39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
31 октября вышло два отчета: один от индийской Seqrite Labs (здесь), а другой от американской Cyble (здесь).
Обе компании анализировали фишинговую кампанию, получившую наименование SkyCloak, в которой задействуется бэкдор OpenSSH в сочетании со скрытой службой Tor и obfs4 для сокрытия трафика.
Проведя анализ исполненных на русском языке приманок и других артефактов, исследователи Seqrite Labs четко определили, что основными целями SkyCloak являлись российские ВДВ и белорусский спецназ.
В то время, как в Cyble успели «оперативно» атрибутировать угрозу и приписали активность пророссийской APT44 (Sandworm), сославшись на некие схожести в TTPs.
Правда, после упоминания неких разведданных от CERT-UA и SSSCIP в конце отчета Cyble все встало на свои места.
Тут даже, не углубляясь в детали анализа образцов, очевидно, что исполненная на русском языке приманка точно не могла применяться в атаках на ВСУ или военнослужащих каких-либо иных стран.
Но у Cyble другое мнение, там со всей серьезностью заявляют (цитата): «учитывая источник и формулировки, на данном этапе неясно и маловероятно, что эта атака направлена против России или Беларуси».
Суть Operation SkyCloak сводится к побуждению получателей фишинговых писем открыть ZIP-файл, содержащий скрытую папку со вторым архивным файлом, а также LNK, запуск которого реализует многоступенчатую цепочку заражения.
Они запускают команды PowerShell, которые действуют как начальный этап дроппера, где помимо LNK используется другой архивный файл для настройки всей цепочки.
Одним из промежуточных модулей является стейджер PowerShell, который отвечает за выполнение проверок на антианализ для обхода песочниц, а также за запись адреса Tor в файл с именем hostname в папке C:\Users\<Имя пользователя>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\.
В ходе аналитических проверок вредоносная ПО подтверждает, что количество последних LNK-файлов в системе больше или равно 10, а также проверяет, что текущее количество процессов больше или равно 50. В противном случае PowerShell внезапно прекращает выполнение.
После этого скрипт приступает к отображению фейкового PDF, сохраненного в папке logicpro, одновременно настраивая сохранение на машине с помощью запланированной задачи под именем githubdesktopMaintenance, которая запускается автоматически и выполняется с регулярными интервалами каждый день в 10:21 по Гринвичу.
Она предназначена для запуска logicpro/githubdesktop.exe, который представляет собой переименованную версию sshd.exe, легитимного исполняемого файла, связанного с OpenSSH для Windows, что позволяет установить службу SSH, которая ограничивает связь предварительно развернутыми авторизованными ключами, хранящимися в той же папке logicpro.
Помимо включения возможности передачи файлов по протоколу SFTP, вредоносная ПО также создаёт вторую запланированную задачу, настроенную на запуск logicpro/pinterest.exe - модифицированного двоичного файла Tor для создания скрытой службы, которая взаимодействует с .onion-адресом злоумышленника, маскируя сетевой трафик с помощью obfs4.
Кроме того, она реализует переадресацию портов для нескольких критически важных служб Windows, таких как RDP, SSH и SMB, для облегчения доступа к системным ресурсам через Tor.
После установления соединения вредоносная ПО извлекает системную информацию, а также уникальный URL-адрес хоста .onion, идентифицирующий скомпрометированную систему с помощью команды curl.
В конечном итоге злоумышленник получает возможность удалённого доступа к скомпрометированной системе, получив URL-адрес .onion жертвы по каналу С2.
Как отмечают исследователи Seqrite Labs, для обхода мониторинга сети используются специальные конфигурации подключаемого транспорта и SSHD, а сами атаки однозначно направлены на Россию и Беларусь.
При этом аналогичные атаки были замечены у проукраинских APT-групп - Angry Likho (Sticky Werewolf) и Awaken Likho (Core Werewolf).
Это в очередной раз к вопросу об «атрибуции» в западном инфосеке.
Злоумышленники приступили к эксплуатации критической уязвимости в плагине Post SMTP для получения полного контроля над сайтом путем перехвата учетных записей администраторов.
Post SMTP - популярное решение для реализации электронной почты, позиционируемое как многофункциональная и более надежная замена функции по умолчанию wp_mail().
Плагин установлен на более чем 400 000 сайтах WordPress.
Отчет о проблеме с раскрытием журнала электронной почты и уведомлением о возможности ее задействования для атак был направлен в Wordfence 11 октября исследвователем netranger.
Уязвимости был присвоен CVE-2025-11833 и соответствующий критический уровень серьезности 9,8. Ошибка затрагивает все версии Post SMTP, начиная с 3.6.0 и обусловлена отсутствием проверок авторизации в функции _construct потока плагина PostmanEmailLogs.
Этот конструктор напрямую отображает зарегистрированное содержимое электронной почты по запросу, не выполняя проверки возможностей, что позволяет неаутентифицированным злоумышленникам читать произвольные электронные письма.
В числе них могут оказаться сообщения о сбросе пароля со ссылками, позволяющими изменить пароль администратора, что потенциально может привести к захвату учетной записи и полной компрометации сайта.
Wordfence подтвердила уязвимость исследователя 15 октября и в тот же день полностью раскрыла проблему поставщику Сааду Икбалу. 29 октября вышел патч в составе версии 3.6.1.
Однако, по данным WordPress.org, лишь половина пользователей плагина скачала его с момента выхода патча, в результате чего не менее 210 000 сайтов остались уязвимы для атак.
В свою очередь, Wordfence задетектила первые попытки эксплуатации CVE-2025-11833 в дикой природе уже 1 ноября, заблокировав с тех пор компания более 4500 попыток ее использования.
Учитывая активную эксплуатацию уязвимости, владельцам сайтов с Post SMTP на борту рекомендуется немедленно перейти на исправленную версию 3.6.1 или вовсе отключить плагин, дабы не стать частью начавшейся масштабной атаки на цепочку мудаков.
Как и обещали, продолжаем обзор отчета Лаборатории Касперского в отношении двух кампаний северокорейской APT BlueNoroff, которые получили названия GhostCall и GhostHire.
Жертвы GhostCall, которые попадают на поддельные страницы Zoom, сначала видят фальшивую страницу, создающую иллюзию живого звонка, но через три-пять секунд выводится сообщение об ошибке с просьбой обновить Zoom (SDK).
«Обновление» приводит к загрузке вредоносного файла AppleScript в систему. Если жертва использует компьютер с Windows - используется ClickFix для копирования и выполнения команды PowerShell.
На каждом этапе взаимодействие с фейковым сайтом регистрируется для отслеживания злоумышленниками действий жертвы.
Хакеры также задействуют Microsoft Teams, используя ту же тактику.
