несмотря на региональную направленность, в базе данных Intel India хранилась информация в отношении сотрудников по всему миру.
Дальнейший анализ показал, что потенциальный злоумышленник мог получить данные практически по каждому сотруднику.
При этом раскрытая информация включала имя, адрес электронной почты, номер телефона и должность.
Другая более конфиденциальная информация, в том числе номера социального страхования и данные о заработной плате, находилась вне контура утечки.
Затем Звеаре обнаружил два других корпоративных ресурса, которые раскрывали данные всех сотрудников Intel благодаря жёстко заданным учётным данным, предоставляющим доступ администратора.
Четвертый корпоративный портал Intel для управления данными о поставщиках, также включал уязвимость обхода аутентификации, которую можно было задействовать для получения доступа как к более конфиденциальной информации по сотрудникам, так и по поставщикам Intel.
После уведомления Intel оперативно пофиксили дыры, отметив отсутствие каких-либо нарушений или утечек в связи с возможным несанкционированным доступом к данным компании.
После получения отчетов Звеаре компания даже расширила условия программы BugBounty, включив в неё облачные сервисы и SaaS-платформы. До этого они не подпадали под ее действие.
Власти Великобритании после долгих инсинуаций отказались от требований к Apple по ослаблению шифрования и реализации бэкдора для доступа к зашифрованным облачным данным.
Сделать это пришлось под давлением правительства США, крайне негативно отреагировавшем на возможный доступ к защищенным данным своих граждан.
Директор Национальной разведки США (DNI) Тулси Габбард в своем заявлении отметила, что в течение последних нескольких месяцев правительство США тесно работало с партнерами из Великобритании, отстаивая гражданские свободы американцев.
Тем не менее, в начале февраля Apple была вынуждена отключить опцию Advanced Data Protection (ADP) для iCloud в Великобритании в ответ на запрос местного правительства предоставить доступ к зашифрованным пользовательским данным.
Секретное распоряжение, обязывающее Apple внедрить бэкдор, было оформлено в форме уведомления о технических возможностях (TCN) Министерства внутренних дел Великобритании в соответствии с Законом о полномочиях следствия (IPA) для обеспечения неограниченного доступа к сквозному шифрованию облачных данных, даже для пользователей за пределами страны.
Распоряжение было вынесено в январе 2025 года и вызвало резкую критику со стороны представителей инфосек-сообщества, сетовавших на то, что подобные лазейки могут просочиться в киберподполье или попасть в руки разработчикав spyware со всеми вытекающими.
После чего Apple подала апелляцию с требованиями проверки законности постановления, а Трибунал по расследованию полномочий (IPT) отклонил попытки МВД сохранить разбирательство в тайне.
В дело также вмешались американские сенаторы, а американская разведка вовсе пригрозила сворачиванием каналов взаимодействия по линии спецслужб. В итоге пришлось британским спецслужбам дать заднюю.
Но самое интересное, что кроме Apple никаких требований доступа к данным клиентов в глаза не видели ни в Google, сообщившая об этом в конце прошлого месяца, ни в Meta (признана в РФ экстремистской).
Во всяком случае - так говорят официально, но как знать.
Elastic официально опровергла сообщение в отношении 0-day в ее системе Defend Endpoint Detection and Response (EDR).
Заявление компании последовало в ответ на публикацию в блоге компании AshES Cybersecurity, в которой утверждается, что вргла сообщение в отнобнаружена уязвимость удаленного выполнения кода (RCE), позволяющая злоумышленнику обойти защиту EDR.
Как сообщается, команда Elastic Security Engineering «провела тщательное расследование», но не смогла найти «доказательств, подтверждающих заявления об уязвимости, которая обходит мониторинг EDR и позволяет удаленно выполнять код».
Согласно отчету AshES Cybersecurity от 16 августа, уязвимость разыменования указателя NULL в драйвере ядра Elastic Defender (elastic-endpoint-driver.sys) может быть использована для обхода мониторинга EDR, обеспечения RCE с ограниченной видимостью и обеспечения персистентности в системе.
Причем для демонстрации концепции исследователь AshES Cybersecurity использовал специальный драйвер, чтобы достоверно активировать уязвимость в контролируемых условиях.
Чтобы продемонстрировать обоснованность выводов, компания опубликовала даже два видеоролика: один из них демонстрирует сбой Windows из-за сбоя драйвера Elastic, а другой демонстрирует предполагаемый эксплойт, запускающий calc.exe без принятия мер Defend EDR от Elastic.
Исследователи отметили, что 0-day драйвера Elastic - это не просто ошибка стабильности. Она позволяет реализовать целую цепочку атак, которую злоумышленники могут использовать в реальных средах.
В свою очередь, после оценки заявлений и отчетов AshES Cybersecurity специалисты Elastic не смогли воспроизвести уязвимость и ее последствия.
Кроме того, Elastic утверждает, что в многочисленных отчетах, полученных от AshES Cybersecurity о предполагаемой уязвимости нулевого дня, «отсутствуют доказательства воспроизводимых эксплойтов», а сами исследователи якобы отказались предоставить воспроизводимый PoC.
AshES Cybersecurity подтвердила свое решение не отправлять PoC компании Elastic или ее представителям, на что последняя назвала их действия «противоречащими принципам координированного раскрытия информации».
По всей видимости, возникли разногласия по поводу выплат в рамках программы вознаграждения, по которой в принципе начиная с 2017 года Elastic произвела платежи на сумму в размере 600 000 долл.
Как бы то ни было, уверены, что в киберподполье проведут собственный инжиниринг и рассудят стороны своими методами.
Но будем посмотреть, конечно.
Когда CISO узнал, что на него хотят повесить персданные
Читать полностью…
Исследователи Positive Technologies нашли взаимосвязи проукраинской APT PhantomCore со шпионской кампанией, в ходе которой на страницы входа в серверы Exchange были установлены кейлоггеры.
В июньском исследовании было упомянуто несколько кейлоггеров с отправкой собранных данных на сервер злоумышленников.
