39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи SEC Consult поделились подробностями своего исследования систем контроля физического доступа Dormakaba, в ходе которого было обнаружено более 20 уязвимостей, позволяющих удаленно взломать двери крупных европейских компаний.
Ошибки затрагивают программное обеспечение централизованного управления Exos от Dormakaba, менеджера доступа к оборудованию и регистрационных устройств, обеспечивающих контроль доступа с помощью кода, сканера отпечатков пальцев или чип-карт.
Среди найденных проблем - несколько типов уязвимостей, включая жестко закодированные учетные данные и ключи шифрования, слабые пароли, отсутствие аутентификации, небезопасная генерация паролей, локальное повышение привилегий, утечка данных, обход пути выполнения и проблемы внедрения команд.
Уязвимое решение преимущественно внедрено крупными предприятиями в Европе, включая промышленные холдинги, энергетические и логистические компании, а также управляющие компании аэровоздушного транспорта.
Эффективная реализация выявленных SEC Consult уязвимостей могла бы позволить злоумышленникам напрямую открывать двери, получать PIN-коды доступа или проводить дальнейшие атаки в скомпрометированной среде.
В общей сложности было выявлено более 20 уязвимостей, и в течение последних полутора лет компания работала над выпуском исправлений и рекомендаций по повышению безопасности.
Потенциально пострадали несколько тысяч клиентов. Dormakaba также находится в контакте с крупными клиентами, дабы загарантировать безопасность их систем доступа.
По мнению поставщика, для успешной эксплуатации уязвимостей злоумышленнику необходим предварительный доступ к инфраструктуре клиента.
В результате, эксплуатация уязвимости будет возможна только внутри собственной защищенной сети клиента.
Однако SEC Consult смогли задетектить несколько десятков систем, доступных через Интернет, которые потенциально были уязвимы и могли стать целью хакеров.
При этом механизм эксплуатации исследователи продемонстрировали в видео формате.
Как отмечают в Dormakaba, к настоящему времени ей неизвестны какие-либо случаи эксплуатации выявленных уязвимостей. Но будем посмотреть.
Microsoft экстренно выпустила внеплановые обновления безопасности для устранения серьезной 0-day в Microsoft Office, которая задействовалась в реальных кибератаках.
Уязвимость отслеживается как CVE-2026-21509 и затрагивает несколько версий Office, включая Microsoft Office 2016, Microsoft Office 2019, Microsoft Office LTSC 2021, Microsoft Office LTSC 2024 и Microsoft 365 Apps for Enterprise.
Уязвимость позволяет обходить меры защиты от уязвимостей OLE в Microsoft 365 и Microsoft Office, предназначенные для защиты пользователей от уязвимых элементов управления COM/OLE.
Хотя панель предварительного просмотра не является вектором атаки, неавторизованные локальные злоумышленники все же могут успешно использовать эту уязвимость с помощью простых атак, требующих взаимодействия с пользователем.
Как отмечают в Microsoft, «использование ненадежных данных при принятии решений по безопасности в Office позволяет неавторизованному злоумышленнику обойти локальную функцию безопасности».
Для реализации злоумышленнику необходимо отправить целевому пользователю вредоносный файл Office и убедить его открыть.
Компания Microsoft выпустила исправления для всех затронутых версий Office, включая 2016, 2019, LTSC 2024, LTSC 2021 и Microsoft 365 Apps for Enterprise.
Для пользователей, которые не могут немедленно обновить свои установки Office, также доступны соответствующие меры по смягчению последствий, которые могут «снизить серьезность эксплуатации уязвимости».
Уязвимость и атаки в реальных условиях были обнаружены собственными исследователями безопасности Microsoft, но компания пока не предоставила никакой информации о вредоносной активности.
Необходимость применения методов социнженерии в сочетании со сложностью эксплойта и потенциальной необходимостью многоэтапной цепочки атак указывает на то, что эта 0-day используется для целенаправленного шпионажа, нежели для широкомасштабных кампаний.
Исследователи BI.ZONE в декабре 2025-го и январе 2026 года выявили вредоносную активность нового кластера Vortex Werewolf (SkyCloak), нацеленнную на российские организации в сфере госуправления и оборонно-промышленного комплекса.
Причем согласно отчетам Cyble и Secrite (1 и 2 соответственно), ранее целями Vortex Werewolf также становились белорусские государственные и оборонные структуры.
Согласно результатам исследования сетевой инфраструктуры, Vortex Werewolf активен как минимум с декабря 2024 года. Также следует отметить, что злоумышленники используют Cloudflare в своей сетевой инфраструктуре.
Установить метод получения первоначального доступа не представилось возможным, но предполагается, что злоумышленники доставляют вредоносное ПО с помощью фишинговых рассылок как по электронной почте, так и напрямую через мессенджер Telegram.
Жертве отправляют замаскированную под адрес в Telegram ссылку для загрузки документа - архива, содержащего вредоносный LNK-файл, и дополнительного архива с набором файлов, ключевым из которых является PowerShell-скрипт.
Фишинговая страница имитирует процесс загрузки файла, но на самом деле запускает процедуру восстановления доступа к аккаунту Telegram. В ходе атаки злоумышленники также могут получить доступ к телеграм‑аккаунту жертвы.
В ряде случаев, чтобы повысить правдоподобие атаки, злоумышленники размещали на фишинговой странице отвлекающий документ с намеренно размытым визуально содержимым.
Важно отметить, что Vortex Werewolf использует сервис GitHub Pages для размещения статических ресурсов на JavaScript и CSS, при этом для каждого фишингового домена создается отдельный репозиторий с этими ресурсами.
После успешной проверки введенного кода, а также пароля при включенной двухфакторной аутентификации формируется ссылка, переход по которой инициирует загрузку ZIP-архива, размещенного в сервисе Dropbox.
Чтобы инициировать процесс компрометации системы, жертва должна распаковать ZIP‑архив и запустить содержащийся в нем LNK‑файл.
После успешной компрометации в системе устанавливаются Tor и OpenSSH, при этом для связи с управляющей инфраструктурой использовались obfs4‑мосты, а не публичные входные узлы сети Tor.
Также настраивается удаленный доступ через сеть Tor по протоколам RDP, SMB, SFTP и SSH. Для устойчивости вредоносное ПО закрепляется в планировщике Windows через создание задач.
Как отмечают специалисты, Vortex Werewolf напоминает Core Werewolf: у кластеров схожие цели и регионы атак, они применяют SSH для организации удаленного доступа к скомпрометированным системам, а еще используют отвлекающие документы военной тематики.
Но достаточными данными для однозначной атрибуции Vortex Werewolf к Core Werewolf у BI.ZONE пока нет, так что эта активность рассматривается как отдельный кластер угроз.
Технические подробности и IOCs - в отчете.
CISA на пару с Broadcom предупреждают, что критическая RCE-уязвимость в VMware vCenter Server теперь активно используется злоумышленниками в реальных условиях.
CVE-2024-37079 была исправлена еще в июне 2024 года и связана с переполнением памяти в реализации протокола DCERPC в vCenter Server (платформа управления Broadcom VMware vSphere для управления хостами и виртуальными машинами ESXi).
Злоумышленники с сетевым доступом к vCenter Server могут использовать эту уязвимость, отправляя специально сформированный сетевой пакет, который способен инициировать удаленное выполнение кода в рамках простых атак, не требующих привилегий в целевых системах или взаимодействия с пользователем.
Для CVE-2024-37079 не существует обходных путей или способов её устранения, поэтому компания Broadcom рекомендовала клиентам как можно скорее установить обновления для последних версий vCenter Server и Cloud Foundation.
В свою очередь, CISA в конце прошлой недели добавила эту уязвимость в свой каталог уязвимостей, используемых злоумышленниками (KEV), отмечая, что этот тип уязвимости является частым вектором атак и несет значительные риски.
В тот же день Broadcom обновила свое изначальное уведомление и подтвердила, что ей также известно о том, что уязвимость CVE-2024-37079 была использована злоумышленниками в реальных условиях.
Какой-либо конкретной информацией об атаках и характере эксплуатации ни CISA, ни Broadcom не поделились. Будем следить.
Спустя несколько дней после того, как многие начали сообщать о взломе своих полностью обновленных межсетевых экранов, Fortinet наконец-то подтвердила эти сообщения.
Отметив также, что продолжающиеся атаки CVE-2025-59718 соответствуют вредоносной активности декабря, и в настоящее время она работает над полным устранением уязвимости.
Заявление последовало после волны сообщений от клиентов Fortinet о том, что злоумышленники используют обходной путь для реализации уязвимости CVE-2025-59718, чтобы скомпрометировать полностью обновленные межсетевые экраны.