Независимо от приманки, AppleScript предназначен для установки поддельных Zoom или Microsoft Teams.
Он также загружает другой AppleScript, названный DownTroy, который проверяет сохранённые пароли и устанавливает дополнительное вредоносное ПО с правами root.
DownTroy, со своей стороны, разработан для реализации полезных нагрузок в рамках восьми отдельных цепочек атак, обходя TCC от Apple:
1. ZoomClutch или TeamsClutch, который использует Swift-имплант, маскирующийся под Zoom или Teams, но выполняющий функцию запроса системного пароля пользователя для завершения обновления приложения и отправки данных на внешний сервер.
2. DownTroy v1, использующий загрузчик Go для запуска DownTroy на базе AppleScript, которое отвечает за загрузку дополнительных скриптов с сервера до перезагрузки машины.
3. CosmicDoor, использующий двоичный загрузчик C++ GillyInjector (InjectWithDyld) для запуска Mach-O и внедрения в него вредоносной нагрузки во время выполнения. При запуске с флагом --d GillyInjector активирует свои возможности и стирает все файлы в текущем каталоге. Внедрённая полезная нагрузка представляет собой бэкдор CosmicDoor на Nim, способный взаимодействовать с С2. Предполагается, что злоумышленники сначала разработали бэкдор для Windows на Go, а затем перешли на варианты на Rust, Python и Nim. Он также загружает набор для кражи bash-скриптов SilentSiphon.
4. RooTroy, использующий загрузчик Nimcore для запуска GillyInjector, который затем внедряет бэкдор Go под названием RooTroy (Root Troy V4) для сбора информации об устройстве, сканирования запущенных процессов, чтения полезной нагрузки из определенного файла, а также загрузки дополнительных вредоносных ПО (включая RealTimeTroy) и их выполнения.
5. RealTimeTroy и загрузчик Nimcore для запуска GillyInjector, который внедряет бэкдор RealTimeTroy на Go, который взаимодействует с С2 по протоколу WSS, для чтения/записи файлов, получения информации о каталогах и процессах, загрузки/выгрузки файлов, завершения процесса и получения информации об устройстве.
6. SneakMain и Nimcore, запускающих полезную нагрузку Nim под названием SneakMain для получения и выполнения дополнительных команд AppleScript, полученных от внешнего сервера.
7. DownTroy v2, использующим дроппер CoreKitAgent для запуска Nimcore, а через него - DownTroy на базе AppleScript (NimDoor) для загрузки дополнительного вредоносного скрипта с внешнего сервера.
8. SysPhon, использующий облегченную версию RustBucket под названием SysPhon и SUGARLOADER, загрузчик, ранее применявшийся для доставки KANDYKORN. SysPhon, также используемый в кампании Hidden Risk, - это загрузчик, написанный на C++, который может проводить разведку и извлекать двоичные данные с С2.
В свою очередь, SilentSiphon способен собирать данные из Apple Notes, Telegram, расширений веб-браузеров, а также креды из браузеров и менеджеров паролей, а также секреты, хранящиеся в файлах конфигурации, относящихся к большому списку сервисов.
Исследователи также заметили, что видеозаписи демонстрируемых звонков записывались посредством фишинговых страниц Zoom, созданных злоумышленником, а фото профилей участников были взяты с рекрутинговых сайтов или соцсетей (LinkedIn, Crunchbase или X).
Причем, некоторые из этих изображений были обработаны с помощью OpenAI GPT-4o.
👨💻 Анализ логов хоста в контексте контейнерных угроз: как определить точку начала атаки.
• Контейнеры обеспечивают изолированность среды выполнения для приложений, однако уровень этой изоляции часто переоценивают. Хотя контейнеры включают все необходимые зависимости и обеспечивают единообразие среды, они все равно обращаются к ядру системы хоста, что создает определенные риски для безопасности.
• Среды с ограниченной видимостью затрудняют работу специалистов по киберугрозам и реагированию на инциденты, поскольку в них сложно однозначно отличить процессы, запущенные внутри контейнера, от тех, что выполняются непосредственно на хосте. Из-за этой неопределенности трудно установить, откуда на самом деле началась атака — в скомпрометированном контейнере или непосредственно на хосте.
• В этой статье мы разберемся, как восстановить цепочку выполнения процессов внутри работающего контейнера на основе логов хоста. Описанные методы помогут специалистам по киберугрозам и реагированию на инциденты определять первопричину компрометации исключительно на основе логов, собранных на уровне хоста.
➡Риски для контейнеризованных сред;
➡Как создаются контейнеры и как они работают;
➡Как BusyBox и Alpine выполняют команды;
➡Примеры из реальных расследований.
➡ Читать статью [10 min].
S.E. ▪️ infosec.work ▪️ VT
Власти Австралии предупреждает об активной APT-кампании, нацеленной на неисправленные устройства Cisco IOS XE с целью заражения маршрутизаторов веб-шеллом BadCandy на базе Lua.
Задействуемая в атаках CVE-2023-20198 имеет максимальный уровень серьезности и позволяет удаленным злоумышленникам без аутентификации создавать локальную учетную запись администратора через веб-интерфейс пользователя и захватывать устройства.
Cisco устранила уязвимость в октябре 2023 года, после чего она была помечена как активно эксплуатируемая.
Публичный эксплойт появился две недели спустя, что способствовало массовому использованию уязвимости для установки бэкдоров на устройства, подключенные к Интернету.
После установки BadCandy позволяет удаленным злоумышленникам выполнять команды с правами root на скомпрометированных устройствах.
При этом он удаляется с устройств после перезагрузки.
Однако, учитывая отсутствие патча на этих устройствах и предполагая, что веб-интерфейс остаётся доступным, злоумышленники могут легко установить его снова.
По оценкам Австралийского управления радиотехнической обороны, с июля 2025 года более 400 устройств в Австралии были потенциально подвержены атаке BadCandy, к настоящему времени их осталось еще более 150.
Несмотря на то, что число заражений стабильно снижается, ASD обнаружила признаки повторной эксплуатации уязвимости тех же конечных точек, даже несмотря на то, что субъекты, ответственные за нарушение, были должным образом уведомлены.
По данным агентства, злоумышленники способны оперативно отслеживать момент удаления имплантата BadCandy и использовать то же устройство для его повторной установки.
По данным ASD, ранее этой уязвимостью уже пользовались APT-субъекты, включая повсеместно распаренную Salt Typhoon, которая считается ответственной за серию атак в отношении крупных поставщиков телекоммуникационных услуг в США и Канаде.
В настоящее время угроза пока не имеет четкой атрибуции, тем не менее в ASD недавние всплески активности приписывает спонсируемым государством киберпреступникам.
