39807
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Критическая уязвимость системы безопасности в ShowDoc для управления документами и совместной работы, теперь активно используется киберподпольем.
Речь идёт о CVE-2025-0520 (CNVD-2020-26585) с оценкой CVSS 9,4 из 10,0.
Проблема связана с неограниченной загрузкой файлов, обусловленной некорректной проверкой расширения файла, что позволяет злоумышленнику загружать произвольные PHP-файлы и осуществлять удалённое выполнение кода.
По данным Vulhub, во всех версиях ShowDoc до 2.8.7 фиксируется проблема с неограниченной и неаутентифицированной загрузкой файлов, в результате чего злоумышленник может загрузить веб-оболочку и выполнить произвольный код на сервере.
Уязвимость была устранена в ShowDoc 2.8.7, выпущенной в октябре 2020 года. Текущая версия программного обеспечения - 3.8.1.
Согласно новым данным VulnCheck, CVE-2025-0520 впервые была активно использована злоумышленниками в реальных атаках для запуска веб-оболочки. В сети под прицелом может находиться более 2000 экземпляров ShowDoc.
Таким образом, можно рассматривать CVE-2025-0520 в качестве наглядного примера все более активного задействования киберподпольем N-day уязвимостей.
Пользователям ShowDoc рекомендуется обновить программу до последней версии для оптимальной защиты.
Cisco выпустила исправления для 15 уязвимостей, включая для критических проблем в Webex и Identity Services Engine (ISE).
Критическая ошибка Webex, CVE-2026-20184, затрагивает интеграцию единого входа (SSO) с Control Hub и позволяет удаленным неаутентифицированным злоумышленникам выдавать себя за любого пользователя.
В частности, некорректная проверка сертификата обеспечивает подключение к конечной точке сервиса и может предоставить специально созданный токен для несанкционированного доступа к легитимным сервисам Webex.
Cisco разрешила эту проблему в облачных сервисах Webex, клиентам, использующим единый вход (SSO), «следует загрузить новый сертификат SAML поставщика идентификации (IdP) в Control Hub.
Кром того, компания устранила три критических уязвимости в ISE, две из которых – CVE-2026-20180 и CVE-2026-20186 – позволяют удаленным авторизованным злоумышленникам с правами только на чтение, выполнять произвольные команды в базовой ОС.
Обе уязвимости обусловлены недостаточной проверкой входных данных, что позволяет злоумышленникам получить доступ к операционной системе на уровне пользователя с помощью специально сформированных HTTP-запросов, а затем повысить свои привилегии до уровня root.
В одноузловых развертываниях Cisco ISE эти уязвимости могут быть использованы для DoS, препятствуя доступу к сети неаутентифицированных конечных точек.
Третья критическая уязвимость ISE, CVE-2026-20147, позволяет удаленным авторизованным злоумышленникам с правами администратора выполнять произвольные команды в базовой операционной системе и может быть использована тем же способом, что и две другие уязвимости.
Оставшиеся 11 уязвимостей безопасности, исправленных Cisco, представляют собой уязвимости средней степени серьезности, ведущие к атакам обхода пути, XSS, обходу политики аутентификации, утечкам файлов, перезаписи файлов и атакам внедрения команд.
Cisco заявляет об отсутствии каких-либо попыток эксплуатации этих уязвимостей в реальных условиях. Но все может поменяться.
Помимо Cisco новыми проблемами клиентов «обрадовала» Splunk, предупреждая об исправлении уязвимостей в Splunk Enterprise, Cloud Platform и MCP Server, а также в сторонних пакетах для своих продуктов.
В Splunk Enterprise and Cloud Platform вскрыта серьезная уязвимость, CVE-2026-20204, которая может быть использована пользователями с низкими привилегиями для загрузки вредоносного файла во временный каталог и RCE.
По данным Splunk, ошибка связана с некорректной обработкой временных файлов и недостаточной изоляцией в этом каталоге.
В Splunk Enterprise и Cloud Platform были устранены две проблемы средней степени серьезности.
