39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.
ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.
Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.
Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.
Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.
Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.
Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.
При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, которое могло получать написанные на языке leetspeak команды по HTTPS, регистрировать нажатия клавиш и красть файлы.
На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.
Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО
По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).
Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.
Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.
В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.
Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.
При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.
В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.
Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.
По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.
В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.
Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.
Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.
Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.
Журналисты сообщают об обширной утечке данных на учащихся Академии Равин, секретной школы Министерства разведки, которую, как предполагается, взломали.
Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.
Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.
Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.
На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.
Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.
Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.
Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.
В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.
Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними актуальные угрозы:
1. Уязвимость в библиотеке async-tar Rust потенциально может стать причиной RCE-атак.
CVE-2025-62518, получила название TARmageddon и позволяет злоумышленникам перезаписывать файлы конфигурации и перехватывать уязвимости бэкенда. Она имеет крайне широкое влияние из-за большого количества пакетов, в которые она встроена.
2. Microsoft выпустила внеочередные (OOB) обновления безопасности для исправления критической RCE-уязвимости службы обновлений Windows Server (WSUS), отлеживаемой как CVE-2025-59287.
Уязвимость может эксплуатироваться удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем, что позволяет злоумышленникам без привилегий атаковать уязвимые системы и запускать вредоносный код с привилегиями SYSTEM.
Как отметила Microsoft в обновлении к первоначальной рекомендации по безопасности, CVE-2025-59287 теперь обзавелась общедоступным PoC.
3. SEC Consult обнаружила ряд уязвимостей в ПО WorkExaminer Professional от EfficientLab для мониторинга сотрудников, включая те, которые могут позволить злоумышленнику в сети получить контроль над системой.
При этом, вероятно, ошибки не были устранены: поставщик сообщил, что они не попадают под действие BugBounty.
4. Исследователи Operant AI обнаружили Shadow Escape - скрытую ZeroClick-атаку, которая затрагивает организации, использующие MCP с любым ИИ-помощником.
Она использует внутреннее доверие к соединениям между ИИ-агентом и MCP для скрытного извлечения огромных объёмов конфиденциальных пользовательских данных из сети.
Поскольку программа использует стандартные настройки MCP и разрешения по умолчанию, потенциальный масштаб извлечения данных оценивается в колоссальные триллионы записей, по данным Operant.
5. TP-Link устранила два набора уязвимостей (1 и 2) в своём шлюзе Omada, позволявшие удалённое внедрение неаутентифицированных команд. Последние две уязвимости были обнаружены исследователями Forescout.
6. Хакеры приступили к эксплуатации уязвимости Magento, известной как SessionReaper (CVE-2025-54236).
Она была исправлена в сентябре и позволяет удалённым злоумышленникам захватывать интернет-магазины.
Однако, как сообщает Sansec, исправления были установлены у 38% магазинов Magento, что едва превышает показатель на момент выхода патча.
7. Злоумышленники используют 0-day на локальных серверах Motex Lanscope Endpoint Manager. Исправление вышло в понедельник после того, как поставщик получил сообщения об атаках.
CVE-2025-61932 позволяет злоумышленникам получить контроль над клиентом Lanscope, установленным на системах клиентов, с помощью вредоносных пакетов. CISA также добавила информацию об уязвимости в свою базу данных KEV.
8. SquareX предупреждает, что злоумышленники могут подделывать боковые панели для ИИ-помощников в интерфейсах браузеров для кражи данных, а также загрузки и запуска вредоносного ПО обманным путем. Среди уязвимых браузеров: Comet от Perplexity и Atlas от OpenAI.
9. Cursor и Windsurf, две среды IDE, клонированные из редактора VS Code от Microsoft, не смогли интегрировать исправления для 94 ошибок, связанных с Chromium, по данным Ox Security.
10. Личные данные всех пилотов Формулы-1 могли быть украдены через веб-портал FIA.
Сайт позволял любому пользователю назначить себе роль администратора. Портал хранил информацию о гонщиках, подавших заявки на получение лицензии Формулы-1, а также внутреннюю переписку FIA.
Автоспортивная организация устранила уязвимость в течение недели, но осадочек, как говорится, остался.
11. Исследователи NCC опубликовали исследование, раскрывая, как злоумышленники могут использовать бэкдор или красть данные из экземпляров Azure Fabric.
Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.
Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.
Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.
В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.
Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.
При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.
Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.
В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.
Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.
Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.
Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.
Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов.
Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.
Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.
При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.
Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.
Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.
Другие технические подробности и IOCs - в отчете.
Хакерский поединок Pwn2Own Ireland 2025 завершился: исследователи сорвали куш в размере 1 024 750 долл. после демонстрации 73 0-day.
Команда Summoning Team стала победителем, набрав 22 очка и заработав 187 500 долл., взломав Samsung Galaxy S25, NAS-устройство Synology DiskStation DS925+, Home Assistant Green, NAS-накопитель Synology ActiveProtect Appliance DP320, камеру Synology CC400W и NAS-устройство QNAP TS-453E.
Команда ANHTUD заняла второе место, получив $76 750 и 11,5 очков, а Synactiv - третье место с $90 000 призовых и 11 очками.
В первый день Pwn2Own Ireland хакеры проэксплуатировали 34 уникальные 0-day, заработав 522 500 долл., во второй день - ещё 22 уникальных нуля и приз в размере 267 500 долл.
Самым ярким моментом последнего дня стал взлом Samsung Galaxy S25 командой Interrupt Labs с помощью ошибки проверки входных данных, за что команда заработала 5 очков и 50 000 долл., также сумев включить отслеживание местоположения и камеру.
Заявившаяся на WhatsApp Zero-Click и вместе с ним на 1 млн. долла. команда Z3 отказалась от публичной демонстрации в ходе конкурса, решив раскрыть свои результаты аналитикам ZDI в частном порядке, прежде чем поделиться с инженерной командой Meta (признана в РФ экстремистской).
Теперь после анонсирования 0-day на Pwn2Own у поставщиков есть 90 дней на выпуск исправлений, прежде чем Zero Day Initiative компании Trend Micro публично их раскроет.
В январе 2026 года ZDI намерена принимать участие в выставке технологий Automotive World в Токио (Япония) для организации и проведения третьего конкурса Pwn2Own Automotive, спонсором которого снова выступит Tesla.
Коллеги из Russian OSINT обратили внимание на отчет iVerify, в котором исследователи сообщают о появлении в iOS 26 функции перезаписи shutdown.log при каждой перезагрузке устройства.
Фактически Apple лишает исследователей и пользователей возможности обнаружить важные криминалистические артефакты и, прежде всего, следы spyware, включая Pegasus и Predator, которые активно использовали этот лог в своих операциях.
Столь неоднозначное нововведение со стороны Apple определенно является опасным прецедентом в условиях все более изощренных угроз, связанных с использованием шпионского ПО.
Причем безотносительно того, будь это целенаправленная задумка или же случайная ошибка.
Хотя в последнее вериться с трудом: исследователи из Лаборатории Касперского не дадут соврать.
В рамках расследования Операции Триангуляция все ответы, на наш взгляд, уже были получены.
Чтобы вовсе развеять все сомнения, достаточно внимательно ознакомиться с отчетом китайского CERT в отношении расследования атаки АНБ США на Национальный центр службы времени (NTSC).
Общую картину инцидента мы уже давали ранее, однако не могли пройти мимо одной важной детали.