Среди них был один, который отправлял данные на browser.anaiytics.org через заголовки запросов.
Чуть позднее, примерно через неделю, был обнаружен идентичный кейлоггер, отличающийся от первого только внешним сервером.
Оба сервера скрыты за сервисом Cloudflare, поэтому настоящий IP-адрес получить не так просто.
Однако для одного из серверов это сделать получилось.
Удалось установить несколько IP-адресов, которые потенциально относятся к доменам: 45.87.245.19 (неактивен в системах с марта) и 91.239.148.213 (активен на данный момент).
На обоих серверах с указанными IP-адресами было развернуто Django-приложение с использованием Uvicorn в качестве ASGI-сервера. При обращении на 80 порт они возвращали идентичный ответ.
Изучая особенности сетевой инфраструктуры в части WHOIS-информации о домене browser.anaiytics[.]org, Позитивы установили другие домены: voen-pravoru[.].online, bi-zone[.]com и voen-pravo[.]online, с которым была связана ссылка на скачивание архива CalculatorVyplatSetup_1.0.6.zip.
Ссылка фигурировала на фишинговой странице домена дискусс[.]рф, которая была скопирована с официального сайта «Правового уголка офицера» (voen-pravo.ru).
Сам архив защищен паролем 123213 и содержит единственный бинарный установщик.
Приложение написано с использованием фреймворка Qt, собрано в декабре 2024 года и имеет пользовательский интерфейс, мимикрирующий под калькулятор выплат.
Самое интересное устанавливается на заднем плане - сервис UpdateService, запускаемый в автоматическом режиме.
Исходя из даты создания файла и логики работы загрузчика исследователи пришли к выводу, что это PhantomDL v.3.
Таким образом, удалось подтвердить, что это вредоносное ПО с высокой вероятностью относится к группировке PhantomCore.
Значит, и WHOIS-информация, найденная на доменах ранее, также принадлежит ей, как и Exchange-кейлоггеры с отправкой данных в HTTP-заголовках.
По итогу было выявлено 10 жертв, на серверах которых находится ранее рассмотренный Exchange-кейлоггер.
Все жертвы - компании на территории России, занимающиеся IT-консалтингом и разработкой IT-решений. Количество учетных записей, собранных с систем жертв, превысило 5000.
Как сообщают Позитивы, это лишь небольшая часть большого исследования в отношении группировки PhantomCore.
Дополнительные подробности обещают выкатить уже совсем скоро. Будем следить.
🧬Анатомия кликбейта «Data Troll» или миф о 🔐«16 миллиардах паролей»
Подкатил разбор от Троя Ханта по поводу 🥱"нашумевшей мегаутечки" [1,2], которую обнаружил Боб Дьяченко.
📖Анализ, проведенный основателем Have I Been Pwned Троем Хантом, показывает, что мы имеем дело с совокупностью различных наборов данных из логов инфостилеров. Набор данных от самого Троя получил символическое название 😁"Data Troll".
Согласно заключению эксперта, глубинный анализ полученного корпуса данных объемом 775 ГБ, содержащего 2.7 миллиарда строк, выявляет очевидное расхождение между заголовками новостных СМИ и реальным положением дел.
1️⃣ После тщательной дедупликации и парсинга было извлечено всего 109 миллионов уникальных адресов электронной почты, что составляет примерно 4% от общего объёма (2.7 миллиарда строк).
2️⃣ 96% email-адресов уже присутствовали в базе HIBP, что подтверждает гипотезу о переупаковке и циркуляции старых данных.
3️⃣ 96% из 231 млн паролей уже были известны. Около 9.24 миллиона паролей были новыми.
4️⃣ Обнаружено значительное пересечение с логами "ALIEN TXTBASE", появившимися ранее в том же году.
👆Реальный импакт значительно меньше, чем заявлено в заголовках. Данные в основном старые и являются переупаковкой ранее циркулировавших логов. Инцидент не создает каких-либо новых рисков, которые не существовали ранее. СМИ использовали данные для создания провокационных и манипулятивных заголовков с целью привлечения внимания.
И в заключение — о названии «Data Troll». Когда я впервые увидел, какой резонанс получила эта история, в моём воображении возник образ тролля, сидящего на грудах данных. Затем средства массовой информации подхватили это и превратили в намеренно провокационные заголовки, манипулируя нарративом для привлечения внимания.
Надеюсь, данная публикация несколько охладит этот ажиотаж и вернёт в дискуссию здравый смысл.
Нам нужно серьезно относиться к подобным утечкам данных, но эта, безусловно, не заслуживала того внимания, которое получила.
Исследователи Лаборатории Касперского в новом отчете отследили эволюцию бэкдора PipeMagic: от инцидента с RansomExx до CVE-2025-29824, которая оказалась в числе 121, исправленной в рамках Microsoft PatchTuesday.
Стоит отметить, что отчет стал результатом совместного исследования ЛК с группой исследования уязвимостей BI.ZONE.
Ключевые изменения в TTPs операторов PipeMagic представили Касперы, а Бизоны, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.
Как отметили в Редмонде, CVE-2025-29824 единственная использовалась в реальных атаках на момент выхода патча, а эксплойт к ней запускал вредоносное ПО PipeMagic, который впервые ЛК обнаружила в декабре 2022 года в кампании с использованием RansomExx.
Жертвами атаки стали промышленные компании в Юго-Восточной Азии. Для проникновения в инфраструктуру злоумышленники использовали уязвимость CVE-2017-0144.
Загрузчик бэкдора представлял собой троянизированное приложение Rufus для форматирования USB-дисков, а сам PipeMagic поддерживал два режима работы: полноценный бэкдор и сетевой шлюз для исполнения широкого набора команд.
Позже в ЛК задетектили его вновь в сентябре 2024 года в атаках на организации в Саудовской Аравии. Примечательно, что это была та же версия PipeMagic, что и в 2022 году.
Тогда для первоначального проникновения злоумышленники не эксплуатировали уязвимости, а использовали в качестве приманки поддельное приложение-клиент для ChatGPT.
