39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Samsung в своих обновлениям SMR Sep-2025 Release 1 устранила RCE-уязвимость, активно задействуемую в реальных атаках в качестве 0-day на ее устройства Android.
Критическая уязвимость отслеживается как CVE-2025-21043 и затрагивает устройства Samsung под управлением Android 13 или более поздней версии.
Об ошибке сообщили специалисты службы безопасности Meta (признана в РФ экстремистской) и WhatsApp 13 августа.
Как поясняет Samsung, проблема была затрагивает libimagecodec.quram.so, библиотеку анализа изображений с закрытым исходным кодом, разработанную Quramsoft, которая обеспечивает поддержку различных форматов изображений.
Ошибка связана с записью за пределами выделенного буфера памяти и позволяет злоумышленникам удаленно выполнять вредоносный код на уязвимых устройствах.
Пока неясно были ли замеченные атаки нацелены исключительно на пользователей WhatsApp на устройствах Samsung Android, но другие мессенджеры с уязвимой библиотекой потенциально также могут быть атакованы с использованием эксплойтов для CVE-2025-21043.
Стоит напомнить, что в конце августа WhatsApp также исправила Zero-Click (CVE-2025-55177) в своих мессенджерах для iOS и macOS, которая была связана с Apple 0-day (CVE-2025-43300) в чрезвычайно сложных целевых атаках.
Несмотря на то, что ни Apple, ни WhatsApp не представили никаких подробностей относительно цепочек атак с использованием CVE-2025-55177 и CVE-2025-43300, в Amnesty International заявляли, что WhatsApp уведомила ряд пользователей, чьи устройства стали объектами продвинутой шпионской кампании.
WhatsApp настоятельно рекомендовала пользователям обновить свои устройства и ПО, а также сбросить настройки устройств до заводских.
В сообщениях Samsung и Meta также не уточнили технические детали относительно реализуемых атак, а также вообще отказались от каких-либо комментариев.
Apple вместе с iPhone 17 и iPhone Air анонсировала новую функцию обеспечения целостности памяти (MIE), которая реализует постоянную защиту памяти для новейших телефонов и охватывает основные поверхности сложных spyware атак, включая ядро и более 70 пользовательских процессов.
Apple отметила, что, хотя ее операционная система iOS не подвергалась масштабным атакам вредоносного ПО, iPhone регулярно становятся мишенью для продвинутых злоумышленников.
В таких атаках обычно задействуются эксплойты, разрабатываемые поставщиками решений в сфере spyware, которые часто используют уязвимости безопасности памяти, в связи с чем была создана новая система, значительно затрудняющая эксплуатацию таких уязвимостей.
По данным Apple, функция MIE базируется на технологии Arm Enhanced Memory Tagging Extension (EMTE), которую производитель чипов выпустил в 2022 году в качестве обновления своей спецификации Memory Tagging Extension (MTE) 2019 года после сотрудничества с Apple.
При этом MIE использует EMTE вместе с защищенными распределителями памяти и обширными политиками обеспечения конфиденциальности тегов для обеспечения защиты в ядре, Safari и сообщениях.
После тестирования MIE с использованием известных цепочек эксплойтов и недавних уязвимостей Apple пришла к выводу о высокой эффективности этого инструмента в нейтрализации атак на ранних стадиях.
Злоумышленникам неизбежно придется сталкиваться с MIE на этапе, когда их возможности ещё очень ограничены, что оставляет мало возможностей для эксплуатации.
Это приводит к появлению хрупких цепочек, где разрыв всего одного звена часто может свести на нет всю стратегию эксплуатации.
В компании полагают, что Memory Integrity Enforcement значительно удорожит и усложнит разработку новых цепочек эксплойтов и, потенциально, сильно осложнит многие из самых эффективных методов эксплуатации за последние 25 лет.
Google вслед за конкурентом также анонсировала новую функцию под названием режим расширенной защиты, предназначенную для блокировки шпионского ПО и других атак, нацеленных на пользователей Android.
Насколько круто изменится ландшафт угроз в связи с заявленными инструментами защиты памяти, будем, конечно, посмотреть.
Но, как показывает практика, на каждую хитрую… В общем, болт всегда находился.
Исследователи Wiz подвели итоги расследования самой крупной атаки на цепочку поставок за всю историю экосистемы NPM, которая затронула примерно 10% всех облачных сред.
Атака произошла в начале этой недели после того, как разработчик Джош Джунон (qix) попался на фишинг со сбросом пароля, чт привело к компрометации ряда очень популярных пакетов NPM, среди которых chalk и degub-js с еженедельными 2,6 млрд. загрузкок.
Получив доступ к аккаунту Junon, злоумышленники запустили вредоносные обновления с вредоносным модулем, который похищал криптовалюту, перенаправляя транзакции на подконтрольные злоумышленнику реквизиты.
Атаку быстро задетектили в cообществе разработчиков ПО с открытым исходным кодом и все вредоносные пакеты были удалены в течение двух часов.
Тем не менее, по оценкам Wiz, несколько скомпрометированных пакетов являются основными компонентами практически в любом проекте JavaScript/Node и использовались в 99% облачных сред.
За короткий двухчасовой период, в течение которого вредоносные версии были доступны в npm, вредоносный код успешно проник в 1 из 10 облачных сред.
Показатель в 10% основан на данных Wiz по клиентским облачным средам, а также на сведениях из общедоступных источников. Показатель может быть нерепрезентативным, но всё же свидетельствует о быстром распространении и масштабах атаки.
По итогу атака вызвала заметные нарушения и потребовала от компаний значительного количества часов на восстановление и аудит, при это последствия для безопасности оказались незначительны, собственно, как и прибыль злоумышленника.
Согласно анализу Security Alliance, внедренный код был нацелен на среду браузера для перехвата запросов на подпись Ethereum и Solana в рамках реализации вполне стандартных схем криптоджекинга.
Но именно этот тип полезной нагрузки в принципе уберег многие компании от гораздо более серьезных последствий, поскольку злоумышленник мог воспользоваться доступом для горизонтального перемещения по сети или внедрения вредоносного ПО.
Несмотря на столько широкий масштаб атаки и внушительное количество жертв, злоумышленникам удалось похитить лишь ETH на сумму в 5 центов и неизвестный мемкойн на сумму в 20 долл.
Позавчера исследователи socket опубликовали отчет, в котором упоминается та же фишинговая кампания, которая затронула учетную запись сопровождающего DuckDB, скомпрометировав пакеты проекта тем же кодом для кражи крипты.
По их словам, прибыль, поступившая на кошельки злоумышленников, составила около 429 долл. в Ethereum, 46 - в Solana и небольшие суммы в BTC, Tron, BCH и LTC на общую сумму 600 долл.
Исследователи F6 представили отчет с результатами анализа мошеннических атак на российские компании в первом полугодии 2025 года.
Около 80% всех создаваемых мошеннических ресурсов эксплуатируют бренды известных компаний, а самая атакуемая отрасль - ритейл.
В новом исследовании аналитики F6 отмечают, что за первое полугодие 2025 года злоумышленники создали в среднем по 2299 фишинговых ресурсов и 1238 скам-ресурсов на один бренд.
Ежедневно злоумышленники запускали в среднем по 13 фишинговых и по 7 мошеннических ресурсов на каждый бренд.
По итогам первого полугодия 2025 года зафиксирован рост числа мошеннических (+6,8%) и фишинговых (+7,9%) ресурсов по сравнению с аналогичным периодом 2024 года.
В 2025 году на первое место среди отраслей, против которых направлены действия мошенников, вышел ритейл. На него приходится 50% всех фишинговых и 32% скам-атак.
Долгое время главной целью был финансовый сектор, однако его доля снижается: по итогам полугодия на банки и другие финансовые организации пришлось 32% фишинговых атак и примерно столько же - скам-активности.
Благодаря разнообразию компаний в сфере ритейла злоумышленники регулярно пополняют схему новыми шаблонами и брендами.
Так, в мошеннических группах, работающих по популярной схеме мамонт с фейковой доставкой товаров, в первом полугодии 2025 года на 4 бренда из финансовой сферы приходилось 15 из брендов ритейла - это маркетплейсы, онлайн-магазины и крупные розничные сети.
