39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Лаборатории Касперского сообщают об атаках на российские компании со стороны группы злоумышленников Mythic Likho.
Кампания охватывает десятки компании из различных отраслей — от поставщиков телеком-оборудования до промышленных предприятий.
Предполагаемая цель злоумышленников - кибершпионаж.
Как полагают исследователи, очередное Likho для российских компаний - это либо новая, либо значительно доработавшая свои TTPs группа, замеченная в июле 2024 в целевых атаках с приватной версией агента Loki для фреймворка Mythic.
Атака Mythic Likho начинается с убедительного целевого фишинга. Причем тексты у разных жертв значительно различаются.
Вложение содержит архив с несколькими компонентами, включая безопасный документ-обманку (резюме) и меняющуюся от раза к разу цепочку заражения.
По итогу заражения на хосте разворачивается агент Merlin - open-source инструмент постэксплуатации, совместимый с фреймворком Mythic.
Он написан на языке Go и может быть скомпилирован для Windows, Linux и macOS. Merlin может взаимодействовать с сервером по протоколам HTTP/1.1, HTTP/2 и HTTP/3 (комбинации HTTP/2 с протоколом QUIC). Коммуникация с C2 шифруется при помощи алгоритма AES.
После установления контакта бэкдор отправляет на сервер данные о системе: IP-адрес, версию ОС, имя хоста и имя пользователя, архитектуру процессора, а также информацию о процессе, в котором запущен Merlin.
Помимо совместимости с фреймворком Mythic, исследователи обнаружили связь между атаками этих двух бэкдоров.
Так, один из экземпляров Merlin с командным центром mail.gkrzn[.]ru загружал в систему жертвы образец Loki новой версии 2.0 с командным центром pop3.gkrzn[.]ru.
Вторая версия Loki, как и первая, передает на сервер различные данные о системе и своей сборке, однако теперь этот набор немного расширился.
Дополнительно, возможно, для усложнения идентификации семейства — авторы решили изменить метод отправки данных на командный сервер. Если в первой версии данные передавались через POST-запрос, то в новой версии для этого используется метод GET.
На момент исследования данных о вредоносной активности Merlin и Loki и ее конечных целях все еще недостаточно, чтобы приписать кампанию какой-либо известной группе. Поэтому в ЛК решили дать атакующим отдельное название - Mythic Likho.
Ее характерная особенность - использование фреймворка Mythic и кастомных агентов для него. При этом злоумышленники стараются избегать шаблонов, меняя тексты фишинговых писем могут вместо с последующей цепочкой заражения, повышая тем самым успех своих атак.
Технические подробности и IoC - в отчете.
Исследователи Wiz обнаружили новый вариант обхода уже исправленной уязвимости в NVIDIA Container Toolkit, который можно использовать для выхода за пределы изоляции контейнера и получения полного доступа к базовому хосту.
Новая уязвимость отслеживается как CVE-2025-23359 и имеет оценку CVSS: 8.3.
Она затрагивает NVIDIA Container Toolkit (все версии до 1.17.3 включительно, исправлено в 1.17.4) и NVIDIA GPU Operator (все версии до 24.9.1 включительно, исправлено в 24.9.2).
В компании поясняют, что NVIDIA Container Toolkit для Linux содержит уязвимость TOCTOU (Time-of-Check Time-of-Use) при использовании с конфигурацией по умолчанию, когда созданный образ контейнера может получить доступ к файловой системе хоста.
Успешная эксплуатация этой уязвимости может привести к RCE, DoS, EoP, раскрытию информации и подделке данных.
Исследователи Wiz поделились техническими подробностями уязвимости, идентифицировав ее как обход другой уязвимости, отслеживаемой как CVE-2024-0132 с оценкой CVSS: 9,0, которая была устранена NVIDIA в сентябре 2024 года.
Вкратце, уязвимость позволяет злоумышленникам монтировать корневую файловую систему хоста в контейнер, предоставляя им неограниченный доступ ко всем файлам.
Более того, этот доступ может быть использован для запуска привилегированных контейнеров и достижения полного взлома хоста через сокет Unix во время выполнения.
Анализ исходного кода инструментария контейнера показал, что пути к файлам, используемые во время операций монтирования, можно изменять с помощью символической ссылки добиваясь монтирования извне контейнера (т.е. из корневого каталога) в путь внутри «/usr/lib64».
Хотя доступ к файловой системе хоста, предоставляемый при выходе из контейнера, доступен только для чтения, это ограничение можно обойти, взаимодействуя с сокетами Unix для создания новых привилегированных контейнеров и получения неограниченного доступа к файловой системе.
Как отмечают исследователи, этот повышенный уровень доступа также позволил отслеживать сетевой трафик, отлаживать активные процессы и выполнять ряд других операций на уровне хоста.
Помимо обновления до последней версии, пользователям NVIDIA Container Toolkit рекомендуется не отключать флаг «--no-cntlibs» в производственных средах.
Fortinet пересмотрела свои рекомендации по CVE-2024-55591, предупреждая о еще одной уязвимости, отлеживаемой как как CVE-2025-24472 (CVSS: 8,1).
Она может привести к обходу аутентификации на устройствах FortiOS и FortiProxy с помощью специально созданного запроса прокси-сервера CSF, позволяя удаленным злоумышленникам получать привилегии суперадминистратора.
Вновь раскрытая проблема затрагивает FortiOS 7.0.0 - 7.0.16, FortiProxy 7.0.0 - 7.0.19 и FortiProxy 7.2.0 - 7.2.12.
Компания выразила признательность исследователям watchTowr Labs за обнаружение и сообщение об уязвимости, которую в сообществе уже успели назначить новой 0-day.
Более того, в обновленном сообщении указано, что обе уязвимости использовались при атаках, однако Fortinet утверждает, что в реальности эксплуатировалась только CVE-2024-55591 в FortiOS и FortiProxy для взлома межсетевых экранов и корпоративных сетей.
Но она уже была исправлена вместе с предыдущей CVE-2024-55591 в FortiOS 7.0.17 или выше и FortiProxy 7.0.20/7.2.13 или выше, что означает, что никаких действий со стороны клиента не требуется, если исправления для последней уже были применены.
Progress Software устранила несколько серьезных уязвимостей безопасности в своем ПО LoadMaster, которые могли быть использованы злоумышленниками для выполнения произвольных системных команд или загрузки любого файла из системы.
Kemp LoadMaster - это высокопроизводительный контроллер приложений (ADC) и балансировщик нагрузки, который обеспечивает доступность, масштабируемость, производительность и безопасность для критически важных для бизнеса приложений и веб-сайтов.
Среди исправленных недостатков:
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133 и CVE-2024-56135 (CVSS: 8,4) - набор уязвимостей, связанных с неправильной проверкой входных данных, которые позволяют удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, выполнять произвольные системные команды с помощью тщательно созданного HTTP-запроса.
- CVE-2024-56134 (CVSS: 8,4) - уязвимость неправильной проверки входных данных, которая позволяет удаленным злоумышленникам, получившим доступ к интерфейсу управления LoadMaster и успешно прошедшим аутентификацию, загружать содержимое любого файла в системе с помощью тщательно сформированного HTTP-запроса.