Согласно полученным МГБ КНР артефактам, iOS-устройства сотрудников NTSC в апреле 2023 года были взломаны с использованием уязвимостей и эксплойтов, раскрытых в ходе расследования Операции Триангуляция тремя месяцами позже в отчете ЛК.
Pwn2Own Ireland 2025 продолжается: по итогам двух дней соревнований хакеры проэксплуатировали 56 0-day, заработав 792 750 долл.
В первый день конкурса Pwn2Own Ireland исследователи обнаружили 34 уникальных нуля и забрали денежный приз в размере 522 500 долл.
Главный событием второго дня стал взлом Samsung Galaxy S25 Кеном Гэнноном из Mobile Hacking Lab и Димитриосом Вальсамарасом из Summoning Team с помощью цепочки из пяти уязвимостей, за что они получили 50 000 долларов и 5 очков Master of Pwn.
Кроме того, хотя PHP Hooligans понадобилась всего одна секунда, чтобы взломать NAS-устройство QNAP TS-453E, уязвимость, которой они воспользовались, уже была использована в конкурсе.
Чуми Цай из CyCraft Technology, Ле Тронг Фук и Као Нгок Куи из Verichains Cyber Force, а также Мехди и Матье из Synacktiv Team также получили по 20 000 долларов за взлом QNAP TS-453E, Synology DS925+ и моста Phillips Hue.
Участники конкурса также продемонстрировали 0-day в принтере Canon imageCLASS MF654Cdw, Home Automation Green, камере Synology CC400W, NAS-устройстве Synology DS925+, умной розетке Amazon и принтере Lexmark CX532adwe.
Summoning Team, по-прежнему лидирует в турнирной таблице Master of Pwn с 18 очками, заработав $167 500 за первые два дня мероприятия.
В прошлом году на Pwn2Own Ireland 2024 хакеры сорвали куш в размере 1 078 750 долл. за более чем 70 нулей.
В последний третий день конкурса они будут атаковать Samsung Galaxy S25, несколько устройств NAS и принтеров.
Кроме того, Юджин из Team Z3 также попытается продемонстрировать уязвимость WhatsApp Zero-Click для удалённого выполнения кода, за которую можно получить вознаграждение в размере 1 млн. долл.
Так что участники имеют все шансы превзойти прошлогодние результаты.
Но будем посмотреть.
Совсем недавно мы уже сообщали про слив хакерами Scattered LAPSUS$ Hunters конфиденциальных данных в отношении сотрудников Министерства внутренней безопасности (DHS) и Службы иммиграционного и таможенного контроля (ICE).
Однако на этом группа не остановилась и продолжила сливать данные госслужащих США.
На этот раз хакеры раскрыли установочные и иные чувствительные данные десятков тысяч сотрудников спецслужб.
Под удар попали АНБ (NSA), Агентство военной разведки (DIA), Федеральная торговая комиссия (FTC), Федеральное управление гражданской авиации (FAA), Центр по контролю и профилактике заболеваний (CDC), Бюро по контролю за оборотом алкоголя, табака, огнестрельного оружия и взрывчатых веществ (ATF), а также военнослужащие ВВС и сотрудники ряда других ведомств.
Scattered LAPSUS$ Hunters заявили, что в их распоряжении находятся личные данные более чем 22 000 государственных служащих.
По словам хакеров, им удалось собрать столь внушительный массив в результате анализа украденных в рамках инцидента с Salesforce данных.
Анализ предоставленных хакерами пруфов свидетельствует об их подлинности. Сами потенциально пострадавшие ведомства пока никак не комментируют заявления группировки.
При этом сразу после анонсированной утечки, канал Scattered LAPSUS$ Hunters в телеге был нейтрализован, по всей видимости, в результате действий третьей стороны.
Но будем, конечно, посмотреть, чем обернется для Scattered LAPSUS$ Hunters посягательство на штатовский силовой блок.
Стартовал Pwn2Own Ireland 2025 и в первый день соревнований исследователи продемонстрировали 34 уникальные 0-day, заработав 522 500 долл.
Главным событием стал взлом беспроводного Ethernet-маршрутизатора QNAP Qhora-322 через WAN-интерфейс исследователями Бонын Ку и Эвангелос Даравигкас из Team DDOS, которые задействовали для этого восемь нулей.
По результатам они получили доступ к сетевому хранилищу QNAP TS-453E и выиграли 100 000 долл. в качестве вознаграждения.
Команда Synacktiv, Сина Кхейркха из Summoning Team, команда DEVCORE Team и Стивен Фьюэр из Rapid7 также вынесли по 40 000 долл. каждый, получив root-права на Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E и Home Assistant Green соответственно.
Исследователи STARLabs, Team PetoWorks, Team ANHTUD и Ierae четыре раза взломали МФУ Canon imageCLASS MF654Cdw, в то время как STARLabs также смогли похакать смарт-колонку Sonos Era 300, заработав 50 000 долл.,
Представители ANHTUD воспользовалась уязвимостью моста Phillips Hue Bridge и получили 40 000 долл. наличными.
Сина Хейркха и Макколей Хадсон из Summoning Team использовали цепочку эксплойтов, объединяющую две 0-day для получения прав root на устройстве Synology ActiveProtect Appliance DP320, выиграв еще 50 000 долл.
Команда Summoning Team выиграла в общей сложности 102 500 долларов за первый день соревнований и возглавила рейтинг Master of Pwn с 11,5 очками.
Хакерский конкурс Pwn2Own Ireland 2025 включает восемь категорий: флагманские смартфоны (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), мессенджеры, устройства для умного дома, принтеры, сетевое оборудование, сетевые системы хранения данных, оборудование для видеонаблюдения и носимые устройства (включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S).
В этом году ZDI также расширил векторы атак для мобильных устройств, включив в них использование USB-портов мобильных телефонов. Однако традиционные беспроводные протоколы, Bluetooth, Wi-Fi и NFC также остаются допустимыми векторами атак.
Согласно ранее озвученным заявлениям, ZDI впервые предлагает вознаграждение в размере 1 млн. долл. тем исследователям, которые продемонстрируют Zero-Click-эксплойт для WhatsApp, позволяющий выполнять код без взаимодействия с пользователем.
Meta (признана в России экстремистской) наряду с QNAP и Synology выступает соорганизатором хакерского конкурса Pwn2Own Ireland 2025, который стартовал 21 октября в Корке, Ирландия, и продлится до 24 включительно.
Как обычно, после демонстрации нулей на Pwn2Own вендорам предоставляется 90 дней на выпуск обновлений, прежде чем Zero Day Initiative от Trend Micro публично их раскроет.
Уязвимость высокой степени серьезности в унифицированном декодере Dolby может быть использована для удаленного выполнения кода, в некоторых случаях в ходе ZeroClick-атак.
Созданный на основе стандарта Dolby Digital Plus (DD+), Unified Decoder представляет собой программно-аппаратный компонент, используемый для обработки DD+, Dolby AC-4 и других аудиоформатов, преобразуя их в форматы, которые можно воспроизводить через динамики.
Исследователи Иван Фратрик и Натали Сильванович из Google Project Zero обнаружили, что в процессе обработки медиафайлов на устройствах Android проблема записи за пределами допустимого диапазона.
Декодер записывает информацию в большой, непрерывный буфер, похожий на кучу, содержащийся в более крупной структуре, и расчет длины для одной записи может привести к переполнению из-за целочисленного переноса.
