39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Лаборатории Касперского вновь накинули информативной отраслевой статистики, анонсировав Kaspersky Security Bulletin 2025, который охватывает период с ноября 2024 года по октябрь 2025 года.
В качестве основных исследователи выделяют следующие тренды:
- 48% пользователей Windows и 29% пользователей macOS столкнулись с киберугрозами.
- 27% всех пользователей решений Лаборатории Касперского столкнулись с веб-угрозами, а 33% пользователей пострадали от угроз на устройствах.
- Наибольшая доля пользователей, пострадавших от веб-угроз, пришлась на СНГ (34%), а локальные угрозы чаще всего обнаруживались в Африке (41%).
- Решения Лаборатории Касперского позволили предотвратить почти в 1,6 раза больше атак по краже паролей, чем в предыдущем году.
- В Азиатско-Тихоокеанском регионе количество обнаружений кражи паролей выросло на 132% по сравнению с предыдущим годом.
- Решения Лаборатории Касперского обеспечили выявление в 1,5 раза больше атак шпионского ПО, чем в предыдущем году.
Подробную годовую статистику по киберугрозам рекомендуем изучить, ознакомившись с полным отчетом.
Кроме того, не можем не отметить отчет по эксплойтам и уязвимостям в третьем квартале 2025 года, в котором исследователи ЛК рассматривают наиболее распространённые проблемы, затрагивающие Windows и Linux, а также уязвимости, используемые в APT-атаках.
Отмечается, что ежемесячное количество уязвимостей, опубликованных в третьем квартале 2025 года, остаётся выше показателей, зафиксированных в предыдущие годы.
Анализ ежемесячного распределения уязвимостей, оцененных как критические при регистрации (CVSS > 8,9), показывает, что этот показатель в третьем квартале был незначительно ниже показателя за 2024 год.
В части эксплуатации, в третьем квартале 2025 года, как и прежде, наиболее распространенными атаками были атаки на уязвимые продукты Microsoft Office (CVE-2018-0802, CVE-2017-11882 и CVE-2017-0199).
В этом квартале злоумышленники злоумышленники активно эксплуатировали уязвимости Directory Traversal, возникающие при распаковке архивов в WinRAR, адаптировав их для своих нужд (CVE-2023-38831, CVE-2025-6218 и CVE-2025-8088).
Для устройств Linux наиболее часто обнаруживались эксплойты для следующих уязвимостей ядра ОС (CVE-2022-0847, CVE-2019-13272 и CVE-2021-22555).
Примечательно, что в третьем квартале 2025 года, как и во втором, новых публичных эксплойтов для продуктов Microsoft Office не появилось.
Однако были опубликованы PoC-тесты уязвимостей в Microsoft SharePoint.
В третьем квартале 2025 года в APT-атаках преобладали 0-day, обнаруженные в ходе расследований отдельных инцидентов. После их публичного раскрытия следовали мощные волны эксплуатации.
Metasploit, доля которого увеличилась по сравнению со вторым кварталом, возглавляет список наиболее распространённых C2-фреймворков за последний квартал. За ним следуют Sliver и Mythic.
Фреймворк Empire также вновь появился в списке после неактивности в предыдущий отчётный период.
Примечательно, что Adaptix C2, несмотря на свою относительно новую версию, практически сразу же был принят злоумышленниками в реальных сценариях.
Подробная инфографика и статданные, а также разбор наиболее трендовых уязвимостей - в отчете.
Новая угроза нависла над инфосек-сообществом, представители которой активно обсуждают уязвимость максимальной степени серьезности, получившей условное наименование React2Shell.
Речь идет об обнаружении критической CVE-2025-55182 в React, которая может быть использована удаленным неаутентифицированным злоумышленником для удаленного выполнения кода.
React (React.js) - это библиотека JavaScript с открытым исходным кодом, предназначенная для создания пользовательских интерфейсов приложений.
На нём работают миллионы сайтов, он используется популярными онлайн-сервисами (Airbnb, Instagram, Netflix), а его основной пакет NPM в настоящее время еженедельно имеет более 55 млн. загрузок.
В вышедшем вчера бюллетене разработчики React проинформировали пользователей об исправлении CVE-2025-55182, раскрытой 29 ноября Лакланом Дэвидсоном.
Она затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 и устранена с выпуском 19.0.1, 19.1.2 и 19.2.1.
Уязвимость обусловлена тем, как React декодирует полезные данные, отправляемые на конечные точки функций сервера React.
При этом даже если приложение не реализует какие-либо конечные точки функций сервера React, оно все равно может быть уязвимым, если поддерживаются компоненты сервера React (RSC).
На текущий момент сообщений об эксплуатации уязвимости в реальных условиях не поступало.
Однако менее чем через 24 часа после публикации был разработан как минимум один PoC, а уязвимость была добавлена в сканеры.
Стоит отметить, что фреймворк разработки на основе React Next.js также подвержен CVE-2025-55182.
Vercel, разработчик Next.js, пыталась присвоить собственный идентификатор, CVE-2025-66478, но он был отклонен как дубликат CVE-2025-55182.
По данным Wiz, такие фреймворки, как React Router RSC, плагин Vite RSC, плагин Parcel RSC, RedwoodSDK и Waku, также могут быть уязвимы.
Исследователи считают, что 39% облачных сред содержат уязвимые экземпляры React.
Исследователи полагают, что уязвимость затрагивает стандартные конфигурации, и ее можно легко проэксплуатировать с помощью специально созданных HTTP-запросов.
По единогласному мнению мнению представителей индустрии, эксплуатация React2Shell в реальных условиях неизбежна.
В Palo Alto Networks описывают уязвимость как «мастер-эксплойт, достигаемый не за счет сбоя системы, а за счет злоупотребления ее доверием к входящим структурам данных».
Система выполняет вредоносную полезную нагрузку с той же эффективностью, что и легитимный код, поскольку она работает именно так, как задумано, но при наличии вредоносных входных данных.
Исследователи заявляют о более чем 968 000 серверов с фреймворками React и Next.js и уязвимости почти 40% облачных сред.
Так что вопрос, по их мнению, даже не в том, что CVE-2025-55182 воспользуются злоумышленники, а как широко эксплуатация затронет среды.
Так или иначе Google Cloud развернула правила WAF для обнаружения и блокирования попыток эксплуатации уязвимости CVE-2025-55182.
AWS также выпустила новые правила WAF для блокировки атак, информируя клиентов о том, что они не затронуты и не требуют никаких действий.
Cloudflare также не осталась в стороне и выкатила средства защиты в своей сети, которые автоматически защищают всех клиентов, пока трафик их приложений React передается через Cloudflare WAF.
Netlify выпустила исправления React для предотвращения эксплуатации уязвимостей на веб-сайтах клиентов, а в F5 пока изучают потенциальное влияние на свои решения.
Свои меры по обнаружению уязвимых экземпляров и защите от потенциальных попыток эксплуатации также приняли Akamai, Orca Security, Tenable, Aikido и Miggo.
С другой стороны, Кевин Бомонт GossiTheDog/115657304446609545">считаетGossiTheDog/115657304446609545">, что уязвимость ограничена более новой версией 19 и затрагивает только приложения, использующие React Server, который он назвал новой функцией.
Но будем посмотреть.
Уроки английского для начинающих ИБ-шников на канале SecAtor
Читать полностью…
Microsoft наваливают на пользователей очередные проблемы по части безопасности.
На этот раз локализуемый инцидент связан со сбоем в работе портала Defender XDR, включая оповещения об обнаружении угроз.
Проблему Microsoft описывает как «резкий рост трафика, приведший к высокой загрузке центрального процессора на компонентах, обеспечивающих функциональность портала Microsoft Defender».
Причем в рамках ранжирования проблемы Microsoft отнесла его к категории инцидента - термин, который обычно используется для критических проблем с обслуживанием, оказывающих существенное влияние на пользователя.
Компания приняла меры по смягчению последствий, увеличив пропускную способность обработки.
По данным телеметрии, доступность для некоторых пострадавших клиентов, как заявляется, восстановилась.
В настоящее время Microsoft анализирует следы HTTP-архивов (HAR), предоставленные пострадавшими клиентами, и сообщает, что, помимо блокировки доступа фиксировалось отсутствие оповещений о расширенных угрозах и неотображение устройств.
Так или иначе ряд клиентов компании все еще сталкиваются с проблемой, которую микромягкие усиленно пытаются исправить, запрашивая дополнительные диагностические данные на стороне клиента.
В общем, пока микромягкие как обычно тужатся над своим Defender, разработчики Avast тоже лажали не сидели без дела.
Декабрь для решений Avast - череда критических и серьезных уязвимостей в антивирусом решении для операционных платформ MacOS, Linux и Windows.
Одни из критических ошибок, CVE-2025-3500, имеет CVSS 9 и связана с переполнением целочисленного значения в Avast Antivirus (25.1.981.6) для Windows, реализуя повышение привилегий.
Проблема затрагивает все версии от 25.1.981.6 до 25.3.
Другая уязвимость с той же оценкой, CVE-2025-8351, может привести к локальному выполнению кода или отказу в обслуживании процесса антивирусного ядра при сканировании вредоносного файла.
Она относится к проблемам с переполнением буфера на основе кучи и чтения за пределами выделенного буфера.