Уязвимости затрагивают следующие версии ПО LoadMaster:
- от 7.2.55.0 до 7.2.60.1 (включительно, исправлено в 7.2.61.0 (GA),
- от 7.2.49.0 до 7.2.54.12 (включительно, исправлено в 7.2.54.13 (LTSF),
- 7.2.48.12 и более ранние (обновление до LTSF или GA),
- Multi-Tenant LoadMaster 7.1.35.12 и более ранние (исправлено в 7.1.35.13 (GA).
Progress Software отметила, что у нее нет доказательств того, что какие-либо из вышеупомянутых уязвимостей были использованы в реальных условиях.
Тем не менее, учитывая на счету компании уже были уязвимости, которые использовались бандами вымогателей в резонансных атаках, сообщения о задействовании целой линейки CVE определенно следует ожидать в перспективе.
Но будем посмотреть.
Apple обнаружила высокосерьезную уязвимость OpenSSL, открывающую возможности для MitM-атак.
Разработчики OpenSSL объявили о выпуске исправлений для первой за два года серьезной уязвимости, обнаруженной в библиотеке.
CVE-2024-12797 была обнаружена и раскрыта в середине декабря 2024 года.
Появилась c OpenSSL 3.2 с реализацией поддержки RPK.
Проблема связана с клиентами, использующими необработанные открытые ключи RFC7250 (RPK) для аутентификации сервера.
Поскольку при установке режима проверки SSL_VERIFY_PEER рукопожатия не прерываются, как ожидалось, затронутые клиенты могут не заметить, что сервер не прошел аутентификацию.
Если клиент не идентифицирует сбой аутентификации, возможны атаки типа MitM на соединениях TLS и DTLS, использующие RPK.
RPK отключены по умолчанию как в клиентах, так и в серверах TLS.
Проблема возникает только тогда, когда клиенты TLS явно включают использование RPK сервером, а сервер, в свою очередь, включает отправку RPK вместо цепочки сертификатов X.509.
Затронутыми клиентами являются те, которые затем полагаются на то, что рукопожатие не будет выполнено, когда RPK сервера не соответствует одному из ожидаемых открытых ключей, устанавливая режим проверки на SSL_VERIFY_PEER.
Клиенты, которые включают необработанные открытые ключи на стороне сервера, по-прежнему могут обнаружить, что проверка необработанного открытого ключа не удалась, вызвав SSL_get_verify_result(), а те, кто это делает и предпринимает соответствующие действия, не пострадают.
OpenSSL 3.4, 3.3 и 3.2 уязвимы. CVE-2024-12797 была исправлена с выпуском 3.4.1, 3.3.2 и 3.2.4.
Тем временем американские и европейские силовики провернули новую международную операцию под кодовым названием Operation Phobos Aetor в отношении инфраструктуры и членов банды вымогателей 8Base.
В мероприятиях принимали участие британская NCA, ФБР США, Европол, а также агентства из Баварии, Бельгии, Чехии, Франции, Германии, Японии, Румынии, Испании, Швейцарии и Таиланда.
Силовикам удалось установить личности и арестовать в Таиланде 4 подозреваемых, которые принимали участие в распространении программы-вымогателя Phobos, а также нейтрализовать инфраструктуру банды 8Base.
По сообщениям местных СМИ, cреди арестованных — двое мужчин и две женщины, все европейцы. Личности подозреваемых не разглашаются.
Аресты были произведены по запросу швейцарских властей, которые обратились к правительству Таиланда с просьбой об экстрадиции подозреваемых.
Арестованным вменяются атаки с использованием Phobos с целью получения выкупа по меньшей мере в отношении 17 швейцарских компаний в период с апреля 2023 года по октябрь 2024 года.
Кроме того, хакеров обвиняют в получении преступного дохода в размере 16 млн. долл. посредством атак, жертвами которых стали более 1000 человек по всему миру.
По результатам обысков силовики изъяли более 40 вещественных доказательств, включая мобильные телефоны, ноутбуки и криптокошельки.
Помимо арестов накрыли сайты 8Base, которые использовались для переговоров и в качестве DLS. Теперь они конфискованы Баварским государственным управлением уголовной полиции по поручению Генеральной прокуратуры в Бамберге.
8Base, как известно, начала свою деятельность в марте 2022 года и позиционировала себя как простых «пентестеров», но на самом деле могла быть ребрендинг другой банды.
До июня 2023 года группа оставалась относительно незаметной, после чего начала сливать данные десятков жертв.
Также в атаках 8Base были замечены артефакты вируса-вымогателя Phobos, а в VMware выявили много общего с RansomHouse, включая стиль записок о выкупе и сайты DLS, но совпадение в полной мере не было подтверждено.
Среди известных жертв банды - Nidec Corporation, японский технологический гигант с доходом в 11 млрд. долл., и Программа развития Организации Объединенных Наций (ПРООН).
Как отмечали в бюллетене HHS, 8Base в основном нацелена на компании малого и среднего бизнеса в США, Бразилии, Великобритании, Австралии, Германии, Канаде и Китае, а отсутствие среди них стран СНГ может указывать на «связи с Россией».
А связей кроме как на бумаге пока не оказалось.
Быть может после криминалистики, конечно, последуют новые аресты, но будем посмотреть.
Да-да, эти знаменитые миллион дропов и два колл-центра размером с Рязань.
Читать полностью…
Исследователи F.A.C.C.T. сообщают о новых масштабных фишинговых атаках TA558, нацеленных в том числе на российские и белорусские компании из финансовой, логистической, строительной, туристической и промышленной сферы.
Всего за один день, по данным исслдеовталей, злоумышленники посредством специального софта разослали письма более чем 76 тыс. адресатам из 112 стран мира.
Письма содержали вложения, загружающие и запускающие RTF-документ, задействуя уязвимость CVE-2017-11882 для загрузки и запуска HTA-файла со скрытым обфусцированным VBS-сценарием.
При выполнении сценария на устройстве жертвы запускается Remcos RAT, которая позволяет хакерам получить контроль над устройством своих жертв.
Группировка ТА558 активна как минимум с 2018 года и реализует многоэтапные фишинговые атаки и различные методы социальной инженерии.
Традиционная цель всех атак ТА558 - получение доступа к внутренним системам организаций для кражи данных.
В прошлом году была замечена в аналогичных атаках с фишингом для распространения вредоносного ПО, нацеленного на предприятия, госучреждения и банкский сектор в России и Беларуси.
ShadowServer предупреждает о массированном бруте с задействованием 2,8 млн. IP-адресов для нацеливания на сетевые устройства широкого спектра, в том числе Palo Alto Networks, Ivanti и SonicWall.
По данным платформы, атаки продолжаются с прошлого месяца, но недавно она приобрела гораздо большие масштабы с ежедневным вовлечением миллионов различных IoT-устройств и маршрутизаторов MikroTik, Huawei, Cisco, Boa и ZTE.
По состоянию на 9 января 2025 года число участвующих IP-адресов превысило 1,7 млн. Для сравнения, до 18 января 2025 года этот показатель колебался ниже 100 000.