Оно было написано на Rust и использовало фреймворки Tauri для отрисовки графических приложений и Tokio для асинхронного выполнения задач.
Никакой полезной функциональности в нем не оказалось. Приложение извлекало из своего кода зашифрованный AES массив размером 105 615 байт, расшифровывало и выполняло его. Результат - шелл-код, отвечающий за загрузку исполняемого файла.
Одной из уникальных особенностей PipeMagic является генерация случайного массива длиной 16 байт, который используется для создания именованного канала для передачи зашифрованной полезной нагрузки и уведомлений.
Для взаимодействия с именованным каналом используется стандартный сетевой интерфейс, а для скачивания модулей (PipeMagic обычно задействует несколько плагинов с C2) задействуется домен: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.
Продолжая отслеживать активность зловреда, в 2025 году решения Лаборатории предотвратили заражение организаций в Бразилии и Саудовской Аравии.
При расследовании было замечено обращение к домену hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, которое и навело ресечреров на мысль о связи этой атаки с PipeMagic.
Позже исследователи нашли и сам бэкдор.
В этой атаке в роли загрузчика выступал файл формата Microsoft Help Index File.
Были также найдены образцы загрузчика PipeMagic, имитирующие клиент ChatGPT, похожий на тот, который злоумышленники применяли в атаках на организации в Саудовской Аравии в 2024 году.
Удалось также отследить три дополнительных плагина, используемых в вредоносной кампании 2025 года и реализующих различную функциональность, не присутствующую в основном бэкдоре.
Все модули представляют собой исполняемые файлы для 32-битных систем Windows.
Среди них: модуль асинхронной коммуникации, загрузчик (отвечает за внедрение дополнительной нагрузки в память и ее исполнение) и инжектор (отвечает за запуск полезной нагрузки - исполняемого файла, изначально написанного на C# (.NET).
После компрометации выбранной машины перед атакующими открывается широкий спектр возможностей по горизонтальному перемещению и получению данных учетных записей.
В атаках 2025 года злоумышленники использовали утилиту ProcDump для извлечения памяти процесса LSASS - аналогично методике, описанной Microsoft в контексте эксплуатации CVE-2025-29824.
А особенности этой уязвимости подробно проанализировали уже коллеги из Bi.ZONE во второй части совместного исследования.
Ресерчеры Citizen Lab выкатили результаты своих исследований безопасности ряда популярных VPN-приложений, доступных в магазине Google Play.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
😟 Black Hat USA 2025.
• Официальный BlackHatOfficialYT/videos">YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:
➡ https://github.com/onhexgroup/Conferences/BlackHat
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
➡Видео Black Hat Asia 2025.
➡Видео Black Hat Europe 2024;
➡Видео Black Hat Asia 2024;
➡Видео Black Hat USA 2024.
➡Видео Black Hat Europe 2023;
➡Видео Black Hat USA 2023;
➡Видео Black Hat Asia 2023.
➡Видео Black Hat Europe 2022;
➡Видео Black Hat USA 2022;
➡Видео Black Hat Asia 2022.
➖➖➖➖➖
➡Презентации Black Hat Asia 2025.
➡Презентации Black hat Europe 2024;
➡Презентации Black Hat USA 2024;
➡Презентации Black Hat Asia 2024.
➡Презентации Black Hat Europe 2023;
➡Презентации Black Hat USA 2023;
➡Презентации Black Hat Asia 2023.
➡Презентации Black Hat Europe 2022;
➡Презентации Black Hat USA 2022;
➡Презентации Black Hat Asia 2022.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Лаборатории Касперского представили результаты нового аналитического исследования из серии отчетов в отношении актуальных трендов в фишинге и скаме.
С момента предыдущей публикации по приемам фишеров произошел значительный рывок в развитии подобного рода угроз.
Несмотря на то, что многие ранее описанные инструменты по-прежнему остаются актуальными, появились новые техники, изменились цели атак и способы их реализации.
Фишинг и скам - это достаточно динамичные виды онлайн-мошенничества, они стремительно эволюционируют благодаря ИИ и новым технологиям.
Злоумышленники на системной основе изобретают как новые, более сложные схемы, так и улучшают старые, адаптируя их под новостную повестку, тренды и громкие мировые события.
Если раньше мошенники ограничивались поддельными письмами и сайтами, то сегодня они используют дипфейки, голосовые клоны, крадут биометрию и выманивают данные пользователей в несколько этапов.
В своем отчете исследователи выделяют следующие главные тенденции:
- Персонализация атак: ИИ анализирует соцсети и корпоративные данные, делая фишинг максимально правдоподобным.
- Использование легитимных сервисов: злоумышленники эксплуатируют доверенные платформы, такие как Google Translate и Telegraph.
- Кража неизменяемых данных: биометрия, подписи и голос становятся желанными целями.
- Усложнение обхода 2FA: мошенники внедряют многоэтапные схемы социнженерии.
Влияние ИИ на фишинг и скам, последние изменения в инструментарии злоумышленников, роль мессенджеров и приоритеты мошенников - все это в отчете.
Cisco опубликовала более 20 рекомендаций по безопасности в рамках обноавлений за август 2025 года для продуктов Secure Firewall Management Center (FMC), Secure Firewall Threat Defense (FTD) и Secure Firewall Adaptive Security Appliance (ASA).
Наиболее серьезной уязвимостью является CVE-2025-20265 (оценка CVSS: 10,0) критическая уязвимость, затрагивающая платформу Secure FMC, предназначенную для управления и мониторинга устройств Cisco FTD и других решений безопасности.
Уязвимость затрагивает реализацию подсистемы RADIUS, что может позволить неаутентифицированному удаленному злоумышленнику внедрять произвольные команды оболочки, которые выполняются устройством.
Проблема возникает из-за отсутствия надлежащей обработки вводимых пользователем данных на этапе аутентификации, в результате чего злоумышленник может отправить специально созданные входные данные при вводе учетных данных, которые проходят аутентификацию на настроенном сервере RADIUS.