Одна из них могла быть использована для создания имен пользователей, содержащих нулевой байт или байт, не закодированный в UTF-8, что препятствовало их преобразованию в правильный формат, а другая позволяла злоумышленникам включать или выключать ускорение модели данных.
Пользователям следует обновить Splunk Enterprise до 10.2.2, 10.0.5, 9.4.10, 9.3.11 или выше. Обновлением облачной платформы Splunk еще занимается.
Компания также устранила CVE-2026-20205, представляющую собой серьезную уязвимость в приложении MCP Server, которая позволяет авторизованным злоумышленникам просматривать сессии пользователей и токены авторизации в открытом виде.
Для устранения уязвимости требуется либо локальный доступ к файлам журналов, либо административный доступ к внутренним индексам. Исправления ошибки были включены в версию приложения MCP Server 1.0.3.
Кроме того, компания выпустила исправления для ошибок в сторонних пакетах Splunk Enterprise, Operator for Kubernetes Add-on, приложении IT Service Intelligence (ITSI) и Universal Forwarder.
В Splunk также не упоминают о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях.
Исследователи F6 задетектили и сообщают о новых атаках со стороны хакерской группы Unicorn, которая нацелена на российские компании с сентября 2024 года с узнаваемым стилем: шаблонные рассылки, долгая жизнь одной C2, минимальные изменения в вредоносного ПО.
30 марта 2026 года специалисты компании зафиксировали новую атаку.
Основная цель - авиастроительная отрасль.
Рассылаемое письмо имеет типичную для группы тему: "Направляем Вам исходящее №* от 30.03.2026" и одноименный ZIP-архив во вложении (анализ вложения - здесь).
По результатам своего расследования специалисты F6 выявили ряд изменений по сравнению в более ранней активностью. В частности:
1. Переход с VBS-скриптов на JS-скрипты.
При этом цепочка атаки практически не изменилась: архив из вложения содержит HTA-файл, после запуска которого извлекаются 8 попарно идентичных скриптов в две разные директории.
Для закрепления JS-скрипты прописываются в автозагрузку через реестр (RunOnce) и планировщик задач. Возможности JS-скриптов повторяют те, что ранее были реализованы в VBS-скриптах Unicorn:
- history_log.js (update_info.js): сбор файлов с определенными расширениями из директорий пользователя;
- drive_layout.js (calendar_event.js): сбор данных браузеров, Telegram, файлов из съемных дисков;
- storage_index.js (setup_file.js): взаимодействие с C2 для получения команд;
- alert_status.js (warning_message.js): отправка собранных файлов.
2. Новая логика C2.
Ранее как C2 злоумышленники использовали поддомены *.rikardo-milos[.]org. В свежей атаке Unicorn впервые используют в качестве основных C2 IP-адреса, а в качестве резервных - поддомены от нового домена.
В выявленной атаке использовались: 45.156.87[.]120, 45.156.87[.]3, 176.65.132[.]239, supercum[.]org. Сам домен был зарегистрирован 22 марта 2026 года, за неделю до выявленной рассылки.
С помощью GET запроса определяется доступный сервер. Если какой-то из указанных IP доступен, то генерируется URL по шаблону: hxxps://[IP]/bpr-[a-zA-Z0-9]{6, 12}, иначе - генерируется URL по другому шаблону: hxxps://[a-zA-Z0-9]{6,12}.supercum[.]org/bpr-[a-zA-Z0-9]{6,12}.
3. Упростили цепочку.
В HTA больше нет финального POST-запроса (раньше был, например, на Discord).
Индикаторы компрометации - в отчете.
Более 100 вредоносных расширений в Chrome Web Store крадут токены Google OAuth2 Bearer, внедряя бэкдоры и совершая мошеннические действия с рекламой.
Исследователи Socket пришли к выводу, что все они являются частью скоординированной кампании, использующей одну и ту же инфраструктуру C2, в рамках MaaS.
Злоумышленник продвигал расширения через пять различных издателей в нескольких категориях: клиенты для боковой панели Telegram, игровые автоматы и кено, средства улучшения контента для YouTube и TikTok, инструмент перевода текста и утилиты.