Атакующие IP-адреса распределены по многим сетям и автономным системам и, вероятно, представляют собой ботнет или какую-то операцию, связанную с сетями резидентных прокси.
Ранее нечто подобное детектили в Cisco, предупреждая о широкомасштабной кампании по перебору учетных данных, нацеленной на устройства Cisco, CheckPoint, Fortinet, SonicWall и Ubiquiti по всему миру.
Исследователи продолжают следить за ситуацией и призывают сетевых администраторов расследовать вредоносную активность в своих сетях.
Вообще же, столь высокие показатели может и оправданы для атак в отношении Palo Alto Networks и SonicWall, а для успешной эксплуатации Ivanti потребовался, пожалуй, десяток IP.
Microsoft сообщает, что злоумышленники внедряют вредоносное ПО в атаках с внедрением кода ViewState, используя статические машинные ключи ASP. NET, найденные в Интернете.
Речь идет о порочной практике, когда разработчики ПО используют публично раскрытые ключи ASP.NET validationKey и decryptionKey (предназначенные для защиты ViewState от несанкционированного доступа и раскрытия информации) из общедоступных ресурсов, тем самым подвергая свои приложения опасности со стороны злоумышленников.
ViewState позволяет ASP.NET Web Forms контролировать состояние и сохранять вводимые пользователем данные при перезагрузке страницы.
Однако в случае, если злоумышленники получат машинный ключ, они смогут использовать его в атаках с внедрением кода для создания вредоносных полезных нагрузок путем присоединения созданного кода аутентификации сообщений (MAC).
При загрузке ViewState, отправленных через POST-запросы, среда выполнения ASP.NET на целевом сервере расшифровывает и проверяет вредоносные данные ViewState злоумышленников, загружает их в память рабочего процесса и выполняет.
Это дает им возможность удаленного выполнения кода на целевых серверах IIS, позволяя развертывать дополнительные вредоносные нагрузки.
В декабре 2024 года Microsoft зафиксировала ограниченную активность неизвестного злоумышленника, использовавшего общедоступный статический ключ ASP.NET для внедрения вредоносного кода и развертывания постэксплуатационной среды Godzilla.
В общем обнаружено более 3000 публично раскрытых ключей, которые могут быть использованы для подобных атак.
В то время как ранее известные атаки ViewState полагались на скомпрометированные или украденные ключи, которые часто продаются в даркнете, найденные раскрытые ключи могут представлять более высокий риск, поскольку доступны в нескольких репозиториях кода и могли быть внедрены в код разработки без изменений.
Microsoft представила список хэш-значений для публично раскрытых ключей, настоятельно призывая клиентов сверять их с машинными ключами, используемыми в их средах.
Чтобы блокировать такие атаки, Microsoft рекомендует безопасно генерировать машинные ключи, не использовать ключи по умолчанию или ключи, найденные в сети, шифровать элементы machineKey и connectionStrings.
Кроме того, обновлять приложения для использования ASP.NET 4.8, чтобы включить возможности интерфейса сканирования вредоносных программ (AMSI).
Компания также предупредила, что в случае успешной эксплуатации публично раскрытых ключей простой ротации ключей будет недостаточно, поскольку субъекты угрозы могли уже установить постоянство на хосте.
Исследователи AhnLab сообщают о новой тактике северокорейской APT Kimsuky, которая была замечена в недавних атаках с использованием специально разработанного RDP Wrapper и прокси-инструментов для прямого доступа к зараженным машинам.
В AhnLab полагают, что северокорейские хакеры теперь используют разнообразный набор настраиваемых инструментов удаленного доступа вместо того, чтобы полагаться исключительно на такие бэкдоры, как PebbleDash (тем не менее все еще используются).
Последняя цепочка заражений начинается с фишингового письма с прикрепленным вредоносным файлом LNK, замаскированным под документ PDF или Word.
Причем перед атакой Kimsuky проводят детальную разведку, на что указывают точные наименования получателя и компаний в электронных письмах.
Открытие файла LNK вызывает запуск PowerShell или Mshta для извлечения дополнительных полезных данных с внешнего сервера.
Среди них - PebbleDash, известный бэкдор в арсенале Kimsuky, который обеспечивает начальный контроль над системой.
Постоянство доступа и обхода мер безопасности реализуется с помощью модифицированной версии RDP Wrapper.
Кроме того, доставляются прокси-инструменты для обхода ограничений частной сети, позволяющие злоумышленникам получить доступ к системе даже в случае блокировки прямых RDP-подключений.
Упоминаемый RDP Wrapper - это легитимный инструмент с открытым исходным кодом, предназначенный для обеспечения функциональности RDP в версиях Windows, которые изначально не поддерживают его, например, Windows Home, позволяя включать подключения без изменения системных файлов.
Версия Kimsuky включает изменения в функции экспорта для обхода антивируса, и, вероятно, дифференцирует свое поведение так, чтобы обойти обнаружение на основе сигнатур.
Главным преимуществом использования пользовательской оболочки RDP является обход детектирования, поскольку соединения часто воспринимаются как легитимные, что позволяет Kimsuky дольше оставаться незамеченной.
Более того, он обеспечивает более удобное удаленное управление на основе графического интерфейса по сравнению с доступом через оболочку с помощью вредоносного ПО и может обходить брандмауэры или ограничения NAT, обеспечивая доступ RDP извне.
После того, как только Kimsuky закрепляются в сети, они сбрасывают вторичную полезную нагрузку.
К ним относятся кейлоггер (сохраняет данные в текстовом формате в системных каталогах), инфостилер (forceCopy, извлекает учетные данные, сохраненные в браузерах) и ReflectiveLoader на PowerShell (обеспечивает выполнение полезной нагрузки в памяти).
Последние данные AhnLab указывают на то, что Kimsuky продолжает оставаться одной из самых активных северокорейских APT и переходит на более скрытные методы удаленного доступа для увеличения продолжительности своего пребывания в скомпрометированных сетях.
Разработчики ориентированного на конфиденциальность браузера AdsPower предупреждают об инциденте, связанном с атакой на цепочку поставок, в результате которого злоумышленнику удалось взломать платформу браузера и внедрить вредоносный код.
По словам основателя SlowMist Юй Сяня, код работал как бэкдор, извлекая мнемонические фразы восстановления и закрытые ключи из расширения кошелька, отправляя их на сервер злоумышленника для дальнейшего хищения крипты пользователей браузера.
Атака была успешно реализована 21 января и оставалась незамеченной в течение трех дней, после чего AdsPower удалила код и принудительно удалила все целевые расширения из браузеров пользователей.
В компании полагают, что, по всей видимости, пострадали те пользователи, которые загрузили и установили расширения криптокошелька в период с 10:00 21 января по 10:00 24 января (UTC+0).
Разработчики уведомили всех пользователей, которые, по ее мнению, пострадали от взлома, и попросила их вывести средства, прежде чем это сделают хакеры.
По словам Джона Такнера из Secure Annex, атака, вероятно, была нацелена на расширения браузеров для MetaMask и OKX. На основании предоставленных дат это могут быть OKX 3.39.9 и MetaMask 12.10.1.