Ошибка затрагивает Avast Antivirus на MacOS в версиях 8.3.70.94 и 8.3.70.98.
Высокий уровень серьезности присвоен CVE-2025-10101 (CVSS 8.1) и CVE-2025-7007 (CVSS 7,5).
Последняя затрагивает Avast Antivirus на MacOS, Avast Anitvirus на Linux 16.0.0, Anitvirus: 3.0.3 и приводит к сбою антивирусного процесса при сканировании вредоносного файла.
CVE-2025-10101 в Avast Antivirus на macOS (в версиях 15.7 до 3.9.2025), в свою очередь, приводит к EoP или DoS и вызывается с помощью специально созданного Mach-O-файла.
Подкатили итоги второй атаки Shai-Hulud, раскрывшей в общей сложности более 400 000 необработанных секретов после заражения сотен пакетов в реестре NPM с публикацией украденных данных в 30 000 репозиториях GitHub.
При этом TruffleHog подтвердил подлинность лишь около 10 000 раскрытых секретов, причем, по данным Wiz, по состоянию на 1 декабря более 60% утекших токенов NPM все еще были действительны.
Shai-Hulud появилась в середине сентября, скомпрометировав 187 пакетов NPM с самораспространяющейся полезной нагрузкой, которая идентифицировала токены учетных записей, внедряла вредоносный скрипт в пакеты и автоматически публиковала их на платформе.
Во второй атаке вредоносное ПО поразило более 800 пакетов (включая все зараженные версии пакета) и обзавелось функционалом стирания домашних каталогов жертв при соблюдении определенных условий.
На основании анализа утечки, распространившейся на 30 000 репозиториев GitHub в результате атаки Shai-Hulud 2.0, обнаружили следующие типы секретов:
- Около 70% репозиториев имели файл content.json с именами пользователей и токенами GitHub, а также снимками файлов.
- У половины из них иелся файл truffleSecrets.json с результатами сканирования TruffleHog.
- В 80% репозиториев был найден файл environment.json с информацией об ОС, метаданными CI/CD, пакета npm и учетными данными GitHub.
- Почти 400 репозиториев разместили actionsSecrets.json с секретами рабочего процесса GitHub Actions.
Wiz отмечает, что вредоносная ПО использовала TruffleHog без флага «-only-verified», так что 400 000 раскрытых секретов соответствуют известному формату и могут больше не быть действительными или непригодными для использования.
Тем не менее, несмотря на то, что слитые данные чрезвычайно зашумлены и требуют значительных усилий по дедупликации, они по-прежнему содержат сотни действительных секретов, включая cloud, токены NPM и учетные данные VCS.
На сегодняшний день этот факт реализует серьезные риски дальнейших атак на цепочки поставок. Особенно учитывая, что более 60% украденных токенов NPM всё ещё действительны.
Анализ 24 000 файлов environment.json показал, что примерно половина из них были уникальными, причем 23% соответствовали машинам разработчиков, а остальные принадлежали исполнителям CI/CD и аналогичной инфраструктуре.
Собранные исследователями данные показывают, что большинство зараженных машин (87%) - это системы Linux, при этом большая часть заражений (76%) произошла на контейнерах.
Что касается распределения платформ CI/CD, то с большим отрывом лидирует GitHub Actions, за ним следуют Jenkins, GitLab CI и AWS CodeBuild.
Анализируя распределение заражений, Wiz обнаружила, что лидирующим был postman/tunnel-agent@0.6.7, за которым следовал asyncapi/specs@6.8.3. В совокупности эти два пакета стали причиной более 60% всех заражений.
Собственно, воздействие Shai-Hulud можно было бы значительно уменьшить, если бы несколько ключевых пакетов были нейтрализованы на ранней стадии.
Аналогично, что касается характера заражений, 99% случаев возникло в виду события предварительной установки, запускающего узел setup_bun.js.
В Wiz полагают, что акторы Shai-Hulud, вероятно, продолжат совершенствовать и развивать свои методы, прогнозируя еще больше атак в ближайшей перспективе, прежде всего, за счет использвания массива учетных данных, собранных к настоящему времени.
💳Новый гибрид NFCGate и трояна RatOn готовят к атакам на клиентов российских банков
Как сообщают F6, специалистам удалось получить образец ВПО RatOn и проанализировать его функционал, особенности и перспективы распространения в России.
На этот раз NFCGate интегрирован в многофункциональный банковский троян удаленного доступа RatOn, который позволяет злоумышленникам незаметно похищать деньги с банковского счета и криптокошельков.
💻 Аналитики Fraud Protection F6 считают, что именно этот 🧟♂️«Франкенштейн» вскоре станет большим испытанием для клиентов российских банков.
Дмитрий Ермаков, руководитель Fraud Protection F6:
Ни одна из предыдущих вредоносных модификаций NFCGate не прошла мимо России. Эта тенденция, а также тот факт, что разработчики предусмотрели для RatOn возможность работать с приложениями на русском языке, указывают на высокий риск дальнейшей модификации этого вредоноса для атак на россиян.
По данным МВД России (источник):
Во второй половине 2025 года на «обратную» версию NCFGate пришлось больше половины случаев заражений мобильных устройств – 52,4%. По данным F6, во второй половине 2025 года количество атак на клиентов российских банков с использованием всех версий NFCGate постепенно растёт: в июле ежедневно в среднем фиксировали не менее 200 устройств, в ноябре – не менее 300, и тенденций к снижению нет. Общее число таких атак на российских пользователей за второе полугодие – не менее 38 тысяч.
Один из самых популярных сторонних YouTube-клиентов SmartTube для Android TV был скомпрометирован после того, как злоумышленник получил доступ к ключам подписи разработчика и реализовал вредоносный обновления.
Вскрылось все после того, как несколько пользователей заметили блокировку SmartTube встроенным антивирусным модулем Play Protect в Android на своих устройствах.
В свою очередь, разработчик SmartTube Юрий Юлисков также подтвердил компрометацию своих цифровых ключей в конце прошлой недели, что по итогу и привело к внедрению вредоносного ПО в приложение.
Оперативно старая подпись была отозвана, а разработчик пообещал вскоре опубликовать новую версию с отдельным идентификатором приложения.
После реверса скомпрометированной версии SmartTube 30.51 было установлено, что она включает скрытую нативную библиотеку libalphasdk.so [VirusTotal], которая отсутствует в общедоступном исходном коде.
Библиотека работает в фоновом режиме без взаимодействия с пользователем, считывает отпечатки хост-устройства, регистрирует его на удаленном сервере и периодически отправляет метрики и извлекает конфигурацию через зашифрованный канал связи.
При этом на текущий момент каких-либо доказательств вредоносной активности (включая кражу учётных записей или DDoS) нет, однако потенциальные риски начала ее реализации в любой момент достаточно высока.
К настоящему времени анонсированы безопасная бета-версия и стабильная тестовая сборка, но они пока не добрались до официального репозитория проекта на GitHub.
Кроме того, разработчик толком не представил сообществу полной информации об инциденте.
Но пообещал разобраться со всеми проблемами, как только финальная версия нового приложения будет опубликована на F-Droid.
Так что пользователям рекомендуется оставаться на старых, заведомо безопасных сборках, избегать входа в систему с использованием премиум-аккаунтов и отключать автоматические обновления.
В случае со скомпрометированной версии SmartTube рекомендуется сбросить пароли учетных записей Google, проверить консоль учетной записи на предмет несанкционированного доступа и удалить незнакомые службы.
Правда есть один нюанс - еще неизвестно, когда именно произошла утечка и какие версии SmartTube безопасны.
Как отмечают сами пользователи, Play Protect не детектит версию 30.19 в качестве вредоносной, поэтому ее можно считать условно безопасной.
Сам разработчик узнал о проблеме с вредоносным ПО в версии 30.47, но получая обратную связь от пользователей, полагает, что проблема началась примерно с версии 30.43.
На новый ключ перешел с версии 30.55, ряд сборок также выпустил со старым, но уже в чистой среде.
Исследователи Bi.ZONE наконец-то порадовали новым отчетом, сообщая о выявленной в октябре и ноябре 2025 года вредоносной активности кластера Arcane Werewolf (Mythic Likho), нацеленную на российские промышленные компании.
Судя по артефактам, атакующие в качестве вектора первоначального доступа, вероятно, задействовали традиционный вектор - фишинговые рассылки, собственно, как и в предыдущих случаях.
Правда сами фишинговые письма достать так и не удалось.
При этом злоумышленники использовали доменные имена, созвучные с названиями организаций-жертв, а также применили активно разрабатываемые и обновленные собственные инструменты - в частности, новую версию Loki 2.1, совместимого с Mythic и Havoc.
Предположительно, в направленных письмах размещалась ссылка для загрузки архива с вредоносным ПО с подконтрольного хакерам ресурса, мимикрирующего под российскую промышленную компанию.
После перехода пользователя по ссылке происходила загрузка вредоносного архива уже по другой ссылке.
В загруженном архиве содержится вредоносный LNK-файл, а также каталог «Фото» с набором JPG‑изображений.
После запуска LNK и выполнения команды через PowerShell происходила загрузка с сетевого адреса hxxps://f.npo-[redacted][.]ru/m2.png исполняемого файла, который сохранялся в каталог %TEMP%\icon2.png и затем запускался через conhost.exe.