Также мошенники используют их для создания фальшивых розыгрышей, акций и «подарков», постоянно расширяя список задействованных брендов.
Большинство созданных в 2025 году мошеннических ресурсов приходилось на веб-сайты, их доля на 3,5% превысила уровень прошлого года и увеличилась до 57%.
При этом мошенники стали реже создавать фишинговые и скам-ресурсы в мессенджерах. Если в первой половине 2024 на их долю приходилось 35% всех мошеннических ресурсов, то в 2025 - только 20%: это поддельные аккаунты, каналы, боты известных брендов.
За это же время почти в 2 раза увеличилась доля создаваемых мошеннических ресурсов в социальных сетях – с 8% до 17%.
Аналитики отмечают, что мессенджеры для мошеннических схем - более удобный инструмент, и главная причина заключается в скорости блокировки.
Аккаунты и боты в мессенджерах блокируются значительно дольше, чем в соцсетях, что освобождает злоумышленников от необходимости регистрировать много резервных поддельных аккаунтов.
В случае с российскими соцсетями мошенники вынуждены создавать больше ресурсов в надежде успеть захватить хоть какую-то часть аудитории до блокировки.
При выборе доменной зоны для регистрации сайтов под фишинговые атаки злоумышленники традиционно выбирают зону .ru. Однако по итогам полугодия число вновь зарегистрированных фишинговых доменов в этой зоне сократилось почти в 2 раза - с 95% до 49%.
Причина - в усилении противодействия фишингу в зоне .ru: срок «жизни» мошеннических ресурсов в Рунете стремительно сокращается.
Поэтому мошенники переключаются на выбор доменов в других зонах, время блокировки которых зачастую значительно больше. Так, в 2025 году отмечен резкий рост регистраций фишинговых доменов в зонах .click (16%), .sa.com (13%), .pro (6%) и .info (5,5%).
Подробный разбор всех актуальных трендов фишинговых и скам-атак на российские компании – в отчете.
Исследователи из Лаборатории Касперского продолжают отслеживать развитие информационных угроз и делиться ежеквартальной соответствующей статистикой по мобильным устройствам и ПК.
Результаты наблюдений основаны на базе анализа уведомлений о срабатывании решений ЛК на устройствах пользователей посредством Kaspersky Security Network.
Подробно обозревать оба отчета смысла не имеет, а отметить основные цифры и тренды, конечно, стоит.
Мобильная часть квартального отчета по информационным угрозам содержит статистику по вредоносному, рекламному и потенциально нежелательному ПО для Android, а также описание наиболее интересных угроз для Android и iOS, найденных за отчетный период:
- благодаря решениям ЛК предотвращено 10,71 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО (число атак снизилось по сравнению с прошлым перодом);
- самой распространенной угрозой для мобильных устройств стали троянцы - 31,69% от всех обнаруженных угроз;
- одной из находок квартала стало новое вредоносное приложение для Android и iOS, похищающее изображения из галереи - SparkKitty;
- кроме того, исследователи отмечают Trojan-DDoS.AndroidOS.Agent.a (в приложения для просмотра порнографического контента злоумышленники встроили SDK для проведения динамически настраиваемых DDoS-атак);
- было выявлено чуть менее 143 тысяч вредоносных установочных пакетов, из которых: 42 220 пакетов относилось к мобильным банковским троянцам, а 695 пакетов - к мобильным троянцам-вымогателям.
Что касается по части ПК, то основные позатаели следующие:
- решения ЛК позволили отразить более 471 миллиона атак с различных интернет-ресурсов;
- веб-антивирус среагировал на 77 миллионов уникальных ссылок;
- файловый антивирус заблокировал более 23 миллионов вредоносных и потенциально нежелательных объектов;
- было обнаружено 1702 новых модификации шифровальщиков;
- чуть менее 86 тысяч пользователей столкнулись с атаками шифровальщиков;
- 12% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от Qilin;
- почти 280 тысяч пользователей столкнулись с майнерами.
Подробная инфографика и описание основных угроз - в отчетах (мобильная статистика и ПК).
Исследователи BI.ZONE раскрывают подробности новой кампании Fluffy Wolf с использованием Pay2Key.
Атакующие рассылали фишинговые письма от имени сотрудников магазина сантехники, к которым прикрепляли «акт сверки» - PNG с гиперссылкой, ведущей на RAR-архив с загрузчиком akt_BUH_1C_PDF.com.
akt_BUH_1C_PDF.com после запуска расшифровывает полезную нагрузку и внедряет ее в адресное пространство InstallUtil.exe.
В данном случае в ее роли выступили Purelogs Stealer + PureRAT.
Для обхода антивирусной защиты вредоносная ПО использует инструмент для отключения Microsoft Defender NO DEFENDER.
Он не только отключает встроенную защиту Windows, но также для компрометации Microsoft Defender и Windows Security Center регистрирует в системе легитимные компоненты антивируса Avast: wsc.dll и wsc_proxy.exe (Avast Remediation), который отвечает за взаимодействие с Windows Security Center.
Благодаря этому пользователь не замечает отключения Microsoft Defender, а вместо него работающим отображается антивирус Avast, на самом деле неустановленный на хосте.
Также вредоносная ПО создает и запускает исполняемый файл enc-build.exe - программу-вымогатель Pay2Key, упакованную Themida.
В свою очередь, Pay2Key задействует утилиту Everything для быстрого сканирования директорий и файлов.
Найденные файлы шифруются, и к ним добавляется расширение, состоящее из нескольких символов. В конце программа-вымогатель демонстрирует жертве записку о выкупе.
За основу для создания Pay2Key взята другая известная программа-вымогатель - Mimic.
По данным BI.ZONE, Fluffy Wolf продолжает активно атаковать компании в России.
Только за летний период выявлено более 18 атак с Purelogs Stealer, PureHVNC, PureRAT и Pay2Key.
При этом злоумышленники часто рассылают фишинговые письма от имени известных организаций или ссылаются на них.
Преступники используют узнаваемые логотипы и элементы фирменного стиля, чтобы повысить доверие пользователей и побудить их открыть письмо.
Технические подробности и IOCs активности Fluffy Wolf - ранее упоминались в отчете.
Про атрибуцию в зарубежном инфосеке уже не раз писали, но не могли не оставить без внимания новый шедевр от Seqrite Labs.
Ресерчеры недавно выкатили отчет с описанием активности, которую они отслеживают как Operation BarrelFire, связывая ее с новой группой угроз - Noisy Bear, действующей как минимум с апреля 2025 года.
Злоумышленнику, предположительно, российского происхождения, приписывают новую серию атак, нацеленных на энергетический сектор Республики Казахстан.
В частности, исследуемая кампания была направлена на сотрудников КазМунайГаза с использованием фишингового документа, связаного с ИТ-отделом компании и мимикрирующего под официальную внутреннюю переписку.
Начинающаяся с фишингового письма с вложением ZIP цепочка заражения включала загрузчик ярлыка Windows (LNK), фейковый документ и файл README.txt с инструкциями на русском и казахском языках по запуску программы под названием KazMunayGaz_Viewer.
По данным исследователей, электронное письмо было отправлено со взломанного адреса электронной почты сотрудника финансового подразделения КазМунайГаза в адрес других его коллег в мае 2025 года.
Полезная нагрузка LNK-файла предназначена для доставки дополнительных полезных данных, включая вредоносный пакетный скрипт, открывающий путь для загрузчика PowerShell, получившего название DOWNSHELL.
Атаки завершаются внедрением DLL-импланта - 64-битного двоичного файла, способного запускать шелл-код для запуска обратного шелла.
Анализ инфраструктуры злоумышленника указывает на ее размещение на базе российского провайдера услуг защищенного хостинга Aeza Group.
В общем все как обычно: и фишинг, и полезная нагрузка, и целый кластер угроз, даже название придумали.
Но есть НЮАНС.
Представленные в отчете Seqrite Labs скрины атаки на КазМунайГаз попались на глаза местным исследователям, благодаря которым атрибутический трюк провернуть не удалось.