Администраторам систем Cisco IOS XE по всему миру необходимо следовать рекомендациям поставщика по снижению рисков, изложенным в соответствующем бюллетене, а также в руководстве по усилению защиты устройств IOS XE.
Исследователи из Positive Technologies выкатили аналитику с обзором активности APT-групп на российском направлении за третий квартал 2025 года.
Ключевой тенденцией за все 9 месяцев наблюдений остается повсеместное задействование фишинга в качестве первоначального вектора атаки.
Злоумышленники применяют его как в типовых сценариях, так и в атаках с использованием 0-day.
Кроме того, отмечается увеличение числа распространяемых вредоносных файлов и усложнение методов доставки вредоносного ПО.
В сравнении со вторым кварталом 2025 года по итогам третьего Позитивы зафиксировали заметный рост числа уникальных семплов.
Активизировались почти все отслеживаемые группировки.
При этом наиболее выраженной динамикой отметились кибершпионские группы Goffee и IAmTheKing, а также финансово мотивированная Fluffy Wolf.
Цепочка атак рассматриваемых APT-группировок начиналась с фишинговых писем.
Вложения преимущественно включали архивы с замаскированными под официальную переписку вредоносными исполняемыми файлами или скриптами.
Причем представители PhantomCore также использовали фишинговые страницы с поддельной CAPTCHA.
Исследователи Positive Technologies в своем отчете отдельно отметили возросшую активность APT-групп, нацеленных на кибершпионаж.
В их числе Telemancon - группа кибершпионов, атаки которой ориентированы на российскую промышленность, - ранее использовала самописный TMCDropper с отдельными зашифрованными сегментами кода.
Теперь же хакеры перешли на многослойное шифрование, что сильно затрудняет анализ их программ средствами защиты.
Другой инструмент группировки - бэкдор TMCShell, стал детектировать, запустили ли в его песочнице, а не на реальном компьютере. В таком случае вредонос не активируется и остается незамеченным.
Кроме того, в отчете также подробно описана деятельность таких кибершпионских APT, как PseudoGamaredon, TA Tolik, XDSpy и Rare Werewolf.
Сдвиг тактики отмечен и у финансово мотивированной группировки Fluffy Wolf.
В конце сентября и начале октября хакеры стали прикладывать в фишинговые рассылки не документы, а их значки со встроенным URL.
При переходе по ссылке пользователи скачивали архив с вредоносной нагрузкой. При этом главная страница сайта создавала впечатление легитимного ресурса, что помогало злоумышленникам дольше оставаться незамеченными.
В течение третьего квартала также фиксировалась устойчивая активность DarkGaboon, таргетированная на финансовые подразделения российских компаний.
Под прицелом исследователей также оказался фишинг DarkWatchman с прежней цепочкой атаки.
Кроме того, вновь наблюдалась высокая частота атак хактивистской группировки Black Owl на компании в транспортно-логистической сфере.
Для повышения шансов на успешный запуск ВПО операторы стали чаще вкладывать в один архив сразу несколько идентичных образцов, различающихся только документами-приманками.
Благодаря легитимным инструментам, позволяющим отследить прочтение писем, злоумышленники оценивали вовлеченность адресатов и приоритизировали дальнейшие действия в отношении тех контактов, которые вероятнее всего открыли бы вложение.
Подробный разбор обновленных TTPs, виктимологии и арсенала APT, а также обзор их активности в 3 квартале - в отчете.
Генеральный директор итальянского поставщика spyware Memento Labs (Hacking Team) подтвердил выводы расследования Лаборатория Касперского в отношении кампании Operation ForumTroll, нацеленной на объекты в частном и государственном секторах Белоруссии и России.
Как мы уже упоминали, цепочка атак включала задействование уязвимости нулевого дня Google Chrome (CVE-2025-2783), а также шпионского арсенала платформы Dante, включая инфраструктуру, эксплойты и полезную нагрузку - имплант/агент LeetAgent.
Причем деятельность Memento Labs детектировалась по всей России в том или ином объеме также исследователями других ИБ-компаний.
Dr.Web обнаружила одну из фишинговых операций Memento Labs в сентябре 2024 года.
F6 упоминала атаки Dante APT в своем аналитическом отчете «Киберугрозы в России и СНГ 2024/25».
Positive Technologies изначально отслеживала группу как TaxOff и Team46, а затем связала эти две операции после выхода отчёта ЛК по ForumTroll в марте.
Гендир Паоло Лецци сообщил изданию TechCrunch, что шпионское ПО было установлено одним из его клиентов - государственным заказчиком, который задействовал в операции старую версию Dante, поддержку которого Memento планирует прекратить к концу года.
Соответственно, конкретного клиента Лецци не назвал, вообще удивился, что кто-то использует эту версию Dante, пообещав во всем разобраться и разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.
При этом якобы Memento уже обращалась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows, предупреждая также о том, что представители ЛК обнаружили заражения шпионским ПО Dante ещё в декабре 2024 года.
Руководитель Memento также отметил, что в настоящее время компания разрабатывает шпионское ПО исключительно для мобильных платформ.
Компания также ведет работу по поиску 0-day и разработке соответствующих эксплойтов для их использования в работе своего шпионского софта. Но, как он признался, в основном приобретает эксплойты от сторонних разработчиков.
Безусловно, не можем не согласиться, что с Лецци по поводу теперь уже однозначно «устаревшего» софта, который после отчета ЛК и коллег можно действительно выкидывать в урну.
Судя по активности ForumTroll, по всей видимости, никаких предупреждений могло и не быть (до выхода отчета ЛК).
Ведь вложенные инвестиции в начальную разработку и затем новую иттерацию флагманского софта нужно же отбивать до последнего евро (а еще и заработать).
В США нарисовался новый резонансный инцидент, затронувший крупнейшую национальную телекоммуникационную компанию Ribbon Communications.
Американская компания предоставляет коммуникационные и сетевые решения, а также магистральные технологии для сетей связи. На ее решения полагаются ведущие поставщики услуг, предприятия и объекты критической инфраструктуры.
В числе клиентов Ribbon Communications фигурируют BT, Verizon, Deutsche Telekom, CenturyLink, TalkTalk, Softbank и Tata, а также Министерство обороны США и город Лос-Анджелес.
В квартальном финансовом отчете, предоставленном в Комиссию по ценным бумагам и биржам (SEC), Ribbon сообщила, что в начале сентября текущего года обнаружила несанкционированный доступ к своей ИТ-сети.
Расследование инцидента все еще продолжается, однако предварительные результаты указывают на то, что хакеры могли получить первоначальный доступ еще в декабре 2024 года.
На момент подачи квартального отчета Ribbon, согласно официальной версии, не нашла никаких доказательств того, что хакеры получили доступ или выкрали какую-либо важную информацию.