Загруженный icon2.png является исполняемым файлом формата PE32+ и представляет собой вредоносную программу - дроппер, реализованный на Go.
Он содержал нагрузку в виде двух закодированных Base64 файлов: chrome_proxy.pdf (исполняемый файл PE32+, являющийся вредоносным загрузчиком) и 09.2025.pdf (отвлекающий PDF‑документ).
Дроппер декодирует нагрузку и сохраняет ее в каталог %TEMP%, после чего выполняет команды, доставляя Loki 2.0.
Как известно, он состоит из двух компонентов: загрузчика и импланта.
Основные возможности загрузчика - сбор информации о скомпрометированном хосте, шифрование AES и кодирование Base64 собранной информации, отправка на сервер злоумышленников, ожидание вредоносной нагрузки от сервера и ее запуск.
В ноябре была зафиксирована очередная активность кластера Arcane Werewolf, но, к сожалению, всю цепочку атаки не удалось восстановить.
В данной атаке был выявлен новый дроппер на C++ (.cpp) и обновленный Loki 2.1.
Также удалось установить вредоносный сетевой ресурс атакующих, мимикрирующий под сайт российской промышленной компании (hxxps://cloud.electropriborzavod[.]ru/files/d8287185e4ae695a).
Cpp-дроппер является исполняемым файлом формата PE32+ и реализован на C++.
Вредоносная нагрузка содержится в сжатом виде в секции ресурсов.
Помимо самой нагрузки, в ресурсах дроппера содержится полный путь сохранения нагрузки на диске, размер нагрузки.
Дроппер динамически получает необходимые для работы WinAPI-функции и извлекает нагрузку на диск, используя функции NtCreateFile и ZwWriteFile.
В данном случае загрузчик Loki 2.1 все так же собирал информацию о скомпрометированном хосте, шифровал AES и кодировал Base64 перед отправкой.
Главная особенность загрузчика заключается в том, что, помимо получения импланта Loki от сервера, данный экземпляр содержит локальный вариант импланта Loki обновленной версии.
Загрузчик расшифровывает данный локальный имплант из конфигурации и вызывает у него экспортируемую функцию start в памяти собственного процесса. Команды импланта Loki 2.1 не изменились в сравнении с версией импланта 2.0.
Единственное отличие в том, что раньше каждой команде соответствовало определенное значение хеш-суммы djb2, а в версии Loki 2.1 командам соответствуют порядковые номера.
Индикаторы компрометации и технический разбор - в отчете.
Исследователь Люк Маршалл задействовал использовал инструмент TruffleHog и в результате сканирования всех 5,6 миллионов GitLab Cloud обнаружил более 17 000 раскрытых секретов в более чем 2800 уникальных доменах.
Причем ранее он также просканировал Bitbucket, отыскав 6212 секретов, разбросанных по 2,6 млн. репозиториев, а после проверки Common Crawl, используемого для обучения моделей ИИ - выявил 12 000 действительных секретов.
В новом исследовании Маршалл использовал конечную точку публичного API GitLab для парсинга каждого публичного репозитория GitLab Cloud, используя пользовательский скрипт Python для постраничного просмотра всех результатов и сортировки их по идентификатору проекта.
В результате этого процесса было получено 5,6 млн недублирующихся репозиториев, имена которых были отправлены в AWS Simple Queue Service (SQS). Затем AWS Lambda позволила извлечь имя репозитория из SQS, запустив для него TruffleHog и записав результаты.
Каждый вызов Lambda выполнял простую команду сканирования TruffleHog с параллелизмом, установленным на 1000, что позволила ему завершить сканирование 5 600 000 репозиториев всего за 24 часа.
Общая стоимость всех публичных репозиториев GitLab Cloud с использованием вышеуказанного метода составила 770 долларов США.
Исследователь обнаружил 17 430 проверенных активных секретов, что почти в три раза больше, чем в Bitbucket, а также с плотностью секретов (секретов на репозиторий) на 35% выше.
Исторические метаданные указывают, что большинство утечек секретов датированы 2018 годом. Однако он также обнаружил несколько очень старых секретов, датированных 2009 годом, которые актуальны и по сей день.
Наибольшее количество утекших секретов (более 5200) составили учетные данные Google Cloud Platform (GCP), за которыми следуют ключи MongoDB, токены бота Telegram и ключи OpenAI.
Исследователь также нашел чуть более 400 ключей GitLab, утекших в отсканированные репозитории.
В рамках ответственного раскрытия информации с учетом выявленных 2804 уникальных доменов, Маршалл реализовал автоматизацию для уведомления затронутых сторон, использовав Claude Sonnet 3.7 с возможностью веб-поиска и скрипт Python для генерации электронных писем.
В ходе этого процесса он даже получил ряд вознаграждений за обнаружение ошибок на общую сумму 9000 долларов США.
Исследователь отмечает, что многие организации отозвали свои секреты после его уведомлений, однако в GitLab по-прежнему остаётся неназванное число доступных секретов.
На фоне намечающейся заварушки в Венесуэле случился весьма резонансный инцидент, связанный с масштабной утечкой данных, которая затронула три десятка стратегически важных правительственных структур в сфере безопасности, управления и энергетики.
Среди них – компания Petróleos de Venezuela, SA (PDVSA), Боливарианская национальная разведывательная служба (SEBIN), Корпус научных, уголовных и следственных служб (CICPC) и Администрация президента.
Как заявляет автор слива, данные публикуются в свободный доступ по нулевому прайсу и представляют собой крупнейшую утечку данных о зарплатах (включая и бонусы) чиновников действующего правительства Венесуэлы.
Кроме того, раскрыты точные наименования должностей, структурных подразделений, национальные удостоверения личности и национальные идентификационные номера (cédulas).
Не сложно догадаться, кто инициировал слив, который, по всей видимости, является гибридной составляющей более масштабного сценария нарастающего международного конфликта.
Будем следить.
GreyNoise Labs выкатила общедоступный инструмент GreyNoise IP Check, который позволяет пользователям проверять, был ли их IP замечен во вредоносных операциях, включая ботнеты и резидентные прокси-сети.
Как отмечают исследователи, эта проблематика значительно обострилась за последний год.
Многие пользователи даже не в курсе, что их сетевая инфраструктура задействуется во вредоносной активности в Интернете, фактические превращаясь в точки выхода для чужого трафика.
Безусловно, существуют различные способы задетектить исходящую вредоносную активность, например, через проверку журналов устройств, конфигураций, сетевого трафика и шаблонов активности.
Теперь благодаря GreyNoise Labs появился более простой способ, достаточно посетить страницу сканера.
Варианты анализа могут быть следующие: Clean (сканирующая активность не обнаружена), Malicious/Suspicious (IP демонстрирует признаки сканирования) или Common Business Service (IP-адрес принадлежит VPN, корпоративной сети или облачному провайдеру).
Если какая-либо активность соотносится с предоставленным IP, платформа также включает 90-дневную историческую временную шкалу, которая позволяет определить потенциальную точку заражения.
Для более продвинутых пользователей GreyNoise также предоставляет не требующий аутентификации JSON API без ограничений по скорости, доступный через curl, который можно интегрировать в скрипты или системы проверки.
Исследователи сингапурской Group-IB сообщают о географии атак Bloody Wolf с использованием NetSupport RAT на основе Java.
Злоумышленнику приписывают участие в кибератаке, нацеленной на Кыргызстан по крайней мере с июня 2025 года с целью доставки NetSupport RAT.
По данным исследователей, с октября 2025 года активность хакеров распространилась и на Узбекистан.
Атаки были направлены на финансовый сектор, государственный сектор и сектор информационных технологий.
Злоумышленники выдавали себя за Министерство юстиции Кыргызстана с помощью официальных PDF-документов и доменных имен, на которых, в свою очередь, размещались вредоносные файлы Java Archive (JAR), предназначенные для развертывания NetSupport RAT.
Как отмечают в Group-IB, весьма умелое сочетание социнженерии и доступных инструментов позволили Bloody Wolf проводить эффективные кампании, не привлекая к себе внимания.
Bloody Wolf действует как минимум с конца 2023 года и реализует фишинговые атаки на объекты в Казахстане и России, используя такие инструменты, как STRRAT и NetSupport.
Нацеливание на Кыргызстан и Узбекистан с использованием схожих методов первоначального доступа свидетельствует о расширении операций злоумышленников в Центральной Азии.
Цепочки атак так или иначе следуют по одному и тому же сценарию: получателей сообщений обманным путем заставляют нажимать на ссылки, которые загружают вредоносные файлы-загрузчики архивов Java (JAR) вместе с инструкциями по установке Java Runtime.
В электронном письме утверждается, что установка необходима для просмотра документов, но на самом деле она используется для запуска загрузчика
После запуска он извлекает полезную нагрузку следующего этапа (NetSupport RAT) из инфраструктуры злоумышленника и обеспечивает её сохранение тремя способами: через запланированные задачи, путем добавления значения в реестр Windows и перемещения пакетного скрипта в папку %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup.
Кампания по Узбекистану примечательна введением ограничений по геозонированию, в результате чего запросы из-за пределов страны перенаправлялись на легитимный сайт data.egov[.]uz, а из Узбекистана запускали загрузку JAR по ссылке, встроенной в PDF-вложение.