Пока расследование инцидента продолжается, по оценкам SlowMist, текущий размер похищенных хакерами криптоактивов с помощью ключей, связанных с инцидентом AdsPower, может достигать около 4,7 млн долл.
Будем следить.
Исследователи Seqrite Labs раскрывают атаки ранее неизвестной группы, известной как Silent Lynx, нацеленные на различные организации в Кыргызстане и Туркменистане.
Как отмечают исследователи, ранее эта группа была замечена в кампаниях, направленных на организации в Восточной Европе и Центральной Азии, связанные с финансовой аналитикой и экономическим прогнозированием.
Среди целей новых атак хакерской группы - сотрудники дипломатических учреждений, юристы, представители госбанков и аналитических центров.
Заражение начинается с фишингового письма с вложением в виде архива RAR для доставки в конечном итоге выступает вредоносных данных, отвечающих за реализацию удаленного доступа к скомпрометированным хостам.
Первая из двух кампаний, обнаруженная 27 декабря 2024 года, задействует архив RAR для запуска файла ISO, который, в свою очередь, включает вредоносный двоичный файл C++ и файл-приманку PDF.
Затем исполняемый файл реализует запуск скрипта PowerShell, который использует ботов в Telegram (с именами south_korea145_bot и south_afr_angl_bot) для выполнения команд и извлечения данных.
Некоторые из команд, выполняемых с помощью ботов, включают команды curl для загрузки и сохранения дополнительных полезных данных с удаленного сервера (pweobmxdlboi[.]com) или Google Диска.
В другой кампании используется вредоносный архив RAR, содержащий два файла: поддельный PDF-файл и исполняемый файл Golang, последний из которых предназначен для создания обратной оболочки к контролируемому злоумышленником серверу (185.122.171[.]22:8082).
По данным Seqrite Labs, были обнаружены некоторые тактические совпадения между Silent Lynx и YoroTrooper (он же SturgeonPhisher, ранее угрозу также профилировали Cisco Talos), который был связан с атаками на страны СНГ.
Кампании Silent Lynx демонстрируют сложную многоэтапную стратегию атак с использованием файлов ISO, загрузчиков C++, скриптов PowerShell и имплантов Golang.
Задействование ботов в Telegram для С2 в сочетании с фейковыми документами и региональным нацеливанием также подчеркивает их сосредоточенность на шпионаже в странах Центральной Азии и СПЕКА.
IOCs и MITRE ATT&CK - отчете.
🔐 Безопасность в сети: S.E.Virus Detect v.2.
• На прошлой неделе мы доработали нашего бота, который проверяет файлы, ссылки и ip на предмет угроз. Теперь S.E. Virus Detect умеет распознавать сокращенные ссылки, сразу их дешифрует и показывает конечный домен. Данный функционал работает не только в диалоге с ботом, но и в публичных чатах! Такая доработка значительно повысит вашу безопасность в сети и может сыграть ключевую роль в части защиты от фишинга.
• Другая доработка более ситуативная и будет меньше всего пользоваться спросом. Однако, мы решили реализовать функционал поиска информации о файле по его хэш-значению. Достаточно ввести хэш-функцию SHA-256 и бот выдаст вам информацию о файле, если он есть в базе Virus Total.
• Кстати, в декабре 2024 года S.E. Virus Detect отпраздновал свой перый день рождения! Вот немного статистики, которая сформировалась за прошедший год:
➡Общее число пользователей достигло 32 000;
➡14 000+ человек используют бота на постоянной основе;
➡Бот был добавлен в 5000 публичных чатов для проверки файлов и защиты пользователей.
➡За прошлую неделю было проверено около 2000 ссылок.
➡Ежедневно проверку на вирусы проходят более ±400 файлов (за год около 145 000).
• В будущем постараемся добавить больше новых и крутых функций для повышения вашей безопасности в сети. Ну, а если у вас есть идеи \ вы нашли ошибку, то пишите по контактам в описании этой группы. Всем безопасности: @S.E.VirusDetect.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Socket Security обнаружили атаку на цепочку поставок ПО, нацеленную на экосистему Go, которая включает вредоносный пакет, предоставляющий злоумышленнику удаленный доступ к зараженным системам.
Пакет github.com/boltdb-go/bolt является типосквотом легитимного модуля базы данных BoltDB (github.com/boltdb/bolt).
Вредоносная версия 1.3.1 была опубликована на GitHub в ноябре 2021 года, после чего она была кэширована на неопределенный срок службой Go Module Mirror, откуда установщики командной строки Go загружают необходимые пакеты.
Реализованный злоумышленником подход гарантировал, что ручной аудит репозитория GitHub не выявит вредоносного контента, а механизм кэширования позволял не подозревающим разработчикам, устанавливающим пакет с помощью go CLI, загружать вариант с бэкдором.
После того, как версия модуля кэшируется, она остается доступной через Go Module Proxy, даже если исходный источник в дальнейшем изменяется.
Впоследствии злоумышленник, как говорят, изменил теги Git в исходном репозитории, чтобы перенаправить их на безвредную версию.
После установки скрытый бэкдор предоставляет злоумышленнику удаленный доступ к зараженной системе, что позволяет ему выполнять произвольные команды.
Socket отмечает, что эта эта атака является одним из первых задокументированных случаев попадания вредоносного пакета в Go Module Mirror и злоупотребления бессрочным кэшированием, обходя при этом на ручные проверки кода.
На горизонте нарисовалась новая банда вымогателей под названием Sarcoma, которая не так давно препарировала производителя печатных плат и носителей интегральных схем Unimicron на Тайване.
Компания является одним из крупнейших производителей печатных плат в мире, имеет заводы и сервисные центры на Тайване, в Китае, Германии и Японии.
Ее продукция широко используется в мониторах LDC, компьютерах, периферийных устройствах и смартфонах.
Хакеры выкатили на своем DLS образцы файлов, предположительно украденных из систем компании, угрожая опубликовать всю информацию, включающую 377 ГБ SQL-файлов и документов, на следующей неделе, если не получат требуемый выкуп.
В свою очередь, Unimicron сообщила в бюллетене на портале Тайваньской фондовой биржи (TWSE), что 1 февраля ее работа была нарушена в результате ransomware-атаки.
Инцидент произошел 30 января и затронул Unimicron Technology (Shenzhen) Corp., ее дочернюю компанию в Китае.
Компания заявила, что ущерб от атаки локализован, а к расследованию привлечена команда внешних киберэкспертов.
Кроме того, Unimicron официально не подтвердила утечку данных.
Тем не менее, представленные Sarcoma на DLS образцы все же похожи на подлинные. От комментариев в компании по этому поводу отказались.
Что же касается ответственных исполнителей, то известно, что Sarcoma приступила к первым атакам в октябре 2024 года и быстро превратилась в одну из самых активных и эффективных группировок в сфере вымогательства, спустя месяц число жертв достигло 36 человек.
В ноябре 2024 года хакеров заметили в CYFIRMA, которая выступила с предупреждением относительно распространения Sarcoma, которая становится серьезной угрозой в виду агрессивной тактики и растущего числа жертв.