По данным исследователей, в кампании задействуется центральная серверная часть, размещенная на VPS-сервере Contabo, со множеством поддоменов, обрабатывающих перехват сессий, сбор идентификационных данных, выполнение команд и операции монетизации.
Самый крупный кластер, включающий 78 расширений, внедряет контролируемый злоумышленником HTML-код в пользовательский интерфейс через свойство innerHTML.
Вторая группа из 54 расширений использует chrome.identity.getAuthToken для сбора адреса электронной почты, имени, фотографии профиля и идентификатора учетной записи Google жертвы.
Они также крадут токен Google OAuth2 Bearer, кратковременный токен доступа, который позволяет приложениям получать доступ к данным пользователя или действовать от его имени.
Третья группа из 45 расширений включает скрытую функцию, которая реализуется после старта браузера, выступая в качестве бэкдора, получающего команды с С2 и способного открывать произвольные URL. Эта функция не требует от пользователя взаимодействия с расширением.
Одно из расширений, отмеченное Socket как «наиболее опасное», перехватывает сессии Telegram Web каждые 15 секунд, извлекая данные сессии из localStorage и токен сессии для Telegram Web, отправляя затем эту информацию на сервер C2.
Расширение также обрабатывает входящее сообщение (set_session_changed), которое выполняет обратную операцию: очищает localStorage жертвы, перезаписывает его данными сессии, предоставленными злоумышленником, и принудительно перезагружает Telegram.
В совокупности эти манипуляции позволяет оператору без ведома жертвы перенаправить браузер любого пользователя на другой аккаунт Telegram.
Исследователи также отметили три расширения, которые удаляют заголовки безопасности и внедряют рекламу в YouTube и TikTok, еще одно, перенаправляющее запросы на перевод через вредоносный сервер, а также неактивное расширение для кражи сессий в Telegram, использующее специально созданную инфраструктуру.
Socket уведомила Google о своих находках, но предупреждает, что на момент публикации их отчета все вредоносные расширения по-прежнему оставались доступны в Chrome Web Store. Google пока никак это не комментирует.
Пользователям рекомендуется выполнить поиск установленных расширений согласно представленным идентификаторам Socket и немедленно их удалить в случае обнаружения.
"Новой схеме развода в Telegram" в следующем месяце исполнится 3,5 года. Если админы Банксты не умеют в информационную безопасность, то фактчекинг можно провести по материалам нашего канала (не реклама😎)
Ну, а в общем, как известно, все эти схемы массовые развода работают только при отсутствии 2FA. Кто в наше время им не пользуется, что это за австралопитеки?
(Младший модер подсказывает, что это те же люди, которые используют пароль "q1w2e3r4t5y6". Хотя, с другой стороны, это могут быть пользователи продукции компании Ivanti, профессиональные мазохисты).
Исследователи из Лаборатории Касперского продолжают отслеживать эволюцию JanelaRAT, который остается активной угрозой для финсектора стран Латинской Америки, к настоящему времени - Бразилии и Мексики.
Причем новые вариации затрагивают как само вредоносное ПО, так и цепочку его заражения, включая целевые варианты для конкретных стран. Данные телеметрии ЛК показывают, что в 2025 году в Бразилии было зафиксировано 14 739 атак, а в Мексике - 11 695.
Модифицированная версия BX RAT, JanelaRAT, известна тем, что крадет финансовые и криптовалютные данные, связанные с конкретными организациями, а также отслеживает действия мыши, записывает нажатия клавиш, делает снимки экрана и собирает метаданные системы.
Одно из ключевых отличий этих троянов заключается в том, что JanelaRAT использует собственный механизм обнаружения заголовка окна для идентификации нужных сайтов в браузерах жертв и выполнения вредоносных действий.
Впервые обнаруженный Zscaler в июне 2023 года, троян JanelaRAT использовал ZIP-архивы со скриптом VBScript, для загрузки второго ZIP, который, в свою очередь, содержал легитимный исполняемый файл и DLL. Методом загрузки DLL запускался сам троян.
Согласно отчету KPMG в 2025 году, вредоносное ПО распространялось через фейковые файлы MSI, маскирующиеся под легитимное ПО на доверенных платформах, таких как GitLab. Атаки в основном были направлены на Чили, Колумбию и Мексику.