Group-IB отметили, что загрузчики JAR-файлов, обнаруженные в ходе атак, созданы на основе Java 8, выпущенной в марте 2014 года.
Предполагается, что злоумышленники используют специальный генератор JAR-файлов или шаблон для создания этих артефактов.
В качестве полезной нагрузки NetSupport RAT используется старая версия NetSupport Manager от октября 2013 года.
В общем, Bloody Wolf наглядно демонстрирует, как недорогие коммерчески доступные инструменты могут быть использованы для проведения сложных региональных киберопераций.
Используя доверие к государственным учреждениям и применяя простые загрузчики на базе JAR, группировка продолжает сохранять прочные позиции в ландшафте угроз Центральной Азии.
OpenAI начала уведомлять некоторых клиентов API ChatGPT о том, что в результате утечки данных стороннего поставщика аналитики Mixpanel была раскрыта ограниченная идентифицирующая информация.
Mixpanel реализует аналитику событий, которую OpenAI использует для отслеживания взаимодействий пользователей на внешнем интерфейсе API-продукта.
По данным компании, киберинцидент затронул «ограниченные аналитические данные, относящиеся к некоторым пользователям API», и не затронул пользователей ChatGPT или других продуктов.
Согласно официальному заявлению, инцидент не был взломом систем OpenAI: никакие чаты, запросы API, данные об использовании API, пароли, учётные данные, ключи API, платёжные данные или правительственные идентификаторы не были скомпрометированы или раскрыты.
В свою очередь, Mixpanel сообщила, что атака «затронула ограниченное число ее клиентов» и стала результатом смишинговой кампании, которую удалось обнаружить 8 ноября. Однако не предоставила никакой технической информации о взломе.
OpenAI получила подробную информацию в отношении скомпрометированного массива данных 25 ноября после того, как ей сообщили о расследовании Mixpanel.
Утечка может включать в себя: имя в учетной записи API, адрес электронной почты, связанный с ней, примерное местоположение (город, штат, страна), операционная система и браузер, связанные сайты, а также идентификаторы организаций или пользователей.
Поскольку никакие конфиденциальные учетные данные не были раскрыты, пользователям не нужно сбрасывать пароли или повторно генерировать ключи API.
Некоторые пользователи также сообщают, что CoinTracker также подверглась атаке, в результате которой были раскрыты данные, в том числе метаданные устройства и ограниченное количество транзакций.
OpenAI начала расследование, чтобы установить истинные масштабы инцидента.
В качестве меры предосторожности компания удалила Mixpanel из своих рабочих сервисов и уведомила организации, администраторов и отдельных пользователей напрямую.
Тем не менее, несмотря на то, что OpenAI подчеркивает, что затронуты только пользователи ее API, компания уведомила всех своих подписчиков.
Компания также настоятельно рекомендует пользователям включить 2FA и никогда не отправлять конфиденциальную информацию, включая пароли, ключи API или коды подтверждения, по электронной почте, в текстовых сообщениях или чате.
В ответ на атаку Mixpanel отозвала активные сеансы и авторизации, провела ротацию скомпрометированных учётных данных, заблокировала IP злоумышленников и сбросила пароли всех сотрудников.
Учитывая, что Mixpanel отказалась раскрывать детали инцидента, вероятно, масштабы могут оказаться явно шире, чем заявлено официально. Но будем, конечно, посмотреть.
Критическая CVE-2025-13540 (CVSS 9.8 v3.1) обнаружена в плагине Tiare Membership для WordPress, которая позволяет неавторизованным пользователям регистрироваться в качестве администраторов через REST API.
Tiare Membership реализует управление членством на сайтах WordPress.
Проблема затрагивает все версии плагина, разработанного Qode Interactive, до до 1.2 включительно, исправление в настоящее время недоступно.
Основная причина обусловлена некорректным управлением привилегиями в функции tiare_membership_init_rest_api_register, которая обрабатывает регистрацию пользователей через REST API.
В частности, эта функция не проверяет и не ограничивает параметр роли пользователя, предоставленный при регистрации.
В результате злоумышленник может создать запрос на регистрацию, указав роль «администратор», получив тем самым полные административные привилегии на сайте WordPress, обойдя все стандартные средства аутентификации и авторизации.
Успешная эксплуатация уязвимости позволяет злоумышленнику, не прошедшему аутентификацию, получить полный контроль над сайтом WordPress, включая установку вредоносных плагинов, изменение контента, кражу конфиденциальных данных или нарушение работы сайта.
К настоящему времени случаев задействования уязвимости в реальных атака пока не выявлено, но специфика делают её весьма привлекательной целью для киберподполья.
При этом простота эксплуатации без аутентификации или взаимодействия с пользователем также означает, что атаки могут быть автоматизированы и реализованы в рамках широкомасштабных кампаний.
В качестве мер по смягчению предлагается отключение плагина Tiare Membership до тех пор, пока Qode Interactive не выпустит исправление.
В противном случае следует ограничить доступ к конечной точке регистрации REST API посредством брандмауэров или средств управления доступом на уровне сервера.
Так что будем следить.
Солары представили результаты своего исследования, отмечая увеличение числа атакующих в 2025 году российские компании хакерских группировок более чем в 2 раза.
По данным исследователей, к ноябрю доля присутствия профессиональных хакерских групп в инфраструктурах российских компаний выросла до 35%, что на 10 п.п. больше, чем по итогам 2 квартала.
Анализ срабатываний сенсоров показал, что число заражений вредоносным ПО в 3-ем квартале 2025 года снизилось почти на 50% в сравнении со 2-ым, до 1,4 млн. Вместе с этим уменьшилось и число атакуемых организаций (на 19%, до 13,8 тыс.).
Тем не менее, интенсивность атак в целом продолжает расти - для сравнения, еще в 4-ом квартале 2024 года каждая компания сталкивалась с 40 заражениями вредоносным ПО против 99 за октябрь 2025 года.
В 3-ем квартале хакеры чаще пытались атаковать организации из сфер промышленности (27% сработок сенсоров, -5 п.п. в сравнении со 2‑ым кварталом), ТЭК (17%, + 6 п.п.), здравоохранения (17%, -1 п.п.) и госструктур (13%, + 6 п.п.).
Чуть меньше заражений было зафиксировано в IT-компаниях (11%), образовательных организациях (10%), кредитно-финансовой отрасли (4%) и телекоме (1%).
При этом за октябрь доля заражений ВПО в ТЭК и вовсе выросла до 30%, на здравоохранение - до 29%, а на госструктуры - до 26%. Остальные заражения пришлись на промышленность (6%), образование (4%) и другие отрасли.
Эксперты связывают рост интереса злоумышленников к ТЭК с их важностью для экономики и безопасности страны - они интересны как прогосударственным атакующим, так и киберпреступникам, которые хотят заработать на вымогательстве.
Большая часть сработок сенсоров пришлась на индикаторы присутствия APT (32% в 3-ем квартале, +7 п.п. в сравнении со 2-ым кварталом), стилеры (30%, -8 п.п.) и RAT (24%,+ 5 п.п.).
В октябре 2025 года доля присутствия профессиональных хакеров вовсе выросла до 36%, доля стилеров - до 32%, а RAT осталась примерно на том же уровне и составила 23%.
Изучение сложных кибератак профессиональных хакеров позволил выявить за 10 месяцев этого года 18 кластеров и APT-группировок - в прошлом году их было 8.
При этом фиксируется снижение активности проукраинских групп - например, инструментарий Shedding Zmiy был обнаружен лишь в 2% атак, а в прошлом году их доля присутствия составляла 37%.
В целом доля инцидентов с проукраинскими хакерами снизилась до 20%.
Главной целью продвинутых хакеров в этом году по-прежнему остается шпионаж (61%, + 7 п.п. год к году). Доля финансово-мотивированных атак снизилась на 3 п.п. год к году, до 17%, а хактивистских - на 11 п.п., до 11%.
Чаще всего группировки атаковали организации из госсектора (33%, -3 п.п. год к году) и промышленности (20%, +3 п.п. год к году). Также значительно выросло число расследований сложных атак в IT-отрасли - на 10 п.п. год к году, до 16%.
Кроме того, фиксируется всплеск атак профессиональных хакеров и в отрасли энергетики (9%).
При этом 27% сложных атак начинались через доверительные отношения - это в 3,3 раза больше, чем в прошлом году. Чуть чаще хакеры проникают в инфраструктуры через уязвимости (31%), скомпрометированные учетные данные (28%), а реже - через фишинг (14%).
Вместе с этим хакеры стали дольше сидеть в инфраструктурах жертв: доля сложных атак сроком от шести месяцев до года выросла на 12 п.п. год к году - до 19%, а от года до двух лет - на 8 п.п., до 14%.
Aisuru продолжает лютовать: всего за три месяца реализовал более 1300 распределенных DDoS-атак, одна из которых обновила рекорд, достигнув пика в 29,7 терабит в секунду.
Aisuru представляет собой ботнетов-сервис, включающий целую армию маршрутизаторов и IoT-устройств, скомпрометированных с помощью известных уязвимостей и брута слабых учетных данных.
По оценкам Cloudflare, ботнет использует от одного до четырех млн. зараженных хостов по всему миру.
В третьем квартале компания отбила самую масштабную гиперобъемную атаку с устройств Aisuru.