Успешный эксплойт может позволить злоумышленнику выполнять команды с высоким уровнем привилегий.
Для эксплуатации Secure FMC должен быть настроен на аутентификацию RADIUS для веб-интерфейса управления, управления SSH или обоих.
Уязвимость затрагивает версии Secure FMC Software 7.0.7 и 7.7.0, если в них включена аутентификация RADIUS.
Обходных путей, кроме применения исправлений, предоставляемых компанией, не существует.
Помимо CVE-2025-20265 Cisco также исправила ряд других серьезных ошибок:
- CVE-2025-20217 (CVSS: 8,6): DoS-уязвимость Snort 3 в Secure Firewall Threat Defense.
- CVE-2025-20222 (CVSS: 8,6): DoS-уязвимость IPv6 через IPsec в Secure Firewall и Secure Firewall для Firepower серии 2100.
- CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (оценка CVSS: 8,6): DoS-уязвимости IKEv2 в IOS, IOS XE, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20133, CVE-2025-20243 (CVSS: 8,6): DoS-уязвимость удаленного доступа SSL VPN для Secure Firewall и Secure Firewall.
- CVE-2025-20134 (CVSS: 8,6): DoS-уязвимость SSL/TLS-сертификата в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20136 (CVSS: 8,6): DoS-уязвимость при проверке DNS в системе преобразования сетевых адресов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
- CVE-2025-20263 (CVSS: 8,6): уязвимость отказоустойчивости веб-сервисов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20148 (CVSS: 8,5): уязвимость HTML-инъекции в Secure Firewall Management Center.
- CVE-2025-20251 (CVSS: 8,5): DoS-уязвимость VPN-сервера VPN в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20127 (CVSS: 7,7): уязвимость шифрования TLS 1.3 типа DoS в Secure Firewall и Secure Firewall для Firepower серий 3100 и 4200.
- CVE-2025-20244 (CVSS: 7,7): DoS-уязвимость веб-сервера VPN с удалённым доступом в Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Как отмечает поставщик, пока ни одна из проблем не подвергалась активной эксплуатации в реальных условиях, но учитывая особое отношение киберподполья к решениям компании - это определенно может произойти.
Подкатил PatchTuesday в категории ICS и OT за август 2025 года от основных поставщиков, включая Siemens, Schneider, Aveva, Honeywell, ABB и Phoenix Contact.
Siemens опубликовала 22 новых бюллетеня, один из которых описывает CVE-2025-40746 - критическую уязвимость в Simatic RTLS Locating Manager, которую может использовать аутентифицированный злоумышленник для выполнения кода с системными привилегиями.
Компания также опубликовала рекомендации, касающиеся уязвимостей высокой степени серьезности в Comos (RCE), Siemens Engineering Platforms (RCE), Simcenter (DoS или RCE), контроллерах Sinumerik (несанкционированный удаленный доступ), Ruggedcom (обход аутентификации с физическим доступом), Simatic (RCE), Siprotect (DoS) и Opcenter Quality (несанкционированный доступ).
Siemens также устранила уязвимости, связанные со сторонними компонентами, включая OpenSSL, ядро Linux, Wibu Systems, Nginx, Nozomi Networks и SQLite.
Устранены проблемы средней и низкой степени серьезности в Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II и Sicam Q.
Schneider Electric выпустила пять новых бюллетеней. В одном из них описаны четыре высокосерьезные уязвимости в EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation. Эксплуатация может привести к RCE или раскрытию конфиденциальных данных.
В контроллере Modicon M340 и его коммуникационных модулях устранена опасная DoS-уязвимость, которая может быть вызвана специально созданными FTP-командами, а также проблема высокой степени серьезности, приводящая к раскрытию конфиденциальной информации или DoS.
В инструменте Schneider Electric Software Update компания устранила уязвимость высокой степени серьезности, которая позволяла злоумышленнику повысить привилегии, повредить файлы, получить информацию или вызвать DoS.
В Saitel и EcoStruxure были исправлены проблемы средней степени серьезности, которые могли привести к EoP, DoS или раскрытию конфиденциальных учетных данных.
Honeywell опубликовала шесть бюллетеней, посвящённых продуктам SCADA, в том числе несколько бюллетеней, информирующих об обновлениях Windows для продуктов Maxpro и Pro-Watch NVR и VMS.
Компания также выпустила бюллетени, посвящённые обновлениям и улучшениям безопасности для контроллеров доступа серии PW.
Aveva выкатила уведомление о двух проблемах в PI Integrator for Business Analytics. Были устранены две уязвимости: одна - с произвольной загрузкой файлов, которая могла привести к RCE, и другая - приводящяя к раскрытию конфиденциальных данных.
ABB сообщала о нескольких уязвимостях, затрагивающих Aspect, Nexus и Matrix.
Некоторые из них могут быть использованы без аутентификации для RCE, получения учётных данных, а также для манипулирования файлами и различными компонентами.
Phoenix Contact предупредила клиентов об уязвимости, связанной с EoP в системе управления устройствами и обновлениями.
Rockwell Automation анонсирвоала предупреждение для клиентов в отношении нескольких серьезных уязвимостей выполнения кода, влияющих на Arena Simulation.
Также предупреждение выпустила Mitsubishi Electric, описывая в нем уязвимость, приводящую к подмене информации в продуктах Genesis и MC Works64.
Знакомьтесь! Новый брокер эксплойтов - Advanced Security Solutions или ASS.
Основанная в этом месяце с дислокацией в ОАЭ компания предлагает вознаграждение до 20 млн. долл. за цепочки эксплойтов в мобильных операционных системах.
Согласно заявлению ASS, в числе ее клиентуры - спецслужбы 25 стран, а штате - профи с 20-летним опытом.
Пожалуй, на рынке это одни из самых высоких расценок на 0-day эксплойты: до 15 млн. за ZeroClick для Android и iOS, до 10 млн. - для Linux и Windows и 7 - для macOS.