Дело в том, что заявленная в качестве тщательно спланированной APT-активности кампания в реальности представляла собой плановые учения ИБ-подразделения КазМунайГаза, которые проводились внутри компании для обучения сотрудников мерам защиты от фишинга.
По итогу отчет Seqrite Labs после вскрытия всех обстоятельств был отклонен представителями КазМунайГаза, а ответственные за организацию учений сотрудники теперь могут гордо называть себя NoisyBear APT.
Подкатили новые подробности масштабного инцидента с Salesloft.
Согласно обновлению, оказывается хакеры UNC6395 впервые взломали платформу автоматизации продаж ИИ еще в марте этого года, получив доступ к аккаунту Salesloft на GitHub.
Используя этот доступ, злоумышленник смог загрузить контент из нескольких репозиториев, добавить гостевого пользователя и настроить рабочие процессы.
Затем злоумышленник с марта по июнь 2025 года вел усиленную разведку в средах применения Salesloft и Drift, сумев по итогу получить доступ к среде AWS Drift и токены OAuth для интеграции технологий клиентов Drift.
Украденные токены затем задействовались для доступа к данным через интеграцию Drift.
Первоначально предполагалось, что кампания затронула только те организации, которые использовали интеграцию Drift, однако позже выяснилось, что она затронула и других клиентов Salesforce.
28 августа Google сообщила, что пострадали клиенты Workspace, а вскоре после этого о последствиях сообщили и компании по ИБ Cloudflare, Palo Alto Networks и Zscaler.
Помимо подробностей прибавилось и в списке пострадавших организаций, который теперь включает: Elastic, Nutanix, CyberArk, Cato Networks, Bugcrowd, JFrog, BeyondTrust, Rubrik, Proofpoint, SpyCloud и Tenable.
В целом, по оценкам, атака затронула более 700 организаций.
GreyNoise сообщает о детектировании двух волн сканировании, нацеленных на устройств Cisco ASA в конце августа.
Злоумышленники использовали до 25 000 уникальных IP-адресов для поиска устройств с доступом в Интернет.
Похоже, все эти атаки представляют собой ту же кампанию, которую NadSec Nadsec/honeypot-report-a-coordinated-reconnaissance-wave-against-cisco-asa-appliances-ddc49b6664ae">описывала на прошлой неделе.
Исследователи волн сканироваполагают, что активность представлять собой разведывательную кампанию, за которая могла предшествовать будущему эксплойту.
Еще одной жертвой инцидента Salesloft Drift стала известная в инфосек-сообществе компания Proofpoint, которая также теперь присоединилась к длинному списку скомпрометированных поставщиков услуг ИБ.
В категории SaaS-услуг также прибавилось: Workiva сообщает, что хакеры получили доступ к данным его аккаунта Salesforce и украли их.
Помимо новых жертв, интересный поворот событий наметился в кейсе с Google.
Scattered LapSus Hunters потребовали увольнения двух сотрудников и прекращения расследования их деятельности, угрожая в противном случае опубликовать данные Google.
Автотема кучно пошла: вслед за Jaguar Land Rover хакеры атаковали производственные активы Bridgestone, предприятия которой в Северной Америке пострадали в результате кибератаки.
Bridgestone Americas (BSA) - североамериканское подразделение Bridgestone, японского транснационального производителя шин, крупнейшего в мире по объему производства.
BSA управляет 50 заводами и имеет штат в 55 000 сотрудников, что составляет примерно 43% от общей численности персонала корпорации. В 2024 году объём продаж только BSA составил 12 млрд долл., а операционная прибыль - 1,2 млрд долл.
Во вторник, 2 сентября 2025 года, появились первые сообщения об инциденте, который затронул два производственных объекта BSA в округе Эйкен, Южная Каролина.
На следующий день канадские СМИ сообщили об аналогичных сбоях на производственном предприятии BSA в Джольетте, провинция Квебек.
В самой компании киберинцидент подтверждают и проводят его всестороннее расследование. BSA отмечает, что оперативное реагирование позволило сдержать атаку на ранних стадиях, предотвратить кражу данных клиентов и более глубокое проникновение в сеть.
Результаты предварительного расследования также указывают на то, что BSA удалось вовремя локализовать ограниченный киберинцидент, при этом какие-либо данные или интерфейсы клиентов скомпрометированы не были.
В настоящее время специалисты работают в круглосуточном режиме, пытаясь минимизировать сбои в цепочке поставок, которые могут привести к дефициту продукции на рынке.
В Bridgestone пока не распространяются относительно того, была ли это атака с использованием ransomware, но по всей видимости, была.
На текущий момент ни одна из банд вымогателей не взяла на себя ответственность за атаку на Bridgestone Americas. Однако в прошлый раз в 2022 году в ее сетях побывали LockBit. Кто на этот раз, будем посмотреть.
Ресерчеры из Лаборатории Касперского выкатили монументальное исследование атак проукраинских хактивистских и APT-группировок, нацеленных на организации в России, Беларуси и некоторых других странах.
В последние годы Россия сталкивается с беспрецедентным количеством кибератак.
По оценкам ЛК, начиная с февраля 2022 года и по сегодняшний день это самая атакуемая в киберпространстве страна. При этом целями становятся организации из самых разных отраслей.
Ключевой угрозой для российского бизнеса на сегодняшний день остается хактивизм, причем масштабы и сложность атак растут.
В 2022 году на фоне геополитической напряженности возникло множество хактивистских групп, нацеленных на российские организации, и они активно развиваются.
За прошедшие годы злоумышленники стали более опытными и организованными, они сотрудничают друг с другом, делятся знаниями и инструментами для достижения общих целей.
Кроме того, после 2022 года в российском ландшафте угроз появилось такое явление как группы двойного назначения.
Они используют одни и те же инструменты, техники и тактики и даже общие инфраструктуру и ресурсы.
В зависимости от жертвы они могут преследовать различные цели: потребовать выкуп за зашифрованные данные, нанести непоправимый ущерб, слить украденные данные и предать их огласке в СМИ.
С начала 2022 года специалисты собрали и проанализировали большой массив данных по TTPs проукраинских групп, отмечая формирование новой волны угроз, приобретающей массовый и системный характер в рамках не только отдельно взятой страны, но и по всему миру.
В результате анализа достигнута одна из основных целей, связанная с документальным доказательством предположений из прошлых отчетов: большинство описанных групп активно взаимодействуют между собой и по факту формируют три крупных кластера угроз.
Новое исследование включает актуальную на 2025 год классификацию проукраинских группировок, а также подробное техническое описание наиболее характерных их TTPs и инструментария, что будет чрезвычайно полезно для специалистов SOC, DFIR, CTI и Threat Hunting на практике.
Все группы в ЛК разделили на три кластера на основе их TTPs:
- Кластер I объединяет хактивистские и финансово-мотивированные группы, использующие схожие TTPs. В него вошли следующие группы: Twelve, BlackJack, Crypt Ghouls, Head Mare и C.A.S.
- К кластеру II были отнесены проукраинские APT-группы, которые отличаются своими TTPs от хактивистов: Awaken Likho, Angry Likho, Mythic Likho, Librarian Likho, Cloud Atlas, GOFFEE и XDSpy.
- В кластер III попали хактивистские группы, за которыми не были замечены признаки активного взаимодействия с другими описанными группами: Bo Team и Cyberpartisans.
Настоятельно рекомендуем изучить и взять на вооружение основные положения отчета, полная верcия которого доступна для скачивания (здесь).
На фоне поползновений ShinyHunters, связанных с утечкой данных своей базы данных Salesforce, Google поспешила опровергнуть взлом своего сервиса Gmail после ряда публикаций на прошлой неделе об угрозах компрометации 2,5 млрд. пользователей Gmail.
Что касается Google - то на этой неделе есть и позитивные новости.
Компания выпустила обновления безопасности для устранения 120 уязвимостей в ОС Android в рамках ежемесячного обновления за сентябрь 2025 года, включая две проблемы, которые, по ее данным, были использованы в целевых атаках.