Ранее в среду, Arctic Wolf сообщала, что наблюдаемая кампания началась 15 января, когда злоумышленники создали учетные записи с доступом к VPN и за считанные секунды украли конфигурации брандмауэра, что, по всей видимости, является автоматизированной атакой.
Компания также добавила, что эти атаки очень схожи с инцидентами, задокументированными ее специалистами в декабре после обнаружения критической CVE-2025-59718 в продуктах Fortinet.
В свою очередь, в Fortinet отмечают, что недавно небольшое количество клиентов сообщили о неожиданной активности при входе в систему на своих устройствах, которая была очень похожа на предыдущую проблему.
Однако за последние 24 часа были выявлены ряд случаев, когда уязвимость была обнаружена на полностью обновленном до последней версии устройстве, что указывает на новый путь атаки.
Fortinet заявляет, что выявила проблему и работает над ее устранением, соответствующе уведомление будет выпущено по мере того, как станут известны объем и сроки исправления.
Важно отметить, что хотя на данный момент наблюдается только эксплуатация уязвимости FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO.
До тех пор, пока Fortinet полностью не устранит уязвимость CVE-2025-59718, Windsor рекомендует ограничить административный доступ к периферийным сетевым устройствам через Интернет, применив локальную политику для ограничения IP, имеющих доступ к административным интерфейсам устройств.
Администраторам также следует отключить функцию единого входа FortiCloud на своих устройствах Fortinet.
Клиентам Fortinet, обнаружившим какие-либо IOC при проверке устройств на наличие доказательств взлома, следует считать систему и конфигурацию скомпрометированными, сменить учетные данные (включая любые учетные записи LDAP/AD) и восстановить конфигурацию с помощью заведомо чистой версии.
Pentera сообщает, что уязвимые приложения для пентеста (DVWA, OWASP Juice Shop, Hackazon и bWAPP) задействуются хакерами для получения доступа к облачным средам компаний из списка Fortune 500, включая ведущих ИБ-поставщиков.
В ходе расследования были обнаружены доказательства того, что хакеры используют этот вектор атаки для компрометации систем и развертывания криптомайнеров, внедрения веб-оболочек или перехода к работе с конфиденциальными системами.
Как оказалось, тестовые веб-приложения достаточно уязвимы и представляют собой серьезный риск компрометации при размещении в общедоступном месте и запуске из привилегированной облачной учетной записи.
Исследователи Pentera обнаружили 1926 действующих уязвимых приложений, размещенных в интернете, которые часто связаны с чрезмерно привилегированными ролями IAM и развернуты в облачных средах AWS, GCP и Azure.
По данным Pentera, уязвимые приложения принадлежат нескольким компаниям из списка Fortune 500, включая Cloudflare, F5 и Palo Alto Networks, которые получили результаты исследований и быстренько устранили проблемы.
Во многих из случаях были раскрыты наборы учетных данных облачного сервиса, не соблюдались рекомендуемые принципы «минимальных привилегий», а более чем в половине ситуаций - вообще использовались дефолтные учетные данные.
Обнаруженные Pentera в ходе расследования креды позволяли злоумышленникам получить полный доступ к хранилищам S3, GCS и Azure Blob Storage, права на чтение и запись в Secrets Manager, возможность взаимодействия с реестрами контейнеров и получение административного доступа к облачной среде.
В отчете Pentera Labs подтвердила, что риск не носит теоретический характер: хакеры уже использовали эти точки входа. Из 616 обнаруженных экземпляров DVWA примерно в 20% были обнаружены артефакты, развернутые злоумышленниками.
Доказательства взлома были обнаружены при оценке нескольких неправильно настроенных, уязвимых приложений. Исследователи создали командные оболочки на машинах и сосканили данные, пытаясь определить их владельцев.
Для майнинга криптовалюты злоумышленниками использовался инструмент XMRig, который в фоновом режиме активно добывал Monero (XMR).
Исследователи также обнаружили усовершенствованный механизм сохранения данных с помощью скрипта под названием watchdog.sh. При удалении скрипт восстанавливался из резервной копии, закодированной в base64, и снова загружал XMRig с GitHub.
Скрипт также загружает из Dropbox дополнительные инструменты, зашифрованные с использованием алгоритма AES-256, и уничтожает конкурирующие майнеры на скомпрометированном хосте.
В других случаях используовалась веб-оболочка PHP под названием filemanager.php, которая поддерживает операции с файлами (чтение, запись, удаление, загрузка, выгрузка) и выполнение команд.
Веб-оболочка содержала жестко закодированные учетные данные для аутентификации и имела часовой пояс, установленный на Europe/Minsk (UTC+3), что может указывать на происхождение операторов.
Pentera рекомендует организациям вести полный учет всех облачных ресурсов, включая тестовые приложения, и изолировать их от производственной среды.
Кроме того, следует обеспечить соблюдение ролей IAM с минимальными привилегиями для непроизводственных систем, изменить учетные данные по умолчанию и настроить автоматическое истечение срока действия временных ресурсов.
🔐 Взлом умных замков.
• Хорошая статья от специалистов "Бастион", в которой описаны пять векторов атак на умные замки. Материал демонстрирует, что красивая технологическая оболочка не всегда означает настоящую защиту.
• Тема весьма интересная и ее редко обсуждают в паблике, поэтому рекомендую к прочтению.
➡ Читать статью [7 min].
S.E. ▪️ infosec.work ▪️ VT
Исследователи Dr.Web изучили новое семейство троянов для Android, ориентированных на мошенничество с кликами и использующих модели машинного обучения TensorFlow для автоматического обнаружения и взаимодействия с определенными рекламными элементами.
Механизм основан на визуальном анализе с использованием машинного обучения, а не на заранее определенных алгоритмах кликов на JavaScript. При том также не включает в себя взаимодействие на уровне DOM с помощью скриптов, как классические трояны.
Злоумышленник использует TensorFlow.js, библиотеку с открытым исходным кодом, разработанную Google для обучения и развертывания моделей машинного обучения на JavaScript. Она позволяет запускать модели ИИ в браузерах или на серверах с использованием Node.js.
Как отмечают исследователи Dr.Web, новое семейство троянов для Android распространяется через GetApps, официальный магазин приложений для устройств Xiaomi.
Они обнаружили, что вредоносная ПО может работать в режиме, называемом «фантомным», который использует скрытый встроенный браузер на основе WebView для загрузки целевой страницы для мошенничества с кликами и файла JavaScript.
При этом основное предназначение скрипта - автоматизировать действия с рекламой, отображаемой на загруженном сайте.
После загрузки обученной модели с удаленного сервера скрытый браузер размещается на виртуальном экране, производятся снимки экрана для анализа и идентификации соответствующих элементов с помощью TensorFlow.js.
Нажав на нужный элемент пользовательского интерфейса, вредоносная ПО воспроизводит обычную активность пользователя.
Такой метод более эффективен и устойчив к изменчивости современной рекламы, поскольку большинство таких объявлений являются динамическими, часто меняют свою структуру и нередко используют iframe или видео.
Второй режим, называемый «сигнализацией», использует WebRTC для потоковой передачи видеопотока с виртуального экрана браузера злоумышленникам, позволяя им выполнять действия в реальном времени, такие как касания, прокрутка и ввод текста.
Злоумышленник распространяет вредоносное ПО через игры в каталоге ПО Xiaomi GetApps. Первоначально приложения загружаются без вредоносной функциональности, а вредоносные компоненты добавляются в последующих обновлениях.
Среди некоторых из зараженных игр, выявленных Dr.Web: Theft Auto Mafia (61 000 загрузок), Cute Pet House (34 000), Creation Magic World (32 000), Amazing Unicorn Party (13 000), Open World Gangsters (11,000), Sakura Dream Academy (4,000) и др.
Помимо приложений на серверах Xiaomi трояны также распространяются через сторонние сайты с APK-файлами (например, Apkmody и Moddroid, моды оригинальных приложений Spotify, YouTube, Deezer и Netflix).
Примечательно, что большинство приложений на странице «выбор редакции» сайта Moddroid оказались заражены. Кроме того, в ход идут Telegram-каналы, распространяя, например, такие приложения, как Spotify Pro, Spotify Plus - Official, Moddroid.com и Apkmody Chat.
Dr.Web также обнаружила сервер Discord с 24 000 подписчиков, на котором распространялось зараженное приложение Spotify X.
Исследователи отмечают, что по крайней мере некоторые из этих приложений «действительно работают», что снижает подозрения пользователей.
В сочетании с тем фактом, что мошенничество с кликами осуществляется скрытно в скрытом WebView, отображающем контент на виртуальном экране, это означает, что жертвы не увидят никаких признаков вредоносной активности.
Технические подробности и IOCs - в отчете.