При запуске установщик инициировал многоэтапный процесс заражения с помощью скриптов на Go, PowerShell и пакетных файлов. Эти скрипты распаковывали ZIP с исполняемым файлом RAT, вредоносное расширение для браузера Chromium и вспомогательные компоненты.
Скрипты также предназначены для идентификации установленных браузеров Chromium и скрытого изменения их параметров запуска для установки расширения. После чего оно собирало системную информацию, cookie, историю, установленные расширения и метаданные вкладок, а также запускало определенные действия на основе совпадений с шаблонами URL.
Последняя цепочка атак, задокументированная ЛК, показывает, что фишинговые электронные письма, замаскированные под неоплаченные счета, используются для обмана получателей и загрузки PDF по ссылке, в результате чего загружается ZIP, который запускает вышеупомянутую цепочку атак, включающую установку DLL JanelaRAT.
С мая 2024 кампании JanelaRAT перешли от скриптов Visual Basic к установщикам MSI, которые действуют как загрузчики вредоносного ПО, используя загрузку DLL и обеспечивая постоянное присутствие на хосте путем создания ярлыка Windows (LNK) в папке автозагрузки.
После запуска вредоносная ПО устанавливает связь с C2 через TCP-сокет для регистрации заражения и отслеживает действия жертвы с целью перехвата конфиденциальных банковских операций.
Главная цель JanelaRAT — перехватить заголовок активного окна и сравнить его с жестко закодированным списком финансовых учреждений. В случае выявления проходит 12 секунд, прежде чем открывается выделенный канал управления и выполнения вредоносных задач.
Перечень команд достаточно широк и включает: отправку скринов, извлечение изображений, имитацию диалоговых окон с помощью наложений, клавиатуры и мыши, захват нажатий клавиш, завершение работы, выполнение команд с помощью cmd.exe и скриптов PowerShell, сокрытие окна диспетчера задач Windows, выявление антифрод систем, песочницы, автоматизации и др.
Вредоносная ПО определяет, был ли компьютер жертвы неактивен более 10 минут, вычисляя время, прошедшее с момента последнего ввода данных пользователем.
Если период неактивности превышает 10 минут, она уведомляет С2, отправляя соответствующее сообщение. При появлении активности снова уведомляет, что позволяет отслеживать поведение пользователя для определения времени возможных удаленных операций.
Обновленный JanelaRAT представляет собой значительный шаг вперед в возможностях злоумышленника, специально разработано для минимизации видимости и адаптации своего поведения при обнаружении антимошеннического ПО.
Rockstar Games вновь стала жертвой киберподполья в рамках недавнего инцидента с Anodot, на этот раз постарались ShinyHunters, которые вывалили украденные данные на своем сайте DLS.
Злоумышленники утверждают, что данные были похищены из среды Snowflake с использованием токенов аутентификации, украденных во время недавнего инцидента Anodot. Опубликованные данные Rockstar Games включают более 78,6 млн. записей.
В Rockstar Games пока отмалчиваются на этот счет. Однако в заявлении изданию Kotaku, компания подтвердила, что «в связи с утечкой данных третьей стороны был получен доступ к ограниченному объему несущественной информации компании», а сам «инцидент никак не влияет на организацию или игроков».
Злоумышленники сообщили, что утечка данных в основном состоит из внутренней аналитики, используемой для мониторинга онлайн-сервисов Rockstar и заявок в службу поддержки.
Слитые данные, предположительно, включают показатели выручки и покупок, отслеживание поведения игроков и данные об игровой экономике для Grand Theft Auto Online и Red Dead Online, а также, по всей видимости, аналитику службы поддержки клиентов для системы Zendesk.
Кроме того, в числе украденных файлов содержались ссылки на системы обнаружения мошенничества и тестирование моделей противодействия мошенничеству.
Инцидент является частью более масштабной кампании, связанной с недавним инцидентом в компании Anodot, специализирующейся на выявлении аномалий данных и интегрирующейся с широким спектром облачных SaaS-платформ.