Затем в декабре того же года уже компания Dragos включила Sarcoma в число наиболее важных новых угроз для промышленных организаций по всему миру.
Чуть позже с отчетом в отношении Sarcoma выкатилась RedPiranha, поясняя, что операторы RaaS используют фишинговые письма и эксплуатацию n-day уязвимостей для получения первоначального доступа, а также реализуют атаки на цепочки поставок, переходя от поставщиков к их клиентам.
После взлома Sarcoma приступает к реализации RDP, горизонтальному перемещению и эксфильтрации данных.
Правда, задействуемый инструментарий группы пока подробно разобран не был, поэтому, точное происхождение и конфигурация TTPs пока толком не описаны.
Полагаем, что тайваньский инцидент исправит этот пробел, тем более, если окажется, что утечка все же avoir lieu. Будем следить.
🚩 Подборка CTF площадок.
• Capture the Flag (CTF) — игра, в которой участники пытаются захватить флаг противников и защитить свой. Популярной ее сделали командные шутеры вроде Quake и Team Fortress, но в какой-то момент хакерам пришла идея спроецировать CTF на информационную безопасность.
• Единственный способ преуспеть в CTF — постоянно участвовать в CTF. Держите подборку ресурсов, которые помогут прокачать свой скилл в различных аспектах информационной безопасности.
➡Attack-Defense;
➡Alert to win;
➡CryptoHack;
➡CMD Challenge;
➡Сodeby.games;
➡Cybrary;
➡CyberDefenders;
➡Defbox;
➡Dfir-Dirva;
➡Explotation Education;
➡Google CTF;
➡HackTheBox;
➡Hackthis;
➡Hacksplaining;
➡Hacker101;
➡Hacker Security;
➡Hacking-Lab;
➡ImmersiveLabs;
➡NewbieContest;
➡OverTheWire;
➡Pentestlab;
➡PicoCTF;
➡PWNABLE;
➡Root-Me;
➡SANS Challenger;
➡SmashTheStack;
➡Standoff365;
➡The Cryptopals Crypto Challenges;
➡Try Hack Me;
➡Vulnhub;
➡W3Challs;
➡WeChall;
➡websploit;
➡Zenk-Security;
➡Cyberdefenders;
➡LetsDefend;
➡Vulnmachines;
➡Rangeforce;
➡Ctftime;
➡Malware-Traffic-Analysis.net;
➡Letsdefend;
➡Underthewire;
➡Pwn college.
S.E. ▪️ infosec.work ▪️ VT
Прославленная «особой технологией» разработки ПО Ivanti выпустила обновления, устраняющие многочисленные уязвимости в Connect Secure (ICS), Policy Secure (IPS) и Cloud Services Application (CSA), которые могут быть использованы для RCE.
Все исправленные ошибки с CVSS: 9,1 и отслеживаются как:
- CVE-2024-38657: внешний контроль имени файла в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора записывать произвольные файлы.
- CVE-2025-22467: переполнение буфера в стеке в Ivanti Connect Secure до версии 22.7R2.6 позволяет удаленному аутентифицированному злоумышленнику выполнить удаленный код.
- CVE-2024-10644: внедрение кода в Ivanti Connect Secure до версии 22.7R2.4 и Ivanti Policy Secure до версии 22.7R1.3 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить RCE.
- CVE-2024-47908: внедрение команд ОС в веб-консоль администратора Ivanti CSA до версии 5.0.5 позволяет удаленному аутентифицированному злоумышленнику с правами администратора получить удаленное выполнение кода.
Недостатки были устранены в следующих версиях: Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 и Ivanti CSA 5.0.5.
Компания традиционно заявляет, что не знает о каких-либо сообщениях об эксплуатации уязвимостей в реальных условиях.
Но признает, что некоторые ее периферийные продукты подвергались атакам со стороны продвинутых злоумышленников. Компания заверяет, что прилагает все усилия по улучшению своего ПО и внедрению принципов безопасности.
В общем, 50 оттенков Ivanti. И все коричневые.
Microsoft выкатила свой традиционный PatchTuesday за февраль 2025 года с исправлениями 55 уязвимостей, в том числе 4 0-day, две из которых активно эксплуатируются в атаках.
В целом закрыто также три критические RCE-уязвимости, а в общем: 19 - EoP, 2 - обхода функций безопасности, 22 - RCE, 1 - раскрытия информации, 9 - DoS и 3 - спуфинга.
Кроме того, исправлена критическая EoP-уязвимость Microsoft Dynamics 365 Sales и 10 уязвимостей Microsoft Edge.
Среди двух активно эксплуатируемых 0-day, закрытых в обновлениях, обе связаны с EoP:
- CVE-2025-21391 затрагивает хранилище Windows и позволяет реализовать удаление файлов.
Но злоумышленник сможет удалить только определенные файлы в системе и вызвать недоступность сервиса, не получая доступа к какой-либо конфиденциальной информации.
Информация о том, как эта уязвимость была использована в атаках и кто ее раскрыл, не разглашается.
- CVE-2025-21418 связана с драйвером вспомогательной функции Windows для WinSock и позволяет злоумышленникам получить привилегии SYSTEM.
Данные по ее эксплуатации также не разглашаются, а раскрыта она была анонимно.
Две другие публично раскрытые 0-day: CVE-2025-21194 и CVE-2025-21377.
Первая описывается как обход функции безопасности Microsoft Surface и касается виртуальных машин на хост-машине с унифицированным расширяемым интерфейсом микропрограммного обеспечения, позволяя обходить UEFI и нарушать защищенное ядро.
Проблему обнаружили Франциско Фалькон и Иван Арсе из Quarkslab. Microsoft не разглашает подробностей об этой уязвимости, но, вероятно, она связана с PixieFail, о которых исследователи сообщили в прошлом месяце.
Напомним, что PixieFail - это набор из девяти уязвимостей, которые влияют на стек сетевых протоколов IPv6 EDK II компании Tianocore, который используется в Microsoft Surface и гипервизорных продуктах компании.
Вторая, CVE-2025-21377 - уязвимость раскрытия хэша NTLM пользователя Windows, позволяющая удаленному злоумышленнику потенциально войти в систему от имени этого пользователя.
Минимальное взаимодействие пользователя с вредоносным файлом, включая выбор (один щелчок), проверку (щелчок правой кнопкой мыши) или выполнение действия, отличного от открытия или запуска файла, может привести к возникновению этой уязвимости.
Microsoft также не поделилась подробностями об этой уязвимости, но, по всей видимости, реализуется как и другие уязвимости раскрытия хэша NTLM.
Ошибку обнаружили Оуэн Чунг, Иван Шенг и Винсент Яу из Cathay Pacific, Йорик Костер из Securify BV и Блаз Сатлер из ACROS Security с 0patch.
Полное описание каждой уязвимости и систем, которые она затрагивает - здесь.
Воодушевленные индийским кинематографом хакеры решили угнать аккаунт полиции Индии в X.
И сделали это с болливдуским масштабом, заменив наименование Thane_R_Police на dubaigovt (или «Правительство Дубая»). Подписку и прочие атрибуты также прикрутили.
Ну, а далее все по традиционной схеме мамонта, пусть даже с бомбейским акцентом.