Cisco устранила критическую RCE-уязвимость в Unified Communications и Webex Calling, отслеживаемую как CVE-2026-20045, которая активно использовалась в качестве 0-day в атаках.
CVE-2026-20045 затрагивает Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection и Webex Calling Dedicated Instance.
По данным Cisco, удаленный, неаутентифицированный злоумышленник может использовать уязвимость CVE-2026-20045 для выполнения вредоносных команд в операционной системе устройства.
Ошибка обусловлена некорректной проверкой входных данных, предоставляемых пользователем в HTTP-запросах.
0-day, о которой сообщили неназванные сторонние исследователи, может быть использована путем отправки специально сформированных HTTP-запросов к веб-интерфейсу управления целевого экземпляра.
Успешная эксплуатация уязвимости может позволить злоумышленнику получить доступ к операционной системе на уровне пользователя, а затем повысить свои привилегии до уровня root.
Несмотря на то, что CVE-2026-20045 имеет оценку CVSS 8,2, Cisco присвоила ей критический уровень серьезности, поскольку ее эксплуатация приводит к получению root-доступа к серверам.
Cisco выкатила следующие обновления и файлы исправлений для устранения уязвимости:
- Cisco Unified CM, CM SME, CM IM&P и Webex Calling - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), релиз 15 (15SU4 (март 2026 г.) или патч);
- Cisco Unity Connection - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), 15 (15SU4 (март 2026 г.) или патч).
В настоящее время отсутствует какая-либо общедоступная информация об атаках, нацеленных на уязвимость CVE-2026-20045.
Тем не менее, Cisco PSIRT отметила в своем уведомлении, что ей «известны попытки эксплуатации этой уязвимости в реальных условиях».
Согласно телеметрии Hunter, в настоящее время около 1300 экземпляров Cisco Unified CM находятся в открытом доступе через интернет, причем почти половина из них - в США.
Cisco настоятельно рекомендует клиентам как можно скорее обновить ПО до последней версии, учитывая, что обойти эту уязвимость без установки обновлений невозможно.
Клиенты Fortinet столкнулись с последствиями некорректного исправления критической уязвимости аутентификации FortiGate (CVE-2025-59718): злоумышленники используют обход исправления для взлома полностью обновленных межсетевых экранов.
Со слов одного из пострадавших, Fortinet якобы подтвердила, что в последней версии FortiOS (7.4.10) не до конца была устранена уязвимость обхода аутентификации, которая изначально должна была быть исправлена в начале декабря с выпуском FortiOS 7.4.9.
По имеющимся данным, Fortinet также планирует в ближайшие дни выпустить FortiOS 7.4.11, 7.6.6 и 8.0.0 для полного устранения уязвимости в системе безопасности.
В одном из инцидентов админы зафиксировали вредоносную попытку входа через SSO на одном из устройств FortiGate, работающем под управлением версии 7.4.9 (FGT60F).
SIEM задетектила создание локальной учетной записи администратора с помощью SSO-входа пользователя cloud-init@mail.io с IP-адреса 104.28.244.114, аналогично взлому через CVE-2025-59718, что подтвердили логи.
Причем они выглядели также, как в случае с предыдущей эксплуатацией ошибки, выявленной Arctic Wolf в декабре 2025, когда злоумышленники активировали уязвимость посредством специально созданных SAML-сообщений для компрометации аккаунтов администраторов.
Аналогичную ситуацию описывают и другие пользователи, которые также получили от Fortinet подтверждение о неполном устранении проблемы в версии 7.4.10.
В самой Fortinet на вопросы по поводу сообщений о начавшейся вредоносной кампании, нацеленной на CVE-2025-59718, пока никак не реагируют, обещая лишь все исправить в будущих версиях 7.4.11, 7.6.6, 8.0.0.
До тех пор, пока Fortinet не выпустит полностью исправленную версию FortiOS, администраторам рекомендуется временно отключить уязвимую функцию входа в FortiCloud (если она включена) для защиты своих систем от атак.
Как пояснила Fortinet в своем первоначальном уведомлении, SSO FortiCloud, являющаяся целью атак, по умолчанию отключена, если устройство не зарегистрировано в FortiCare, что должно сократить общее количество уязвимых устройств.
Однако, по данным Shadowserver, в середине декабря 2025 года более 25 000 устройств Fortinet с включенной функцией единого входа FortiCloud SSO были по-прежнему доступны из сети.
На данный момент более половины из них защищены, и если верить Shadowserver, более 11 000 устройств по-прежнему остаются доступными через Интернет.
Wordfence предупреждает о критической уязвимости в плагине Advanced Custom Fields: Extended (ACF Extended) для WordPress, которая может быть удаленно использована неавторизованными злоумышленниками для получения административных прав.
ACF Extended в настоящее время используется на более чем 100 000 сайтах, - это специализированный плагин, расширяющий возможности плагина Advanced Custom Fields (ACF) функциями для разработчиков и создателей сайтов.
Уязвимость отслеживается как CVE-2025-14533 и может быть использована для получения административных привилегий путем злоупотребления действием формы «вставить пользователя/обновить пользователя» плагина в версиях ACF Extended 0.9.2.1 и более ранних.
Уязвимость возникает из-за отсутствия контроля за соблюдением ограничений ролей при создании или обновлении пользователей на основе форм, и её использование работает даже тогда, когда ограничения ролей должным образом настроены в параметрах поля.
В виду отсутствия ограничений на поля формы роль пользователя может быть установлена произвольно, даже на администратора, независимо от настроек поля, если в форму добавлено поле для указания роли.
Как и любая EoP-уязвимость, CVE-2025-14533 может быть использована для полного взлома сайта.
Несмотря на серьёзные последствия, Wordfence считает, что ошибка может быть использована только на сайтах, где явно используется одна из названных форм с соответствующим полем роли.
CVE-2025-14533 была обнаружена исследователем Андреа Боккетти, который 10 декабря 2025 года сообщил о ней в Wordfence для подтверждения проблемы и передачи поставщику. Четыре дня спустя поставщик выпустил исправление в версии ACF Extended 0.9.2.2.
Согласно статистике загрузок wordpress, с тех пор плагин скачали примерно 50 000 пользователей. Так что если предположить, что все загрузки - для последней версии, то примерно такое же количество сайтов подвержено атакам.
Несмотря на то, что конкретных атак, нацеленных на CVE-2025-14533, пока не зафиксировано, в GreyNoise задетектили масштабную кампанию по разведке в отношении плагинов WordPress, направленную на выявление потенциально уязвимых сайтов.
Согласно телеметрии GreyNoise, с конца октября 2025 года по середину января 2026 года почти 1000 IP-адресов в 145 автономных системах атаковали 706 различных плагинов WordPress, совершив более 40 000 уникальных сканирований.
Наиболее востребованными плагинами являются Post SMTP, LiteSpeed Cache, Loginizer, SEO by Rank Math, Elementor и Duplicator. Ранее первые два из списка подвергались активной эксплуатации в начале ноября 2025 года и в августе 2024 года соответственно.
Стартовал Pwn2Own Automotive 2026, в первый день которого участникам хакерского поединка удалось взломать информационно-развлекательную систему Tesla и заработать 516 500 долл., используя 37 0-day.
Команда Synacktiv получила 35 000 долларов, успешно применив цепочку уязвимостей, связанных с утечкой информации и записью за пределы допустимого диапазона, для получения root на информационно-развлекательную систему Tesla в категории атак через USB.
Они также применили цепочку из трех уязвимостей для получения доступа к выполнению кода с правами root на цифровом медиаресивере Sony XAV-9500ES, заработав дополнительно 20 000 долл.
Исследователи из Fuzzware.io урвали 118 000 долл. за взлом зарядной станции Alpitronic HYC50, зарядного устройства Autel и навигационного приемника Kenwood DNR1007XR, а команда PetoWorks - 50 000 долл. за реализацию 0-day для EoP на контроллере зарядки Phoenix Contact CHARX SEC-3150.
Команда DDOS сорвала куш в размере 72 500 долл., продемонстрировав взлом зарядных устройств ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A.
На второй день конкурса Pwn2Own четыре команды будут атаковать зарядное устройство Grizzl-E Smart 40A, трижды - Autel MaxiCharger, а две команды попытаются получить root-права на ChargePoint Home Flex, при этом каждая успешная попытка принесет хакерам по 50 000 долл.
При этом Fuzzware.io также попытается взломать автомобильное зарядное устройство Phoenix Contact CHARX SEC-3150, за что может получить денежное вознаграждение в размере 70 000 долл.
Традиционно в распоряжении поставщиков будут 90 дней на разработку и выпуск исправлений, прежде TrendMicro публично обнародует технические подробности анонсированных на конкурсе нулей.