По словам исследователей, это приводит к тому, что выделенный буфер оказывается слишком маленьким, а проверка выхода за пределы последующей записи оказывается неэффективной.
В совокупности это позволяет перезаписывать последующие члены структуры, включая указатель, который записывается при обработке следующего синхрокадра.
Ошибка отслеживается как CVE-2025-54957 (CVSS 7,0) и может быть активирована с помощью вредоносных звуковых сообщений, что приводит к удаленному выполнению кода.
При этом на устройствах Android уязвимость может эксплуатироваться удаленно без взаимодействия с пользователем, поскольку все аудиосообщения и вложения декодируются локально с помощью унифицированного декодера Dolby.
В общем, исследуя возможность эксплуатации этой ошибки на Android, ресерчерам удалось добиться выполнения кода в формате ZeroClick в контексте медиакодека на Pixel 9 под управлением версии 16 BP2A.250605.031.A2.
По итогу исследователи представили прототип PoC, который демонстрирует, как можно задействовать уязвимость для вызова сбоя процесса на устройствах Android (Pixel 9 и Samsung S24), а также на macOS и iOS.
Google Project Zero сообщила об уязвимости компании Dolby Laboratories еще в июне и опубликовала информацию о ней по истечении 90-дневного срока раскрытия.
Microsoft устранила уязвимость в рамках октябрьского PatchTuesday, отметив, что для успешной эксплуатации уязвимости в Windows требуется взаимодействие с пользователем.
В свою очередь, Google на прошлой неделе также заявила, что исправления включены в последние обновления ChromeOS.
Исследователи Seqrite Labs отследили новую кампанию Operation MotorBeacon, которая, вероятно, нацелена на российский автомобильный сектор и сектор электронной коммерции с использованием ранее незадокументированного вредоносного ПО .NET, получившего название CAPI Backdoor.
Цепочка атак включает в себя распространение фишинговых писем с ZIP-архивом (загружен на VirusTotal 3 октября 2025 года) для запуска заражения.
В архиве находится фейковый русскоязычный документ, выдаваемый за уведомление, связанное с налоговым законодательством, с файлом ярлыка Windows (LNK).
В нем подробно описывается повышение НДФЛ с 13% до 15% для доходов свыше 3 млн рублей, объясняется влияние на заработную плату и содержится призыв к сотрудникам планировать бюджеты и консультироваться с отделом кадров.
LNK, имеющий то же имя, что и архив ZIP («Перерасчет заработной платы 01.10.2025»), отвечает за выполнение импланта .NET (adobe.dll) с использованием легитимного двоичного файла Microsoft rundll32.exe, техники LotL, которая, как известно, используется злоумышленниками.
Seqrite отметила, что бэкдор оснащен функциями проверки, запущен ли он с правами администратора, сбора списка установленных антивирусных продуктов и открытия обманного документа в качестве уловки.
Параллельно он скрытно подключается к удаленному серверу (91.223.75[.]96) для получения дальнейших команд и их выполнения.
Они позволяют CAPI Backdoor красть данные из браузеров Google Chrome, Microsoft Edge и Mozilla Firefox, делать снимки экрана, собирать информацию о системе, перечислять содержимое папок и передавать результаты обратно на сервер.
Он также пытается выполнить длинный список проверок, чтобы определить, является ли система законным хостом или виртуальной машиной, и использует два метода для обеспечения устойчивости, включая настройку запланированной задачи и создание LNK-файла в папке автозагрузки Windows для автоматического запуска бэкдор-библиотеки DLL, скопированной в папку Windows Roaming.
Предположение Seqrite о нацеливании именно на российский автомобильный сектор, основана на том факте, что один из доменов, связанных с кампанией, имеет название carprlce[.]ru, что, по-видимому, выдает себя за законный carprice[.]ru.
В целом исследователи обнаружили два сетевых артефакта, связанных с CAPI Backdoor, включая домен, сгенерированный DGA.
Кампания, активизировавшаяся с 3 октября, изначально использовала поддельный домен, который впоследствии был перенаправлен на легитимный сайт.
Вредоносное ПО размещалось на порту 443 и использовалось в фишинговой приманке. Первоначальная инфраструктура имела номер ASN 197695 (AS-REG), а слив данных осуществлялась через ASN 39087 (Pakt LLC).
Вредоносная полезная нагрузка представляет собой .NET DLL-библиотеку, которая выполняет функцию похитителя и обеспечивает устойчивость для будущих вредоносных действий.
Все технические подробности - в отчете.
И несколько интригующих инцидентов в ленту:
1. Хакеры Scattered LAPSUS$ Hunters раскрыли личные данные сотен сотрудников Министерства внутренней безопасности, ICE, ФБР и Министерства юстиции США.
В перечне украденных данных - установочные данные, номера телефонов и даже домашние адреса.
Пока, неясно откуда группа получила эти данные. Так что коллектив может отметиться куда более серьезной атакой, нежели в случае с Salesforce.
2. Хакеры взломали закрытую платформу, используемую южнокорейским правительством для обмена документами, а также государственную инфраструктуру открытых ключей (GPKI).
Разведывательное управление страны подтвердило инцидент через два месяца после публикации в специализированном журнале Phrack информации о предполагаемом взломе.
В статье обвинения адресовались Северной Корее, однако новые данные указывают на то, что за взломом могли стоять китайские хакеры.
Власти переживают, что украденные цифровые сертификаты могли быть использованы для компрометации других ведомств. И, вероятно, так оно и есть.
3. Как передают ABC News, Китай обвинил АНБ США во взломе своего Национального центра службы времени (NTSC).
По данным китайской стороны, АНБ проникла в сеть учреждения и шпионило за сотрудниками как минимум с марта 2022 года.
В ходе операции АНБ задействовала новую «платформу кибервойны» с активацией 42 специализированных инструментов для проведения высокоинтенсивных и многоэтапных атак на внутренние сетевые системы NTSC.
Изначально, АНБ воспользовалась уязвимостями SMS-сервиса неназванного иностранного бренда, скрытно взломав мобильные устройства сотрудников NTSC.
Затем с использованием украденных данных хакерам удалось проникнуть в инфраструктуру, где в период с августа 2023 года по июнь 2024 года и было развернуто новейшее кибероружие.
Для маршрутизации вредоносного трафика и сокрытия его происхождения использовались VPS в США, Европе и Азии.
Применялись также такие приемы, как подделка цифровых сертификатов для обхода антивирусного ПО, высоконадежные алгоритмы шифрования для полного удаления следов атак.
Атаки также включали попытки бокового перемещения к высокоточной наземной системе синхронизации времени с предполагаемой конечной целью - созданию условий для вывода системы из строя.
При этом отмечается, что любая кибератака на NTSC способна поставить под угрозу безопасную и стабильную работу Пекинского времени, вызвав серьезные последствия в работе сетей связи, систем финансов, логистики, электроснабжения и космической отрасли.
Как говорят за темной полосой начинается светлая.
Так и в деле NSO Group наступила звездно-полосатая, помимо того, что списали долги, в скором времени компания получит увесистый портфель заказов - целый вагон с маленькой тележкой.
Ведь как мы недавно сообщали, NSO была приобретена группой американских инвесторов во главе с голливудским продюсером Робертом Саймондсом в рамках сделки, стоимость которой, по имеющимся данным, составила несколько десятков миллионов долларов.
В последние годы состав владельцев NSO неоднократно менялся: от основателей к различным частным инвестиционным компаниям.