Среди них: CVE-2025-38352 (CVSS: 7,4) - уязвимость, позволяющая повысить привилегии в компоненте ядра Linux, и CVE-2025-48543 (CVSS: Н/Д) - уязвимость, приводящая к повышению привилегий в компоненте Android Runtime.
Google отмечает, что обе уязвимости могут привести к локальному повышению привилегий без необходимости получения дополнительных прав на выполнение, а для эксплуатации не требуется никакого взаимодействия с пользователем.
Технологический гигант не раскрыл, каким образом уязвимости задействовались в реальных атаках и применяются ли они в тандеме, но признал, что есть признаки «ограниченной, целенаправленной эксплуатации».
Обнаружение уязвимости ядра Linux приписывается исследователям из группы анализа угроз Google (TAG), что указывает на возможности их использования в рамках целевых атак со spyware.
Google также закрыла ряд уязвимостей удаленного выполнения кода, повышения привилегий, раскрытия информации и отказа в обслуживании, влияющих на компоненты Framework и System.
Традиционно вышло два уровня исправлений безопасности: 2025-09-01 и 2025-09-05, предоставляя партнерам Android возможность оперативного устранения части уязвимостей, типичных для всех устройств Android.
Ну, а что там в итоге с утечкой Gmail - будем посмотреть, конечно.
Ресерчеры из Лаборатории Касперского предупреждают о возвращении банды вымогателей OldGremlin, которая возобновила свои атаки на российские компании в первой половине 2025 года.
С действиями злоумышленников столкнулись 8 крупных отечественных предприятий, главным образом промышленных.
В число новых целей OldGremlin также вошли организации из сфер здравоохранения, ретейла и ИТ.
OldGremlin, как известно, была профилирована пять лет назад, использует сложные TTPs. Злоумышленники могут долго находиться в системе жертвы - в среднем около 49 дней, прежде чем зашифровать файлы.
Ранее OldGremlin была активна в 2020-2022 гг. и последний раз замечена в 2024 году. В прошлом хакеры требовали достаточно крупные выкупы, в одном из случаев - почти 17 млн долл.
В новой наблюдаемой кампании злоумышленники обновили набор инструментов для атак.
С их помощью они в том числе эксплуатировали уязвимость в легитимном драйвере, чтобы отключить защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов.
Также группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа она использовала OldGremlins - немного изменённое имя, которое ранее ей присвоили исследователи.
Для проникновения в компьютеры жертв и шифрования данных, злоумышленники рассылают фишинговые письма и используют несколько вредоносных инструментов.
Бэкдор помогает атакующим получить удалённый доступ и управлять заражёнными устройствами, а чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, группа эксплуатирует уязвимость в легитимном драйвере.
Это позволяет OldGremlin запустить программу-вымогатель.
Причем в новой кампании вредонос не просто блокирует файлы, но и может транслировать злоумышленникам актуальный статус.
Последний, четвёртый, инструмент оставляет жертве сообщение с требованием выкупа, удаляет следы вредоносной активности и отключает устройство от сети на время шифрования - это усложняет дальнейшее исследование инцидента.
Решения Лаборатории Касперского детектируют вредоносное ПО как Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og и HEUR:Trojan-Ransom.Win64.Generic.
Исследователи из Positive Technologies выпустили полугодовой отчет по актуальным киберугрозам, основанный на собственной экспертизе, результатах расследований, а также на данных авторитетных источников.
Из ключевых трендов в первом полугодии 2025 года - злоумышленники чаще всего атаковали госучреждения (21% от общего количества успешных атак на организации), промышленность (13%), IT-компании (6%) и медицинские учреждения (6%).
По данным исследователей, в первом полугодии 2025 года количество APT-атак на корпоративные сети выросло на 27% по сравнению с аналогичным периодом прошлого года.
В успешных атаках на организации мы отмечаем увеличение доли использования шифровальщиков относительно предыдущего полугодия на 6% (с 43% до 49%) и на 8% (с 41% до 49%) относительно первого полугодия 2024 года.
В феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой - вымогательской программой PE32, жертвами которой стали десятки предприятий (общая сумма выкупа варьируется от 500 до 150 000 долларов и выплачивалась в биткоинах).
Наиболее распространенными методами успешных атак на организации стали использование ВПО (63%), социальная инженерия (50%) и эксплуатация уязвимостей (31%).
На протяжении всего первого полугодия 2025 года мы наблюдали атаки, в которых для проникновения в системы использовалась техника ClickFix. Во II квартале ClickFix впервые стала впервые использоваться в атаках на российские организации.
В успешных атаках на организации чаще всего использовались шифровальщики (49% атак), ВПО для удаленного управления (33%) и шпионское ПО (22%).
За рассматриваемый период утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц.
Чаще всего злоумышленникам удавалось украсть конфиденциальные данные (52% успешных атак на организации и 74% атак на частных лиц).
Другое частое последствие для организаций — это нарушение основной деятельности.
Доля таких атак увеличилась на 13% по сравнению с предыдущим полугодием и на 15% по сравнению с 2024, что объясняется увеличением активности вымогателей и хактивистов.
В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на учетные данные (25% успешных атак), персональные данные (17%) и коммерческую тайну (15%).
В 26% случаев атаки на частных лиц привели к финансовым потерям: продолжается тенденция конца прошлого года.
Подробный разбор с инфографикой, анализов наиболее тресковых уязвимостей и инцидентов - в отчете.
Подкатили ежемесячные обновления ICS от Rockwell Automation, Siemens, Schneider Electric и Phoenix Contact.
Rockwell Automation опубликовала восемь новых рекомендаций, все из которых касаются уязвимостей высокого уровня серьёзности, обнаруженных в продуктах компании.
Компания исправила проблему раскрытия конфиденциальных данных в FactoryTalk Analytics LogixAI, а также DoS-атак и выполнения кода в контроллерах ControlLogix.
Также устранена RCE-уязвимости в устройствах Stratix (Cisco) и в FactoryTalk Optix, проблема повреждения памяти в 1783-NATR, SSRF в Automation ThinManager, а также раскрытия данных в FactoryTalk Activation Manager.
Siemens выкатила семь новых рекомендаций.
Одна из самых серьёзных уязвимостей, получившая оценку CVSS 9,3, связана с Simatic Virtualization as a Service и позволяет злоумышленнику получить доступ к конфиденциальным данным или изменить их.
Еще одна уязвимость с критическим уровнем серьезности затрагивает компонент управления пользователями (UMC) Siemens и может быть использована для неавторизованного RCE или DoS-атак.
Siemens также устранила проблемы высокого уровня серьёзности в Simotion и Industrial Edge Management.
Для Sinamics, Apogee PXC, Talon TC, Sinec OS были опубликованы рекомендации по устранению проблем среднего и низкого уровней серьёзности.
Schneider Electric выдала всего два новых бюллетеня.
Один из них касается двух проблем средней степени серьёзности, связанных с внедрением команд ОС в устройства Saitel DR и Saitel DP RTU. Второй бюллетень информирует об XSS-уязвимости в Altivar.
Phoenix Contact анонсировала два новых предупреждения: одно по двум уязвимостям в процессоре Jq JSON, используемом FL Mguard, и одно по ошибке, появившейся при использовании CodeMeter Runtime от Wibu.
У Honeywell вышло несколько рекомендаций по решениям для управления зданиями, включая продукты Maxpro и Pro-Watch NVR и VMS.
Разработчики ABB публиковали свой бюллетень немного ранее, предупреждая об уязвимостях, влияющих на систему управления зданиями Aspect. О них сообщил исследователь Джоко Крстич, который в январе заявлял об обнаружении почти 1000 проблем в продуктах ABB.
Немецкий CERT@VDE на этой неделе также отметил семь новых рекомендаций, в том числе по критической уязвимости контроллера Wago, которую можно эксплуатировать без аутентификации для DoS-атак и ослабления учетных данных, в результате чего к устройству будут применяться учетные данные по умолчанию.
Информационные бюллетени CERT@VDE также охватывают две другие уязвимости продуктов Wago, две проблемы с контроллерами заряда Bender и недавно обнаруженные недостатки Phoenix Contact.