Исследователи Dr.Web сообщают об обнаружении нового многофункционального бэкдора для Android (Android.Backdoor.916.origin), предназначенного для проведения целевых атак на российских пользователей.
Первые версии появились еще в январе 2025 года. С момента детектирования Dr.Web отслеживала развитие вредоносной ПО и смогла идентифицировать ряд версий.
Исследователи полагают, что Android.Backdoor.916.origin, вероятно, предназначен скорее для целевых атак, чем для массового распространения среди пользователей Android-устройств.
Злоумышленники распространяют его в формате APK-файла через личные сообщения в мессенджерах под видом антивируса GuardCB.
При этом логотип приложения напоминает эмблему Центробанка РФ на фоне щита, а интерфейс приложения поддерживает только один язык - русский.
Его основная цель - представители российского бизнеса. Это подтверждают и другие обнаруженные модификации с названиями типа SECURITY_FSB, ФСБ и др. Приложение фактически не имеет антивирусных функций.
При первом запуске запрашивает доступ к системным разрешениям: геолокация; аудиозапись; доступ к СМС, контактам, истории звонков, медиафайлам, совершение звонков; камера; разрешение на работу в фоновом режиме; права администратора устройства и служба доступности.
Затем вредоносная ПО запускает несколько собственных служб и проверяет их активность каждую минуту, перезапуская их при необходимости.
Бэкдор использует эти службы для подключения к С2 и получения большого количества команд.
Среди них: перехват sms, контактов, истории вызовов, геолокации, информации о сети и интерфейсах устройства, запись с микрофона и камеры, трансляция экрана, доступ к изображениям и выполнение команд оболочки и др.
Бэкдор направляет различные типы собираемых им данных на отдельные порты сервера C2. Android.Backdoor.916.origin также использует Accessibility Service для реализации функций кейлоггера и перехвата контента из мессенджеров и браузеров.
Кроме того, троян способен отслеживать: Telegram, Google Chrome, Gmail, Яндекс Старт, Яндекс Браузер и WhatsApp.
Бэкдор также задействует Accessibility Service для защиты себя от удаления в случае получения соответствующей команды от злоумышленников.
Android.Backdoor.916.origin обладает функционалом, позволяющим ему работать с большим количеством командных серверов, информация о которых хранится в его конфигурации.
Кроме того, он может переключаться между хостинг-провайдерами, число которых может достигать до 15, однако в настоящее время эта возможность не используется.
Dr.Web пока не раскрывает авторство этого вредоносного ПО.
Индикаторы компрометации - в отчете.
Исследователи Push Security раскрывают новую технику хакеров, которая объединяет легитимные ссылки office.com со службами Active Directory Federation Services (ADFS) для перенаправления пользователей на фишинговую страницу и кражи учетных данных Microsoft 365.
Этот метод позволяет злоумышленникам обходить традиционную систему обнаружения на основе URL-адресов и процесс MFa, используя доверенный домен в инфраструктуре Microsoft для первоначального перенаправления.
Заметить аномалию с перенаправлением пользователей с легитимной ссылки outlook.office.com на фишинговый веб-сайт удалось в ходе анализа кампании, нацеленной на нескольких из клиентов Push Security.
Фишинговая страница не имела никаких особых элементов, которые могли бы воспрепятствовать ее обнаружению, однако метод доставки включал доверенную инфраструктуру для обхода решений безопасности.
Фишинговая атака начиналась с нажатия жертвой вредоносной рекламной ссылки в результатах поиска Google по запросу Office 365.
После чего пользователь перенаправлялся в Microsoft Office, который, в свою очередь, перенаправлял пользователя на другой домен, bluegraintours[.]com, который, в свою очередь, также перенаправлял на фишинговую страницу, настроенную для сбора учетных данных.
На первый взгляд, переход на вредоносную страницу происходил путем перенаправления с домена Microsoft office.com, а не посредством фишингового письма.
При расследовании инцидентов исследователи Push Security обнаружили, что злоумышленник создал пользовательский клиент Microsoft с настроенными службами ADFS.
ADFS - это решение единого входа (SSO) от Microsoft, которое позволяет пользователям получать доступ к нескольким приложениям как внутри, так и за пределами корпоративной сети, используя единый набор учетных данных для входа.
Управляя клиентом Microsoft, злоумышленник смог использовать ADFS для получения запросов на авторизацию от домена bluegraintours, который выступал в роли поставщика IAM, что позволило выполнить аутентификацию на фишинговой странице.
Поскольку сайт bluegraintours не виден цели во время цепочки перенаправлений, злоумышленник заполнил его фейковыми сообщениями в блоге и достаточным количеством информации, чтобы он казался легальным для автоматических сканеров.
Дальнейший анализ показал, что злоумышленник применил условные ограничения загрузки, которые предоставляют доступ к фишинговой странице только тем целям, которые считаются допустимыми. В противном случае автоматически перенаправляются на официальный office.com.
Как полагают в Push Security, замеченные вредоносные активности с довольно стандартными фишинговыми артефактами, по всей видимости, не нацелены на конкретные цели и скорее всего были реализованы в формате тестирования новых методов атак.
Ранее Microsoft ADFS уже использовался в фишинговых кампаниях, но тогда злоумышленники подделывали страницу входа в ADFS целевой организации, чтобы украсть учетные данные.
Для защиты от атак такого типа Push Security рекомендует комплекс мер, включающий мониторинг перенаправлений ADFS на вредоносные сайты.
Поскольку расследуемая атака началась с вредоносной рекламы, исследователи также советуют проверять параметры рекламы в перенаправлениях Google на office.com, поскольку это может выявить вредоносные домены или перенаправления на фишинговые страницы.
Apple выпустила экстренные обновления для исправления еще одной 0-day (помимо еще пяти, эксплуатируемых в сети с начала года), которая была использована в проведении чрезвычайно сложной атаки.
Она отслеживается как CVE-2025-43300 и связана с записью за пределами выделенного буфера памяти.