Как сообщается, злоумышленники украли токены аутентификации из сервиса и использовали их для доступа к данным клиентов, хранящимся в подключенных экземплярах Snowflake, S3 и Amazon Kinesis.
На прошлой неделе Snowflake, в свою очередь, подтвердила, что обнаружила необычную активность, затрагивающую небольшое количество учетных записей клиентов, связанных с интеграцией стороннего сервиса, в ответ заблокировав затронутые учетные записи и уведомив клиентов.
Позже компания подтвердила, что интегратором выступила компания Anodot. ShinyHunters не осталась в стороне и взяла ответственность за атаки, заявляя о краже данных у десятков компаний с использованием скомпрометированных токенов.
Ранее, в 2022 году, Rockstar Games уже сталкивалась с утечкой данных, когда группа Lapsus$ слила в сеть видеоролики с Grand Theft Auto 6 вместе с исходным кодом игры. Так что им не уже привыкать, но каждый раз неприятно.
Booking взломали: хакеры получили доступ к информации о пользователях, сколько именно клиентов лишились доступа к информации о своих бронированиях не разглашается;
Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.
Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.
В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».
К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента.
В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.
Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.
⭕️ OpenAI просит пользователей macOS cрочно обновить Desktop приложения до последних версий из-за атаки на Axios
Компания OpenAI выявила проблему безопасности, связанную со сторонним инструментом для разработчиков под названием Axios, о которой говорилось ранее [1,2]. Принимаются меры по защите процесса сертификации, подтверждающего подлинность её приложений для macOS. Компания Сэма Альтмана сообщила об отсутствии доказательств несанкционированного доступа к пользовательским данным, компрометации систем или интеллектуальной собственности.
В результате этой атаки рабочий процесс (workflow) GitHub Actions, используемый OpenAI, загрузил и запустил «вредоносную» версию Axios. Данный рабочий процесс имел доступ к сертификату и материалам нотаризации, используемым для подписания приложений под macOS, включая ChatGPT Desktop, Codex, Codex-cli и Atlas.
Компания заявила, что обновляет свои сертификаты безопасности и требует от всех пользователей macOS обновить Desktop приложения OpenAI до последних версий, чтобы предотвратить любые риски, связанные с попытками распространения поддельных приложений.
Начиная с 8 мая старые версии Desktop приложений OpenAI для macOS больше не будут получать обновления или поддержку, а также могут перестать функционировать, отметил разработчик ChatGPT.
✋ @Russian_OSINT
Adobe выпустила экстренные обновления для устранения критической уязвимости в Acrobat Reader, которая активно использовалась злоумышленниками в реальных условиях.
CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.
Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.
Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:
- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).
При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».
Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.
По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.
Официальный сайт CPUID, по всей видимости, был скомпрометирован, а все пользователи, которые пытались загрузить HWMonitor и CPU-Z получали установочные файлы с вредоносным ПО.
CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.
Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.
Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.
После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.
Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.
На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.
По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.
Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).
Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.
В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.
Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.
Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.
Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.
Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.
Новости шоу-бизнеса.
На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.
Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.
Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)
Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее 45 сантиметров почти миллиард долларов. Получилось лучше, размер впечатлил.
На этом развлекательная часть закончилась.
Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.
Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.
Мельчаем-с, господа…
Новое вредоносное ПО на Lua под названием LucidRook задействуется в целевых фишинговых кампаниях, направленных на неправительственные организации и университеты на Тайване.
Исследователи Cisco Talos связали вредоносное ПО с группой угроз UAT-10362, которую описывают как опытного противника, «обладающего отточенными оперативными навыками».
В октябре 2025 года было замечено, что LucidRook использовался в фишинговых электронных письмах, содержащих защищенные паролем архивы.
Исследователи выявили две цепочки заражения: одна использовала LNK, который в конечном итоге распространял вредоносный дроппер под названием LucidPawn, а другая полагалась на фейковый исполняемый файл антивируса, имитирующий Trend Micro Worry-Free Business Security Services.
Атака, основанная на LNK, использует поддельные документы, такие как правительственные письма, составленные таким образом, чтобы выглядеть как письма от правительства Тайваня, для отвлечения внимания пользователя.