Однако Ribbon признала, что «несколько файлов клиентов, сохраненных за пределами основной сети на двух ноутбуках, по всей видимости, попали в руки злоумышленников».
Пострадавшую клиентуру соответствующем образом уже уведомили.
В целом, в Ribbon полагают, что обнаруженный взлом не окажет существенного влияния на ее деятельность.
Ribbon не раскрыла каких-либо технических подробностей взлома, но полагает, что к атаке причастна неназванная APT-группировка, предположительно, связанная с китайской стороной.
На фоне последних скандалов вокруг вездесущих китайских хакеров, в особенности кейса с F5, подобная атрибуция формируется уже «по инерции».
Так или иначе расследование еще не закончено и вполне вероятно, что двумя буками это дело не ограничится.
Но будем посмотреть.
Более 50 000 сайтов с установленным плавном Anti-Malware Security and Brute-Force Firewall для Wordfence остаются уязвимыми для CVE-2025-11705, которая позволяет подписчикам считывать любой файл на сервере и ведет к раскрытию конфиденциальной информации.
Имеющий более 100 000 загрузок плагин обеспечивает сканирование на предмет наличия вредоносных ПО, защиту от брута, использования известных уязвимостей и попыток внедрения в базу данных.
Уязвимость была раскрыта Wordfence исследователем Дмитрием Игнатьевым и затрагивает версии плагина 4.23.81 и более ранние.
Проблема возникает из-за отсутствия проверок возможностей в функции GOTMLS_ajax_scan(), которая обрабатывает запросы AJAX с использованием одноразового номера, который могут получить злоумышленники.
Эта ошибка позволяет пользователю с низкими привилегиями, который может вызвать функцию, читать произвольные файлы на сервере, включая конфиденциальные данные, включая файл конфигурации wp-config.php.
Получив доступ к базе данных, злоумышленник может извлечь хэши паролей, адреса электронной почты пользователей, сообщения и другие личные данные (а также ключи и соли для безопасной аутентификации).
Рейтинг критичности уязвимости относится к низкому уровню, поскольку для ее эксплуатации требуется аутентификация, тем не менее многие сайты позволяют пользователям подписываться и расширять свой доступ к различным разделам сайта, например к комментариям.
Сайты с любым видом членства или подписки, позволяющие пользователям создавать учетные записи, соответствуют необходимым требованиям для эксплуатации и уязвимы для атак с использованием CVE-2025-11705.
14 октября Wordfence сообщила об этой проблеме поставщику Eli, предоставив проверенный PoC через службу безопасности WordPress.org.
На следующий день разработчики выпустили версию 4.23.83 плагина с исправлением CVE-2025-11705, добавив надлежащую проверку прав пользователя с помощью новой функции GOTMLS_kill_invalid_user().
Но к настоящему времени, по статистике WordPress.org, лишь половина из всех сайтов с установленным плагином безопасности перешла на последнюю версию, оставшаяся половина рискует словить атаку не цепочку мудаков.
Пока Wordfence не обнаружила признаков эксплуатации уязвимости, но это вовсе не повод недооценивать киберподполье, особенно после публичного раскрытия потенциальных возможностей для реализации названной атаки.
🇷🇺 Полицейские из Астраханской области и сотрудники УБК МВД России задержали создателей вируса «Медуза»
🥷Как сообщает Telegram-канал Ирина Волк, группу хакеров, создавших печально известный вирус 😷 «Медуза», задержали сотрудники 🫡 УБК МВД России совместно с полицейскими из Астраханской области.
Трое молодых IT-специалистов подозреваются в создании, использовании и распространении вредоносных компьютерных программ.
Следователем Следственного управления УМВД России по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного частью 2 статьи 273 УК РФ.
Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.
Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.
Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.
Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора.
Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.
Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями.
Midnight - один из таких вариантов.
Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.
В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.
В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».
Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.
Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.
Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.
Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.
Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.
Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.
Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.
Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.
Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.
Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.
Другие технические подробности и практическое руководство по дешифратор - в отчете.
Промышленные гиганты пополнили ряды жертв масштабного инцидента Oracle E-Business Suite (EBS), ответственность за который на себя взяла банда вымогателей Cl0p.
По завершении переговорного трека хакеры приступили к опубличиванию имен жертв на своем DLS, а в некоторых случаях - сразу к сливу украденных данных, которые, судя по всему, являются подлинными.
Обе предполагаемые жертвы - Schneider Electric и Emerson, никак не отреагировали на неоднократные просьбы журналистов прокомментировать ситуацию.
Все дело в том, что на cайте утечки Cl0p появились ссылки на 2,7 ТБ архивных файлов, содержащих информацию, предположительно полученную от Emerson, и еще 116 ГБ архивов с данными Schneider Electric.
Результаты предварительного расследования и анализа дерева файлов, а также связанных метаданных, свидетельствует о том, что в обоих случаях данные, вероятно, получены в результате взлома Oracle.
Пока одни замалчивают инцидент, другие крупные компании, включая Гарвардский университет, Южноафриканский университет Витс, Airlines Envoy Air и многие другие, уже публично подтвердили атаки.
Впрочем Schneider Electric и Emerson не привыкать, обе компании уже сталкивались с аналогичными инцидентами.
На этот раз стали свидетелями очередного триумфа банды Cl0p, которая успешно реализовала аналогичные кампании, нацеленные на Cleo, MOVEit и Fortra.
💚 Эксперты Kaspersky GReAT смогли задетектить неуловимое коммерческое шпионское ПО Dante.
Как пишут специалисты компании, подобные программы стоят миллионы долларов, используются для шпионажа, а защищены обычно на высшем уровне — поймать их за работой или найти следы вмешательства практически невозможно.
В марте 2025 года «Лаборатория Касперского» выявила волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Единственным действием, которое требовалось от пользователя, было открыть ссылку в Chrome или другом браузере на базе Chromium.
Все ссылки были персонализированными и имели очень короткий срок жизни. Тем не менее, технологиям «Лаборатории Касперского» удалось идентифицировать 🥷❗️сложный 0-day эксплойт, который использовался для побега из песочницы Chrome.
Проблема была исправлена как CVE-2025-2783.
Мы назвали эту кампанию операцией «Форумный тролль», поскольку злоумышленники маскировали персонализированные фишинговые письма под приглашения на научно-экспертный форум «Примаковские чтения». Целями были СМИ, университеты, научно-исследовательские центры, государственные, финансовые и прочие организации в России. Судя по функциональности доставляемого вредоносного ПО, основной целью кампании был кибершпионаж.
Заключение:
В этот раз мы хотим сделать не один, а сразу три вывода.
1) DuplicateHandle — это опасная API-функция. Если процесс привилегированный, и пользователь может передать ему дескриптор, необходимо отвечать ошибкой, если вместо дескриптора передается псевдодескриптор.