Однако последнее приобретение выводит контрольный пакет акций за пределы Израиля.
И даже теперь американское правосудие стало на чуточку добрее и трепетнее: как сообщает Reuters, в ходе состоявшейся апелляции судья снизила размер штрафных санкций, которые производитель шпионского ПО должен был уплатить Meta, со 167 млн. долл. до всего лишь 4 млн.
Напомним, что Meta признана в России экстремистской.
В постановлении от 17 октября судья окружного суда США Филлис Гамильтон также вынесла постоянный запрет, запрещающий NSO впредь взламывать WhatsApp.
NSO предписано прекратить обратную разработку WhatsApp и не создавать новые учётные записи.
Кроме того, NSO обязана удалить и уничтожить имеющийся у неё исходный код WhatsApp.
С другой стороны, запрет ограничивается только WhatsApp и не распространяется на другие сервисы, такие как Instagram и Facebook, как того требовалось изначально в жалобе, поданной против NSO в 2019 году.
Так что теперь шпионить с использованием Pegasus можно будет лишь по лицензии или по заданию куратора от дяди Сэма.
Анонимный пользователь с сомнительным ником 🥷«титушко» опубликовал сообщение о якобы утечке 👻 MAX:
Здравствуйте, у меня есть полный дамп max[.]ru, там ровно 46203590 строк, и у меня все еще есть VPN-доступ к их salesforce и другим внутренним инструментам. Похоже, это российский правительственный мессенджер, и все данные на русском языке.
Posted 8:13 pm MSK, Apr 22 2025
В соответствии с действующими санкциями США, Европейского союза и Великобритании предоставление корпоративного ПО физическим или юридическим лицам в России запрещено.
Специалисты Минцифры проверили информацию о якобы случившейся утечке из мессенджера Max, размещённую в анонимных каналах.
Автором информации об утечке был выложен сэмпл, содержащий 15 записей, в которых были указаны якобы ID пользователей Госуслуг. Проверка показала, что ни по одной из опубликованных записей ID Госуслуг не совпадает с ФИО реальных пользователей.
Из чего можно сделать вывод, что публикации о взломе сфабрикованы.
На западе активно раздувают скандал вокруг масштабного взлома систем передачи секретной информации Великобритании, который долгое время скрывался от общественности.
Как сообщает Times, китайские хакеры взломали секретные сети Великобритании и сохраняли к ним доступ более десяти лет, что категорически опровергают в самом правительстве до настоящего времени.
В частности, бывший генеральный директор NCSC Киран Мартин назвал это сообщение «категорически ложным».
Тем не менее, бывший старший советник премьер-министра Великобритании Бориса Джонсона Доминик Каммингс заявил, что кабинет министров скрыл крупный взлом в 2020 году, в результате которого Китай получил доступ к секретной информации.
Каммингс утверждает, что Пекин скомпрометировал правительственную систему, используемую для передачи особо секретных данных в Уайтхолле.
В результате в руки китайской стороны попали «огромные объемы» конфиденциальной информации, включая разведывательные сводки, дипломатическая почта и материалы спецслужб.
По словам экс-советника, о взломе его и Джонсона проинформировал тогдашний секретарь Кабинета министров.
Каммингс отметил, что похищенные данные включали материалы с грифом Strap - правительственная классификация для особо важных сведений, а также документы Секретариата национальной безопасности.
Он заявил, что высокопоставленные чиновники скрыли информацию об инциденте. После брифинга участников предупредили, что разглашение некоторых деталей взлома будет считаться уголовным преступлением.
Несмотря на это, экс-советник выразил готовность поделиться известной ему информацией с членами парламента в случае начала расследования.
К делу подключилась также Bloomberg и, ссылаясь на слова двух бывших высокопоставленных лиц по вопросам безопасности и других британских чиновников, фактически подтвердила, что китайцы систематически и успешно взламывали секретные компьютерные системы.
Отмечая также, что призывы к расследованию могут быть связаны с давлением на премьер-министра Британии Кира Стармера из-за политики в отношении Пекина на фоне прекращения в суде уголовного дела в отношении двух китайских шпонов за недостаточностью доказательств.
Но, как всегда, будем посмотреть.
Анонсированный на Pwn2Own Ireland 2025 взлом WhatsApp на $1 млн провалился: после вывода средств в MetaCard были раскрыты только уязвимости с низким уровнем риска.
В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода.
Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.
Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.
Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).
Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.
Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.
Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.
Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.
Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.
Новая функция Microsoft Teams позволит организациям отслеживать сотрудников по ближайшим сетям Wi-Fi.
Случится это в декабре 2025 года, когда выйдет обновление.
Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.
Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.
Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.
Технических подробностей пока не так много.
В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.
Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.
Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.
Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей.
При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.
По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.
Group-IB раскрыла масштабную кампанию иранской MuddyWater (aka Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm, Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix), нацеленную почти на сотню госструктур на Ближнем Востоке и в Северной Африке.
Большинство целей наблюдаемой кампании MuddyWater - это посольства, консульства, дипмиссии и подразделения министерств иностранных дел. Кроме того, среди жертв отмечены правительственные и международные организации, а также телеком-компании.
Конечной целью кампании является техническое проникновение в особо важные объекты и содействие сбору разведывательной информации.
Начиная с 19 августа хакеры запустили фишинговую кампанию среди указанного круга жертв со взломанной почты, доступ к которой они осуществляли с использованием NordVPN.
Причем, по данным исследователей, 24 августа злоумышленник вывел из строя инфраструктуру C2, что, вероятно, указывает на переход к новому этапу атаки, в ходе которой для сбора информации из скомпрометированных систем использовались уже другие инструменты и вредоносное ПО.
Цепочка атаки, по сути, включает распространение злоумышленником заражённых документов Microsoft Word, которые при открытии предлагают получателям электронной почты включить макросы для просмотра содержимого.
Как только ничего не подозревающий пользователь активирует эту функцию, документ запускает выполнение вредоносного кода Visual Basic for Application (VBA), что приводит к развертыванию бэкдора Phoenix версии 4.
Бэкдор запускается с помощью загрузчика FakeUpdate, который декодируется и записывается на диск с помощью VBA-дроппера. Загрузчик содержит полезную нагрузку Phoenix, зашифрованную с помощью AES.
Пока неясно, что побудило MuddyWater доставлять вредоносное ПО с помощью макрокода в документах Office, поскольку этот прием был популярен несколько лет назад, когда макросы запускались автоматически при открытии документа.
Поскольку Microsoft по умолчанию отключила макросы, злоумышленники перешли на другие методы, более актуальным из которых является ClickFix, также использовавшийся MuddyWater в прошлых кампаниях.
Вредоносное ПО записывается в C:\ProgramData\sysprocupdate.exe и обеспечивает себе стойкость, изменяя запись в реестре Windows с настройками для текущего пользователя, включая приложение, которое должно запускаться в качестве оболочки после входа в систему.
Бэкдор был задокументирован еще в прошлых атаках MuddyWater (описывался как облегченная версия BugSleep), однако вариант, используемый в этой кампании включает в себя дополнительный механизм персистентности на основе COM и несколько функциональных отличий.
Вредоносная ПО собирает информацию о системе, включая имя компьютера, домен, версию Windows и имя пользователя, для составления профиля жертвы. Она подключается к своему C2 через WinHTTP и начинает отправлять сигналы, запрашивая команды.