Cisco Talos обнаружила, что LucidPawn расшифровывает и развертывает легитимный исполняемый файл, переименованный для имитации Microsoft Edge, а также вредоносную DLL-библиотеку (DismCore.dll) для установки LucidRook.
Он примечателен своей модульной конструкцией и встроенной средой выполнения Lua, что позволяет ему получать и выполнять полезную нагрузку второго этапа в виде байт-кода Lua.
Такой подход позволяет операторам обновлять функциональность без изменения основного вредоносного ПО, одновременно ограничивая возможности проведения криминалистического анализа. Скрытность дополнительно повышается за счет обфускации кода.
Встраивание интерпретатора Lua фактически превращает нативную DLL в стабильную платформу выполнения, позволяя злоумышленнику обновлять или адаптировать поведение для каждой цели или кампании, обновляя полезную нагрузку байт-кода Lua с помощью более легкого и гибкого процесса разработки.
Такой подход также повышает OpSec, поскольку этап Lua может быть размещен лишь на короткое время и удален из системы C2 после доставки, а также способен затруднить восстановление после инцидента, когда защитники добираются только до загрузчика без доставленной нагрузки.
Исследователи также отмечает, что бинарный файл сильно обфусцирован с помощью встроенных строк, расширений файлов, внутренних идентификаторов и адресов C2, что усложняет любые попытки обратного проектирования.
В процессе своей работы LucidRook проводит разведку системы, собирая такую информацию, как имена пользователей и компьютеров, установленные приложения и запущенные процессы.
Данные шифруются с использованием алгоритма RSA, хранятся в защищенных паролем архивах и передаются на контролируемую злоумышленником инфраструктуру через FTP.
В ходе изучения LucidRook исследователи обнаружили связанный с ним инструмент под названием LucidKnight, который, вероятно, используется для разведки.
Одной из примечательных особенностей LucidKnight является злоупотребление протоколом Gmail GMTP для кражи собранных данных, что говорит о том, что UAT-10362 располагает гибким набором инструментов для удовлетворения различных операционных потребностей.
Cisco Talos с умеренной степенью уверенности заключает, что атаки LucidRook являются частью целенаправленной кампании по вторжению.
Однако им не удалось перехватить расшифровываемый байт-код Lua, полученный LucidRook, поэтому конкретные действия, предпринятые после заражения, остаются неизвестны.
Исследователи обнаружили RCE-уязвимость в Apache ActiveMQ Classic, которая оставалась незамеченной в течение 13 лет и могла быть использована для выполнения произвольных команд.
Уязвимость была обнаружена с помощью ИИ-помощника Claude, который определил путь для эксплуатации уязвимости, проанализировав взаимодействие независимо разработанных компонентов.
Уязвимость отслеживается как CVE-2026-34197 (CVSS 8,8) и затрагивает все версии Apache ActiveMQ/Broker до 5.19.4, а также все версии от 6.0.0 до 6.2.3.
Несмотря на то, что ActiveMQ выпустила более новую ветку «Artemis» с улучшенной производительностью, версия «Classic», затронутая CVE-2026-34197, широко используется в корпоративных системах, веб-бэкендах, государственных и корпоративных системах на Java.
Исследователь Horizon3 Навин Сункавалли обнаружил проблему, «с помощью всего лишь нескольких простых подсказок» в системе Claude. При этом 80% решения принимал Claude, а 20% - человек.
Как отметил Сункавалли, что Claude указал на проблему после изучения множества отдельных компонентов (Jolokia, JMX, сетевых коннекторов и транспортных протоколов виртуальных машин).
Каждая функция в отдельности выполняет свою задачу, но вместе они представляли опасность. Именно здесь Claude проявил себя во всей красе - умело соединив все элементы воедино.
Исследователь сообщил об уязвимости разработчикам Apache 22 марта, а разработчик устранил ее 30 марта в версиях ActiveMQ Classic 6.2.3 и 5.19.4.