Очередной этап Pwn2Own Automotive 2026, посвященный автомобильным технологиям, проходит в Токио, Япония, в рамках автомобильной конференции Automotive World, с 21 по 23 января.
В ходе этого соревнования исследователям предстоит атаковать полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные ОС (например, Automotive Grade Linux).
Полное расписание соревнований этого года - здесь, в том числе первого дня с результатами каждого этапа - здесь.
В прошлом году по результатам Pwn2Own Automotive 2025 хакерам удалось выиграть 886 250 долл. и реализовать 49 нулей, а еще годом ранее - 1 323 750 долл. и также 49 нулей.
Исследователи Resecurity сообщают о новом штамме вредоносного ПО под названием PDFSider, который использовался для доставки вредоносных программ в системы Windows неназванную компанию из списка Fortune 100 в финансовом секторе.
Полагаясь на методы социальной инженерии для получения удаленного доступа, злоумышленники выдавали себя за сотрудников техподдержки и обманом заставили сотрудников компании установить инструмент Microsoft Quick Assist.
Задетектить PDFSider исследователи Resecurity смогли в ходе реагирования на инцидент, описав его как скрытый бэкдор для долгосрочного доступа, и отмечая, что он демонстрирует «характеристики, обычно ассоциируемые с методами APT-атак».
PDFSider был замечен в атаках с использованием программы-вымогателя Qilin. Однако Resecurity полагает, что этот бэкдор уже активно задействуется сразу несколькими злоумышленниками, связанными с ransomware, для запуска своих вредоносных ПО.
Бэкдор распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом с цифровой подписью для инструмента PDF24 Creator от Miron Geek Software GmbH.
Однако пакет также включает вредоносную версию DLL-файла (cryptbase.dll), необходимого для корректной работы приложения.
При запуске исполняемый файл загружает DLL-файл злоумышленника (этот метод известен как «загрузка DLL-файлов с сторонних ресурсов») и обеспечивает выполнение кода в системе.
В других случаях злоумышленник пытается обманом заставить получателей электронных писем запустить вредоносный файл, используя фейковые документы, скомпилированные специально для этих целей.
В одном из примеров в качестве автора была указана китайская госкомпания.
После запуска DLL-файл работает с правами исполняемого файла, который его загрузил. EXE-файл имеет легитимную цифровую подпись, однако PDF24 имеет уязвимости, которые злоумышленники смогли использовать для загрузки этого вредоносного ПО и эффективного обхода систем EDR.
По словам исследователей, благодаря развитию программирования с использованием ИИ, киберпреступникам становится проще находить уязвимое ПО, которое можно использовать в своих целях.
PDFSider загружается непосредственно в память, оставляя минимальные следы на диске, и использует анонимные каналы для запуска команд через командную строку.
Заражённым хостам присваивается уникальный идентификатор, а информация о системе собирается и передаётся на VPS-сервер злоумышленника через DNS (порт 53).
PDFSider защищает свой канал C2, используя криптографическую библиотеку Botan 3.0.0 и AES-256-GCM, расшифровывая входящие данные в памяти, минимизируя их влияние на хост.
Кроме того, данные проходят аутентификацию с использованием соответствующего шифрования с ассоциированными данными (AEAD) в режиме GCM.
Как отмечают в Resecurity, этот тип криптографической реализации типичен для вредоносных ПО с удаленной оболочкой, используемых в целевых атаках, где поддержание целостности и конфиденциальности коммуникаций имеет решающее значение.
Вредоносная ПО также включает в себя несколько механизмов защиты от анализа, включая проверку размера оперативной памяти и обнаружение отладчика, позволяющих ей преждевременно завершать работу при детектировании изолированной среды.
По оценке Resecurity, PDFSider ближе к «шпионским методам, нежели к вредоносному ПО для извлечения финансовой выгоды» и представляет собой бэкдор, способный поддерживать долгосрочный скрытый доступ, адаптивное удаленное выполнение команд и зашифрованную связь.
Глобальная технологическая сегментация приобретает новые контуры и ускоренную динамику.
Помимо ограничений по типу заявленного запрета ЕС на использование китайского оборудования (прежде всего, Huawei и ZTE) в телекоммуникационных сетях, системах энергетики и решениях безопасности, наметился раскол в сфере кибервзаимодействия спецслужб.
В частности, немецкие законодатели приступили к работе над новым законом, который предоставит разведывательному ведомству страны новые более широкие полномочия в области кибершпионажа.
Основной нарратив - искоренить зависимость Федеральной разведслужбы Германии (BND) от АНБ США (NSA) по вопросам получения информации об угрозах и привести ее функционал в соответствие с возможностями других европейских стран, таких как Франция, Италия, Нидерланды и Великобритания.
Согласно проекту нового закона, BND получит право перехватывать интернет-коммуникации целиком, не ограничиваясь метаданными, как это было ранее. Агентству также будет разрешено хранить, индексировать и обрабатывать данные до шести месяцев.
Закон также расширит полномочия BND по проведению хакерских атак, позволяя взламывать иностранные интернет-провайдеры и получать информацию об объектах заинтересованности, если интересующая компания откажется предоставлять запрашиваемые данные.
Согласно сообщениям немецких СМИ, это положение будет применяться, в том числе и к крупным американским технологическим компаниям и операторам инфраструктуры, включая Google, Twitter и экстремистскую Meta, которые не всегда охотно реагировали на запросы ведомства.
Кроме того, BND получит право вести слежку за любым иностранцем, находящимся в Германии. Это прежде всего, относится к журналистам зарубежных государственных СМИ, которые, по мнению немецких законодателей, действуют как «агенты» иностранного государства.
Наконец, сотрудникам BND также будет разрешено беспрепятственно проникать в жилые помещения для установки своего шпионского софта на устройство цели.
Как сообщается, проект нового закона насчитывает 139 страниц и почти вдвое масштабирует оперативные возможности спецслужбы по сравнению с предыдущими редакциями.
Таким образом, можно констатировать, что дальнейшая более глубокая сегментация киберпространства, по всей видимости, будет сопровождаться возрастанием обоюдных угроз наступательных кибервоздействий для фрагментируемых кластеров. В общем, будем посмотреть.
Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.
Защитные механизмы, внедренные NPM после атак на цепочку поставок Shai-Hulud, до сих пор имеют уязвимости, позволяющие злоумышленникам обходить их с помощью зависимостей Git.
Получившие общее название PackageGate уязвимости были обнаружены в нескольких утилитах экосистемы JavaScript, позволяющих управлять зависимостями, - pnpm, vlt, Bun и NPM.
Проблемы обнаружили исследователи Koi, после чего соответствующим образом уведомили о них поставщиков. Все они были устранены во всех инструментах, кроме NPM, который закрыл отчет, заявив, что все «работает так, как и должно».
Напомним, распространяющаяся самопроизвольно Shai-Hulud первоначально затронула npm в середине сентября 2025 года, скомпрометировав 187 пакетов.
Месяц спустя атака вернулась с новой волной из 500 пакетов, в результате чего, по разным оценкам, было раскрыто 400 000 секретных данных разработчиков через более чем 30 000 автоматически сгенерированные репозитории GitHub.
В ответ на атаки Shai-Hulud и другие инциденты в цепочке поставок, включая s1ngularity и GhostAction, GitHub, оператор NPM, объявила о инициировании плана внедрения дополнительных мер безопасности и предложил несколько способов смягчения последствий.
Среди них – рекомендации по отключению скриптов жизненного цикла во время установки ('--ignore-scripts=true') и включению проверки целостности файла блокировки и закрепления зависимостей.
Однако, как отметили в Koi, когда NPM устанавливает зависимость из репозитория Git, конфигурационные файлы, такие как вредоносный файл npmrc, могут переопределять путь к исполняемому файлу Git, что приводит к полному выполнению кода, даже если флаг —ignore-scripts установлен в значение true.
Причем исследователи располагают доказательствами того, что в прошлом злоумышленники уже разрабатывали демонстрационный образец, злоупотребляющий этой техникой для создания обратной оболочки, так что проблема имеет вполне практический характер.
Для других менеджеров пакетов JavaScript обход мер безопасности, связанных с выполнением скриптов, достигается с помощью отдельных механизмов, а для pnpm и vlt также возможен обход целостности файла блокировки.
Bun исправила уязвимости в версии 1.3.5, vlt - также их закрыла в течение нескольких дней после обращения Koi, а pnpm выпустила исправления для CVE-2025-69263 и CVE-2025-69264.
NPM получила отчет об уязвимости через принадлежащий ей HackerOne, но отклонила его, сославшись на то, что пользователи сами несут ответственность за проверку содержимого устанавливаемых ими пакетов.