2) Атрибуция — самая сложная часть анализа вредоносного ПО и разведки киберугроз, но она же доставляет больше всего удовлетворения, когда все кусочки пазла ложатся на свои места. Если в детстве вы мечтали стать детективом и разгадывать тайны (как Шерлок Холмс, мисс Марпл, Коломбо, Скуби-Ду и ребята из Mystery Inc.), аналитика угроз может быть подходящей работой для вас!
3) В 2019 году новый владелец Hacking Team заявил, что хочет поменять абсолютно все и начать с чистого листа. Это потребовало время, но к 2022 году практически все продукты Hacking Team были переделаны. Возможно, теперь, когда Dante обнаружен, пора опять начинать с нуля?
Подкатили обновления для основных мобильных операционных системах: в Android исправлены 2 уязвимости в системном компоненте платформы, включая критическую RCE, а в iOS и iPadOS - 56 ошибок, в том числе 19 проблем, затрагивающих движок браузера WebKit.
Стоит отметить, что ноябрьский патч для Android вновь напоминает об уходе от ежемесячных обновлений, которые выпускались с 2015 года, теперь он в себя единый уровень исправлений безопасности - уровень исправлений 2025-11-01.
Впервые подобная тенденция была замечена в июле этого года, когда для пользователей Android не было выпущено никаких исправлений, как и затем в октябре.
Но в зато в августе и сентябре Google устранила более 100 уязвимостей, включая три эксплуатируемые.
На этот раз речь идет о двух проблемах, наиболее серьезная из которых - CVE-2025-48593. Это недостаточная проверка данных, вводимых пользователем, что которая приводит к RCE и затрагивает версии Android 13, 14, 15 и 16.
Как отмечает Google в своем бюллетене, для ее эксплуатации взаимодействие с пользователем и каких-либо дополнительных прав на выполнение не требуется.
Другая, CVE-2025-48581, связана с тем, что в VerifyNoOverlapInSessions файла apexd.cpp существует потенциальный способ заблокировать обновления безопасности через основную установку из-за логической ошибки в коде.
Это может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.
Для эксплуатации уязвимости не требуется участие пользователя. Она затрагивает Android 16.
Свежие обновления iOS и iPadOS содержат исправления ошибок, затрагивающих более двух десятков компонентов, которые могли быть использованы для выхода из песочницы, повреждения памяти или утечки данных.
Как отмечает Apple, Big Sleep от Google помог выявить пять различных уязвимостей в компоненте WebKit, используемом в браузере Safari, успешная эксплуатация которых может привести к сбою браузера или повреждению памяти.
Помимо мобильных платформ компания выпустила macOS Tahoe 26.1 с исправлениями для 105 дефектов, включая 45, исправленных в iOS 26.1 и iPadOS 26.1 (18 из них были исправлены в WebKit).
Уязвимости могут быть использованы для повреждения памяти ядра, завершения работы системы, утечки данных, выхода из «песочницы», DoS, подмены файлов, EoP и обхода защиты безопасности.
Apple также выпустила macOS Sequoia 15.7.2 и macOS Sonoma 14.8.2 с исправлениями десятков уязвимостей в каждой из версий.
Кроме того, анонсированы исправления для tvOS, watchOS, visionOS и Xcode, а Safari 26.1 исправляет почти два десятка уязвимостей для пользователей macOS Sonoma и macOS Sequoia.
К настоящему времени, как и Google, компания не располагает данными о том, что какая-либо из двух исправленных уязвимостей эксплуатируется в реальных условиях.
AMD подтвердила наличие серьёзной ошибки безопасности в генераторе RDSEED в составе процессоров на архитектуре Zen 5.
Как выяснили исследователи, в виду некорректной работы генератор случайных чисел в системах Linux может выдавать предсказуемые значения, ставя под угрозу кибербезопасность пользователей.
RDSEED - одна из двух систем генерации случайных чисел, доступных на современных процессорах, в том числе на продукции Intel. Он собирает непредсказуемые данные из окружающей среды и записывает в регистре процессора случайные последовательности битов.
При этом система RDRAND работает быстрее, но результаты её работы более предсказуемы.
CVE-2025-62626 проходит в номенклатуре производителя как AMD-SB-7055 и имеет рейтинг серьезности CVSS 7,2 из 10.
Проблема связана с инструкциями RDSEED на чипах Zen 5. Ее впервые обнаружил инженер Meta (признана экстремистской), который также нашёл способ стабильно её воспроизводить.
На машине запускаются два потока процессора: один постоянно обращается к RDSEED, а второй создаёт нагрузку и поглощает около 90 % памяти - в результате генератор случайных чисел начинает выдавать нули и продолжает сообщать об успешном выполнении задач.
AMD намерена исправить ошибку программными средствами и планирует выпустить исправления для всех затронутых моделей процессоров до ноября.
Обновление прошивки для процессоров EPYC 9005 уже вышло, обновления для потребительских Ryzen 9000, AI Max 300, Threadripper 9000 и Ryzen Z2 выйдут 25 ноября.
В свою очередь, команда разработчиков ядра Linux выпустила патч в прошлом месяце после первых сообщений, который отключает RDSEED на всех чипах Zen 5, чтобы устранить уязвимость.
Пока не выйдут обновления микрокода AGESA для процессоров на архитектуре Zen 5, в AMD рекомендовали перейти на 64-битную версию RDSEED, которая работает корректно.
Исследователи BI.ZONE сообщают о выявленной активности ранее неизвестного актора, который в период с октября 2024 года по октябрь 2025 нападал на российские компании в сфере финансов, энергетики, инженерии, обрабатывающей промышленности, транспорта, наука и госуправления.
Цепочка заражений традиционно начиналась с таргетированных фишинговых рассылок, обеспечивающих атакующим возможности получения первоначального доступа.
Причем атакующие могут распространять вредоносное ПО во вложениях письма в виде архивов по двум сценариям.
В первом случае, он содержит легитимный EXE‑файл и вредоносную DLL с атрибутом «скрытый», являющуюся загрузчиком, который подгружается в момент запуска легитимного EXE‑файла с помощью техники DLL side-loading.
Иногда в архиве также мог находиться отвлекающий PDF‑документ, в котором отсутствует ссылка для загрузки с сетевого ресурса атакующих архива с вредоносной ПО.
Во втором варианте архив содержит вредоносный LNK‑файл и скрытые файлы: легитимный EXE, загрузчик в виде вредоносной DLL, отвлекающий PDF‑документ.
Кроме того, были обнаружены атаки с использованием отвлекающих PDF‑документов, замаскированных под руководства по установке программы видео-конференц-связи или веб-клиента мессенджера. В PDF содержалась ссылка на сетевой ресурс атакующих для загрузки архива.