Была обнаружена исследователями Apple в инфраструктуре Image I/O, которая позволяет приложениям читать и записывать большинство форматов файлов изображений.
Как отмечает Apple, компания получила отчете о том, что эта уязвимость могла быть использована для крайне сложной таргетированной атаке в отношении конкретных неназванных лиц.
Проблема записи за пределами выделенного буфера памяти решена благодаря улучшенной проверке границ.
Обработка вредоносного файла изображения может привести к повреждению памяти.
Apple решила эту проблему, улучшив проверку границ для предотвращения эксплуатации уязвимости в iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8.
Полный перечень устройств, затронутых уязвимостью, достаточно обширен, ошибка затрагивает как старые, так и новые модели, включая: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, iPad Pro 12,9 дюймов 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения и Mac под управлением macOS Sequoia, Sonoma и Ventura.
Компания традиционно пока не раскрывает авторства открытия и не публикует подробности об атаках.
Несмотря на то, что они были нацелены на конкретные цели, пользователям настоятельно рекомендуется как можно скорее обновиться, чтобы нейтрализовать потенциальные риски.
Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT.
Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype.
Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2.
Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию.
GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT.
Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами.
Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41).
SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом.
DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT.
Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов.
Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer.
Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте.
Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT.
Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки.
При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif.
Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.
Google и Mozilla представили серию исправлений для Chrome и Firefox, в том числе для уязвимостей высокой степени серьезности.
Выпущена новая версия Chrome 139 с устранением серьезной проблемы записи за пределами выделенной памяти в движке JavaScript V8, которая отслеживается как CVE-2025-9132.
Уязвимость могла эксплуатироваться удаленно с помощью специально созданных HTML-страниц. Ее обнаружил агент Google Big Sleep AI, запущенный Google DeepMind и Project Zero в ноябре 2024 года.
Google не раскрыла подробностей об уязвимости CVE-2025-9132, но в прошлом месяце отмечала, что Big Sleep способен находить уязвимости, о которых злоумышленники уже знают и планируют использовать в своих атаках, что позволяет отрасли препятствовать их эксплуатации.
Исправления уязвимости V8 были включены в версии Chrome 139.0.7258.138/.139 для Windows и macOS, а также в версию 139.0.7258.138 для Linux, которые вскоре должны стать доступны всем пользователям.
Mozilla выпустила исправления для девяти уязвимостей безопасности Firefox, пять из которых были оценены как высокосерьёзные.
Также были выпущены новые версии Thunderbird и Firefox ESR для устранения некоторых из этих ошибок.
К уязвимостям высокой степени серьезности относятся проблема повреждения памяти в процессе GMP, приводящая к выходу из «песочницы» (CVE-2025-9179), обход политики единого источника в графическом компоненте (CVE-2025-9180) и несколько ошибок безопасности памяти, которые потенциально могут привести к RCE (CVE-2025-9187, CVE-2025-9184 и CVE-2025-9185).
Оставшиеся недостатки, исправленные в этой версии Firefox, включают в себя проблему неинициализированной памяти средней степени серьезности, а также ошибки спуфинга и DoS низкой степени.
Исправления этих уязвимостей безопасности были включены в Firefox 142, Thunderbird 142, Thunderbird 140.2, Thunderbird 128.14, Firefox для iOS 142, Focus для iOS 142, Firefox ESR 140.2, Firefox ESR 128.14 и Firefox ESR 115.27.
Google и Mozilla не упоминают об использовании каких-либо из этих уязвимостей в атаках, но пользователям рекомендуется как можно скорее обновить свои браузеры и почтовые клиенты.
Исследователи BI.ZONE представили результаты анализа уязвимости CVE-2025-29824, которые легли в основу общего исследования совместно с Лабораторией Касперского.
Как мы ранее сообщали, Касперы проследили развитие PipeMagic и выявили ключевые изменения в TTPs операторов этого ПО, посредством которого был реализован эксплойт к уязвимости.
Он запускался в адресном пространстве процесса dllhost.exe и использовал классические техники постэксплуатации.
Для получения адресов из пространства ядра применялась функция NtQuerySystemInformation, а для повышения привилегий - RtlSetAllBits изнутри ядра, чтобы включить все привилегии процесса при повреждении структуры EPROCESS.
Так как для эксплуатации требовалось взаимодействие с драйвером clfs.sys, атакующие создавали файл C:\ProgramData\SkyPdf\PDUDrv.blf.
После повышения привилегий полезная нагрузка сначала внедрялась в адресное пространство процесса winlogon.exe, оттуда - в procdump.exe, а затем - в адресное пространство процесса dllhost.exe, запущенного с помощью следующей команды:
C:\Windows\system32\dllhost.exe -accepteula -r -ma lsass.exe c:\programdata\[комбинация из случайных символов]
Эти действия выполняются для того, чтобы затем появилась возможность получить данные LSASS из памяти, что ведет к краже учетных данных пользователей Windows.
С повышенными привилегиями выполнялось шифрование файлов в скомпрометированной системе с использованием шифровальщика RansomEXX, также запущенного через dllhost.exe:
C:\Windows\system32\dllhost.exe --do [путь к вредоносному файлу RansomEXX]
Как отмечают исследователи, в последнее время clfs.sys наряду с afd.sys и win32k.sys стал популярной целью у злоумышленников: уязвимости в нем часто детектируются в дикой природе в ходе различных кампаний.
Подробности выявленных ресерчерами проблем в драйвере Microsoft Windows Common Log File System, которые были реализованы в реальных атаках - в отчете BI.ZONE.
В сеть просочился исходный код v3.0 банковского трояна ERMAC для Android, раскрыв внутреннюю часть MaaS-платформы и инфраструктуру его оператора.
Утечка была обнаружена исследователями Hunt.io в процессе сканирования открытых ресурсов в марте 2024 года.
Архив с именем Ermac 3.0.zip содержал код вредоносного ПО, включая бэкэнд, фронтэнд (панель), сервер эксфильтрации, конфигурации развертывания, а также конструктор и обфускатор.