Дальнейшие обращения также остались без ответа.
Тем не менее, в GitHub публично по этому поводу заявляют, что работают над решением проблемы, поскольку npm активно сканирует реестр на наличие вредоносных программ.
Кроме того, настоятельно рекомендовала проектам использовать доверенные публикации и детализированные токены доступа с обязательной двухфакторной аутентификацией для укрепления цепочки поставок программного обеспечения.
Исследователи Shadowserver сообщают об отслеживании почти 800 000 IP-адресов посредством Telnet-отпечатков на фоне продолжающихся атак, нацеленных на критическую уязвимость обхода аутентификации в сервере telnetd GNU InetUtils.
CVE-2026-24061 затрагивает GNU InetUtils в версиях от 1.9.3 (выпущенной 11 лет назад, в 2015 году) до 2.7, исправлена в версии 2.8 (выпущенной 20 января).
Сервер telnetd вызывает /usr/bin/login (обычно работающий от имени root), передавая в качестве последнего параметра значение переменной среды USER, полученное от клиента.
Если клиент предоставляет тщательно сформированное значение среды USER в виде строки "-f root" и передает параметр telnet(1) -a или --login для отправки этой среды USER на сервер, клиент будет автоматически авторизован как root, минуя процессы аутентификации.
Из 800 тысяч упомянутых IP более 380 000 находятся в Азии, почти 170 000 - в Южной Америке и чуть более 100 000 - в Европе, а также более 24 000 - в России.
Однако телеметрия не покрывает, сколько из доступных по всему миру устройств затрагивает CVE-2026-24061.
Безусловно, как отмечает в Shadowserver, Telnet не должен быть общедоступным, но часто таковым оказывается, особенно на устаревших устройствах IoT.
В частности, GNU InetUtils - это набор сетевых утилит (включая telnet/telnetd, ftp/ftpd, rsh/rshd, ping и traceroute), используемых в различных дистрибутивах Linux, которые могут работать без обновлений более десяти лет на многих устаревших и встроенных устройствах.
В четверг, спустя несколько дней после раскрытия уязвимости CVE-2026-24061, исследователи GreyNoise сообщили об обнаружении работающих эксплойтов для CVE-2026-24061, которые уже задействовались в целевых атаках.
Вредоносная активность стартовала 21 января (через день после исправления уязвимости) и исходила с 18 IP-адресов в рамках 60 сессий Telnet, используя проблему в согласовании параметров IAC Telnet для внедрения 'USER=-f <user>' и предоставления злоумышленникам доступа к командной оболочке скомпрометированных устройств без аутентификации.
Несмотря на различия в скорости терминала и значений X11 DISPLAY, в 83,3% случаев атака была направлена на пользователя с правами root.
Кроме того, несмотря на то, что большинство атак кажутся автоматизированными, GreyNoise зафиксировала ряд случаев, когда атаку производилась в ручном режиме.
Получив доступ, злоумышленники также попытались развернуть вредоносное ПО на Python, используя автоматизированную разведку, но эти попытки провалились из-за отсутствия каталогов и исполняемых файлов.
Так что администраторам, которые не могут немедленно обновить свои устройства до исправленной версии, рекомендуется отключить уязвимую службу telnetd или заблокировать TCP-порт 23 на всех межсетевых экранах.
📖💻Итоги работы платформы Standoff Bug Bounty за 2025 год
По данным Positive Technologies, около двух третей организаций запускают программы багбаунти именно как превентивную меру — инвестицию в устойчивость и зрелость ИБ-процессов.
При этом ожидания бизнеса в подавляющем числе случаев оправдываются: выявляются критически опасные уязвимости, повышается видимость поверхности атаки, улучшается взаимодействие между ИБ и разработкой, а уровень рисков снижается.
Ключевая ценность багбаунти для бизнеса заключается в сочетании 3 факторов:
1️⃣ Реалистичность тестирования, максимально приближенного к действиям реальных атакующих;
2️⃣ Гибкость и масштабируемость, позволяющие фокусировать усилия на приоритетных активах и сценариях;
3️⃣ Оплата за результат, а не за формальный процесс.
Эффективность программы напрямую зависит от того, насколько она продумана, спроектирована и встроена в процессы компании.
➡️ Каждый третий выявленный недостаток в целом оценивался как высокий или критический с точки зрения уровня опасности.
➡️ В 2025 году на платформе Standoff Bug Bounty было представлено 233 программы — в 2,2 раза больше, чем годом ранее.
➡️ Офлайн-бизнес стал рекордсменом по критичности находок: в этом секторе 37% принятых отчетов содержали баги с наибольшим уровнем риска.
➡️ 43 багхантера на платформе Standoff Bug Bounty стали миллионерами в прошлом году – 6 из них заработали больше 5 млн рублей за год
✋ @Russian_OSINT
Pwn2Own Automotive 2026 завершился: исследователи заработали 1 047 000 долл., продемонстрировав 76 0-day.
Соревнования по хакингу в автомобильной сфере Pwn2Own Automotive, посвященные автомобильным технологиям, прошли в период 21 по 23 января в Токио, Япония, в рамках автомобильной конференции Automotive World.
В ходе конкурса хакеры атаковали полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные операционные системы (например, Automotive Grade Linux).
Традиционно, согласно правилам, прежде чем информация будет раскрыта Trend Micro у поставщиков есть 90 дней на разработку и выпуск исправлений для 0-day, которые были реализованы в ходе конкурса Pwn2Own.
Команда Fuzzware.io одержала победу на Pwn2Own Automotive 2026, получив денежный приз в размере 215 000 долларов, за ней следуют DDOS с 100 750 долл. и Synactiv с 85 000 долл.
Fuzzware.io заработала 118 000 долл., взломав в первый день зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный приемник Kenwood DNR1007XR.
Они также урвали еще 95 000 долл. после демонстрации нескольких нулей в контроллере зарядки Phoenix Contact CHARX SEC-3150, зарядном устройстве ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV на второй день.
Кроме того, дополнительно 2500 зеленых они вложили в свой гонорар после обнаружения уязвимости при попытке получить root-права на мультимедийном ресивере Alpine iLX-F511 в последний день соревнований.
Команда Synacktiv получила 35 000 долл., используя уязвимость записи за пределы допустимого диапазона и утечку информации для взлома информационно-развлекательной системы Tesla с помощью USB-атаки в первый день Pwn2Own.
Полное расписание третьего дня и результаты каждого задания - здесь, полное расписание Pwn2Own Automotive 2026 - здесь.
В общем зачете, в этом году исследователям удалось препарировать на порядок большей нулей, однако поставить рекорд по части призовых не удалось, ведь годом ранее он составил 1 323 750 долл.
Солары обнаружили следы как минимум трех APT-групп в сети российской организации - Erudite Mogwai (Space Pirates), Obstinate Mogwai и GOFFEE.
Весной 2025 года исследователи выявили компрометацию инфраструктуры одной из организаций госсектора азиатской группировкой Erudite Mogwai (aka Space Pirates).
Приступив к расследованию, было обнаружено несколько зараженных систем, где среди прочего нашелся новый модульный бэкдор Shadowpad Light (aka Deed RAT).
Он позволяет загружать разные по функциональности плагины, а его устройство говорит о высокой подготовке атакующих.
Источником их заражения выступил почтовый сервер Exchange.
Как оказалось его взломали еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).
Что не удивительно, ведь уязвимый Exchange нередко становится лакомым кусочком для атакующих.
Несмотря на то, что данная уязвимость из 2021-го, тем не менее практика показывает, что все еще является актуальной. Другой вопрос, как уязвимый почтовый сервер оставался незамеченным так долго.
Все оказалось достаточно прозаично, ведь его установили тем же летом 2024 года и уже спустя несколько недель он попал в поле зрения сразу нескольких хакерских группировок.
В частности, при исследовании системы были обнаружены различные файлы вредоносного ПО: оригинальный ShadowPad (азиатские группы), Shadowpad Light (Erudite Mogwai), Donnect (Obstinate Mogwai) и Mythic Agent (GOFFEE).
Также кроме инструментов данных групп Солары обнаружили и IOCs, и TTPs, которые полностью соответствовали профилям атакующих.
Помимо уже известных инструментов, при исследовании системы был обнаружен новый образец модульного вредоносного ПО ShadowRelay.
Несмотря на то, что бэкдор был загружен в атакованную инфраструктуру в то же самое время, когда там присутствовала группировка Obstinate Mogwai, у Соларов пока нет достаточных свидетельств, что ShadowRelay является частью арсенала именно этой группы.
Вредоносное ПО позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность, позволяя укрывать полезную нагрузку от внимания аналитиков вредоносного ПО.
Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету, что позволяет ему скрытно шпионить в защищенных сегментах сети организации, общаясь через сеть зараженных машин.
Сам бэкдор не содержит полезной нагрузки для кибершпионажа или удаленного управления, но позволяет ее загрузить.
Но исследователям пока не удалось найти плагины для данного вредоносного ПО, поэтому сценарий атакующих и их цели не ясны до конца.
Имплант имеет множество функций сокрытия себя в системе. Одной из таких является инъекция себя в другие процессы.
В дополнение к этому у бэкдора есть функциональность переиспользования портов.
Все это указывает на относительно высокий уровень подготовки атакующих, а также на то, что их основная цель - длительное скрытное присутствие в атакованной инфраструктуре и шпионаж.
Подробный технический разбор новинки и IOCs - в отчете.
Киберподполье приступило к активной эксплуатации уязвимости обхода аутентификации в SmarterMail от SmarterTools, которая позволяет неавторизованным злоумышленникам сбросить пароль системного администратора и получить полные привилегии.
SmarterMail - это платформа совместной работы под управлением Windows, которая обеспечивает доступ к электронной почте по протоколам SMTP/IMAP/POP, веб-почте, календарям, контактам и базовым функциям групповой работы.
Обычно решение используется поставщиками MSP, малыми и средними предприятиями, а также хостинг-провайдерами, предоставляющими услуги электронной почты. По данным SmarterTools, ее продуктами пользуются 15 миллионов человек в 120 странах.
Исследователи watchTowr сообщили об этой проблеме 8 января, а SmarterMail выпустила исправление 15 января, присвоив CVE-2026-23760 и оценку CVSS: 9,3.
После устранения проблемы исследователи обнаружили доказательства того, что злоумышленники начали использовать её всего через два дня. По всей видимости, хакеры отреверсили патч и нашли способ реализовать уязвимость.
Уязвимость обусловлена тем, что конечная точка API force-reset-password принимает JSON-входные данные, контролируемые злоумышленником, включая логическое свойство типа IsSysAdmin, которое, если установлено в значение true, заставляет бэкэнд выполнить логику сброса пароля системного администратора.
Однако, как выяснили исследователи watchTowr, этот механизм не выполняет никаких проверок безопасности и не проверяет старый пароль, несмотря на наличие поля OldPassword в запросе.
В результате любой, кто знает или угадает имя пользователя администратора, может установить новый пароль и взломать учетную запись.
При этом проблема затрагивает только учетные записи администраторов, а не обычных пользователей.
Имея доступ уровня администратора, злоумышленники могут выполнять команды операционной системы, получая таким образом полный доступ к удаленному выполнению кода на хосте.
Исследователи watchTowr также разработали PoC-эксплойт, демонстрирующий доступ к командной оболочке на уровне SYSTEM.
Узнать об активной эксплуатации удалось благодаря анонимному пользователю, который заметил, что кто-то сбрасывает пароли администратора.
В подтверждение своих слов информатор указал исследователям watchTowr на аналогичную ситуацию, которую описывали на форуме.
Анализ общих журналов показал, что эти атаки были направлены на конечную точку force-reset-password, что подтверждает вывод об активной эксплуатации уязвимости в дикой природе.
В свою очередь, исследователи Huntress также представили отчет со своими наблюдениями за деятельностью по эксплуатации в дикой природе.
Причем двумя неделями ранее watchTowr обнаружила другую критическую RCE-уязвимость на этапе предварительной аутентификации в SmarterMail, отслеживаемую как CVE-2025-52691, что в конечно счете привело к обнаружению последней проблемы.
Пользователям SmarterMail рекомендуется обновить ПО до последней версии Build 9511, в которой устранены обе проблемы.
Исследователи F6 сообщают об обнаружении новой волны вредоносных рассылок от группировки PhantomCore, которую им удалось задетектить 19 и 21 января 2026 года.
Целями новой кампании стали российские организации в сфере ЖКХ, финансов, электронной коммерции, B2C, муниципальных услуг, в аэрокосмической, химической, строительной, производственной отраслях, а также маркетплейсы.
PhantomCore атакует российские и белорусские компании с 2022 года, впервые была обнаружена F6 в 2024 году.
Название обусловлено сочетанием слов Phantom (в .NET инструменте был неймспейс у классов «Phantom») + Core (в запланированных задачах использовали имя MicrosoftStatisticCore).
В рассылке на тему «ТЗ на согласование» используется вложение «ТЗ на согласование сб 54 от 19.01.26.zip» с двумя файлами, мимикрирующими под офисные документы.
Файл .doc при этом не является подлинным документом, представляет собой RAR‑архив, содержащим одноименную директорию, внутри которой содержатся файлы, относящиеся к действительному документу.
Причем стоит отметить использование атакующими легитимных адресов электронной почты для рассылок, что может указывать на их компрометацию.
После запуска второго LNK‑файла выполняется cmd‑команда, которая перебирает переменные окружения и ищет подстроку PSM, таким образом находит переменную окружения PSModulePath.
По разделителям s и \ определяет 4-е вхождение, которым является PowerShell, и осуществляет загрузку PowerShell‑сценария с URL‑адреса, инициируя запуск загруженного скрипта командой PowerShell.
На первой загруженный скрипт скачивает и отображает документ-приманку, реализует загрузку следующей стадии в память (PowerShell‑скрипт) и ее закрепление в планировщике задач Windows.
Вредоносного ПО написано на PowerShell и практически идентично ранее известному PhantomCore.PollDL (PhantomeRemote). Развертывание реализуется в несколько стадий.
Как отмечают специалисты F6, в ходе исследования им удалось обнаружить целый перечень схожих ресурсов с вредоносными скриптами.
Технические подробности и IOCs - в отчете. Полный анализ вредоносного ПО на Malware Detonation Platform от компании F6 доступен - здесь.
На второй день хакерского поединка Pwn2Own Automotive 2026 исследователи пополнили свой гонорар на 439 250 долл., реализовав 29 уникальных 0-day.
Ежегодный Pwn2Own Automotive, посвященный автомобильным технологиям, проходит в Токио, Япония, с 21 по 23 января, в рамках автомобильной конференции Automotive World.
В ходе соревнований исследователи нацеливаются на полностью обновленные зарядные устройства для электромобилей (EV), автомобильные информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux).
В настоящее время команда Fuzzware.io лидирует в турнирной таблице с 213 000 долл., заработанными за первые два дня, и еще 95 000 долл. после препарирования контроллера зарядки Phoenix Contact CHARX SEC-3150, зарядного устройства ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV.
Сина Хейрхах из Summoning Team получила 40 000 долл. за root-права на навигационном ресивере Kenwood DNR1007XR, зарядном устройстве ChargePoint Home Flex и мультимедийном ресивере Alpine iLX-F511.
Роб Блейкли из Technical Debt Collectors и Хэнк Чен из InnoEdge Labs также получили по 40 000 зеленых каждый за демонстрацию цепочек 0-day эксплойтов, нацеленных на Automotive Grade Linux и зарядную станцию Alpitronic HYC50.
По итогам первых двух дней конкурса исследователи заработали денежные призы на сумму 955 750 долларов, успешно использовав 66 нулей.
В третий день Pwn2Own команда Slow Horses из Qrious Secure и PetoWorks предпримет еще одну попытку атаки на Grizzl-E Smart 40A, команда Juurin Oy попытается взломать Alpitronic HYC50, а Рё Като - Autel MaxiCharger.
Подробное расписание второго дня с результатами каждого задания - здесь, а полное расписание всего Pwn2Own Automotive 2026 - здесь.
GitLab предупреждает об устранении серьезных уязвимостей, которые приводят к обходу 2Fa и способны вызвать атаки типа DoS.
Первая под номером CVE-2026-0723 связана с недостатком неконтролируемого возвращаемого значения в службах аутентификации GitLab, что позволяет злоумышленникам, знающим идентификатор учетной записи жертвы, обходить двухфакторную аутентификацию, отправляя поддельные ответы устройства.
GitLab также устранила две серьезные уязвимости, затрагивающие GitLab CE/EE, которые позволяли неавторизованным злоумышленникам инициировать атаки типа DoS посредством отправки специально сформированных запросов с некорректными данными аутентификации (CVE-2025-13927) и используя некорректную проверку авторизации в конечных точках API (CVE-2025-13928).
Кроме того, закрыты две уязвимости средней степени серьезности, представляющие собой DoS, которые могут быть использованы путем настройки некорректно сформированных документов Wiki, обходящих обнаружение циклов (CVE-2025-13335), и отправки повторных некорректно сформированных запросов на аутентификацию SSH (CVE-2026-1102).