Предыдущая рекордная DDoS-атака достигла пика в 22,2 Тбит/с, также была отражена Cloudflare и со средней степенью уверенности была приписана Aisuru.
Недавно Microsoft сообщала, что тот же ботнет атаковал её сеть Azure, организовав массированную DDoS-атаку мощностью 15 Тбит/с с 500 000 IP-адресов.
Cloudflare отмечает, что с начала года ей удалось отразить 2867 атак Aisuru, почти 45% из которых были гиперобъемными - атаки, превышающие 1 Тбит/с или 1 млрд. пакетов в секунду (Bpps).
Цель рекордного инцидента не названа, но известно, что атака длилась 69 секунд и достигла пиковой скорости 29,7 Тбит/с.
В ней использовалась ковровая бомбардировка UDP для направления «мусорного» трафика в среднем на 15 000 портов назначения в секунду.
Еще одна масштабная DDoS-атака, отраженная компанией, достигала мощности 14,1 млрд пакетов в секунду.
Тем не менее Cloudflare полагает, что атаки Aisuru могут быть весьма разрушительными, а объем трафика способен вывести из строя интернет-провайдеров (ISP), даже если они не подвергаются прямым атакам.
Причем телеметрия Cloudflare четко показывает, что в этом году наблюдается устойчивый рост числа масштабных DDoS-атак со стороны ботнета Aisuru, фиксируя 1304 инцидента только за третий квартал.
По словам исследователей, Aisuru нацелен на компании из различных секторов, включая игровую индустрию, хостинг-провайдеров, телеком и финансы
Количество DDoS-атак, превышающих 100 Мбит/с, увеличилось на 189% по сравнению с предыдущим кварталом, а количество DDoS-атак, превышающих 1 Тбит/с, увеличилось более чем вдвое (на 227%) по сравнению с предыдущим кварталом.
По данным Cloudflare, большинство атак завершаются менее чем за 10 минут, практически не оставляя времени для реагирования.
Краткосрочная атака может продлиться всего несколько секунд, но ущерб может быть серьезным, а восстановление займет много времени.
По количеству DDoS-атак прошедший квартал не достиг уровня первого квартала, однако статистика 2025 года по-прежнему опережать по показателям предыдущие годы, и это без учета ноября и декабря.
В целом, Cloudflare в третьем квартале отражала в среднем 3780 DDoS-атак каждый час, большинство из которых исходили из Индонезии, Таиланда, Бангладеш и Эквадора и были направлены на Китай, Турцию, Германию, Бразилию и США.
Wordfence предупреждает о критической EoP-уязвимости (CVE-2025–8489) в плагине King Addons for Elementor для WordPress, которая позволяет им получить административные разрешения во время процесса регистрации и активно задействуется в реальных атаках.
Активность была замечена 31 октября, всего через день после того, как проблема была публично раскрыта.
К настоящему моменту Wordfence заблокировала более 48 400 попыток реализации эксплойта.
King Addons - это стороннее дополнение для Elementor, популярного плагина визуального конструктора страниц для сайтов на WordPress, предоставляющее дополнительные виджеты, шаблоны и функции.
CVE-2025–8489 была обнаружена исследователем Питером Талейкисом и представляет собой уязвимость в обработчике регистрации плагина, которая позволяет любому зарегистрировавшемуся пользователю указать свою роль пользователя на веб-сайте, включая администратора, без применения каких-либо ограничений.
По данным Wordfence, злоумышленники отправляют специально созданный запрос admin-ajax.php, указав user_role=administrator, для создания подконтрольных учетных записей администраторов на целевых сайтах.
Исследователи отметили пик вредоносной активности между 9 и 10 ноября, при этом наиболее активными были два IP-адреса: 45.61.157.120 (28 900 попыток) и 2602:fa59:3:424::1 (16 900 попыток).
При этом Wordfence раскрывает также полный список вредоносных IP-адресов и рекомендует администраторам сайтов осуществить их поиск в файлах журналов. Наличие новых учётных записей администраторов также является явным признаком взлома.
Безусловно, рекомендуется обновиться до версии 51.1.35 King Addons, которая устраняет уязвимость CVE-2025–8489, выпущенную 25 сентября.
Помимо CVE-2025–8489 исследователи Wordfence также предупреждают о еще одной критической уязвимости в плагине Advanced Custom Fields: Extended, активном на более чем 100 000 сайтов WordPress, которая может быть использована неавторизованным злоумышленником для RCE.
Уязвимость затрагивает версии плагина с 0.9.0.5 по 0.9.1.1 и в настоящее время отслеживается как CVE-2025-13486.
Она была обнаружена и раскрыта польским CERT.
Уязвимость обусловлена тем, что функция принимает пользовательский ввод и затем передает его через call_user_func_array(), что позволяет неаутентифицированным злоумышленникам выполнять произвольный код на сервере со всеми вытекающими последствиями.
После уведомления о проблеме 18 ноября поставщик плагина устранил ее в версии 0.9.2 Advanced Custom Fields: Extended, выпущенной через день после получения отчета об уязвимости.
Учитывая, что уязвимость может быть использована без аутентификации посредством специально созданного запроса, публичное раскрытие технических подробностей, скорее всего, приведет к вредоносной активности.
Владельцам сайтов рекомендуется как можно скорее перейти на последнюю версию или отключить плагин на своих ресурсах.
Ресерчеры Лаборатории Касперского отметили новые элементы в атаках хактивистских группировок 4BID, BO Team и Red Likho, где «один за всех и все за одного».
По данным ЛК, в последние месяцы наблюдается растущая тенденция к синхронным атакам нескольких хактивистов на одни и те же организации.
Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится сложно идентифицировать TTPs конкретных групп.
В рамках исследования ландшафта киберугроз, нацеленных на российский сегмент, в ЛК подробно изучили серию кампаний, о которых публично заявляла проукраинская группа 4BID.
В системах их жертв удалось задетектить артефакты, связанные с активностью двух других известных групп хактивистов: BO Team и Red Likho.
В частности, в некоторых случаях атакованная 4BID инфраструктура также была заражена бэкдором GoRed, связанным с Red Likho, и ZeronetKit, атрибутированным к BO Team.
Обе группы известны проведением широко масштабных операций в отношении российских компаний.
Исследователи отмечают, что 4BID заявили о себе в начале 2025 года, медийно освещая свои атаки в Telegram-канале.
Злоумышленники атакуют российские организации в сфере промышленности, здравоохранения и госсекторе.
Причем изначально 4BID выбирала цели малого калибра, атакуя небольшие региональные компании, однако позже группа переключилась на более крупные предприятия.
Наличие в инфраструктуре жертв инструментария сразу нескольких групп (ransomware 4BID, бэкдоры BO Team и Red Likho, а также другие уникальные компоненты) свидетельствует об общем целеполагании и глубокой кооперации проукраинского кластера угроз.
В новом отчете исследователи ЛК раскрывают технические подробности наблюдаемой активности 4BID и ее пересечения с другими хактивистами.
Из наиболее интересных находок - пакет из нескольких файлов, каждый из которых отвечает за определенные задачи и запускает следующий.
Причем первый PowerShell-скрипт Edgeupdate.ps1 ранее не встречался в публичных репозиториях вредоносных ПО и не был замечен в других атаках, что позволяет предположить, что это специализированный инструмент, вероятно, разработанный для конкретной кампании.
Он выполнял ряд скрытых деструктивных операций для защиты от обнаружения и закрепления в системе (ведение журнала, блокировка устройств ввода, создание и добавление пользователя в группу локальных администраторов, загрузка в безопасном режиме с поддержкой сети, отключение протокола ms-contact-support и под завершение - удаление следов своей работы с перезагрузкой и фейковым экраном обновления).
В атаках 4BID также был найден образец новой программы-вымогателя, который назвали Blackout Locker.
Он написан на C/C++ и, несмотря на сходство имени, не имеет ничего общего с шифровальщиком Blackout.
В зависимости от версии, эта программа-вымогатель реализует различные схемы шифрования: некоторые варианты используют простой цикл XOR, другие - шифр AES в режиме GCM.
Кроме того, среди примечательных артфактов - кастомные скрипты (для проверки компьютеров в сети на наличие установленного AnyDesk или решений ЛК, а также непосредственно - для установки первой), пропатченные образцы Process Explorer (загружали Tuoni или Cobalt Strike).
В общем, текущая тенденция указывает на продолжающуюся эволюцию хактивизма и увеличивает вероятность проведения более частых, масштабных и технически сложных кампаний.
Все подробности - в отчете.
Исследователи предупреждают о новой кампании GlassWorm, которая затронула Microsoft Visual Studio Marketplace и Open VSX с 24 расширениями, мимикрирующими под популярные инструменты и фреймворки для разработчиков Flutter, Vim, Yaml, Tailwind, Svelte, React Native и Vue.
GlassWorm впервые попал в поле зрения в октябре 2025 года и был исследован специалистами Koi Security.
Glassworm представляет собой вредоносную ПО, которая использует невидимые символы Unicode для сокрытия своего кода от проверки, а также задействует блокчейн Solana для C2.
После того, как разработчики устанавливают его в своих средах, он пытается выкрасть учетные записи GitHub, npm и OpenVSX, а также данные криптокошельков из 49 расширений.