Как отмечает Group-IB, Phoenix v4 поддерживает возможности сбора системной информации, установления персистентности, запуска интерактивной оболочки и загрузки/выгрузки файлов.
Другой инструмент, который MuddyWater задействовала в этих атаках, представляет собой специализированный инфостилер, который извлекает базу данных из браузеров Chrome, Opera, Brave и Edge, учетные данные, а также главный ключ для их расшифровки.
В инфраструктуре командного сервера MuddyWater исследователи также обнаружили утилиту PDQ для развертывания и управления ПО, а также инструмент Action1 RMM (удалённый мониторинг и управление). При этом PDQ также использовался ранее в атаках, приписываемых иранским хакерам.
В целом, Group-IB отмечает, что используя обновлённые варианты вредоносного ПО (Phoenix v4, FakeUpdate и инфокрад), вместе с легитимными RMM-утилитами (PDQ и Action1) APT продемонстрировала эффективную интеграцию специального кода с коммерческими инструментами в части повышения скрытности и устойчивости.
Исследователи из Лаборатории Касперского отследили основные тренды развития фишинговых атак по электронной почте, рассказав как про новые методы обхода фильтров безопасности и обмана пользователей, так и про «вторую жизнь» даже давно забытых тактик.
Особый акцент в отчете сделан на анализе некоторых довольно необычных приёмов, которые злоумышленники задействовали в 2025 году.
Письма с PDF-вложениями становятся всё более распространёнными как в массовых, так и в целевых фишинговых кампаниях.
Если раньше большинство PDF-файлов содержало фишинговые ссылки, то сегодня основной тенденцией в таких атаках становится использование QR.
Рассылки по электронной почте, включающие фишинговые ссылки, встроенные в PDF-вложения, продолжают представлять серьёзную угрозу, но злоумышленники всё чаще используют дополнительные методы, чтобы избежать обнаружения, шифруя и защищая PDF паролем.
Использование событий в календаре как спам-метод, популярный в конце 2010-х годов, но постепенно сошедший на нет после 2019 года, - относительно старая тактика.
Идея проста: злоумышленники отправляют электронное письмо с записью встречи из календаря. Текст письма может быть пустым, но в описании события скрывается фишинговая ссылка.
В 2025 году фишеры возродили эту тактику.
Однако, в отличие от конца 2010-х, теперь они используются в B2B-фишинге и нацелены именно на офисных работников.
Злоумышленники обновляют не только методы распространения фишингового контента, но и сами фишинговые сайты.
Зачастую даже самые примитивные на первый взгляд email-кампании содержат ссылки на страницы, использующие новые методы.
Например, в ЛК наблюдали минималистичную email-кампанию, созданную под оповещение об оставленном пользователю голосовом сообщении.
Текст письма содержал всего пару предложений, часто с пробелом в слове «голос», и ссылку, которая вела на простую целевую страницу, предлагавшую получателю прослушать сообщение.
Однако если пользователь нажмёт на кнопку, путь ведёт не на одну страницу, а на цепочку страниц проверки, использующих CAPTCHA. Вероятно, это сделано для того, чтобы избежать обнаружения роботами безопасности.
После многочисленных доказательств того, что он не бот, пользователь наконец попадает на сайт, имитирующий форму входа Google, который проверяет введенный пользователем адрес Gmail и выводит ошибку, если это не зарегистрированный адрес электронной почты.
Если жертва введёт действительный адрес, то, независимо от того, верен ли пароль, фишинговый сайт отобразит другую похожую страницу с сообщением о том, что пароль недействителен.
В обоих случаях нажатие кнопки «Сбросить сеанс» снова открывает форму ввода адреса электронной почты. Если отвлечённый пользователь попытается войти в систему, используя разные учётные записи и пароли, все эти данные окажутся в руках злоумышленников.
Поскольку многие пользователи защищают свои аккаунты с помощью многофакторной аутентификации, мошенники пытаются найти способы украсть не только пароли, но и одноразовые коды и другие данные для подтверждения.
Учитывая, что схемы сбора учётных данных становятся всё более изощрёнными и убедительными, исследователи рекомендуют регулярно проводить обучение сотрудников по безопасности, а также внедрить надежное решение для защиты почтовых серверов.
Исследователи Лаборатории цифровой криминалистики F6 в эфире онлайн-разбора тренд-репорта обсудили текущие параметры активности банд вымогателей в 2025 году.
Если резюмировать, то можно сказать, что аппетиты растут: рекорд по жадности вымогателей в 2025 году составил 400 000 000 рублей или $5 000 000 (на 67% больше, чем в прошлом году).
В общей сложности по году F6 зафиксировала более 450 атак различных банд вымогателей на российские компании.
Суммы первоначального выкупа за расшифровку данных в 2025 году варьировались от 4 000 000 до 40 000 000 рублей ($50000-$500000).
При этом финансовая мотивация была только в 85% атак, в 15% инцидентов целью киберпреступников была диверсия и нанесение максимального ущерба российским организациям.
Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (18,9%), организации из сфер оптовой (17%) и розничной (15,1%) торговли.
Также в 2025 году были громкие атаки на крупные транспортные компании, топливно-энергетического комплекс, в числе пострадавших были и медицинские организации.
Среди наиболее активных в этом году проукраинских групп исследователи отметили: Bearlyfy (не менее 35 атак), THOR (не менее 7 атак) и ЛАБУБУ (не менее 4 атак), 3119/TR4CK (не менее 4 атак), Blackjack/Mordor (не менее 4 атак), Shadow/DarkStar (не менее 3 атак).
Такие группы, как Mimic/Pay2Key, Proton/Shinra и C77L, нацелились на малый и средний российский бизнес, атакуя с целью получения выкупа.
В эфира оэксперты F6 также поделились тем, как злоумышленники получали первоначальный доступ, какие техники использовали для закрепления в инфраструктуре, а также разобрали экосистему групп, атаковавших российские компании в последние годы.
Подробный разбор атак с использованием программ-вымогателей в 2025 году на российские компании F6 обещают дать в своем ежегодном отчете в начале 2026 года.
Bloomberg раскрывает новые скандальные подробности масштабного инцидента, связанного взломом американской технологической компании F5, который произошел еще раньше, чем предполагалось ранее - в конце 2023 года.
Хакеры проникли в инфраструктуру компании, взломав её собственные продукты.
При этом, как сообщает издание, сотрудники F5, по всей видимости, клали на рекомендациям по кибербезопасности, которые компания передавала клиентам.
Обнаружить взлом удалось лишь в августе этого года. И спустя несколько дней после взлома компания объявила о завершении срока службы двух своих продуктов BIG-IP.
Кроме того, дополнительные сведения об участии китайских злоумышленников в кейсе F5 выкатили исследователи из Resecurity, которые провели анализ задействовавшегося в кампании бэкдора Brickstorm.
Кибершпионский бэкдор Brickstorm связан с кластером угроз UNC5221, который использует сложные TTPs и 0-day, нацеленные на сетевые устройства.
Resecurity удалось собрать ряд артефактов из арсенала злоумышленников, включая сам бэкдор Go ELF (исполняемый файл, скомпилированный для Linux), сценарии развертывания и модуль для сбора учетных данных.
Бэкдор представляет собой самостоятельный, независимый исполняемый файл (Go, linux/amd64), упакованный для устройств с ограниченным пользовательским пространством.