Руководство Jaguar Land Rover (JLR) признало, что недавняя кибератака, которая привела к остановке работы завода, также привела и к утечке данных.
Автопроизводитель сообщил об атаке 2 сентября, заявив о серьезных нарушения всей производственной деятельности.
С тех пор JLR работает над возобновлением своей деятельности и расследует инцидент при поддержке Национального центра кибербезопасности Великобритании (NCSC).
В своем новом заявлении компания также сообщила, что уведомила соответствующие органы об утечке данных.
Компания до сих пор пока не связала атаку с какой-либо конкретной хакерской группировкой.
Однако, как мы ранее сообщали, коллектив Scattered Lapsus$ Hunters уже это сделал, подкрепив свои заявления пруфами, достоверность которых последними сообщениями JLR фактически была подтверждена.
Эти же ребята провернули масштабную атаку на Salesforce, используя социнженерию и скомпрометированные OAuth-токены Salesloft Drift для кражи данных у большого числа компаний, список которых все пополняется и пополняется.
И к настоящему времени включает таких гигантов, как Google, Cloudflare, Elastic, Palo Alto Networks, Zscaler, Tenable, Proofpoint, CyberArk, BeyondTrust, JFrog, Workday, Cato Networks, HackerOne, BugCrowd, Rubrik.
И на днях еще добавились: Qualys, Dynatrace и Fastly.
Так что продолжаем следить.
Тем временем, мегавзлом произошел во Вьетнаме.
Хакерская группа ShinyHunters утверждает, что смогла похитить персональные данные почти всех граждан Вьетнама.
Массивы, предположительно, были получены из Кредитного института Вьетнама, который управляет государственным Национальным центром кредитной информации страны, национального агентства, отслеживающего кредитный статус граждан и подчиняющегося непосредственно Госбанку Вьетнама.
Общий объем украденной информация включает более 160 миллионов записей, содержащих конфиденциальную личную информацию практически на каждого жителя, включая общие личные данные, кредитные платежи, анализ рисков, кредитные карты, военные билеты, ИНН, декларации о доходах, данные по задолженностям и многое др., в том числе и исторические данные.
ShinyHunters пояснили, что доступ был получен с помощью N-day эксплойта. Как отметили хакеры, патча для нее нет, поскольку ПО уже вышло из эксплуатации.
Правительство Вьетнама пока не подтвердило этот инцидент. Но будем посмотреть.
Подкатил сентябрьский PatchTuesday от Microsoft с исправлениями для 81 уязвимости, в том числе двух публично раскрытых 0-day.
Помимо них исправлены в общей сложности 9 критических уязвимостей, 5 из которых связаны с RCE, 1 - с раскрытием информации и 2 - с EoP.
Общее распределение по категориями выглядит следующим образом: 41 уязвимость - приводящая к EoP, 2 - уязвимости обхода функций безопасности, 22 - RCE, 16 - раскрытия информации, 3 - DoS и 1 - спуфинга.
В число выявленных недостатков не включены 3 уязвимости Azure, 1 уязвимость Dynamics 365 FastTrack Implementation Assets, 2 уязвимости Mariner, 5 уязвимостей Microsoft Edge и 1 уязвимость Xbox, которые были исправлены ранее в этом месяце.
Анонсированные в PatchTuesday исправления для двух публично раскрытых нулей связаны с проблемами в Windows SMB Server и Microsoft SQL Server и отслеживаются как:
1. CVE-2025-55234: EoP-уязвимость в Windows SMB, которая эксплуатировалась посредством ретрансляционных атак.
Злоумышленник, успешно воспользовавшийся этими уязвимостями, может осуществлять атаки через ретранслятор (в зависимости от конфигурации) и подвергать пользователей риску повышения привилегий.
Microsoft утверждает, что Windows уже включает настройки для защиты SMB-сервера от атак через ретранслятор, включая активацию подписывания SMB-сервера и расширенной защиты SMB-сервера для аутентификации (EPA).
Однако эти функции могут вызвать проблемы совместимости со старыми устройствами и реализациями.
Microsoft рекомендует администраторам полагаться на аудит на серверах SMB для определения возможности возникновения ли каких-либо проблем при полной реализации этих функций защиты.
Поддержка аудита совместимости SMB-клиента для подписывания SMB-сервера, а также SMB-сервера EPA, реализована в рамках обновлений Windows, выпущенных 9 сентября 2025 года и позднее (CVE-2025-55234).
К настоящему времени Microsoft не раскрывает кем и при каких обстоятельствах проблема была обнаружена, как и другие подробности.
2. CVE-2024-21907: связана с неправильной обработкой исключительных условий в Newtonsoft.Json.
Microsoft устранила ранее известную уязвимость в Newtonsoft.Json в составе Microsoft SQL Server. Этот недостаток был публично раскрыт в 2024 году.
Сконструированные данные, передаваемые в метод JsonConvert.DeserializeObject, могут вызвать исключение StackOverflow, что приведёт к отказу в обслуживании.
В зависимости от использования библиотеки, неаутентифицированный и удалённый злоумышленник может вызвать состояние DoS.
Задокументированные обновления SQL Server включают обновления в Newtonsoft.Json, которые устраняют эту уязвимость.
Полное описание каждой уязвимости и затрагиваемых ею систем - здесь.
Новая атака на цепочку поставок в GitHub под названием GhostAction привела к компрометации 3325 секретов, включая токены PyPI, npm, DockerHub, GitHub, Cloudflare и ключи AWS.
Атака была обнаружена исследователями GitGuardian, которые задетектили первые признаки компрометации 2 сентября 2025 года в одном из проектов - FastUUID.
Атака включала в себя использование скомпрометированных учетных записей сопровождающих для реализации коммитов, добавляющих вредоносный файл рабочего процесса GitHub Actions.
После срабатывания он считывает секреты из среды GitHub Actions проекта и эксфильтрует их во внешний домен под контролем злоумышленника через запрос curl POST.
В случае с FastUUID GitGuardian злоумышленники выкрали токен PyPI проекта, но в индексе пакетов не произошло никаких вредоносных выпусков пакетов до того, как компрометация была обнаружена и устранена.
Более глубокое расследование инцидента показало, что атака была намного шире и не ограничилась FastUUID.
По словам исследователей, в рамках GhostAction похожие коммиты появились по меньшей мере в 817 репозиториях, все они отправляли секреты в одну и ту же bold-dhawan[.]45-139-104-115[.]plesk[.]page.
Злоумышленники перечислили секретные имена из легитимных рабочих процессов, а затем жестко закодировали их в своих собственных рабочих процессах, чтобы выкрасть несколько типов секретов.
К 5 сентября исследователи GitGuardian раскрыли весь масштаб кампании, выявив проблемы в 573 затронутых репозиториях GitHub, после чего напрямую уведомили службы безопасности GitHub, npm и PyPI.
Сотни репозиториев GitHub уже выявили компрометацию и отменили вредоносные изменения.
Вскоре после обнаружения кампании конечная точка утечки перестала функционировать.
По оценкам исследователей, в ходе реализации GhostAction было украдено около 3325 секретов, включая токены PyPI, токены npm, DockerHub, GitHub, Cloudflare API, ключи доступа AWS и учетные данные базы данных.
Как минимум 9 пакетов npm и 15 пакетов PyPI напрямую затронуты этой уязвимостью и могут выпустить вредоносные или троянизированные версии в любое время, пока их сопровождающие не отзовут утекшие секреты.
Проведенный GitGuardian анализ позволил выявить скомпрометированные токены в нескольких экосистемах пакетов, включая контейнеры Rust и пакеты npm.
В частности, весь портфель SDK ряда компаний был скомпрометирован, а вредоносные рабочие процессы одновременно затронули их репозитории Python, Rust, JavaScript и Go.
Несмотря на некоторое техническое сходство с s1ngularity, развернувшейся в конце августа, в GitGuardian не видят никакой связи между этими двумя кампаниями.
Но будем, конечно, посмотреть.