Более того, Glassworm использует прокси-сервер SOCKS для маршрутизации вредоносного трафика через компьютер жертвы и устанавливает клиент HVNC, предоставляя операторам скрытый удаленный доступ.
Наиболее важным аспектом кампании является использование украденных учётных данных для компрометации дополнительных пакетов и расширений, что позволяет вредоносному ПО распространяться подобно червю.
Несмотря на усилия Microsoft и Open VSX по устранению из репозиториев расширений, вскоре вредоносное ПО вернулось на оба сайта с новыми расширениями и учетными записями издателей.
Последняя волна кампании GlassWorm, обнаруженная исследователями Secure Annex, включает в себя в общей сложности 24 расширения, охватывающих оба репозитория.
Среди выявленных расширений на VS Code: iconkieftwo.icon-theme-materiall, prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier, flutcode.flutter-extension, csvmech.csvrainbow, codevsce.codelddb-vscode, saoudrizvsce.claude-devsce, clangdcode.clangd-vsce, cweijamysq.sync-settings-vscode, bphpburnsus.iconesvscode, klustfix.kluster-code-verify, vims-vsce.vscode-vim, yamlcode.yaml-vscode-extension, solblanco.svetle-vsce, vsceue.volar-vscode, redmat.vscode-quarkus-pro и msjsdreact.react-native-vsce.
На Open VSX следующие: bphpburn.icons-vscode, tailwind-nuxt.tailwindcss-for-react, flutcode.flutter-extension, yamlcode.yaml-vscode-extension, saoudrizvsce.claude-dev, saoudrizvsce.claude-devsce и vitalik.solidity.
Исследователи отмечают, что после того как пакеты принимаются на торговых площадках, издатели выпускают обновление, которое внедряет вредоносный код, а затем увеличивают количество загрузок, чтобы создать впечатление, что они легитимны и заслуживают доверия.
Кроме того, искусственное увеличение количества загрузок может манипулировать результатами поиска, в результате чего вредоносное расширение оказывается выше в результатах, часто очень близко к легитимным проектам, за которые оно себя выдает.
Новая версия GlassWorm претерпела технические изменения, теперь используя импланты на основе Rust, упакованные в расширения. В некоторых случаях всё ещё используется и приём с Unicode.
Исследователи Лаборатории Касперского обратили внимание на основные пробелы в безопасности NTLM в призме выявленных в 2025 году вредоносных кампаний и новых эксплуатируемых уязвимостей в старой технологии.
В качестве пролога к разбору актуальных связанных с NTLM угроз в ЛК вернулись в 2001 год, когда набирали популярность раскладушки, микромягкие анонсировали Windows XP, а Apple - iPod.
Пользователи только начали осваивать торренты, а Sir Dystic из Cult of the Dead Cow представил практическую реализацию атаки NTLM Relay в виде утилиты SMBRelay, продемонстрировав новый мощный класс эксплойтов для ретрансляции аутентификационных данных.
В общем, слабые места аутентификации через протокол NTLM были очевидны еще тогда.
В последующие годы ландшафт киберугроз пополнялся новыми уязвимостями и все более сложными методами атак.
NTLM является протоколом типа «запрос-ответ», предназначенным для проверки подлинности клиентов и серверов в средах Windows.
Он интегрирован в несколько прикладных протоколов, включая HTTP, MSSQL, SMB и SMTP. Для завершения процесса аутентификации используется трехэтапное рукопожатие между клиентом и сервером.
Microsoft пыталась справиться с проблемой, внедряя меры по снижению рисков и работая над преемником - протоколом Kerberos. И даже вовсе объявила о намерении отказаться от NTLM.
Однако на протяжении более двух десятилетий NTLM все еще остается частью современных ОС и используется в корпоративных сетях, устаревших приложениях и внутренних инфраструктурах, которые до сих пор полагаются на устаревшие механизмы аутентификации.
Учитывая, что NTLM все еще в строю, он остается удобной точкой входа для злоумышленников.
Его уязвимости хорошо изучены и задокументированы, он по-прежнему используется в системах на базе Windows и активно эксплуатируется в современных атаках.
Согласно недавним исследованиям, злоумышленники продолжают изобретать нестандартные способы эксплуатации NTLM в релейных и спуфинговых атаках, в том числе через новые уязвимости.
Более того, находят альтернативные векторы атак, специфичные для протокола.
Подробно описывать не будем, но отметим, что в отчете исследователи ЛК рассматривают эти векторы, раскрывая реальные кампании с описанием наиболее значимых CVE за год. Тут и:
- CVE-2024‑43451 с кампаниями BlindEagle по внедрению Remcos RAT и Head Mare против российских целей;
- CVE-2025-24054/CVE-2025-24071 с распространением троянца AveMaria в России;
- CVE-2025-33073 с выявленной активностью в системе одной из финансовых организаций Узбекистана.
Так что настоятельно рекомендуем ознакомиться.
Аналитики из ИТ-холдинга Т1 выкатили аналитику с оценками динамики рынка ИТ в этом году, соответствующие выводы представили в исследовании ИТ-рынок в России 2025-2026: импульсы, энергия и потенциал.
Отметим главное, прежде всего, по части рынка ИБ:
1. Что происходит?
- Ожидается, что рост ИБ по итогам 2025 года составит около 6 % - рынок не избежал влияния высокой ключевой ставки, что привело к общему снижению крупных инвестиции в ИТ и ИБ в организациях;
- При этом в 2026 году прогнозируют рост рынка +12% - за счёт импортозамещения, ужесточения регуляторных требований, необходимости защищать критическую инфраструктуру и, конечно же, вследствие роста числа хакерских атак;
- Рост количества киберинцидентов в 2025 по оценкам ряда коммерческих компаний имеет разброс - от 2 до 4. Динамика, согласно представленным данным НКЦКИ по итогам SOC-forum, составляет около +35%, и снижения в 2026 году не намечается. И главное, что около половины инцидентов реально ударяют по бизнес-процессам;
- В итоге компании все чаще обращаются к ретроспективному анализу: ищут следы компрометации и злоумышленников внутри своей инфраструктуры.
2. Кто лидирует и куда движется рынок?
- Лидеры по on-prem безопасности (локальные решения): банки, промышленность, телеком, госструктуры;
- Облачная защита набирает обороты среди ИТ-компаний, сервисов для бизнеса и e-commerce. Даже госкомпании начинают использовать облачные ресурсы для обеспечения информационной безопасности;
- Высокая ключевая ставка и сокращение крупных инвестиций толкают бизнес к сервисной модели: в ближайшие 3-5 лет она станет еще более популярной.
3. Ключевые тренды в ИБ на ближайшие годы:
- повсеместное внедрение ИИ;
- безопасная разработка - проведение аудитов, построение конвейеров безопасной разработки для внутреннего ПО;
- рост популярности Zero Trust - контроль удаленного доступа и окружения;
- наличие собственных вычислительных мощностей в компании;
- гарантия безопасной работы с подрядчиками.
Таким образом, в качестве главного итога: в ближайшие 2-3 года ИТ безопасность окончательно перестанет быть «бэк-офисной» функцией и станет стратегической составляющей бизнеса, определяющей его конкурентоспособность.
Google выпустила новую партию обновлений безопасности для ОС Android, включая две уязвимости, которые, по данным компании, задействовались в реальных условиях.
В общей сложности устранено 107 уязвимостей, затрагивающих различные компоненты, включая Framework, System, Kernel, а также компоненты Arm, Imagination Technologies, MediaTek, Qualcomm и Unison.
Среди упомянутых двух наиболее серьезных недостатков, которые попали под эксплуатацию: CVE-2025-48633 и CVE-2025-48572, которые приводят к раскрытия информации и повышению привилегий в Framework соответственно.
И уже традиционно Google не представила никаких дополнительных подробностей о характере и масштабах замеченных атак, особенностей эксплуатации выявленных проблем и ответственных акторов, за исключением того, что они затрагивают версии Android 13, 14, 15 и 16.
Однако в своем сообщении технологический гигант признал, что существуют признаки того, что они «могут подвергаться ограниченной, целенаправленной эксплуатации».
Учитывая формулировку, по всей видимости, обе уязвимости могли быть использованы поставщиком коммерческого шпионского ПО.
Проблемы были устранены в первой части обновления безопасности Android за декабрь 2025 года, которое поступает на устройства как уровень исправления безопасности 2025-12-01 и содержит исправления для 51 уязвимости в компонентах Framework и System.
Самой серьезной из этих проблем является критическая уязвимость безопасности в компоненте Framework, которая может привести к удаленному отказу в обслуживании без необходимости дополнительных привилегий на выполнение
При этом, как обычно, вторая часть обновления, уровень исправления безопасности 2025-12-05, содержит исправления для всех уязвимостей, устраненных в обновлениях за декабрь 2025 года и предыдущих исправлениях Android.
Исследователи из Лаборатории Касперского продолжают отслеживать Tomiris, анализируя активности, связанные с атаками на МИД, межправительственные организации и госучреждения в России.
Новые атаки демонстрируют заметное изменение в тактики злоумышленника, а именно более широкое использование имплантов, использующих общедоступные сервисы (например, Telegram и Discord) в качестве серверов C2 для сокрытия вредоносного трафика и обхода обнаружения.