Apple выпустила экстренные обновления с исправлением критической 0-day для своих флагманских платформ iOS и iPadOS, предупреждая о ее использовании в таргетированных и чрезвычайно сложных атаках.
CVE-2025-24200 позволяет злоумышленникам, имеющим физический доступ к заблокированному iPhone или iPad, отключить режим ограниченного доступа USB и получить доступ к необновленным устройствам.
USB Restricted Mode - это ключевая функция безопасности, появившаяся семь лет назад в iOS 11.4.1, которая блокирует создание соединения с USB-аксессуарами, если устройство было заблокировано более часа.
Функционал предназначен для противодействия криминалистическому ПО Graykey и Cellebrite (используемому силовиками) и предотвращению извлечения данных с заблокированных iOS-устройств.
0-day была обнаружена и раскрыта исследователями Citizen Lab и представляет собой проблему авторизации, устраненную в iOS 18.3.1, iPadOS 18.3.1 и iPadOS 17.7.5 с улучшенным управлением состоянием.
Среди затронутых устройств: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения (и все новее), а также iPad Pro 12,9 дюйма 2-го поколения, iPad Pro 10,5 дюйма и iPad 6-го поколения.
Apple отмечает в отчете, что эта уязвимость могла быть использована в чрезвычайно сложной атаке, направленной в отношении конкретных пользователей, но не представила каких-либо подробностей о реальных случаях эксплуатации.
Тем не менее, участие в раскрытии Citizen Lab указывает на возможные целевые атаки с использованием шпионского или иного спецализированного ПО.
Как бы то ни было, настоятельно рекомендуется не медлить с установкой обновлений, дабы исключить потенциально возможные попытки атак.
Более 12 000 брандмауэров GFI KerioControl подвержены эксплуатируемой критической RCE-уязвимости, отлеживаемой как CVE-2024-52875.
KerioControl — это пакет решений для сетевой безопасности, который предприятия малого и среднего бизнеса используют для обеспечения VPN, мониторинга и фильтрации трафика, создания отчетов, защиты и предотвращения вторжений.
Проблема была обнаружена в середине декабря исследователем Эгидио Романо (EgiX), который продемонстрировал потенциал опасных атак RCE, реализуемых в один клик.
Как отмечает обнаруживший проблему исследователь, пользовательский ввод, передаваемый на эти страницы через параметр GET «dest», не проходит надлежащую очистку перед использованием для генерации HTTP-заголовка «Location» в HTTP-ответе 302.
В частности, приложение некорректно фильтрует/удаляет символы перевода строки (LF). Это может быть использовано для выполнения атак HTTP Response Splitting, что, в свою очередь, позволяет реализовать XSS и, возможно, другие атаки.
При этом вектор Reflected XSS может быть использован для выполнения атак с удаленным выполнением кода в один клик.
GFI Software оперативно выпустила обновление для устранения проблемы в версии 9.4.5 Patch 1 от 19 декабря 2024 года.
Однако даже по прошествии трех недель, по данным Censys, более 23 800 экземпляров оставались уязвимыми.
В начале января Greynoise уже обнаружила активные попытки эксплуатации уязвимости с использованием представленного исследователем PoC, нацеленные на кражу административных CSRF-токенов.
Несмотря на предупреждение об активной эксплуатации, Shadowserver Foundation сообщает, что 12 229 межсетевых экранов KerioControl остаются уязвимыми для атак с использованием CVE-2024-52875.
Большинство из них детектиуруются в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии.
Благодаря наличию публичного PoC для CVE-2024-52875 требования к эксплуатации значительно упрощаются, что позволяет даже неопытным хакерам принимать участие в активной эксплуатации.
Так что если вы еще не установили обновление, настоятельно рекомендуем накатить KerioControl версии 9.4.5 Patch 2, выпущенную 31 января 2025 года, которая также содержит дополнительные улучшения по части безопасности.
Исследователи из Positive Technologies представили подробности своего исследования в отношении уязвимостей в системе readout protection (RDP), используемой в микроконтроллерах GigaDevice GD32.
Представленные ранее на OFFZONE 2023 результаты подтверждают возможности реализации новых техник обхода технологий защиты от считывания.
Такие микроконтроллеры повсеместно задействуется в различных устройствах, поставляемых многими компаниями по всему миру.
При этом подобные устройства, как правило, состоят из стандартных компонентов, а прошивка создает их уникальность.
В последнее время микроконтроллеры GigaDevice вообще заменяют популярные 32-битные микросхемы производства STMicroelectronics в различном оборудовании.
Потенциальные злоумышленники могут обойти readout protection (в случае с GigaDevice — Security Protection), извлечь прошивку, поискать уязвимости, но также модифицировать или украсть ПО устройства.
Поэтому крайне важно, чтобы эта значимая интеллектуальная собственность хранится во флеш-памяти микроконтроллеров была защищена от несанкционированного считывания.
Тем не менее, Позитивам удалось выяснить, что механизмы защиты в микроконтроллерах GigaDevice функционируют недостаточно эффективно, а возможность извлечения прошивки открывает злоумышленникам доступ к выявлению уязвимостей оборудования.
Для независимой оценки безопасности чипов исследователи протестировали 11 моделей GigaDevice GD32, предварительно активировав в них защитные технологии.
На всех тестовых устройствах GD32F1x0, GD32F3x0, GD32F4xx, GD32L23x, GD32E23x, GD32E50x, GD32C10x, GD32E10x, GD32F20x, GD32F30x и GD32F403, исследователи продемонстрировали возможность извлечения прошивки в незашифрованном виде.
При этом для обхода RDP могут быть использованы уязвимости отладочных интерфейсов, нетривиальные атаки типа fault-injection и даже инвазивное вмешательство.
В одном из примеров для извлечения понадобилось лишь 20 микросекунд.
Информация о выявленных угрозах была передана вендору в рамках политики ответственного раскрытия. Вендор планирует устранить их в новых ревизиях микроконтроллеров.
Подробный технический разбор систем RDP, способов обхода и найденных уязвимостей применительно к GigaDevice GD32 - в отчете.
Великобритания тайно требует от Apple внедрить бэкдор iCloud для доступа к любым резервным копиям, что вызывает в сообществе серьезные опасения по поводу конфиденциальности.
Как передает Washington Post, месяц назад британское правительство выдало негласное поставление, согласно которому у местных спецслужб возникает право требовать доступ ко всем зашифрованным материалам безотносительно конкретной учетной записи.
Вступление в силу этого акта ставит крест на многолетних усилиях технологических компаний в противодействии тотальному контролю за пользователями со стороны правительственных структур.
Таким образом британское правительство реализовало уведомление о технических возможностях (TCN), требуя от Apple прекратить предоставление зашифрованного хранилища на территории страны.
Apple, в свою очередь, может подать апелляцию на уведомление о возможностях Великобритании в секретную комиссию и суд, но закон требует выполнения требований даже в рамках проведения апелляционного процесса.
Технически власти требуют бэкдор, который мог бы позволить им получить доступ к сервису не только в своей юрисдикции, но и в других странах.