Он поддерживает все веб-протоколы для передачи трафика (TLS-клиент, пути HTTP/1.1/HTTP/2, обновление и обработку сеансов WebSocket).
Она может выступать в роли SOCKS-прокси для маршрутизации вредоносного трафика, а также скрывает передачу данных внутри POST-запросов, используя тот же формат multipart/form-data, который браузеры используют для загрузки.
В ходе атаки на F5 злоумышленник, получив возможность выполнить код, настроил бэкдор для реализации зашифрованного исходящего соединения TLS, которое согласует HTTP/2 и обновляет соединение до WebSocket для обеспечения постоянного туннеля C2.
Хакеры задействовали это соединение в формате прокси-сервера в стиле SOCKS для доступа к внутренним приложениям с IP-адреса устройства, передавая данные по тому же каналу, используя multipart/form-data с base64/quoted-printable и сжатие, поэтому эксфильтрация была схожа с обычным веб-трафиком.
Причем в файле ELF нет жестко прописанных доменов или учетных данных, что позволяет предположить, что злоумышленники использовали уязвимость нулевого дня для получения доступа и безпроблемного подключения к цели.
В ходе анализа было обнаружено, что злоумышленники использовали общедоступные репозитории.
При этом часть кодовой базы, по всей видимости, была получена из репозиториев, находящихся в Китае и разработанных вредоносным образом для атак на пользовательские системы.
В свою очередь, исследователи Rubrik, вооружившись результатами исследования Google по части UNC5221 и BRICKSTORM, задетектили следы бэкдора в резервных копиях своих клиентов.
Так что помимо Mandiant соответствующие IOCs теперь можно найти также в отчетах Resecurity и Rubrik - 1 и 2 (соответственно).
По данным Лаборатории Касперского, правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке стали целью новой кампании под названием PassiveNeuron.
Впервые задетектить кибершпионскую деятельность ЛК удалось еще в июне 2024 года в ходе расследования серии атак на госсектор структуры в Латинской Америке и Восточной Азии с использованием ранее недокументированных вредоносных ПО, известных как Neursite и NeuralExecutor.
При этом операция отличалась высокой степенью сложности: злоумышленники использовали уже скомпрометированные внутренние серверы в качестве промежуточной инфраструктуры C2, чтобы оставаться незамеченными.
Злоумышленник способен перемещаться по инфраструктуре и извлекать данные, при необходимости создавая виртуальные сети, которые позволяют злоумышленникам красть нужные файлы даже с машин, изолированных от интернета.
С тех пор исследователи выявили новую волну заражений, связанных с PassiveNeuron, начиная с декабря 2024 года и вплоть до августа 2025 года.
В рамках кампании злоумышленник в основном фокусируется на машинах под управлением Windows Server, получая удаленное выполнение кода (RCE) для развертывания веб-оболочек, а затем различные импланты.
На данном этапе источник кампании не установлен, хотя некоторые признаки указывают на то, что за ней стоят китайские хакеры.
Как минимум в одном инциденте злоумышленник, получил возможность удалённого выполнения команд на скомпрометированном компьютере под управлением Windows Server через Microsoft SQL.
Однако понять, каким образом не представилось возможным.
Вероятно, злоумышленник либо подбирает пароль к учётной записи администратора, либо используют уязвимость SQL-инъекции в приложении на сервере, либо пока не выявленную уязвимость в серверном ПО.
Сначала злоумышленники попытались развернуть веб-шелл ASPX для получения базовых возможностей выполнения команд, но потерпели неудачу. Затем реализовали сложные импланты через ряд DLL-загрузчиков, размещённых в каталоге System32:
- Neursite, специализированный модульный бэкдор C++;
- NeuralExecutor - это специализированный имплант .NET для загрузки дополнительных полезных данных по протоколам TCP, HTTP/HTTPS, именованным каналам или WebSockets и их выполнения.
- легитимный фреймворк Cobalt Strike.
Neursite использует встроенную конфигурацию для подключения к серверу C2 и протоколы TCP, SSL, HTTP и HTTPS для связи.
По умолчанию поддерживает сбор системной информации, управление запущенными процессами и проксирование трафика через другие машины, зараженные бэкдором, для обеспечения горизонтального распространения.
Вредоносное ПО также оснащено компонентом для загрузки вспомогательных плагинов с целью выполнения команд оболочки, управления файловой системой и операций с сокетами TCP.
В ЛК также отметили, что образцы NeuralExecutor, обнаруженные в 2024 году, были разработаны для извлечения адресов серверов C2 непосредственно из конфигурации.
Последние образцы Neursite и NeuralExecutor получали адреса C2-серверов с GitHub, что является популярной методикой среди китайскоязычных злоумышленников (APT31 и APT27), а строка PDB в одной из проанализированных DLL указывала на APT41, что в совокупности позволило Лаборатории Касперского приписать кампанию PassiveNeuron китайскоязычной APT-группе.
👨💻 DEF CON 33.
• За годы проведения мероприятия хакеры смогли доказать, с какой лёгкостью можно взломать обычный компьютер, а также продемонстрировали множество инновационных инструментов/программ, совершивших революцию в сфере информационной безопасности.
• В этом году конференция проходила с 7 по 10 августа, на которой выступило очень много специалистов, с весьма интересными докладами. Неделю назад этот материал стал доступен на официальном YT канале DEF CON. Обязательно к просмотру:
➡ https://www.youtube.com/user/DEFCON
• А еще недавно появились доклады с прошедшей конференции Black Hat Asia 2025! Также рекомендую к просмотру:
➡ BlackHatOfficialYT/videos" rel="nofollow">https://www.youtube.com/@BlackHatOfficialYT/videos
S.E. ▪️ infosec.work ▪️ VT
Спустя месяц после того, как Shai Hulud стал первым самораспространяющимся червем в экосистеме npm, исследователи Koi Security обнаружили первого в мире червя, нацеленного на расширения VS Code в ходе сложной атаки на цепочку поставок через торговую площадку OpenVSX.
Однако GlassWorm, - это не просто очередная атака на цепочку поставок.
Вредоносное ПО использует скрытные методы, которые ранее не встречались.
Koi Security отмечает, что особенностью этого червя является использование невидимых символов Unicode, благодаря которым вредоносный код буквально исчезает из редакторов кода.
Как объясняют исследователи, для разработчика, проводящего проверку кода, все выглядит как пустые строки или пробелы, а для инструментов статанализа подозрительного кода - это вообще ничего не значит.
Но для интерпретатора JavaScript - это исполняемый код.
GlassWorm разработан для кражи конфиденциальной информации с компьютеров жертв, включая учетные данные NPM, GitHub и Git, а также средств из 49 расширений криптовалюты.
Кроме того, он развертывает прокси SOCKS на зараженных машинах, устанавливает скрытые серверы VNC для предоставления злоумышленникам удаленного доступа к системам и распространяется, компрометируя пакеты и расширения через украденные креды.
GlassWorm задействует блокчейн Solana для инфраструктуры С2: он ищет в блокчейне определенные транзакции, содержащие в поле memo инструкции относительно местоположения полезной нагрузки следующего этапа.
Это, в свою очередь, гарантирует сохранность инфраструктуры, поскольку транзакции невозможно изменить или удалить из блокчейна, а также обеспечивает злоумышленникам анонимность.
Более того, злоумышленники могут легко изменить полезную нагрузку или её местоположение, просто опубликовав новую транзакцию для вредоносной ПО.