В одном из случаев атакующие скомпрометировали легитимный сетевой ресурс крупной российской инвестиционной компании, с сайта которой они распространяли архив с вредоносной ПО.
Хакеры использовали многоступенчатый загрузчик собственной разработки, который разворачивал в системе сложные, не документированные ранее TunnelRAT и EmojiRAT - вместе с модифицированным клиентом Secure Socket Funneling (SSF).
Также была обнаружена другая версия этого загрузчика, которая расшифровывала и запускала вредоносное .NET‑приложение httptun, защищенное VMProtect.
На момент исследования данную ПО не удалось точно классифицировать и полностью проанализировать.
Первая стадия загрузчика реализована в виде DLL, которая запускается с помощью техники DLL side-loading легитимным исполняемым EXE‑файлом.
Вторая - в виде DLL, которая расшифровывается первой стадией и извлекается на диск. Она запускается с помощью техники COM hijacking в адресном пространстве легитимного процесса getmac.exe.
TunnelRAT представляет собой обфусцированное вредоносное ПО с многопоточной архитектурой (каждая новая задача, поступающая от C2‑сервера, запускается в отдельном потоке).
TunnelRAT позволяет выполнять различные команды, поступающие от C2‑сервера, на скомпрометированном хосте и способен использовать для коммуникации с C2‑сервером как DNS‑туннель, так и HTTP.
В свою очередь, EmojiRAT задействует пять телеграм-ботов, причем один из них используется для приема команд, а остальные - для отправки результатов их выполнения.
Что примечательно, в EmojiRAT передача данных кодируется набором специальных эмодзи.
Бизоны отмечают одну интересную особенность атакующих - они в основном используют домены в зоне .team.
Похожее наблюдалось у Prosperous Werewolf (Team46, TaxOff).
В октябре 2025 года атакующие стали использовать GitHub вместо специально подготовленных сетевых ресурсов для размещения ZIP‑архивов с вредоносным ПО.
При этом атакующие размещают ZIP‑архивы в разделе Issues, а не в самом репозитории в виде файлов.
Технические подробности и IOCs - в отчете.
Однажды летом мы сообщали об одной из самых масштабных в современной истории Соединенного Королевства утечек, которая произошла по вине представителей британских спецслужб.
Тогда через отдельный судебный акт обстоятельства инцидента засекретили.
Однако журналистам вскоре стало известно, что в сеть слили базу данных с более 33 000 афганских граждан, которые оказывали содействие британским войскам во время войны в Афганистане.
Кроме того, там также содержались личные данные почти 19 000 афганцев, подавших заявки на переселение в Великобританию после того, как Талибан восстановил контроль над страной в 2021 году.
Помимо этого были раскрыты личности более сотни сотрудников британской разведки MI-6, военнослужащих засекреченных подразедлений специального назначения SAS и SBS.
Сама утечка произошла в феврале 2022 года, когда сотрудник штаб-квартиры британских сил специального назначения в Лондоне случайно отправил по электронной почте базу данных за пределы правительственного учреждения, а затем она ушла в тиражи Интернет-ресурсов.
Далее был инициирован особый протокол и втайне от общественности власти пытались локализовать последствия инцидента, потратив на это более 2 млрд. фунтов стерлингов и переселив более 20 тысяч афганцев в Великобританию.
Однако этого оказалось недостаточно.
Как сообщает Arab News, в результате утечки 49 афганцев стали жертвами нападений и лишились жизни.
При этом 40% из числа фигурирующих в слитой базе также заявили о получении угроз расправы от Талибана, представители которого смогли идентифицировать их после публикации личных данных, а некоторые подверглись избиениям и даже пыткам.
В общем, это наглядное свидетельство трансформации, казалось бы, виртуальных угроз во вполне реальные последствия. И, безусловно, - показатель уровня работы британской спецуры.
По всей видимости не обошлось без агента 00,7 (и по ходу 00,5 тоже приложился).
Основанную в 1960 году и финансируемую немецким правительством международную телерадиокомпанию Deutsche Welle взломали.
По цене в 2500 долл. в крипте на просторах киберподполья реализуется дамп SQL базы данных с 15 поддоменов новостной компании (пруфы прилагаются).
По словам селлера, слитые данные включают: адреса электронной почты пользователей, полные имена пользователей, учетные данные (в том числе, пароли почтового сервера и FTP), а также данные и параметры конфигурации ресурсов DW.
Исследователи F6 препарировали обновленную версию вредоносного ПО DeliveryRAT, который распространялся злоумышленниками во второй половине 2025 года.
Впервые Android-троян DeliveryRAT исследователи упоминали еще в годовом отчете F6 за 2024 год, а в апреле 2025 года удалось задетектить обновленную версию, дополненную различным новым функционалом.
Способы распространения трояна F6 детально описывала в недавнем исследовании.
Тогда сообщалось, что F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT.
Кроме того, был разобран Telegram-бот Bonvi Team, посредтсвом которого генерировались либо ссылки на фейковые страницы, мимикрирующие под сервис загрузки приложений, либо генерировался непосредственно образец вредоносного ПО.
В новом отчете F6 раскрывает технические подробности в отношении обновленной версии DeliveryRAT.
В некоторых случаях злоумышленники использовали приложение-загрузчик для распространения трояна.
Все обнаруженные загрузчики имеют имя пакета com.harry.loader. DeliveryRAT расположен внутри секции ресурсов загрузчика в директории raw.
После того как пользователь нажмет на кнопку, приложение запросит права установки сторонних приложений на устройство.
После выдачи пользователем запрашиваемых прав будет установлен DeliveryRAT.
Кроме того, в ходе исследования удалось найти множество образцов DeliveryRAT, мимикрирующих под различные сервисы, доступные в России.
В обновленную версию были добавлены дополнительные функциональные возможности (помимо тех, что были реализованы в первой обнаруженной версии), в том числе:
- запуск по команде различных видов активностей для пользователя, в контексте ввода информации о банковской карте, выбора фотографии, сканирование QR-кода и так далее;
- выполнение DDOS-атак путем осуществления одновременных запросов к переданной командой URL-ссылке;
- эксфильтрация списка контактов;
- рассылка SMS всем контактам;
- возможность обмениваться сообщениями с жертвой под видом поддержки.
Исследователи отмечают, что DeliveryRAT продолжает атаковать цели в России, активизировавшись с середины 2024 года.
Троян обновляется и пополняет набор своих функциональных возможностей, несущих новые риски для пользователей Android-устройств.
Подробнейший технический разбор DeliveryRAT и обновленный перечень IOCs - в отчете.
Исследователи Zimperium предупреждают о крайне негативной тенденции, связанной с широким распространением вредоносного ПО для ретрансляции данных на основе технологии NFC (Near-Field Communication), которое приобрело огромную популярность в Восточной Европе.