Действия властей продиктованы тем, что начиная с 2022 года Apple стала предоставлять сквозное шифрование для облачного хранилища, несмотря на то, что многие пользователи Apple до сих пор не включили его.
Свою позицию правительственные органы и спецслужбы Великобританий аргументируют тем, что шифрование активно используется преступниками и террористами для сокрытия своей деятельности.
Технологические компании в ответ подчеркивают важность соблюдения прав на неприкосновенность частной жизни, предупреждая, что подобные бэкдоры могут также использоваться злоумышленниками и нарушений со стороны самого правительства.
В США по этому поводу уже высказывают свое недовольство. Сенатор Рон Уайден, демократ из сенатского комитета по разведке, призвал помешать британцам шпионить за согражданами, назвав это катастрофой для национальной безопасности.
Он полагает, если Великобритания обеспечит доступ к зашифрованным данным, другие страны, разрешившие зашифрованное хранилище, например Китай и др., могут потребовать равного доступа.
Обострение борьбы в Великобритании не является чем-то новым, как мы уже неоднократно писали, технологическая сегментация постепенно реализуется, а с приходом новой администрации Белого дома - лишь ускоряется.
Но будем посмотреть.
Поставщик решений в области строительных, геопространственных и транспортных технологий Trimble предупреждает пользователей Cityworks об активных атаках, нацеленных на 0-day и связанных с заражением вредоносным ПО.
Trimble Cityworks - это решение на основе GIS, используемое для управления и обслуживания инфраструктуры муниципалитетами, коммунальными службами, на объектах транспорта и при производстве различных работ, широко представлено по всему миру.
Проблема отслеживается как CVE-2025-0994, имеет оценку CVSS v4: 8,6 и описывается как ошибка десериализации недоверенных данных.
Она позволяет аутентифицированному пользователю выполнить RCE-атаку на сервер Microsoft Internet Information Services (IIS) клиента, но для эксплуатации уязвимости требуется аутентификация.
Trimble выпустила исправления для устранения уязвимости 29 января 2025 года, однако, по данным CISA, зафиксированы несанкционированные попытки получения доступа к развертываниям Cityworks у определенного круга клиентов.
Опубликованные Trimble IoCs указывают на то, что 0-day используется для установки загрузчика на основе Rust, который запускает Cobalt Strike, и инструмента удаленного доступа на Go под названием VShell, а также других неопознанных полезных нагрузок.
CISA, в свою очередь, представили свои рекомендации, прежде всего, по ICS для CVE-2025-0994, даже несмотря на то, что Cityworks не является непосредственной частью промышленных систем, но так или иначе связана.
В настоящее время неизвестно, кто стоит за атаками и какова конечная цель кампании.
Пользователям, использующим уязвимые версии ПО, рекомендуется обновить свои экземпляры до последней версии (15.8.9 и 23.10) для обеспечения оптимальной защиты от наблюдаемых атак. Все предыдущие версии подвержены уязвимости.
Поставщик указал, что некоторые локальные развертывания имеют слишком привилегированные разрешения IIS.
Кроме того, некоторые развертывания имеют неподходящие конфигурации каталогов вложений, что также следует устранить.
Как мы и предполагали, клиентуру вновь приобретенного штатами разработчика шпионского ПО Paragon решили основательно проредить (по уже отработанной схеме), ограничив доступ европейских структур и спецслужб на рынок перспективных технологий кибершпионажа.
Поводом стал раздутый WhatsApp (принадлежащий признанной в России экстремистской Meta) скандал с атаками на пользователей мессенджера из числа политической оппозиции и представителей СМИ.
Поэтому после появившихся сообщений о том, что итальянское правительство преследовало журналистов и активистов, Paragon отключила доступ Италии к своей платформе.
Итальянские чиновники, в свою очередь, опровергли все заявления, которые якобы указывали на шпионаж со стороны правительства в отношении ярых критиков Мелони.
Тем не менее, итальянское агентство по кибербезопасности связалось с Meta по поводу хакерской кампании и выяснило, что действительно 7 из почти 90 жертв были из Италии.
Причем данные жертв из соображений безопасности им переданы не были.
А сама кампания затрагивает также 13 других стран ЕС, включая: Бельгию, Грецию, Латвию, Литву, Австрию, Кипр, Чешскую Республику, Данию, Германию, Нидерланды, Португалию, Испанию и Швецию.
Так что в ближайшее время следует ожидать серию громких скандалов, которые сейчас придутся очень кстати для новой администрации Белого дома, приступившей к выстраиванию отношений с действующим политическим руководством ЕС.
Первопроходец санкционной дорожки, другой израильский производитель шпионского ПО - NSO Group после дрессировки теперь послушно отчитывается по всем своим обязательствам, предоставляя целый отчет о прозрачности [PDF].
Согласно отчету, в 2024 году поставщик отклонил контракты на сумму более 20 млн. долл. из-за проблем, связанных с нарушением прав человека, имея 51 клиента в 31 стране, 46 из которых - спецслужбы и правоохранители. Вероятно, все были согласованы с большим братом.
Продолжаем следить.
Chainalysis констатирует снижение доходов банд вымогателей по итогам 2024 года до 813,5 млн долларов США с 1,25 млрд долларов США, полученных годом ранее.
Причем в первом полугодии прошлого года на счета банд поступило 459,8 млн долларов США, однако после июля 2024 года транши замедлились примерно на 3,94%.
При этом число ransomware-атак и жертв во втором полугодии наоборот возросло, но выкупов стало поступать меньше.
Ситуация усугубляется тем, что экосистема ransomware стала все более фрагментированной после ударов спецслужб по LockBit и BlackCat.
Появилось множество новичков, отказавшихся от охоты на крупную дичь в пользу мелких и средних организаций, что, в свою очередь, привело и к более скромным требованиям по части выкупа.
По данным Coveware, средний размер суммы выкупа за вымогательство в четвертом квартале 2024 года составил $553 959 (в третьем квартале - $479 237), при том, что средний размер платежа, напротив, снизился с $200 000 до $110 890, почти на 45%.
Тем не менее, платежи по-прежнему остаются последним гарантированным способом для жертв, не имеющих альтернатив по восстановлению критически важных данных.
Правда, некорректно работающие утилиты дешифрования как новых, так и старых штаммов, а также растущее недоверие к злоумышленникам, не всегда соблюдающим условия договоренностей, все чаще отталкивают жертв от переговоров, даже если у них нет иного выбора.
Сокращению выплат выкупов также способствовали усилия правоохранителей, активизировавших операции по нейтрализации инфраструктуры киберпреступников и сервисов по отмыванию криптовалют, что подрывает финансовые стимулы и повышает барьеры для входа.
При этом в 2024 году было зафиксировано самое большое количество случаев заражения ransomware с 2021 года - 5263 атаки, что на 15% больше, чем в предыдущем году.
Как отмечают в NCC Group, на промышленность пришлось 27% (1424) всех атак с использованием программ-вымогателей в 2024 году, что на 15% больше, чем в 2023 году. Северная Америка стала лидером по числу жертв с 55%.