🥷❗️Масштабная атака на NPM: компрометация пакетов с 2,6 млрд загрузок в неделю
8 сентября 2025 года произошёл очень неприятный киберинцидент, где атака на цепочку поставок поразила экосистему Node Package Manager (NPM). Злоумышленники получили доступ к учётной записи давнего мейнтейнера популярных пакетов (известного под псевдонимом «qix») через 🎣грамотно подготовленное фишинговое письмо от "службы поддержки", а затем внедрили вредоносный код в ряд широко используемых библиотек NPM, включая debug и chalk. В ходе атаки использовался фишинговый домен npmjs.help (было зарегистрировано за 3 дня до атаки).
В нём содержалось требование обновить настройки 2FA под угрозой блокировки учётной записи. Письмо маскировалось под официальное уведомление от npm. Отправителем значился адрес support@npmjs.help – домен-двойник, имитирующий настоящий сайт npmjs.com.
В тексте сообщалось, что двухфакторная аутентификация (2FA) не обновлялась более 12 месяцев, и что «в рамках нашей приверженности безопасности аккаунтов... устаревшие 2FA-кредентиалы будут временно заблокированы начиная с 10 сентября 2025 года».
Злоумышленники пугали, что учетная запись будет заморожена, если срочно не перейти по ссылке и не обновить 2FA, тем самым создавая чувство неотложности. Паническое состояние и высокая правдоподобность сообщения сыграли свою роль. Один из ключевых мейнтейнеров qix перешёл по ссылке и ввёл свои учетные данные на поддельной странице.
Получив контроль, злоумышленники 8 сентября выпустили новые вредоносные версии для по меньшей мере ⚠️19 популярных пакетов, внедрив в них вредоносный код.
💣Некоторые издания пишут, что произошедшее событие можно смело назвать крупнейшей атакой на цепочку поставок ПО за всю историю.
Согласно техническому анализу Aikido Security, в код был внедрен обфусцированный JavaScript, функционирующий как 🤦♂️браузерный перехватчик криптовалютных транзакций.
Скрипт активировался исключительно на стороне клиента, отслеживая сетевой трафик и API-вызовы на предмет наличия адресов кошельков Ethereum, Bitcoin, Solana и других, после чего скрытно производил их подмену на адреса 💴злоумышленников непосредственно перед подписанием транзакции пользователем.
Реакция со стороны сообщества разработчиков была довольно быстрой. Обнаружение аномалии произошло на платформе GitHub, в частности в тикете debug-js/debug#1005, после чего другие влиятельные сопровождающие, например Sindre Sorhus, оперативно опубликовали чистые версии поверх скомпрометированных пакетов и отозвали права доступа у взломанной учетной записи.
Ниже представлен точный перечень скомпрометированных пакетов и их вредоносных версий, которые необходимо немедленно удалить из всех сред, включая локальные машины разработчиков, CI/CD пайплайны и производственные серверы.
ansi-styles@6.2.2
debug@4.4.2
chalk@5.6.1
supports-color@10.2.1
strip-ansi@7.1.1
ansi-regex@6.2.1
wrap-ansi@9.0.1
color-convert@3.1.1
color-name@2.0.1
is-arrayish@0.3.3
slice-ansi@7.1.1
color@5.0.1
color-string@2.1.1
simple-swizzle@0.2.3
supports-hyperlinks@4.1.1
has-ansi@6.0.1
chalk-template@1.1.1
backslash@0.2.1
error-ex@1.3.3
Наделавший в прошлом месяце шуму в инфосеке PromptLock ransomware как первый штамм программ-вымогателей на основе ИИ в реальности оказался результатом работы команды ученых из Нью-Йоркского университета.
Ransomware был впервые замечен исследователями ESET на VirusTotal и мог применять инструменты ИИ для создания вредоносного кода на лету и шифрования пользовательских данных.
К настоящему времени ученые официально взяли на себя ответственность за разработку PromptLock ransomware, показав по результатам своего исследования, что системы ИИ способны проводить полномасштабные атаки.
По данным университета, команда из шести профессоров и исследователей компьютерных наук разработала PromptLock, но лишь в качестве PoC, не способного работать вне изолированной лабораторной среды.
В рамках тестирования также загрузили программу на VirusTotal.
Сама программа-вымогатель работает как «оркестратор», подключаясь к одной из больших языковых моделей OpenAI с открытым исходным кодом, которую любой может загрузить и запустить на сервере, в том числе через облачный провайдер.
Оркестратор, который может работать из вредоносного файла, делегирует планирование, принятие решений и генерацию полезной нагрузки LLM.
После запуска оркестратора злоумышленник теряет управление, и LLM управляет жизненным циклом программы-вымогателя, что включает в себя взаимодействие вредоносного файла с LLM посредством подсказок на естественном языке, а затем запуск сгенерированного кода.
Причем в конструкции оркестратора не используются никаких конкретных джейлбрейков.
Вместо этого, формулируются запросы для каждой задачи таким образом, чтобы они выглядели как законный запрос.
Исследователи протестировали атаки на имитируемом сервере, ПК с ОС Windows и устройстве Raspberry Pi и обнаружили, что PromptLock часто удавалось успешно генерировать и выполнять вредоносные инструкции.
Запуск программы-вымогателя обходится недорого: представленный прототип потребляет 23 000 токенов за один сквозной запуск, что составляет около 0,70 доллара США по тарифам API GPT-5.
Кроме того, PromptLock генерирует уникальный компьютерный код, несмотря на идентичные стартовые запросы, что затрудняет её обнаружение антивирусным ПО.
В отличие реальных атак программ-вымогателей PromptLock не реализует механизмы сохранения, продвинутые способы обхода защиты, эксплойты повышения привилегий или горизонтальные перемещения.
Тем не менее, модульная конструкция несет в себе потенциал для будущих потенциальных более мощных реализаций.
Расследование атаки на цепочку поставок NPM Nx - s1ngularity, привело к неожиданно масштабным последствиям: утечке подверглись тысячи токенов учетных записей и секретов репозиториев.
По данным Wiz, после инцидента, взлом Nx привел к раскрытию 2180 учетных записей и 7200 репозиториев в рамках трех отдельных этапов.
Причем многие из раскрытых секретов остаются актуальными, и поэтому последствия продолжают ощущаться.
Nx - популярная система сборки с открытым исходным кодом и инструмент управления монорепозиториями, широко используемая в экосистемах JavaScript/TypeScript корпоративного уровня.
Число ее еженедельных загрузок в индексе пакетов NPM превышает 5,5 миллионов.
26 августа 2025 года злоумышленники воспользовались уязвимостью рабочего процесса GitHub Actions в репозитории Nx для публикации вредоносной версии пакета на NPM, которая включала вредоносный скрипт после установки (telemetry.js).
Вредоносное ПО telemetry.js - это стилер, нацеленный на системы Linux и macOS.
Он реализовывал кражу токенов GitHub, npm, ключей SSH, файлов .env, криптокошельков и пытался загрузить секреты в публичные репозитории GitHub под названием s1ngularity-repository.
Уникальной особенностью этой атаки было задействование стилером установленных инструментов командной строки для платформ ИИ Claude, Q и Gemini, в целях поиска и сбора конфиденциальных учетных данных и секретов с помощью подсказок LLM.
При этом, как отмечает Wiz, подсказка эволюционировала при каждой итерации атаки, что свидетельствует о том, что злоумышленник настраивал ее для достижения большего успеха.
На первом этапе атаки, с 26 по 27 августа, заражённые пакеты Nx напрямую затронули 1700 пользователей, что привело к утечке более 2000 уникальных секретных данных. В результате атаки также были раскрыты 20 000 файлов из заражённых систем.
GitHub отреагировал, удалив репозитории, созданные злоумышленником через восемь часов, однако данные уже были собраны и скопированы.
Затем в период с 28 по 29 августа, второй фазы инцидента, злоумышленники воспользовались утечкой токенов GitHub, чтобы превратить закрытые репозитории в публичные, переименовав их так, чтобы они включали строку s1ngularity.