В целом, это реальная, готовая к использованию инфраструктура С2, которую буквально невозможно обезвредить.
Кроме того, вредоносная ПО использует Google Calendar в качестве резервного сервера С2, из которого она извлекает другую полезную нагрузку для превращения зараженных систем в узлы в инфраструктуре злоумышленника, развертывая прокси-сервер SOCKS, модули WebRTC для одноранговой связи и скрытый VNC для удаленного управления.
По данным Koi Security, кампания стартовала 17 октября: были скомпрометированы семь расширений VS Code для OpenVSX.
Учитывая способность вредоносного ПО к самораспространению, после установки зараженных пакетов пользователями были скомпрометированы и другие расширения.
18 октября, после того как двое изначально скомпрометированных разработчиков опубликовали чистые версии своих пакетов, Koi обнаружила 10 расширений, которые по-прежнему содержали вредоносное ПО.
Ещё одно расширение было обнаружено на следующий день в Microsoft VS Code.
К настоящему времени инфраструктура C2 злоумышленника полностью работоспособна - серверы полезной нагрузки отвечают, а украденные учетные данные используются для компрометации дополнительных пакетов.
По данным Koi, заражённые расширения были установлены более 35 800 раз.
Учитывая, что расширения VS Code обновляются автоматически, скомпрометированные пакеты заразили всех разработчиков, у которых они были установлены, без взаимодействия с пользователем.
Исследователи из Лаборатории Касперского выкатили отчет с описанием инцидента, связанного с AdaptixC2, который демонстрирует растущую тенденцию использования экосистем открытого программного обеспечения, таких как npm, в качестве вектора атак.
В начале 2025 года в открытом доступе была опубликована первая версия фреймворка для постэксплуатации AdaptixC2, который можно назвать альтернативой известному Cobalt Strike.
Весной 2025 года были зафиксированы первые случаи применения этого фреймворка злоумышленниками во вредоносных целях.
В октябре 2025 года ресерчеры ЛК обнаружили вредоносный пакет npm с достаточно убедительным именем https-proxy-utils, который был представлен как инструмент для использования прокси в проектах.
На данный момент этот пакет уже был удален из реестра.
Название пакета напоминает популярные легитимные пакеты: http-proxy-agent с приблизительно 70 млн. загрузок в неделю и https-proxy-agent с 90 млн.
Заявленная функциональность для работы с прокси полностью скопирована из другого популярного легитимного пакета, proxy-from-env, с 50 миллионами загрузок в неделю.
Однако, помимо этого, злоумышленники внедрили в пакет https-proxy-utils постинсталляционный скрипт, который загружает и запускает полезную нагрузку с агентом AdaptixC2.
Причем злоумышленники предусмотрели в скрипте различные способы загрузки полезной нагрузки в зависимости от ОС жертвы: в каждой системе имплант загружается и запускается определенным образом при помощи системных или пользовательских директорий.
Так, на Windows агент AdaptixC2 загружается в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускается в системе при помощи DLL Sideloading.
Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что, в свою очередь, загружает вредоносную библиотеку.
На macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents.
В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist.
Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру - x64 или ARM - и в зависимости от нее скачивает соответствующую полезную нагрузку.
На Linux агент фреймворка загружается во временную директорию /tmp/.fonts-unix.
Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.
Установив агент фреймворка AdaptixC2 на устройстве жертвы, злоумышленники получают возможности удаленного доступа, выполнения команд, управления файлами и процессами, а также различные способы закрепления в системе.
Это позволяет атакующим не только сохранять устойчивый доступ, но и проводить анализ сети и разворачивать последующие стадии атаки.
Рекомендации и IOCs - в отчете.
Новая атака на цепочку мудаков охватывает более 75 000 устройств безопасности WatchGuard Firebox, которые остаются уязвимыми к критической уязвимости (CVE-2025-9242), позволяющей удаленному злоумышленнику выполнить код без аутентификации.
Устройства Firebox выступают в роли центрального защитного узла, который контролирует трафик между внутренними и внешними сетями, обеспечивая защиту посредством политик, служб безопасности, VPN и мониторинга в реальном времени через WatchGuard Cloud.
По данным Shadowserver Foundation, в настоящее время по всему миру обнаружено 75 835 уязвимых устройств Firebox, большинство из которых находится в Европе и Северной Америке.
В частности, США возглавляют список с 24 500 конечными точками, далее следует Германия (7 300), Италия (6 800), Великобритания (5 400), Канада (4 100) и Франция (2 000). В России их тоже имеется, хоть и немного - до 300 единиц.
WatchGuard сообщила о CVE-2025-9242 в бюллетене безопасности от 17 сентября и присвоила ей критический уровень серьёзности 9,3.
Она связана с записью данных за пределами допустимого диапазона в процессе Fireware OS iked, который отвечает за согласование VPN по протоколу IKEv2.
Уязвимость можно эксплуатировать без аутентификации, отправляя специально созданные пакеты IKEv2 на уязвимые конечные точки Firebox, заставляя его записывать данные в непреднамеренные области памяти.
CVE-2025-9242 влияет только на устройства Firebox, использующие IKEv2 VPN с динамическими шлюзами, в версиях с 11.10.2 по 11.12.4_Update1, с 12.0 по 12.11.3 и 2025.1.
Поставщик рекомендует обновиться до одной из следующих версий: 2025.1.1, 12.11.4, 12.5.13 или 12.3.1_update3 (B722811). При этом поддержка версии 11.x прекращена и для нее обновлений не планируется.
Для устройств, настроенных только с использованием VPN к статическим одноранговым шлюзам, поставщик указывает на документацию по защите соединения с использованием протоколов IPSec и IKEv2 в качестве временного решения.
Несмотря на то, что сообщений об активной эксплуатации CVE-2025-9242 пока не фиксировалось, это определенно случится в самой ближайшей перспективе, если принимать во внимание столь широкий и доступный для отработки горизонт потенциальных жертв.
За последние две недели специалисты Trend Micro обнаружили SORVEPOTEL, червя WhatsApp, массово распространяющегося по всей Бразилии через ZIP-файлы, содержащие вредоносный LNK-файл, который не блокируется на платформе обмена сообщениями.
В свою очередь, исследователи из Лаборатории Касперского, в своем отчете отмечают, что этот червь в настоящее время используется для распространения нового банковского трояна Maverick.
Согласно телеметрии ЛК, все жертвы находились в Бразилии, но троян потенциально может распространяться и на другие страны.
Тем не менее, вредоносная ПО в настоящее время нацелена только на бразильцев.
Чтобы избежать обнаружения, C2 проверяет каждую загрузку, чтобы убедиться, что она исходит от самого вредоносного ПО.
Выявленная цепочка заражения полностью бесфайловая и представляет собой одну из самых сложных цепочек заражения, когда-либо обнаруженных ЛК, предназначенная для загрузки банковского трояна.
Конечная полезная нагрузка имеет множество совпадений и сходств кода с банковским трояном Coyote, который исследователи ЛК задокументировали в 2024 году.
Весьма вероятно, что Maverick - это новый банковский троян, использующий общий код Coyote, что может указывать на то, что разработчики последнего полностью рефакторили и переписали значительную часть своих компонентов.
После установки троян использует проект с открытым исходным кодом WPPConnect для автоматизации отправки сообщений в взломанные аккаунты через WhatsApp Web, используя этот доступ для отправки вредоносного сообщения контактам.