В связи с быстрым ростом числа транзакций Tap-to-Pay технология NFC становится всё более привлекательной целью для киберпреступников.
Вредоносные приложения используют разрешение Android на NFC для кражи платёжных данных непосредственно с устройств жертв, подчёркивая, насколько быстро злоумышленники развивают свои методы монетизации систем бесконтактной
оплаты.
В отличие от традиционных банковских троянов, использующих оверлеи или перехват SMS, эти вредоносные приложения используют возможности эмуляции хост-карт (HCE) Android, выдавая себя за легитимные платёжные приложения и передавая конфиденциальные данные о транзакциях в режиме реального времени.
Реализуя захват поля EMV, злоумышленники реализуют подконтрольный ответ на команды APDU от POS-терминала или пересылают запросы терминала на удаленный сервер, формирующий соответствующие ответы APDU для совершения платежей на терминале без физического присутствия держателя карты.
К настоящему времени злоумышленники реализуют множество методов, основанных на разных практических подходах, в том числе:
- сборщики данных, которые переносят поля EMV в Telegram или другие конечные точки;
- наборы инструментов для ретрансляции, которые пересылают APDU на удаленные сопряженные устройства;
- платежи с использованием «фантомного касания», при которых ответы HCE обрабатываются для авторизации POS-транзакций в режиме реального времени;
- PWA или поддельные банковские приложения, которые установлены в качестве обработчика платежей по умолчанию на Android.
В результате возникает новый класс угроз, сочетающий финансовое мошенничество с несанкционированным использованием NFC на уровне устройства, что часто игнорируется традиционными средствами защиты.
По данным Zimperium, за последние несколько месяцев исследователи обнаружили более 760 вредоносных приложений для Android, использующих эту технологию для кражи данных платежных карт пользователей.
Впервые эта техника была замечена в 2023 году в Польше, заза ней последовали кампании в Чехии, а позднее более масштабные волны атак накрыли Россию, Словакию и др.
Компания выявила более 70 серверов C2 и центров распространения приложений, поддерживающих подобные кампании, а также десятки ботов Telegram и частных каналов, используемых для кражи украденных данных или координации мошеннических операций.
При этом приложения, которые задействуются для распространения вредоносного ПО, выдают себя за Google Pay или такие финансовые учреждения, как Santander Bank, ВТБ Банк, Тинькофф Банк, ING Bank, Bradesco Bank, Промсвязьбанк (ПСБ) и ряд других.
Полный список APK, обнаруженных Zimperium в дикой природе, доступен здесь.
Исследователи из Лаборатории Касперского выкатили подробнейший и весьма богатый по технической части отчет с результатами исследования двух кампаний северокорейской APT в рамках операции SnatchCrypto, которые получили названия GhostCall и GhostHire.
Активность приписывается подкластеру Lazarus Group - BlueNoroff, которая также известна как APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (Copernicium) и Stardust Chollima.
С момента своего появления группа была ориентирована на финансовую выгоду и активно нацеливается на разработчиков блокчейнов, руководителей высшего звена и менеджеров в индустрии Web3/блокчейна в рамках операции SnatchCrypto, начиная с 2017 года.
Жертвами кампании GhostCall стали несколько зараженных хостов macOS, расположенных в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге, тогда как Япония и Австралия были названы основными локациями активности для GhostHire.
GhostCall активно атакует устройства macOS руководителей технологических компаний и инвестиционные фирмы, взаимодействуя напрямую с жертвами через Telegram под предлогом приглашений на встречи, связанные с фишинговыми сайтами, мимикрирующими под Zoom.
Жертва присоединяется к фейковому звонку с подлинными записями разговоров других жертв (не к дипфейкам). Звонок проходит согласно плану, но затем пользователю неожиданно предлагается обновить клиент Zoom с помощью скрипта.
В конечном итоге скрипт загружает ZIP-файлы, которые приводят к цепочкам заражения, развёртываемым на заражённом хосте.
В свою очередь, GhostHire предполагает нацеливание на разработчиков Web3 с использованием репозитория GitHub, содержащего вредоносное ПО, под легендой оценки навыков в процессе найма.
После первоначального контакта и краткой проверки рекрутер добавляет пользователя в Telegram-бот, который отправляет либо ZIP-файл, либо ссылку на GitHub, а также ограниченное 30 минутами на выполнение задание с требованием как можно скорее запустить вредоносный проект.
После запуска проекта в систему пользователя загружается вредоносная полезная нагрузка, состав которой определяется в соответствии с пользовательским агентом, который идентифицирует операционную систему жертвы.
Исследователи ЛК отслеживают обе кампании с апреля 2025 года, хотя, по оценкам, GhostCall активен с середины 2023 года, вероятно, после кампании RustBucket.
Причем последний ознаменовал собой основной поворотный момент в атаке на системы macOS, после чего в других кампаниях задействовались такие семейства вредоносных ПО, как KANDYKORN, ObjCShellz и TodoSwift.
Различные аспекты GhostCall также были подробно задокументированы за последний год Microsoft, Huntress, Field Effect, Huntabil.IT, Validin и SentinelOne.
Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall, Кроме того, в обеих кампаниях было обнаружено идентичное вредоносное ПО.
Как отмечают в ЛК, исследование свидетельствует о постоянных усилиях BlueNoroff по разработке вредоносного ПО, нацеленного как на Windows, так и на macOS, через единую инфраструктуру С2.
При этом использование генеративного ИИ в различных аспектах атак значительно ускорило этот процесс, обеспечив более эффективную разработку ПО при снижении операционных издержек, а также позволило повысить производительность и серьезно усовершенствовать атаки.
Подробный разбор двух кампании - дадим в отдельном материале.
Канадский центр кибербезопасности сообщает о возросшей хакерской активности, нацеленной на промышленные системы управления (ICS), доступные через Интернет.
Как отмечают специалисты, хакеры неоднократно взламывали критически важные инфраструктурные системы по всей стране, что позволяло им вносить коррективы в параметры управления ICS, что потенциально могло привести к возникновению опасных ситуаций.
В частности, в своем бюллетене, регулятор упоминает о трех недавних инцидентах, в ходе которых хактивисты вмешались в работу критически важных систем водоочистных сооружений, в нефтегазовой компании и на сельскохозяйственном предприятии.
Названные инциденты привели к сбоям в работе, ложным срабатываниям и риску возникновения аварийных ситуаций.
В результате атаки на водопроводную станцию были изменены показатели давления воды, что не привело поденную качества оказания услуг для населения.
Другой случай произошел в канадской нефтегазовой компании, где были выявлены нарушения в работе автоматизированного уровнемера резервуаров (ATG), что привело к срабатыванию ложной тревоги.