Для устранения этих уязвимостей в системе безопасности компания выпустила версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition (CE) и Enterprise Edition (EE) и рекомендовала администраторам как можно скорее обновиться до последней версии.
На GitLab.com уже установлена исправленная версия. Клиентам GitLab Dedicated никаких действий предпринимать не нужно.
Продолжаем отслеживать наиболее трендовые уязвимости, среди которых отметим следующие:
1. Разработчики библиотеки GNU C исправили ошибку в своем коде, датируемую 1996 годом. Согласно сообщениям, сценарии эксплуатации ограничены, поэтому это не представляет собой большой проблемы.
2. Cloudflare устранила уязвимость в своем менеджере сертификатов ACME, которая позволяла злоумышленникам обходить средства контроля безопасности и межсетевые экраны.
3. Amazon исправила ошибку конфигурации в своих репозиториях GitHub, которая позволяла захватить контроль над важными ресурсами AWS. Проблема заключалась в том, как конвейеры AWS CodeBuild CI обрабатывали триггеры сборки.
Отсутствие двух символов в фильтре регулярного выражения могло позволить удаленным злоумышленникам захватить репозитории AWS с административным доступом.
В репозиториях размещались ресурсы JavaScript, которые обеспечивали работу как учетных записей клиентов, так и самой консоли бэкэнда AWS.
4. Google Project Zero представила ZeroClick-эксплойт, который позволяет скомпрометировать смартфоны Android через аудиодекодер Dolby.
Эксплойт работает в виду того, что большинство коммуникационных приложений Android автоматически обрабатывают входящие аудиовложения в фоновом режиме.
Эксплойт был протестирован на Pixel 9, но, как полагают исследователи Google, атака должна быть универсальной для большинства устройств Android. Подробности в трех частях - 1, 2 и 3.
5. В Livewire, компоненте файлового менеджера для сайтов на базе Laravel, обнаружена незакрытая уязвимость, позволяющая загружать вредоносные PHP-файлы на удаленный сервер и легко запускать их выполнение.
При этом Laravel - самый популярный на сегодняшний день PHP-фреймворк. Однако ни разработчики Livewire, ни Laravel ничего не ответили исследователям по поводу зияющей дыры.
6. Новое исследование Cyata выявило уязвимости в серверах, соединяющих LLM-модули с локальными данными через MCP-интерфейс Anthropic. Все затрагивают официальный сервер Git MCP (mcp-server-git) и отслеживаются как CVE-2025-68143, CVE-2025-68145 и CVE-2025-68144.
Исследователи продемонстрировали, как злоумышленник может использовать уязвимости для выполнения произвольного кода, чтения и удаления файлов, причем атака работает против любой конфигурации.
7. TP-Link выкатила обновление для своих камер VIGI с исправлениями критической уязвимости, позволяющей злоумышленникам в локальной сети обходить аутентификацию в процессе сброса пароля. Уязвимость затрагивают 32 модели камер VIGI.
8. Zafran отмечает, что две серьезные уязвимости в Chainlit (имеющий ежемесячно более 700 000 раз на PyPI) подвергают крупные предприятия атакам, ведущим к раскрытию конфиденциальной информации.
Затронуты все версии Chainlit до 2.9.4. Проблемы отслеживаются как CVE-2026-22218 и CVE-2026-22219 и позволяют злоумышленникам читать произвольные файлы (переменные окружения) и отправлять запросы к внутренним сетевым службам или конечным точкам метаданных облака.
9. MITRE объявила о запуске Embedded Systems Threat Matrix (ESTM), системы кибербезопасности, разработанной для оказания помощи организациям в защите критически важных встроенных систем.
Созданная по мотивам популярной ATT&CK и основанная на теоретических исследованиях и экспериментальных моделях MITRE, ESTM классифицирует конкретные тактики и методы атак, адаптированные к аппаратной и программной средам.
ESTM работает с моделью угроз EMB3D. С момента выхода первой версии ESTM была значительно усовершенствована и теперь называется ESTM 3.0.
На прошлой неделе Check Point выкатила отчет по VoidLink, описав его как продвинутую платформу для вредоносных ПО под Linux, предлагающую пользовательские загрузчики, имплантаты, модули руткитов для обхода защиты и десятки плагинов, расширяющих функциональность.
Исследователи подчеркнули сложность структуры вредоносного ПО, предположив, что оно, вероятно, было разработано китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».
В дополнительном отчете исследователи Check Point сообщают о выявлении явных доказательств того, что ориентированное на облачные технологии вредоносное ПО было разработано одним автором с помощью ИИ и достигло функциональной версии в течение недели.
Вывод основан на многочисленных нарушениях OpSes со стороны разработчика VoidLink, в результате которых удалось раскрыть исходный код, документацию, планы спринтов и внутреннюю структуру проекта.
Одной из ошибок злоумышленников стало раскрытие открытого каталога на их сервере, в котором хранились различные файлы, относящиеся к процессу разработки.
Она, вероятно, началась в конце ноября 2025 года, когда разработчик обратился к TRAE SOLO, ИИ-помощнику, встроенному в TRAE, интегрированную среду разработки, ориентированную на ИИ.
Несмотря на отсутствие доступа к полной истории переписки в IDE, исследователи обнаружили на сервере злоумышленника вспомогательные файлы из TRAE, которые содержали ключевые фрагменты исходных инструкций, предоставленных модели.
По всей видимости, сгенерированные TRAE файлы были скопированы вместе с исходным кодом на сервер злоумышленника, а затем были раскрыты из-за открытого каталога.
Как отмечают в Check Point, эта утечка дала необычайно достоверную информацию о самых ранних директивах проекта.
Согласно анализу, злоумышленник использовал метод разработки, основанный на спецификациях (Spec-Driven Development), для определения целей проекта и установления ограничений, а затем поручил ИИ сгенерировать план разработки для нескольких команд, охватывающий архитектуру, спринты и стандарты.
Затем разработчик вредоносного ПО использовал эту документацию в качестве плана выполнения для кода, сгенерированного ИИ.
В разработанной документации описывается работа трех команд, длившаяся 16-30 недель, но, судя по временным меткам и меткам времени тестовых артефактов, обнаруженным Check Point, VoidLink был готов к работе уже через неделю, достигнув объема кода в 88 000 строк к началу декабря 2025 года.
После этого Check Point подтвердила, что спецификации спринта и восстановленный исходный код практически точно совпадают.
Исследователям удалось успешно воспроизвести рабочий процесс, подтвердив, что агент ИИ способен генерировать код, структурно похожий на код VoidLink.
Check Point полагает, что не имеет никаких сомнений относительно происхождения кода, описывая VoidLink как первый задокументированный пример сложного вредоносного ПО, созданного с помощью ИИ.
Таким образом, VoidLink знаменует собой новую эру, когда один разработчик вредоносного ПО с глубокими техническими знаниями может достичь результатов, ранее доступных только хорошо обеспеченным в ресурсом плане командам.
По ходу вымогатели выпотрошили одного из ключевых подрядчиков Apple по сборке iPhone, AirPods, Apple Watch и Vision Pro - китайскую компанию Luxshare.
Расположенная в Шэньчжэне компания является гигантом в индустрии электроники и насчитывает более 230 000 сотрудников, имея выручку в 37 миллиардов долларов.
Согласно Wall Street Journal, особую важность Luxshare для цепочки поставок Apple резко приобрела после того, как ее основной сборщик, Foxconn, пережил серию протестов, которые привели к приостановке производства.
Причастная к инциденту банда RansomHub угрожают опубликовать украденные данные Apple, Nvidia, LG и др., если не получат назначенный выкуп.
Сама же утечка данных Luxshare, предположительно, произошла в прошлом месяце, при этом злоумышленники заявили, что данные ключевых партнеров Apple были зашифрованы 15 декабря 2025 года.
Злоумышленники утверждают, что получили доступ к различной проектной и технической документации продуктов Apple, Nvidia LG, Geely, Tesla и других крупных компаний, включая:
- 3D CAD-модели и инженерная документация;
- доступ к высокоточным геометрическим данным для продукции Parasolid;
- 2D-чертежи компонентов для производства;
- чертежи механических компонентов;
- конфиденциальные инженерные чертежи в формате PDF;
- электронная проектная документация;
- данные по электрической и компоновочной архитектуре;
- данные по производству печатных плат.
В свою очередь, представители Cybernews утверждают, что утечка данных включает конфиденциальные материалы по продукции Apple-Luxshare, персональные данные сотрудников и файлы дизайна продукции за период с 2019 по 2025 год.
Несмотря на то, что утечка данных ассемблерного кода со стороны Apple пока не подтверждена, команда Cybernews полагает, что информация, содержащаяся в публикации хакеров, выглядит более чем достоверной.