Maverick проверяет часовой пояс, язык, регион, а также формат даты и времени на зараженных компьютерах, чтобы убедиться, что жертва находится в Бразилии, в противном случае вредоносное ПО не будет установлено.
Банковский троян способен полностью контролировать зараженный компьютер, делая снимки экрана, следя за браузерами и сайтами, устанавливая кейлоггер, управляя мышью, блокируя экран при посещении банковского сайта, завершая процессы и открывая фишинговые страницы в оверлее.
Его цель - перехват банковских учётных данных.
После активации Maverick отслеживает доступ жертв к 26 сайтам бразильских банков, 6 сайтам обмена криптовалют и 1 платежной платформе.
Все заражения являются модульными и выполняются в памяти с минимальной дисковой активностью, с использованием PowerShell, .NET и шелл-кода, зашифрованного с помощью Donut.
Новый троян задействует ИИ в процессе написания кода, особенно при расшифровке сертификатов и общей разработке кода.
Исследователи отмечают, что Maverick работает как любой другой банковский троян, но при этом выделяют весьма тревожные факторы: червеобразная природа позволяет ему распространяться экспоненциально и, соответственно, оказывать значительное воздействие.
Только за первые 10 дней октября на территории одной Бразилии решения Лаборатории Касперского обеспечили блокировку 62 тысяч попыток заражений с использованием вредоносного LNK-файла.
Все технические подробности - как всегда, в отчете.
Microsoft не стала изменять своим стандартам и вновь приступила к разработке очередного экстренного патча для устранения проблем предыдущего патча.
Компания подтвердила, что октябрьское обновление для Windows 11 (версии 25H2 и 24H2) привело к нарушениям в работе протокола HTTP/2 и фактически полной неработоспособности локального доменного имени localhost (127.0.0.1).
Кроме того, некоторые из пользователей столкнулись с другой не менее серьезной проблемой - USB-клавиатура и мышь перестают работать в среде восстановления Windows (WinRE), делая невозможным восстановление системы без PS/2-устройств.
Это означает, что если система не загружается и вы попадаете в режим восстановления, клавиатура и мышь не будут работать, и вы не сможете выбрать ни один из пунктов меню.
Примечательно, что новое голосовое управление Hey Copilot!, которое в будущем должно заменить клавиатуру и мышь, здесь тоже не поможет - оно не работает вне ОС.
Так что сначала Microsoft пришлось экстренно выпустить обходное решение после того, как обновление нарушило работу аутентификации через localhost.
Теперь Microsoft обещает исправить и другую ошибку с восстановлением системы.
Наблюдая за недавними многочисленными утечками в отношении «враждебных» западным странам APT и банд вымогателей, мы неоднократно упоминали о причастности к этим сливам спецслужб, которые подобным образом легализовывали свои оперативные материалы.
И, наконец-то, подкатили пруфы, причем с первых полос ведущих европейских изданий.
Журналисты Le Monde и Zeit выкатили свой компромат, но не по хакерам, а в отношении деятельности секретной оперативной группы ФБР США под названием Группа 78.
Как сообщается, основной целью подразделения является создание «невыносимых» условий для жизни российских киберпреступников, используя абсолютно незаконные формы и методы.
По мнению их европейских коллег, критиковавших этот откровенный беспредел, это должно было побудить хакеров покинуть пределы российской юрисдикции, что делало их уязвимыми для экстрадиционных процедур.
В противном случае - просто парализовать их работу в России через дискредитацию.
Собственно, инициированные через журналистский корпус или же под легендой групп-конкурентов утечки служат отличным инструментов для подрыва репутации киберпреступников перед окружением и в среде российских правоохранителей.
В материале отмечается, что наиболее возмущение у представителей парижской прокуратуры вызвала масштабная утечка в Telegram, жертвой которой стала банда вымогателей BlackBasta, чья переписка стала достоянием широкой общественности.
Вместе с тем, точных доказательств причастности к этому Группы 78, кончено же, нет.
Тем не менее, европейцы считают, что именно Группа 78 по самые уши вмешалась в официальное расследование в отношении BlackBasta, чем фактически нивелировали эффективность судебных мер.
В общем, ЧТД.
Исследователи Symantec сообщают об атаке китайской группы Jewelbug на российского поставщика ИТ-услуг, в результате которой хакеры проникли в сеть и находились с января по май 2025 года.
Jewelbug также пересекается с кластерами угроз, известными как CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
По данным исследователей, группа активна по крайней мере с 2023 года и, в первую очередь, нацелена на правительственные учреждения, технологий, логистику, производства, телеком, ИТ и ритейл в Азиатско-Тихоокеанском региона и Латинской Америке.
В арсенале задействуется вредоносное ПО VARGEIT и COBEACON (Cobalt Strike Beacon). Кроме того, хакеры распространяли продвинутый бэкдор FINALDRAFT (Squidoor), способный заражать как Windows-, так и Linux-системы.
Сообщает, что в ходе названного инцидента злоумышленники имели доступ к репозиториям кода и системам сборки ПО, которые они потенциально могли использовать для проведения атак на цепочки поставок, нацеленных на клиентов компании в России.
Примечательно, что для эксфильтрации хакеры применяли Яндекс iCloud.
Помимо этого Jewelbug использовала модифицированный Microsoft Console Debugger («cdb.exe»), который можно использовать для запуска шелл-кода и обхода белого списка приложений, а также исполняемых файлов, DLL-библиотек и завершения работы решений по безопасности.
Злоумышленник также сбросывал учетные данные, обеспечивал устойчивость с помощью запланированных задач и попытках скрыть следы своей деятельности путем очистки журналов событий Windows.
Исследователи также обращают внимание и на другой инцидент, связанный со взломом крупной южноамериканской правительственной организации в июле 2025 года.
В атаке задействовался ранее недокументированный бэкдор, который, как сообщается, находится в стадии разработки. Вредоносная ПО использует API Microsoft Graph и OneDrive для C2 и способна собирать системную информацию, файлы и загружать эту информацию в OneDrive.
Использование API Microsoft Graph позволяет злоумышленникам скрываться среди обычного сетевого трафика и оставлять минимум криминалистических артефактов, что затрудняет анализ после инцидента и увеличивает время обнаружения злоумышленников.
Среди других жертв Jewelbug отмечены: поставщик ИТ-услуг из Южной Азии и тайваньская компания(в октябре и ноябре 2024 года), при этом в атаке на последнюю хакеры использовали DLL Hijacking для внедрения полезных нагрузок, включая традиционный ShadowPad.
Цепочка заражения также характеризуется использованием инструмента KillAV для отключения ПО безопасности и общедоступного EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи ядра в античит-драйвере ECHOAC в рамках, по-видимому, атаки BYOVD.
Также использовались LSASS и Mimikatz для сброса учетных данных, свободно распространяемые PrintNotifyPotato, Coerced Potato и Sweet Potato для обнаружения и повышения привилегий, а также утилита SOCKS-туннелирования EarthWorm, которая использовалась такими китайскими группами, как Gelsemium, Lucky Mouse и Velvet Ant.
При этом Symantec так и не удалось не установить начальный вектор заражения, который использовался для взлома организаций во всех отмеченных инцидентах.
Безусловно, новые артефакты указывают на расширение географического таргета группы, однако ничего нового с точки зрения практики российского инфосека по части активности китайцев Symantec особо не открыли.