Наиболее часто наблюдаемыми штаммами программ-вымогателей в 2024 году были Akira (11%), Fog (11%), RansomHub (8%), Medusa (5%), BlackSuit (5%), BianLian (4%) и Black Basta (4%), акторы-одиночки смогли захватить 8% доли рынка.
В числе новых участников, отметившихся за последние месяцы: Arcus Media, Cloak, HellCat, Nnice, NotLockBit, WantToCry и Windows Locker.
После проблем у LockBit и экзит-скама BlackCat еще одним интересным явлением стал подъем RansomHub RaaS, поглотшей множество оставшихся без работы их операторов, что позволило ей выдать наибольшее количество жертв в 2024 году и войти в ТОП-10.
Более детальная статистика и разбор отдельных кейсов по вымогателям - отчете.
Cisco выпустила обновления с исправлениями критических уязвимостей Identity Services Engine (ISE), которые позволяют удаленным злоумышленникам выполнять произвольные команды и повышать привилегии на уязвимых устройствах.
Первая CVE-2025-20124 (CVSS: 9,9) связана с десериализацией Java в API Cisco ISE, которая может позволить аутентифицированному удаленному злоумышленнику выполнять произвольные команды от имени пользователя root на уязвимом устройстве.
Другая, CVE-2025-20125 (CVSS: 9,1), - это уязвимость обхода авторизации в API Cisco ISE, которая позволяет аутентифицированному удаленному злоумышленнику с действительными учетными данными только для чтения получить конфиденциальную информацию, изменить конфигурации узла и перезапустить узел.
Злоумышленник может использовать любую из уязвимостей, отправив специально созданный сериализованный объект Java или HTTP-запрос на неуказанную конечную точку API, что приведет к повышению привилегий и выполнению кода.
По данным Cisco, обе две уязвимости не зависят друг от друга и не имеют обходных путей для их устранения.
Проблемы были обнаружены исследователями Deloitte и исправлены в Cisco ISE 3.0 (переход на исправленную версию), 3.1 (исправлено в 3.1P10), 3.2 (исправлено в 3.2P7), 3.3 (исправлено в 3.3P4) и 3.4 (не уязвимо).
Данными о возможном злонамеренном использовании уязвимостей Cisco не располагает, но рекомендует пользователям обновить свои системы.
Продолжаем отслеживать наиболее трендовые уязвимости, вкратце ситуация выглядит следующим образом.
1. Исследователи Google сообщили об уязвимости в некоторых процессорах AMD Zen.
CVE-2024-56161 позволяет злоумышленникам с правами администратора в системе загружать вредоносные исправления прошивки процессора.
Атака способна обходить защиту AMD Secure Encrypted Virtualization и позволяет злоумышленникам скомпрометировать облачную инфраструктуру.
Среди затронутых процессоров - Zen 1 — Zen 4.
AMD выпустила обновления в понедельник.
2. Исследователи watchTowr Labs обнаружили около 150 AWS S3 buckets, которые ранее принадлежали ныне недействующим коммерческим и open-source проектам.
При этом с них продолжал идти трафик, в том числе с правительственных (и даже военных) доменов и компаний из списка Fortune 500.
Содержимое, включая обновления ПО, конфигурацию сервера и различные файлы, можно заменить и использовать для захвата удаленных сетей.
3. Инженер Райк Шнайдер выявил уязимости, связанные с перехватом DLL в нескольких инструментах Sysinternal от Microsoft.
Проблемы остаются неисправленными даже после 90-дневного срока раскрытия.
4. Netgear выпустила обновления для обхода аутентификации и RCE в WiFi-маршрутизаторах.
5. Исследователи Aqua сообщают об обнаруженных вариантах обхода политик в OPA Gatekeeper, утилите для управления кластерами Kubernetes.
6. Исследователь Владимир Палант представил новый набор из 10 вредоносных расширений Chrome после того, как в прошлом месяце был обнаружен первый набор из 35.
7. Veeam выпустила исправления для устранения критической RCE-уязвимости в ПО для резервного копирования Veeam Backup для Salesforce, Nutanix AHV, AWS, Microsoft Azure, Google Cloud, Oracle Linux Virtualization Manager и Red Hat Virtualization.
CVE-2025-23114 имеет оценку CVSS 9,0 из 10,0 и позволяет злоумышленнику использовать MiTM-атаку для выполнения произвольного кода на уязвимом сервере-устройстве с правами root.
Исследователи из Лаборатории Касперского сообщают об обнаружении нового криптокрада для iOS и Android, который использует нейросети для кражи данных из фотогалереи и активно распространяется через официальные App Store и Google Play.
SparkCat анализирует фотографии из галереи телефона и сканирует их с помощью модуля OCR, извлекая присутствующий на любом из изображений текст.
Вредоносная ПО фокусируется на фразах, своих с мнемоническими фразами на разных языках, которые потенциально могут быть снимком экрана с фразой для восстановления доступа к криптокошельку, отправляя собранные фото на серверы злоумышленников.
Кроме того, криптокрад может красть и другие данные, включая содержание сообщений или пароли, если они запечатлены на скриншотах.
Вредоносный код был замаскирован внутри безобидных на первый взгляд SDK, используемых как для приложений Android, так и для iOS.
Распространялся в составе заражённых мессенджеров, ИИ-ассистента, приложений для доставки еды и для доступа к криптобирже.
Название вредоносной программы происходит от Spark, вредоносного SDK, используемого для приложений Android, и bigCat, SDK, используемого для iOS.
Исследователи отмечают, что задетектили Spark SDK в нескольких приложениях Android, загруженных в Play Store, которые насчитывают более 242 000 установок, причем некоторые из приложений все еще активны.
При этом им удалось отыскать лишь одно вредоносное приложение iOS в Apple App Store.
Но найденные при анализы артефакты указывают на то, что в общей сложности было разработано несколько приложений iOS, часть из которых пока в оффлайне, а часть не содержат кода (во всяком случае пока).
Среди отличительных особенностей зловреда: кроссплатформенность, задействование Rust, мимикрирование С2-доменов под легитимные сервисы и вредоносных фреймворков - под служебные пакеты, а также обфускация.
Причем вредоносная ПО также задействовала Google ML Kit, модель машинного обучения для разработчиков мобильных приложений, для сканирования изображений на наличие текста.
Это делает SparkCat вторым известным штаммом вредоносных ПО, использующим ML Kit для извлечения фраз восстановления криптокошелька из изображений после аналогичного семейства, обнаруженного в 2023 году компанией ESET.
Как полагают исследователи, на основании шаблонов распознавания ключевых слов и загруженных модулей OCR можно сделать вывод, что вредоносная программа нацелена на аудиторию в Европе и Азии.
Часть исходного кода вредоносного ПО также содержала комментарии на китайском языке, что навело исследователей на мысль, что злоумышленник мог свободно владеть этим языком.
Исследователи ЛК оперативно уведомили Google и Apple о своей находке, однако SparkCat может продолжать распространяться на неофициальных площадках.
В целом, наблюдаемая кампания, как отмечают исследователи, разрушает стереотипы о том, что вредоносных приложений под iOS не существует, а Android-угрозы неактуальны для владельцев устройств Apple
Технические подробности - отчете.