Более 50% фишинговых писем и файлов-обманок, использованных в кампании, содержали русские наименования и текст на русском языке.
Причем письма также направлялись в Туркменистан, Кыргызстан, Таджикистан и Узбекистан, используя адаптированный контент на их языках.
Задействовалась комбинация обратных оболочек, специальных имплантов и фреймворков C2 с открытым исходным кодом, таких как Havoc и AdaptixC2, для реализации последующей эксплуатации.
Впервые Tomiris ЛК расчехлили в сентябре 2021 года, изучив работу бэкдора с таким же названием и указав на его связь с SUNSHUTTLE (GoldMax). Тогда стало понятно, что хакеры нацелены на сбор разведданных в Центральной Азии.
Затем в декабрьском отчёте от 2024 года Microsoft также связала бэкдор Tomiris с кластером угроз из Казахстана, отслеживаемым как Storm-0473.
Группа также попадала в поле зрения исследователей Cisco Talos, Seqrite Labs, Group-IB и BI.ZONE, выявившими совпадения с такими кластерами, как Cavalry Werewolf, ShadowSilk, Silent Lynx, SturgeonPhisher и YoroTrooper.
Последняя активность начинается с фишинговых писем, содержащих вредоносные RAR-файлы и защищённые паролем. Пароль для открытия архива содержится в тексте письма.
Внутри файла находится исполняемый файл, маскирующийся под документ Microsoft Word (*.doc.exe), который при запуске запускает обратную оболочку C/C++, отвечающую за сбор системной информации и обращение к командному серверу для загрузки AdaptixC2.
Обратная оболочка также вносит изменения в реестр Windows, обеспечивая сохранение загруженной полезной нагрузки. Исследователям удалось задетектить три различные версии вредоносного ПО.
В качестве альтернативы было обнаружено, что архивы RAR, распространяемые через электронные письма, доставляют другие семейства вредоносных ПО, которые, в свою очередь, запускают собственные последовательности заражения.
Среди них загрузчик на Rust, собирающий системную информацию и отправляющий ее в веб-хук Discord.
Он создает файлы сценариев VBScript и PowerShell, запуская VBScript с помощью cscript и затем сценарий PowerShell для извлечения ZIP с исполняемым файлом, связанным с Havoc.
В другом случае обратная оболочка на Python использует Discord в качестве C2 для получения команд, их выполнения и передачи результатов обратно на сервер.
Проводит разведку и загружает импланты следующего уровня - AdaptixC2 и FileGrabber на Python, собирая файлы с расширениями jpg, png, pdf, txt, ю docx и doc.
И, наконец, бэкдор на Python под названием Distopia, основанный на dystopia-c2 и использующий Discord в качестве C2 для выполнения консольных команд и загрузки полезных данных, включая обратную оболочку на Python.
Она использует Telegram в качестве C2 для выполнения команд на хосте и отправки вывода обратно на сервер.
В арсенале вредоносных ПО Tomiris также замечены целый ряд обратных оболочек и имплантов, написанных на разных языках программирования.
Разбор арсенала и технические подробности - в отчете.
👨💻 Bitrix Ultimate Pentest Guide.
• Автор этого материала собрал очень объемный гайд по пентесту CMS Bitrix, который включает в себя большое кол-во техник и различных методов. Вот содержание:
- Основы битриксологии:
➡Встроенный WAF;
➡Многосайтовость.
- Определение версии;
- Множественные эндпоинты для авторизации:
➡Лайфхак через burp.
- Интересные эндпоинты;
- Content Spoofing;
- Account Enumeration;
- Non-legitimate registration;
- Open Redirect;
- XSS уязвимости;
- SSRF;
- LFI;
- RCE:
➡RCE vote_agent.php (CVE-2022-27228);
➡RCE html_editor_action.php;
➡RCE Landing;
➡CVE-2022-29268 (Rejected).
- BDU:2024-01501:
➡Reflected XSS;
➡Local File Read.
- WAF Bypass;
- LPE;
- Bitrix24:
➡XSS bitrix 24;
➡CVE-2022-43959;
➡CVE-2023-1713;
➡CVE-2023-1714;
➡CVE-2023-1718.
- Уязвимые модули:
➡Реестр уязвимостей сторонних модулей;
➡Директория /local/;
➡Структура самописного модуля;
➡Aspro;
➡Интернет-магазины;
➡Корпоративные сайты;
➡Отраслевые сайты;
➡Устаревшие модули;
➡RCE by Insecure deserialization;
- Поиск интересных директорий и файлов.
- Сканер под bitrix - “huitrix”:
➡Структура сканера:
➡Fast scan;
➡Full Scan;
➡Detect Version;
➡Entrance Finder;
➡RCE modules;
➡Enum Bitrix Users;
➡Spawn Bitrix User;
➡Detect custom modules.
- References:
➡Github;
➡BDU;
➡Habr & Telegra.ph;
➡Telegram;
➡Other.
➡ https://pentestnotes.ru/notes/bitrix_pentest_full
S.E. ▪️ infosec.work ▪️ VT
Исследователи FortiGuard Labs из Fortinet задетектили новую вредоносную бот-сеть на базе Mirai под названием ShadowV2, нацеленную на IoT-устройства от D-Link, TP-Link и других поставщиков с использованием эксплойтов для известных уязвимостей.
Причем обнаружить активность удалось во время масштабного сбоя в работе AWS в октябре 2025 года.
Несмотря на то, что эти события никак не были связаны между собой, ShadowV2 проявил признаки жизни только во время сбоя - вероятно, тестово запускался.
На текущий момент для распространения задействуется как минимум 8 уязвимостей в:
- DD-WRT (CVE-2009-2765),
- D-Link (CVE-2020-25506, CVE-2022-37055, CVE-2024-10914, CVE-2024-10915),
- DigiEver (CVE-2023-52163), ТБК (CVE-2024-3721)
- TP-Link (CVE-2024-53375).
Среди этих уязвимостей CVE-2024-10914 - известная уязвимость внедрения команд, затрагивающая устройства EoL D-Link, которую поставщик раскрыл, но исправлять не намерен.
Другая, CVE-2024-10915 (упомянутая в отчете NetSecFish от ноября 2024 года), также останется без официальных исправлений, что подтвердил сам поставщик.
Помимо того, что D-Link обновила бюллетень и добавила в него конкретный CVE-ID, компания выпустила новый со ссылками на кампанию ShadowV2, предупреждая также в нем об устройствах с EoL.
Еще одна CVE-2024-53375 была раскрыта в ноябре 2024 года и получила исправления посредством бета-обновления прошивки.
По данным FortiGuard Labs, атаки ShadowV2 исходили из 198[.]199[.]72[.]27 и были нацелены на маршрутизаторы, устройства NAS и DVR в госсекторе, IT, производстве, MSSP, телекоме и сфере образования, затронув многие страны в Северной и Южной Америке, Европе, Африке, Азии и Австралии, включая и Россию.
Вредоносное ПО позиционируется как ShadowV2 Build v1.0.0 IoT version и имеет сходство со штаммом Mirai LZRD.
Доставляется на уязвимые устройства через начальный этап доступа с использованием загрузчика (binary.sh), который извлекает его с сервера по адресу 81[.]88[.]18[.]108.
ShadowV2 использует закодированную с помощью XOR конфигурацию для путей файловой системы, строк User-Agent, заголовков HTTP и строк в стиле Mirai.
По части функциональных возможностей он поддерживает распределенные атаки типа DDoS по протоколам UDP, TCP и HTTP, с различными типами флуда для каждого из них. Стратегия монетизации ShadowV2 пока не прослеживается.
Все технические подробности и IOCs - в отчете.
Исследователи Лаборатории Касперского под конец года активизировались и продолжают делиться с сообществом результатами всесторонних исследований.
Без внимания в этом году не осталась и ежегодная серия отчетов (публиковались в 2021, 2022, 2023 и 2024 годах) с изучением ландшафта киберугроз, связанных с рынком электронной коммерции и онлайн-шопинга.
Отмечается, что мировой рынок электронной коммерции развивался быстрее, чем когда-либо прежде, благодаря росту онлайн-торговли и потребительского спроса во всём мире.
Причем тренд сохранится, а темпы роста составят 7–9% ежегодно до 2040 года.
Причем, по данным ЛК, описанный всплеск активности онлайн-покупок непосредственно отразился и в киберугрозах.
В 2025 году фиксировались атаки, нацеленные не только на пользователей платформ электронной коммерции, но и на онлайн-покупателей в целом, включая тех, кто использует цифровые торговые площадки, платёжные сервисы и приложения для повседневных покупок.
В этом году исследователи также проанализировали, как киберпреступники использовали игровые платформы, поскольку эта индустрия стала неотъемлемой частью мирового календаря распродаж.
Традиционно злоумышленники активизировали свои действия в периоды пиковых распродаж, прежде всего в Чёрную пятницу, полагаясь на высокий спрос и снижение бдительности пользователей для совершения кражи личных данных, средств или распространения вредоносного ПО.
Для отслеживания угроз в сфере онлайн-шопинга, в ЛК ежегодно проводят оценку широко распространённых вредоносных техник, включая финансовое вредоносное ПО, фишинговые страницы, а также спам-кампании, перенаправляющие пользователей на мошеннические сайты.