Третий случай произошел в зерносушилке на канадской ферме, где регулировались температура и влажность, что могло привести к чрезвычайно опасной ситуации, если бы проблема своевременно не была устранена.
При этом, как полагают власти Канады, все эти атаки не были спланированными или как-то сложно организаованны, скорее носили оппортунистический характер и были направлены, прежде всего, на ажиотаж в СМИ, подрыв доверия к властям и нанесение ущерба имиджу страны.
Несмотря на то, что ни одна из атакованных организаций в Канаде не понесла катастрофических последствий, атаки указывают на серьезные риски, возникающие вследствие низкой защищенности компонентов ICS, включая ПЛК, SCADA, HMI и промышленные IoT-устройства, что на практике характерно не только для Канады.
Тем временем, под легендой якобы хакерской группы KittenBusters продолжается публикация на GitHub новых документов, связанных с деятельностью иранской Charming Kitten (APT35).
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
Группа ученых-исследователей раскрыла подробности нового метода атаки по побочным каналам, которая позволяет извлекать секреты из доверенной среды выполнения (TEE) в ЦП, высокозащищенной области системы SGX и TDX от Intel и SEV-SNP от AMD.
Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.
Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.
Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.
Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.
Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.
Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.
TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.
Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.
Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).
Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.
Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).
Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.
По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.
Исследователи из F6 в своем новом отчете представили аналитику по недавним атакам группировки Cloud Atlas на предприятия в сфере агропромышленного и оборонно-промышленного комплексов.
В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.
Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.
В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.
В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.
Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.
В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.
В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.
Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».
Запуск инициировал цепочку с загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.
Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.
В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.
Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.
Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.
Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.
Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.
В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.
Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.
В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.
Технические подробности и IOCs - в отчете.
Исследователи из Лаборатории Касперского расчехлили многоуровневую атаку с использованием сложного эксплойта, нацеленную на DeFi-протокол BetterBank в сети PulseChain, в результате которой атакующие смогли украсть примерно в 5 млн долл. (часть активов позже вернули).
Тем не менее, результирующие потери после переговоров с киберпреступниками и возвращением 550 млн токенов DAI составили около 1,4 млн долл.
Так или иначе частичное возвращение средств является довольно редким явление в случаях эксплойтов в DeFi-протоколах.
Как говорят, везет понятно кому и в данном случае - это вполне соответствует действительности, и вот почему.
Результаты расследования атаки на BetterBank, состоявшейся 26–27 августа 2025 года, указывают на задействование уязвимости, связанной с фундаментальной недоработкой в механизме системы бонусных вознаграждений, а именно - в swapExactTokensForFavorAndTrackBonus.
Эта функция предназначалась для выпуска бонусных токенов ESTEEM в качестве вознаграждения за каждую операцию обмена (свопа) на токены FAVOR.
Однако в ее реализации отсутствовал механизм валидации, проверяющий, что своп осуществляется в рамках легитимного и разрешенного пула ликвидности.
Связав начисление вознаграждения с типовым, невалидируемым условием - появлением токена FAVOR на выходе свопа, - разработчики непреднамеренно создали брешь, пригодную для эксплуатации.
Так что уязвимость заключалась даже не в ошибке программирования, а в фундаментальном архитектурном просчете.
Это позволяло создавать поддельные пары ликвидности и сгенерировать неограниченное количество бонусных токенов ESTEEM.
В общем, в рамках реализации схемы злоумышленники:
- взяли мгновенные займы на 50 млн токенов DAI и 7,14 млрд токенов PLP, опустошив реальные пулы DAI-PDAIF;
- создали фиктивные пулы с минимальной ликвидностью на основе пары «подставной токен - PDAIF»;
- выполнили около 20 итераций фальшивых торговых операций, чтобы спровоцировать массовый выпуск бонусных токенов ESTEEM;
- сконвертировали полученные вознаграждения в дополнительные токены PDAIF;
- пополнили пулы ликвидности с выгодными для себя дисбалансами и в результате извлекли прибыль примерно 891 млн DAI через арбитражные операции.
Но основная проблема даже не в этом.
Описанная уязвимость в системе бонусных вознаграждений протокола была выявлена и зафиксирована ресерчерами Zokyo в ходе аудита безопасности BetterBank, проведенного примерно за месяц до атаки.
Однако в виду документально подтвержденных ошибок в информировании и присвоения угрозе низкой степени критичности команда разработчиков BetterBank не внедрила рекомендованное исправление безопасности, формально пометив ее как устраненная (Resolved).
Как отмечает исследователи ЛК, данный инцидент является ярким примером того, как недоработки на этапе проектирования, в сочетании с бездействием в ответ на предупреждения специалистов могут привести к серьезным финансовым последствиям в сфере блокчейн-сервисов.
Успешная реализация эксплойта злоумышленниками подчеркивает необходимость проведения тщательного аудита безопасности, четкого формулирования результатов и внедрения многоуровневых механизмов защиты, ориентированных на наиболее изощренные векторы атак.
Пошаговая реконструкция и технический разбор атаки, включая PoC, стратегии противодействия и ончейн-аналитику - в отчете.
Google в очередной раз вынуждена оправдываться по поводу новой утечки со сливом 183 млн. аккаунтов Gmail, широко анонсированной многими ведущими информационными изданиями.
Компания в минувшие выходные официально опровергла все заявления и отметила фейковый характер «сенсационной» истории с о взломом Gmail.
При этом представленные в качестве утечки данные, по мнению компании, являются результатом компиляции слитых за последние годы данных, прежде всего, с логов инфостилеров.
Кроме того, Google назвала фейковыми сообщения о якобы имевшей место рассылке от ее имени предупреждений всем пользователям Gmail о серьёзной проблеме безопасности.
Подобные инсинуации, как оказалось, последовали после того, как Have I Been Pwned (HIBP) подгрузила огромный массив из 183 млн. скомпрометированных учетных данных на платформу уведомлений об утечках, используемую Synthient.
Все они были получены в результате отработки различных логов со стилеров, локальных утечек и фишинговых кампаний. Более того, все эти слитые креды связаны с различными ресурсами и платформами.
Причем, после загрузки данных в HIBP 91% из 183 млн. учетных данных уже были введены ранее, что свидетельствует о том, что многие из них циркулируют в течение нескольких лет. Лишь а 16,4 млн. оказались уникальными.
Многие пользователи HIBP, включая Google, обычно используют подобные выборки для предупреждения своих клиентов о скомпрометированных паролях или их принудительного сброса для защиты акаунтов.
Безусловно, данные может и подгрузили в HIBP и предупреждения могли быть на их основе разосланы, но вспоминая про недавний инцидент в Google с Salesloft, затронувший аккаунты Workspace, можно полагать, что дыма без огня все же не бывает. Но будем посмотреть.
А на заборе файле "Расчет премии 2025" написано, а там дрова RAT лежит