Исследователи проанализировали код и обнаружили, что он значительно расширил возможности таргетинга по сравнению с предыдущими версиями.
ERMAC был впервые описан в сентябре 2021 года исследователями ThreatFabric и представлял собой эволюцию банковского трояна Cerberus, эксплуатируемого злоумышленником, известным как BlackRock.
ERMAC v2.0 был обнаружен компанией ESET в мае 2022 года.
Он предоставлялся киберпреступникам в ежемесячную аренду по цене в 5000 долл. и был нацелен на 467 приложений, тогда как в предыдущей версии их было - 378.
В январе 2023 года ThreatFabric заметил, что BlackRock продвигает новый вредоносный инструмент для Android под названием Hook, который, по всей видимости, представляет собой новую иттерацию ERMAC.
Hunt.io обнаружили и проанализировали PHP-бэкэнд командно-управляющей системы (C2) ERMAC, фронтэнд-панель React, сервер эксфильтрации на базе Go, бэкдор Kotlin и панель конструктора для создания пользовательских троянизированных APK-файлов.
ERMAC v3.0 теперь способен нацеливаться на конфиденциальную информацию пользователей в более чем 700 приложениях.
Кроме того, последняя версия реализует более расширенные методы внедрения форм, использует AES-CBC для зашифрованной связи, включает переработанную панель оператора, улучшает защиту от кражи данных и контроль устройств.
Hunt.io задокументировали следующие возможности последней версии ERMAC: перехват sms (в том числе их отправка), контактов и аккаунтов, переадресация вызовов, доступ к переписке Gmail, управление приложениями и файлами, контроль камеры и push-уведомлений, а также др.
Аналитики задействовали SQL-запросы для выявления активной, уязвимой инфраструктуры, которая в настоящее время используется злоумышленниками, выявляя конечные точки C2, панели, серверы эксфильтрации и развертывания конструкторов.
Помимо раскрытия исходного кода вредоносного ПО, операторы ERMAC допустили ряд других серьезных ошибок в системе безопасности, включая жестко запрограммированные токены JWT, учетные данные root по умолчанию и отсутствие защиты регистрации на панели администратора, что позволяло получать доступ к панелям и манипулировать ими.
Наконец, названия панелей, заголовки, названия пакетов и различные другие эксплуатационные фингерпринты не оставляли сомнений относительно атрибуции и значительно упрощали обнаружение и картографирование инфраструктуры.
Безусловно, утечка исходного кода ERMAC V3.0 повлияет на рентабельность и репутацию MaaS (возможно даже приведет к завершению карьеры его разработчиков и операторов), но вероятнее стоит ожидать появление модифицированных версий ERMAC.
Бывший модератор форума XSS, известный как Rehub, запустил собственный форум под названием Rehubcom после того, как спецслужбы нейтрализовали ресурс и арестовали его админа в Киеве.
Так что помимо уже прикрученных силовиками копий, в кейсе XSS появляются все новые альтернативные площадки типа DamageLib и Rehubcom, а далее - все покатится уже по известному сценарию под названием Breached.
Тем не менее, будем следить.
Исследователь 0x_shaq анонсировал PoC для уязвимости в брандмауэре приложений FortiWeb, которая позволяет удаленному злоумышленнику обойти аутентификацию.
Проблема отслеживается как CVE-2025-52970 и получила неофициальное наименование FortMajeure. Исправления доступны с 12 августа.
Ошибка связана со чтением за пределами допустимого диапазона при анализе cookie-файлов FortiWeb, которое позволяет злоумышленнику установить параметр Era на неожиданное значение.
Это, в свою очередь, заставляет сервер использовать для шифрования сеанса и подписывания HMAC секретный ключ, состоящий из одних нулей, что упрощает создание поддельных аутентификационных cookie-файлов.
Эксплуатация приводит к полному обходу аутентификации, позволяя злоумышленнику выдавать себя за любого активного пользователя, включая администратора.
Для успешной эксплуатации CVE-2025-52970 целевой пользователь должен иметь активный сеанс во время атаки, а злоумышленник должен подобрать небольшое числовое поле в cookie-файле методом подбора. При этом диапазон обычно не превышает 30 запросов.
Поскольку эксплойт использует ключ, состоящий из одних нулей (из-за ошибки Era), каждую догадку можно проверить мгновенно, проверив, принят ли поддельный cookie-файл.
Проблема затрагивает FortiWeb версий 7.0–7.6 и была исправлена в следующих версиях: 7.6.4, 7.4.8, 7.2.11, 7.0.11 и более поздние версии.
В бюллетене Fortinet упоминается, что версии 8.0 не подвержены этой проблеме, поэтому никаких действий предпринимать не нужно.
Обходные пути или меры по смягчению последствий отсутствуют, поэтому единственным рекомендуемым эффективным действием является обновление до безопасной версии.
Причем оценка серьёзности Fortinet по шкале CVSS, равная 7,7, явно не соответствует действительности и якобы обусловлена «высокой сложностью атаки» из-за необходимости полного перебора. Однако на практике полный перебор выполняется просто и быстро.
Исследователь поделился техническими подробноятми PoC, демонстрирующими имперсонацию администратора на конечной точке REST.
Однако пока не представил полную версию эксплойта, которая также позволяет подключаться к интерфейсу командной строки FortiWeb через /ws/cli/open.
Но пообещал это сделать позднее, оставляя временной лаг для пользователей на применение исправлений.
Раскрытые к настоящему времени сведения в целом отражают суть проблемы, но их недостаточно даже для того, чтобы продвинутые злоумышленники смогли реализовать полноценную цепочку.
Несмотря на это, следует принять срочные меры для устранения проблемы, поскольку киберподполье внимательно следит за ситуацией в расчете на оперативное задействование PoC в реальных атаках.
Исследователи F6 сообщают о масштабном наступлении хакерской группы Kinsing (H2Miner и Resourceful Wolf) на российских пользователей.
Группировка действует за рубежом с 2019 года, получила свое название от вредоносного программного обеспечения Kinsing, которое она активно использует в своих атаках.