В 2025 году особое внимание уделялось также угрозам, связанным с играми.
Полностью обозревать не будем, отметим лишь основные моменты:
- За первые десять месяцев 2025 года Лаборатория Касперского выявила почти 6,4 млн. фишинговых атак, нацеленных на пользователей интернет-магазинов, платежных систем и банков. При этом 48,2% таких атак были направлены на интернет-покупателей.
- За первые две недели ноября удалось заблокировать более 146 000 спам-сообщений на тему Черной пятницы.
- Обнаружено более 2 миллионов фишинговых атак, связанных с онлайн-играми.
- В сезон Черной пятницы 2025 года было зафиксировано около 1,09 млн. атак банковских троянов.
- Число попыток атак на игровые платформы резко возросло в 2025 году, достигнув более 20 млн., что является значительным ростом по сравнению с предыдущими годами.
- В 2025 году под видом Discord было совершено более 18 млн. попыток вредоносных атак, что более чем в 14 раз больше, чем годом ранее, в то время как Steam остался в пределах своего обычного пятилетнего диапазона колебаний.
Подробная инфографика, примеры и разборы основных трендов - в отчете.
ASUS выпустила новую прошивку с исправлением девяти уязвимостей (CVE-2025-59365 - CVE-2025-59372, CVE-2025-12003 и CVE-2025-59373), включая критическую ошибку обхода аутентификации в маршрутизаторах с включенным AiCloud.
AiCloud - это функция удаленного доступа на основе облака, которая есть во многих маршрутизаторах ASUS и превращает их в частные облачные серверы для удаленной потоковой передачи мультимедиа и облачного хранения.
Как пояснил производитель, CVE-2025-59366 может быть вызвана непреднамеренным побочным эффектом функциональности Samba, что потенциально может привести к выполнению определенных функций без надлежащего разрешения.
Удаленные злоумышленники без привилегий могут воспользоваться этой уязвимостью, объединив обход пути и уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
ASUS не уточнила, какие именно модели маршрутизаторов затронуты, а лишь упомянула версии прошивок (3.0.0.4_386, 3.0.0.4_388 и 3.0.0.6_102), рекомендуя немедленно обновить их до последней доступной.
Компания также отметила меры по смягчению последствий для пользователей моделей с EoL, которые не будут получать обновления прошивки.
Для блокировки потенциальных атак пользователям рекомендуется отключить все службы, доступные из Интернета, включая удаленный доступ из WAN, переадресацию портов, DDNS, VPN-сервер, DMZ, переключение портов и FTP, а также ограничить удаленный доступ к устройствам, работающим под управлением ПО AiCloud, уязвимого для атак CVE-2025-59366.
Вторая волна атаки на цепочку поставок Shai-Hulud 2 перекинулась на экосистему Maven, скомпрометировав более 830 пакетов в реестре npm.
Исследователи Socket сообщили, что обнаружили пакет Maven Central с именем org.mvnpm:posthog-node:4.18.1, который содержит те же два компонента, что и Sha1-Hulud: загрузчик setup_bun.js и основную полезную нагрузку bun_environment.js.
Это означает, что PostHog скомпрометировал релизы в экосистемах JavaScript/npm и Java/Maven, использующие одну и ту же полезную нагрузку Shai Hulud v2.
Представители Maven Central заявили, что работают над реализацией дополнительных мер защиты, чтобы предотвратить повторную сборку уже известных скомпрометированных компонентов npm.
По состоянию на 25 ноября 2025 года все зеркальные копии были удалены.
В целом, как отмечают многие исследователи, последняя версия Shai-Hulud 2 стала более скрытной, агрессивной, масштабируемой и разрушительной.
Помимо заимствования всей цепочки заражения из первоначального сентябрьского варианта, атака позволяет злоумышленникам получать несанкционированный доступ к учётным записям разработчиков npm и публиковать троянизированные версии своих пакетов.
Когда ничего не подозревающие разработчики загружают и запускают эти библиотеки, встроенный вредоносный код проникает в их собственные машины, сканирует их на наличие секретных данных и передаёт их в репозитории GitHub, используя украденные токены.
Инцидент уже затронул более 28 000 репозиториев.
Как отмечают в Cycode, новая версия значительно повышает скрытность, используя среду выполнения Bun для сокрытия основной логики, и увеличивает потенциальный масштаб, увеличивая лимит заражения с 20 до 100 пакетов.
Также используется новый метод обхода системы безопасности: украденные данные переносятся в случайно поименованные публичные репозитории GitHub, а не в один, жёстко заданный.
Более того, способность вредоносного ПО к саморепликации означает, что одной зараженной учетной записи достаточно, чтобы за короткий промежуток времени расширить радиус атаки и превратить ее в масштабную эпидемию.
Анализ Aikido показал, что злоумышленники использовали уязвимости, в частности, сосредоточившись на неправильных настройках CI в рабочих процессах pull_request_target и workflow_run в существующих рабочих процессах GitHub Actions, чтобы скомпрометировать проекты, связанные с AsyncAPI, PostHog и Postman.
Предполагается, что данная активность является продолжением более широкого спектра атак, нацеленных на экосистему, которые начались с кампании S1ngularity в августе 2025 года, затронувшей несколько пакетов Nx в npm.
Shai-Hulud 2 - это новая и значительно более агрессивная волна вредоносного ПО для цепочек поставок npm, сочетающая в себе скрытное выполнение, широту и деструктивное поведение, что делает ее одной из самых мощных атак на цепочки поставок в этом году, по мнению Apiiro.
Данные, собранные GitGuardian (1), OX Security (2)и Wiz, показывают, что в ходе кампании были раскрыты сотни токенов доступа и учётных данных GitHub, связанных с AWS, Google Cloud и Microsoft Azure.
Более 5000 файлов с украденными секретными данными были загружены на GitHub. Анализ 4645 репозиториев, проведённый GitGuardian, выявил 11 858 уникальных секретов, из которых 2298 оставались действительными и были публично раскрыты по состоянию на 24 ноября.
Пользователям рекомендуется провести ротацию всех токенов и ключей, проверить все зависимости, удалить скомпрометированные версии, переустановить чистые пакеты и надлежащим образом защитить среды разработки и CI/CD.
Исследователи Лаборатории Касперского в последнее время буквально бомбят очередями из исследований, одно из которых посвящено поиску работы IT-специалистами в даркнете и фактически является новой итерацией аналогичного, вышедшего в 2022 году.
Как отмечают в ЛК, с тех пор рынок труда конечно же изменился, как и ожидания и требования к специалистам. Тем не менее, рекрутинг и хедхантинг в даркнете по-прежнему активны.
В новом отчёте рассматривается, как функционируют системы занятости и подбора персонала в даркнете, на основе 2225 сообщений о вакансиях, собранных на теневых форумах в период с января 2023 года по июнь 2025 года.
Анализ показывает, что даркнет продолжает выступать неким параллельным рынком труда со своими собственными правилами, практикой подбора и ожиданиями по зарплате, отражая при этом более широкие глобальные экономические изменения.
Примечательно, что соискатели всё чаще рассказывают о своём предыдущем опыте работы в теневой экономике, что говорит о том, что для многих эта среда знакома и устоялась.
Большинство соискателей не указывают профессиональную область, 69% из них готовы взяться за любую доступную работу. При этом представлен широкий спектр вакансий, особенно в сфере ИТ.
Разработчики, тестировщики на проникновение и специалисты по отмыванию денег остаются наиболее востребованными специалистами, а специалисты по реверс-инжинирингу получают самую высокую среднюю зарплату.
Также наблюдается значительный контингент на рынке труда из числа подростков, многие из которых ищут быстрый заработок и зачастую уже знакомы со многими мошенническими схемами.
Безусловно, теневой рынок отличается от легального трудоустройства в таких аспектах, как формальность контрактов и скорость найма, между ними прослеживаются явные параллели
Обе сферы всё больше отдают приоритет практическим навыкам перед формальным образованием, проводят проверку биографических данных и демонстрируют синхронизированные колебания спроса и предложения.
Прогнозируя тренды, исследователи ожидают роста среднего возраста и квалификации соискателей работы в даркнете, отчасти за счёт глобальных увольнений.
В конечном счёте, рынок труда в даркнете не изолирован - он развивается параллельно с легальным рынком труда под влиянием тех же глобальных экономических сил.
Подробности о том, какие предпочтения в работе и зарплаты, лучшие специализации и анализ типичных соискателей, а также корреляции между легальным и теневым рынками труда - в отчете Лаборатории Касперского (можно получить здесь).
Почти месяц потребовался Бюджетному управлению Конгресса США (CBO), чтобы окончательно локализовать киберинцидент, с которым столкнулась служба безопасности агентства в начале месяца.
О победе над особо продвинутыми хакерами неназванной APT отрапортовал сам директор Филипп Свагель, который заявил о полном изгнании злоумышленника из своей сети.
Он ответил, что в настоящее время нет «новых доказательств несанкционированного доступа к электронной почте CBO. Все это время федеральным органам запрещалось коммуницировать с управлением и обмениваться любой информацией.
Тем не менее, расследование продолжается и по мере поступления дополнительной информации, управление информировать законодателей «за закрытыми дверями».
Так что ожидаем очередных ангажированных отчетов с соответствующей атрибуцией. Не зря же целый месяц ковырялись.