Пока можно констатировать, что в результате взлома потенциальные конкуренты смогут получить реализовать реверс проектирование продукции, производить контрафактные товары и использовать уязвимости оборудования в устройствах Apple.
Кроме того, уязвимости оборудования, компоновка микросхем и системы питания может найти применение в потенциальных атаках на встроенное ПО или цепочку поставок.
В любом случае последствия инцидента, если он подтвердится, будут катастрофическими для затронутых технологических компаний. Так что, по вероятно, по поводу выкупа стороны быстро придут к компромиссу. В любом случае, будем следить.
🌐 Безобидное приглашение в календарь стало оружием против Google Gemini
Исследовательская группа Лиада Элияху обнаружила критическую уязвимость в экосистеме Google, превращающую стандартное приглашение в календарь в ❗️вектор скрытой атаки. Если пользователь активировал Gemini и предоставил ему доступ к Google Calendar, то злоумышленник может отправить жертве стандартное приглашение на встречу.
В поле «Описание» он прячет текст, который выглядит правдоподобно как просьба пользователя, но по смыслу является вредоносной инструкцией для ИИ-помощника. В отчёте Miggo это описано как «спящая нагрузка», спрятанная в обычном приглашении, позволяющая обойти настройки приватности Google Calendar. Это не исполняемый код и не ссылка, а именно вредоносная текст-инструкция, рассчитанная на то, что ИИ-модель обработает её как указание к действию.
Никаких «кликов» не требуется. Достаточно, чтобы пользователь позже задал Gemini рутинный вопрос о расписании, например: «Свободен ли я в субботу?». Тогда Gemini, стремясь корректно ответить, подтягивает контекст событий календаря (в том числе их описания) и «натыкается» на заложенную инструкцию.
Gemini создаёт новое событие в календаре и помещает туда всю сводку, например, корпоративных встреч пользователя (названия, время, участники и прочие детали). Пользователь получает от Gemini безобидный ответ (например, «это свободный слот»), маскирующий фоновое создание события с выгрузкой чувствительной информации.
🎩 Таким образом хакеры потенциально могут узнать информацию о проектах, клиентах, переговорах, составе различных команд, руководстве.
🛡 Специалисты по безопасности Google подтвердили наличие уязвимости и устранили её после ответственного раскрытия информации исследователями.
✋ @Russian_OSINT
Анонсирована новая мощная атака по побочным каналам MEMORY DISORDER, которая вызывать утечки информации из современных процессоров и видеокарт Intel, Apple и AMD.
В основе распространенные микроархитектурные особенности, в частности, перестановка операций в памяти, которые могут быть использованы в качестве бесвременного сигнала между процессами.
Эти перестановки являются функцией оптимизации в современных процессорах, где операции с памятью выполняются вне порядка для повышения производительности, что являются частью аппаратных моделей согласованности памяти (MCM) большинства современных ЦП и ГП.
Используя перестановки памяти, исследователи продемонстрировали, что один процесс может определять активность другого, даже за пределами виртуальных машин в таких средах, как KVM.
Это достигается с помощью небольших параллельных программ, называемых «лакмусовыми тестами», которые отслеживают подсистему памяти на предмет признаков перестановки, вызванной одновременной активностью в других частях системы.
К числу затронутых процессоров относятся процессоры самых разных архитектур, включая Apple M1 и M3, Intel i7 (x86), Arm A78, NVIDIA RTX 4070 и AMD Radeon RX 7900 XT.
Несмотря на то, что архитектура графических процессоров AMD не позволяет параллельно запускать ядра из разных процессов, исследователи обнаружили, что сигналы, подобные DISORDER, всё же можно наблюдать из-за сохраняющихся эффектов памяти при выполнении ядер.
AMD подтвердила результаты исследования в своем бюллетене, однако не присвоила проблеме рейтинг, назвав его информационным, тем не менее выпустив новые рекомендации по смягчению последствий.
В частности, AMD представила дополнительный режим работы (обозначенный как AMD-SB-6010), который способен ограничивать одновременное выполнение процессов на графических процессорах и обеспечивать очистку состояния регистров графического процессора между процессами.
Он отключен по умолчанию и должен быть активирован вручную системными администраторами.
AMD также подтверждает общие рекомендации по безопасной разработке, советуя разработчикам использовать алгоритмы с постоянным временем выполнения и избегать доступа к памяти или потоков управления, зависящих от секретной информации для снижения рисков, связанных с побочными каналами.
Как отмечают исследователи, последствия применения техники MEMORY DISORDER значительны для облачных сред, использующих виртуализированные рабочие нагрузки на общем оборудовании, сервисов машинного обучения, работающих на графических процессорах, и многопользовательских серверов, полагающихся на аппаратную изоляцию.
В статье четко показано, что даже при минимальных привилегиях, двух потоках и общей памяти злоумышленник может допустить утечку информации.
Например, на графическом процессоре Apple M3 исследователи достигли 95% точности скрытой связи при скорости 16 бит в секунду.
Более совершенная настройка на процессорах x86 позволила увеличить пропускную способность почти до 30 000 бит в секунду.
Эксперименты по идентификации моделей на основе анализа фингерпринтов также оказались успешными.
Исследователи обучили классификаторы различать модели глубоких нейронных сетей (например, ResNet50, MobileNetV3, AlexNet) на основе данных об изменении порядка хранения информации в памяти.
Кроме того, продемонстрировали, что запуск Google Chrome можно обнаружить с помощью этого метода на чипе Apple M1.
На данный момент ни Intel, ни Apple не отразили своих выводов по части MEMORY DISORDER в своих бюллетенях по безопасности, при том, что в отчете указана подтвержденная утечка данных на их платформах.
Gootloader претерпел серьезные изменения и теперь задействует некорректно сформированный ZIP-архив для обхода обнаружения путем объединения до 1000 архивов.
При этом вредоносная ПО, представляющая собой архивированный файл JScript, приводит к сбоям при попытке ее анализа многими инструментами.
По данным исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, не справляются с этой задачей.
Для достижения этой цели злоумышленник, стоящий за вредоносным ПО, объединяет от 500 до 1000 ZIP-архивов, а также использует другие уловки, дабы затруднить их анализ с помощью инструментов обнаружения.
Загрузчик активен с 2020 года и взят на вооружение различными хакерскими группировками, включая банд вымогателей.
После семимесячного перерыва Gootloader вернулся к жизни в ноябре прошлого года, о чем рапортовали исследователи из Huntress Labs и DFIR Report.
Хотя в те времена существовали и некорректно сформированные ZIP-архивы, они содержали минимальные изменения, и при попытке извлечения данных возникали несоответствия в именах файлов.
По данным исследователей Expel, в руки которых попали самые свежие образцы, для дальнейшего усиления защиты от анализа операторы Gootloader внедрили гораздо более серьезные механизмы обфускации.
В частности:
- Объединение до тысячи ZIP-архивов с учетом того, что парсеры читают с конца файла.
- Использование усеченного конца центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что приводит к сбою анализа большинством инструментов.
- Случайная инициализация в полях с номерами дисков, из-за чего инструменты ожидают наличия несуществующих многодисковых архивов.
- Добавление несоответствия метаданных между заголовками локальных файлов и записями центрального каталога.
- Создание для каждого загружаемого файла уникальных ZIP-архивов и JScript-файлов для ухода от обнаружения статических объектов.
- Доставка ZIP-архива в виде закодированного с помощью XOR объекта, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения сетевыми средствами.
После запуска на хосте скрипт JScript вредоносной ПО активируется через Windows Script Host (WScript) из временного каталога и обеспечивает постоянное присутствие в системе, добавляя в папку автозагрузки файлы ярлыков (.LNK), указывающие на второй файл JScript.
Эта полезная нагрузка выполняется при первом запуске и при каждой загрузке системы, запуская CScript с короткими именами NTFS, после чего запускается PowerShell.
Безусловно, разработчикам Gootloader удалось реализовать множество методов искажения данных для уклонения обнаружения без нарушения функциональности.
Однако исследователям Expel удалось выявить структурные аномалии, которые позволяют эффективно детектить угрозу.
По результатам выкатили правила YARA, позволяющие последовательно идентифицировать ZIP-архивы.
Обнаружение основано на выявлении определенной комбинации характеристик заголовка ZIP-архива, сотен повторяющихся заголовков локальных файлов и записей EOCD.
Кроме того, для защиты от угрозы исследователи рекомендуют изменять приложение по умолчанию для открытия файлов JScript с Windows Script Host на Блокнот, предотвращая их выполнение.
Для уменьшения поверхности атаки, Expel также советуют блокировать выполнение загруженного контента с помощью wscript.exe и cscript.exe, если файлы JScript не требуются.