Это привело к дальнейшей компрометации еще 480 учетных записей, большинство из которых принадлежали компаниям, а также к раскрытию информации о 6700 частных репозиториях.
На третьем этапе, который стартовал 31 августа, злоумышленники нацелились еще на одну жертву с использованием двух взломанных учетных записей для публикации еще 500 закрытых репозиториев.
Команда Nx опубликовала на GitHub подробный анализ первопричин, поясняя, что взлом произошел из-за внедрения заголовка запроса на извлечение в сочетании с небезопасным использованием pull_request_target.
Это позволило злоумышленникам запустить произвольный код с повышенными правами доступа, что, в свою очередь, активировало конвейер публикации Nx и позволило перехватить токен публикации npm.
Вредоносные пакеты были удалены, скомпрометированные токены были отозваны и ротированы, а для всех учетных записей издателей была внедрена двухфакторная аутентификация.
Для предотвращения повтора подобной атаки, Nx теперь использует модель доверенного издателя NPM, которая исключает публикацию на основе токенов, и добавляет ручное одобрение для рабочих процессов, инициируемых PR.
Исследователи из Positive Technologies представили подборку десятка самых распространенных семейств вредоносных ПО в 2024 и первом квартале 2025 года.
В основу легли результаты более глобального отчета по трендам в развитии вредоносного ПО и оценке его роли в кибератаках.
Итак, уверенное первое место досталось шпионскому трояну Snake Keylogger, который серьезно укрепил свои позиции за пару лет.
В сравнении с 2023 годом количество обнаружений увеличилось более чем в 30 раз.
Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным.
Собратья из этой же категории Agent Tesla и FormBook, - обладатели второго и третьего мест.
Они остаются в числе наиболее распространенных в рассматриваемый период.
Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме MaaS.
Четвертое место занял вредонос, скрывающийся в файлах-картинках с помощью стеганографии - Steganoloader.
Впервые в топ-10 вошли вредонос для удаленного доступа DarkWatchman и модульный ботнет Prometei.
Занявший пятое место в позитивном хит-параде DarkWatchman представляет собой RAT, отличающийся бесфайловой архитектурой, конфигурацией, размещенной в реестре, и загрузкой из памяти, что делает его обнаружение и нейтрализацию достаточно сложной задачей.
Вредоносное ПО для удаленного администрирования Remcos заняло шестое место.
Он активно задействуется как в кибершпионаже, так и в финансово мотивированных атаках, поддерживая регистрацию пользовательского ввода, захват экрана, удаленное выполнение команд, извлечение паролей и многоуровневую антиотладку.
Седьмое место среди самых распространенных семейств вредоносного ПО занял загрузчик Emotet, старый знакомый для всех исследователей.
На восьмом месте - шпионская малварь Evilnum, нацеленная на финансовые компании и их клиентов.
Впервые в десятку забрался перспективный новичок Prometei - модульный ботнет, оснащенный широким спектром компонентов, которые он использует для заражения систем по всему миру, сбора учетных данных и майнинга криптовалюты.
Последние версии Prometei используют алгоритм генерации доменов DGA для создания инфраструктуры управления и контроля. Он также имеет механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата узлов.
Некоторые штаммы, популярные в 2023 году, покинули десятку - например, Lokibot и Donut.
Причины связаны как с нейтрализацией инфраструктуры отдельных вредоносов, так и с общим переходом атакующих на более продвинутые и менее заметные инструменты.
В результате анализа поведения ВПО установлено, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий.
При этом чаще всего злоумышленники использовали его для захвата аудиопотока с микрофона, динамиков и других источников.
Причем в 2023 году техника Audio Capture не входила даже в топ-10 по популярности у злоумышленников.
Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках с использованием методов социнженерии, например, для создания голосовых дипфейков.
Кроме того, киберпреступники все реже используют «шумные» методы закрепления в системе, предпочитая более скрытные: удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.
Чаще других жертвами атак с использованием вредоносного ПО становились госучреждения, предприятия промышленного сектора и ИТ-компании.
Интерес к первым связан с доступом к критически важным данным и системам, ко вторым - с возможностью нарушить технологические процессы, а к третьим - с перспективой компрометации цепочек поставок ПО.
Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.
Исследователи Mandiant обнаружили вредоносную кампанию с использованием 0-day в устаревших развертываниях Sitecore для внедрения вредоносного ПО WeepSteel.
CVE-2025-53690 представляет собой уязвимость десериализации ViewState, вызванную включением образца ключа машины ASP.NET в руководства Sitecore до 2017 года.
Некоторые клиенты повторно использовали этот ключ в процессе производства, что позволило злоумышленникам, знающим ключ, создать вредоносные полезные данные _VIEWSTATE, которые обманным путем заставляли сервер десериализовать их и выполнять, что приводило к RCE.
Ошибка не является проблемой в самом ASP.NET, а связана с неправильной конфигурацией, возникшей из-за повторного использования публично документированных ключей, которые никогда не предназначались для использования в рабочей среде.
В Mandiant установили, что злоумышленники используют этот недостаток в многоэтапных атаках и нацелены на конечную точку /sitecore/blocked. aspx, которая содержит неаутентифицированное поле ViewState, выполняя RCE под учетной записью IIS NETWORK SERVICE благодаря CVE-2025-53690.
Вредоносная полезная нагрузка, которую они сбрасывают, - это WeepSteel, разведбэкдор, который собирает информацию о системе, процессах, дисках и сетях, маскируя ее утечку под стандартные ответы ViewState.
Mandiant наблюдал за выполнением разведкоманд в скомпрометированных средах, включая whoami, hostname, tasklist, ipconfig /all и netstat -ano.
На следующем этапе атаки хакеры задействовали Earthworm (сетевое туннелирование и обратный прокси-сервер SOCKS), Dwagent (инструмент удаленного доступа) и 7-Zip, который используется для создания архивов украденных данных.
Впоследствии они повысили свои привилегии, создав учетные записи локального администратора (asp$, sawadmin), выгрузив кэшированные учетные данные (улей SAM и SYSTEM) и попытавшись выдать себя за другого пользователя с помощью GoTokenTheft.
Устойчивость была реализована путем отключения срока действия паролей для этих учетных записей, предоставления им доступа по RDP и регистрации Dwagent в качестве службы SYSTEM.
CVE-2025-53690 влияет на Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) и Managed Cloud до версии 9.0 при развертывании с использованием примера ключа машины ASP.NET, включенного в документацию до 2017 года.
При этом XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Storefront, Send, Discover, Search и Commerce Server не затронуты.
Sitecore выкатила бюллетень совместно с отчетом Mandiant, в котором предупреждает, что многоэкземплярные развертывания со статическими машинными ключами также подвержены риску.
Рекомендуемые действия для потенциально затронутых администраторов - немедленно заменить все статические значения <machineKey> в web.config новыми уникальными ключами и убедиться, что элемент <machineKey> внутри web.config зашифрован.
В целом, рекомендуется регулярно проводить ротацию статических ключей в качестве постоянной меры безопасности. Более подробную информацию о том, как защитить машинные ключи ASP.NET от несанкционированного доступа, можно найти здесь.
Хакерская группа, предположительно стоящая за серией атак на цепочку поставок Salesforce, взяла на себя ответственность за произошедшую на этой неделе кибератаку на производителя автомобилей Jaguar Land Rover.
Речь идет о трио известных хакерских коллективов Scattered Spider, LAPSUS$, Shiny Hunters (или Scattered LAPSUS$ Hunters 4.0), которые заявляют о новых будущих атаках на британские компании, включая Vodafone и правительственный сектор.
Эта банда, выявленная исследователями угроз Google в июне под псевдонимом UNC6240, предположительно, несет ответственность за недавнюю волну атак на Salesforce, которые только за последнюю неделю затронули таких тяжеловесов в сфере инфобеза, как Palo Alto Networks, Cloudflare и Zscaler.
Безусловно, вся эта активность может быть лишь не более чем пиаром-ходом.
Тем не менее, как сообщает BBC, что на двух опубликованных хакерами изображениях явно видны внутренние инструкции по устранению неполадок с зарядкой автомобиля, а также журналы с хостов.