Она специализируется на криптоджекинге - злоупотреблении вычислительными ресурсами зараженных систем для майнинга крипты, преимущественно Monero (XMR), а также на создании и продвижении ботнетов.
Большинство атак зафиксированы в Северной Америке, Западной Европе и Азии.
В 2024 году российские исследователи сообщали об обнаружении атак Kinsing, не обозначая цель атаки и расположение, а в 2025 впервые начали масштабно работать по RU.
Весной один из клиентов F6 зафиксировал попытку кибератаки на свои внешние сервера.
В результате тщательного анализа IoCs, сетевого трафика и сопоставления выявляемых TTPs злоумышленника специалисты вышли на след Kinsing.
Главная цель Kinsing - заражение устройств вредоносным ПО для майнинга криптовалют.
В отличие от большинства других группировок, Kinsing не прибегает к фишинговым атакам, сканируют инфраструктуру, выявляя уязвимости, которые затем задействуют для выполнения вредоносного кода в системе.
Наиболее часто группировка эксплуатирует следующие уязвимости: CVE-2017-9841, CVE-2019-17564, CVE-2019-19781, CVE-2020-10684, CVE-2020-17519, CVE-2020-5902, CVE-2020-9480, CVE-2021-26084, CVE-2021-41773, CVE-2021-44228, CVE-2022-24706, CVE-2022-26134, CVE-2023-35042.
В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет майнеры конкурентов, удаляет их и устанавливает собственный.
Атаки Kinsing нацелены на серверные Linux-системы, особенно в облачных и контейнерных инфраструктурах
Группировка использует уязвимости и ошибки в настройке в таких компонентах, как Docker, Kubernetes, Redis и PostgreSQL, а также в популярных корпоративных сервисах - Apache Log4j, Tomcat, NiFi, Confluence, Citrix, WebLogic и других.
Для каждой цели применяются специализированные скрипты (например, lh.sh для Log4Shell), автоматически разворачивающие вредоносное ПО, включая майнеры и сам бинарник Kinsing.
Результат заражения - замедление работы, снижение производительности и ускоренный износ оборудования.
Технические подробности исследования (от исходных данных и применённых методов анализа до итоговой атрибуции атаки и предоставленных рекомендаций) и IOCs - в отчете.
Fortinet рапортует об устранении серьёзной уязвимости (CVE-2025-52970), получившей название FortMajeure в своих межсетевых экранах FortiWeb, которая позволяет злоумышленникам подделывать сеансовые cookie-файлы и обходить аутентификацию на устройстве.
И настоятельно рекомендует клиентам установить исправление для своих устройств FortiSIEM для нейтрализации потенциальных рисков атак с внедрением команд (CVE-2025-25256), поскольку реально работающий код эксплойта доступен в сети и ожидается его скорейшая реализация в дикой природе.
Тем не менее, в сети активно расползаются слухи о продаже в киберподпольщиками некой 0-day Fortinet для RCE, затрагивающей об устранении северсий 7.4–7.6 (имеется якобы даже работающий PoC).
Но будем посмотреть.
Исследователи из Лаборатории Касперского расчехлили новый троян Efimer, нацеленный на кражу криптовалюты и обладающий возможностями массового распространения через взлом WordPress-сайтов и размещаемые на них вредоносные файлы.
Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.
В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.
В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.
Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.
После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.
Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.
Первые версии этого троянца появились, предположительно, в октябре 2024 года.
По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.
Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.
Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.
Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.
Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.
В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.
При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.
Технические подробности и разбор Efimer - в отчете.
Исследователи из Imperva и Тель-Авивского университета в Израиле разработали новый вектор массированных DDoS-атак, использующий недостатки в реализации HTTP/2, который сравним по эффективности с Rapid Reset.
Атака, получившая название MadeYouReset, действительно похожа на уже известную Rapid Reset, которая в 2023 году использовалась в 0-day атаках, побивших рекорды DDoS по количеству запросов в секунду (RPS).
Как отмечает CERT/CC Университета Карнеги-Меллона в своем бюллетене, HTTP/2 представил отмену потока - возможность как клиента, так и сервера немедленно закрыть поток в любой момент.
Однако после отмены потока многие реализации продолжают обрабатывать запрос, вычислять ответ, но не отправляют его обратно клиенту.
Это создаёт несоответствие между количеством активных потоков с точки зрения HTTP/2 и фактическим количеством активных HTTP-запросов, обрабатываемых внутренним сервером».
Открывая потоки и затем быстро запуская их сброс сервером с помощью искажённых кадров или ошибок управления потоком, злоумышленник может воспользоваться несоответствием, возникающим между учётом потоков HTTP/2 и активными HTTP-запросами сервера.
Потоки, сброшенные сервером, считаются закрытыми, даже если внутренняя обработка продолжается. Это позволяет клиенту заставить сервер обрабатывать неограниченное количество одновременных HTTP/2-запросов в рамках одного соединения.
Злоумышленник может постоянно отправлять запросы на сброс настроек на целевой сервер, что приводит к крайне разрушительным DDoS-атакам.
Однако, в отличие от Rapid Reset, метод MadeYouReset, судя по всему, не использовался в реальных условиях.
Основная уязвимость отслеживается как CVE-2025-8671, но некоторые затронутые ею поставщики присвоили собственные идентификаторы CVE.
В категории затронутых оказались: AMPHP, Apache Tomcat, Eclipse Foundation, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River и Zephyr Project.
При этом разработчики Apache Tomcat, F5, Fastly и Varnish уже выпустили исправления, в отличие от остальных упомянутых.
Mozilla работает над исправлениями для затронутых сервисов и веб-сайтов, но отметила, что Firefox не затронут.
В свою очередь, Imperva отметила, что MadeYouReset смешивается с обычным трафиком, что затрудняет его обнаружение.
Вектор атаки позволяет обойти многие существующие средства защиты, но существует ряд мер по снижению риска и другие решения, которые способны предотвратить MadeYouReset.