В ряде других публикаций, появившихся в среду, группа напрямую ссылалась на атаки Salesforce, подстебывая исследователей Mandiant (Google).
Продолжаем следить.
CheckPoint отмечает активное задействование возможностей новой платформы безопасности на базе ИИ под названием HexStrike-AI для эксплуатации недавно обнаруженных n-day в реальных атаках.
Исследователи заметили соответствующие обсуждения в даркнете вокруг HexStrike-AI, связанные с нацеливанием на недавно обнаруженные уязвимости Citrix - CVE-2025-7775, CVE-2025-7776 и CVE-2025-8424.
Причем, по данным ShadowServer Foundation, около 8000 конечных точек остаются уязвимыми к CVE-2025-7775, что меньше, чем 28 000 на предыдущей неделе.
HexStrike-AI - это легитимный инструмент Red Teaming, созданный исследователем Мухаммадом Усамой, который позволяет интегрировать агентов ИИ для автономного запуска более 150 инструментов автоматизированного тестирования на проникновение и обнаружения уязвимостей.
Сервис взаимодействует с человеком через внешние LLM посредством MCP, создавая непрерывный цикл подсказок, анализа, выполнения и обратной связи.
Клиент HexStrike-AI использует логику повторных попыток и механизм восстановления для смягчения последствий сбоев на любом этапе сложных операций, автоматически повторяя попытки или корректируя свою конфигурацию до успешного завершения операции.
Инструмент находится в открытом доступе и доступен на GitHub уже месяц, где успел собрать 1800 звезд и более 400 форков. Но, к сожалению, он также привлек внимание хакеров, которые начали использовать его в своих атаках.
По данным CheckPoint, уже через несколько часов после раскрытия 0-day Citrix NetScaler ADC и Gateway в киберподполье начали кумекать, как развернуть HexStrike-AI для эксплуатации упомянутых уязвимостей.
Злоумышленники использовали HexStrike-AI для неавторизованного RCE через CVE-2025-7775, а затем размещали веб-оболочки на скомпрометированных устройствах, а в ряде случаев сразу выставляли скомпрометированные экземпляры NetScaler на продажу.
CheckPoint полагают, что злоумышленники, скорее всего, применили новую платформу, чтобы автоматизировать свою цепочку заражения, сканируя уязвимые экземпляры, создавая эксплойты, доставляя полезные данные и поддерживая устойчивость.
При этом фактически фигурирование HexStrike-AI в этих атаках пока не подтверждено, такой уровень автоматизации может сократить время эксплуатации уязвимости n-day с нескольких дней до нескольких минут.
Новый тренд с внедрением фреймворков атак на базе ИИ меняет привычную парадигму в области безопасности, оставляя системным администраторам все времени между раскрытием информации и массовой эксплуатацией.
Так, по мнению ресерчеров, учитывая, что CVE-2025-7775 уже эксплуатируется в реальных условиях, с появлением Hexstrike-AI количество атак в ближайшие дни будет возрастать.
В общем, будем посмотреть.
Jaguar Land Rover (JLR) пала под ударом хакеров, кибератака привела к отключению инфраструктуры компании и сбоям в работе.
По всей видимости, инцидент оказал существенное влияние на автопроизводителя, который теперь вынуждено ушел в простой и приостановил производственные процессы.
Как отмечают в Jaguar Land Rover, на данном этапе нет никаких доказательств кражи каких-либо данных клиентов, но розничная и производственная деятельность серьезно пострадала.
В JLR сейчас активно ведут работу по перезапуску глобальных приложений.
Jaguar Land Rover функционирует как единая компания под управлением Tata Motors India после того, как обе компании были приобретены у Ford в 2008 году.
Имея годовой доход более 38 млрд. долл. (29 млрд. фунтов стерлингов), компания ежегодно производит более 400 000 автомобилей и насчитывает 39 000 сотрудников.
Первые сообщения о серьезных перебоях в работе JLR поступили от дилеров в Великобритании, которые не смогли регистрировать новые автомобили или поставлять детали в сервисные центры.
Отвечая на запросы журналистов, JLR заявила, что на выходных произошла атака, которая вынудила ее отключить несколько систем, в том числе те, которые использовались на производственном предприятии в Солихалле, где производятся Land Rover Discovery, Range Rover и Range Rover Sport.
В компании пока не готовы назвать сроки перехода к нормальному режиму работы и тем более раскрывать какие-либо подробности инцидента.
На данный момент ни одна из банд вымогателей не взяла на себя ответственность за атаку на JLR.
Так что будем следить.
Cloudflare ставит новый рекорд, заблокировав крупнейшую объемную распределенную DDoS-атаку, мощность которой достигла 11,5 терабит в секунду (Тбит/с).
Предыдущий максимальный показатель составлял 7,3 Тбит/с, атаки была направлена на неназванного хостинг-провайдера.
Атака UDP-флуда мощностью 11,5 Тбит/с длилась около 35 секунд и исходила, в первую очередь из Google Cloud, позже компания добавила, что «атака на самом деле исходила от комбинации нескольких поставщиков услуг Интернета вещей и облачных сервисов».
Наряду с отчетом по отражению атак рекордсмен признался, что стал жертвой недавней серии взломов Salesloft Drift, которые стали частью атаки на цепочку поставок, раскрытой на прошлой неделе.
Интернет-гигант сообщил, что злоумышленники получили доступ к экземпляру Salesforce, который он использует для внутреннего управления обращениями клиентов и поддержки клиентов, и который содержал 104 токена API Cloudflare.
Cloudflare узнала о взломе 23 августа, а 2 сентября она оповестила пострадавших клиентов об инциденте.
Перед этим компания также провела ротацию всех 104 токенов, выпущенных платформой Cloudflare и похищенных во время взлома, хотя ей пока не удалось обнаружить никакой подозрительной активности, связанной с этими токенами.
Большая часть этой информации представляет собой контактную информацию клиентов и основные данные обращений в службу поддержки, но некоторые взаимодействия со службой поддержки клиентов могут раскрывать информацию о конфигурации клиента и могут содержать конфиденциальную информацию, такую как токены доступа.
Расследование показало, что злоумышленники украли только текст, содержащийся в объектах дела Salesforce (включая обращения в службу поддержки клиентов и связанные с ними данные, но не вложения) в период с 12 по 17 августа, после первоначального этапа разведки 9 августа.
В Cloudflare полагают, что инцидент не был единичным случаем, а злоумышленники намеревались собрать учетные данные и информацию о клиентах для будущих атак.
Теперь в списке пострадавших ИБ-компаний: Cloudflare, Zscaler, Palo Alto Networks, Tanium, SpyCloud и Tanium, а также SaaS-платформы PagerDuty и Exclaimer, а также облачная платформа Cloudinary.
Astrix Security также пострадала, но хакеры использовали другую интеграцию для доступа к ее учетной записи Google Workspace.
И все это лишь первые подтвержденные вторжения. Ожидается, что инцидент Salesloft будет иметь гораздо более серьезные последствия.
И в дополнение к предыдущему, Palo Alto Networks тоже столкнулась с утечкой данных, в результате которой были раскрыты данные клиентов и обращения в службу поддержки
И, как с другими жертвами, доступ к ее экземпляру Salesforce был получен после того, как злоумышленники воспользовались скомпрометированными токенами OAuth, полученными в результате взлома Salesloft Drift.
В результате взлома была раскрыта конфиденциальная информация, такая как ИТ-данные и пароли, передаваемые в службах поддержки.
Palo Alto также подтвердила, что инцидент ограничился ее CRM-системой Salesforce и не затронул какие-либо продукты, системы или услуги.
Palo Alto Networks сообщает, что злоумышленники искали секреты, включая ключи доступа AWS (AKIA), токены Snowflake, строки входа VPN и SSO, а также общие ключевые слова, такие как «пароль», «секрет» или «ключ».
Злоумышленники использовали автоматизированные инструменты для кражи данных, а строки пользовательского агента указывают на то, что использовались специальные инструменты Python. Чтобы избежать обнаружения, удалили журналы и использовали Tor.
Кто еще, признавайтесь.