В отчете Horizon3 поясняется, что уязвимость связана с тем, что API управления Jolokia в ActiveMQ предоставляет функцию брокера (addNetworkConnector), которую можно использовать для загрузки внешних конфигураций.
Отправив специально сформированный запрос, злоумышленник может заставить брокера получить удаленный Spring XML-файл и выполнить произвольные системные команды во время его инициализации.
Для решения этой проблемы требуется аутентификация через Jolokia, но в версиях с 6.0.0 по 6.1.1 аутентификация становится невозможной из-за отдельной CVE-2024-32114, которая предоставляет доступ к API без контроля доступа.
Исследователи Horizon3 подчеркнули риск, связанный с недавно обнаруженной уязвимостью, указав на другие уязвимости ActiveMQ CVE, которые хакеры использовали в реальных атаках.
Пользователям, использующим ActiveMQ, рекомендовано рассматривать проблему как приоритетную задачу, поскольку ActiveMQ неоднократно становился целью для реальных злоумышленников, а методы эксплуатации и постэксплуатации ActiveMQ хорошо известны.
CVE-2026-34197 пока не упоминается как активно используемая, но исследователи полагают, что признаки эксплуатации очевидны в журналах брокера ActiveMQ.
Они рекомендуют искать подозрительные соединения брокера, использующие внутренний протокол передачи данных VM и параметр запроса brokerConfig=xbean:http://.
Выполнение команды происходит во время нескольких попыток подключения. Если появляется предупреждение о проблеме с конфигурацией, исследователи говорят, что полезная нагрузка уже была выполнена.
0-day в Adobe Reader активно задействуется в атаках через специально созданные PDF-документы с декабря прошлого года.
Атаки обнаружил исследователь Хайфэй Ли (основатель платформы EXPMON), который вскрыл «высокотехнологичный эксплойт для PDF-файлов, похожий на снятие фингерпринтов», использующий нераскрытую уязвимость в Adobe Reader.
Он также отметил, что эти атаки нацелены на пользователей Adobe как минимум 4 месяца и приводят к краже данные из скомпрометированных систем с помощью привилегированных API-интерфейсов Acrobat util.readFileIntoStream и RSS.addFeed, а также через дополнительные эксплойты.
Упомянутая уязвимость, связанная с получением «цифрового отпечатка», работает в последней версии Adobe Reader без какого-либо взаимодействия с пользователем, кроме открытия PDF-файла. Точная природа этой уязвимости следующего этапа остается неизвестной.
Еще более тревожно то, что эта она позволяет злоумышленнику не только собирать/красть локальную информацию, но и потенциально запускать последующие атаки RCE/SBX, которые могут привести к полному контролю над системой жертвы.
Первый артефакт (Invoice540.pdf) засветился на платформе VirusTotal 28 ноября 2025 года, затем второй образец был загружен туда же уже 23 марта 2026 года.
Аналитик угроз Gi7w0rm также проанализировал эту уязвимость в Adobe Reader, обнаружив, что PDF-документы, распространяемые в ходе этих атак, содержат русскоязычные приманки, ссылающиеся на текущие события в российской нефтегазовой отрасли.
Судя по названию PDF-документа, вероятно, здесь присутствует элемент социнженерии: злоумышленники заманивают ничего не подозревающих пользователей, заставляя их открыть файлы в Adobe Reader.
После запуска автоматически запускается выполнение обфусцированного JavaScript для сбора конфиденциальных данных и получения дополнительных вредоносных программ.
Исследователи уведомили Adobe о своих находках и, до тех пор пока компания не выпустит обновления для устранения этой активно используемой 0-day, пользователям следует не открывать PDF-документы, полученные от ненадежных контактов, до выпуска патча.
Специалисты по сетевой безопасности также могут смягчать последствия атак, использующих эту 0-day, путем мониторинга и блокировки HTTP/HTTPS-трафика, содержащего строку Adobe Synchronizer в заголовке User-Agent.
Исследователи предупреждают, что уязвимость в протоколе контекста модели Anthropic позволяет выполнять необработанные команды незаметно, что может привести к полной компрометации системы в широко используемых средах ИИ.
MCP стал настоящим благом для пользователей агентного ИИ и широко используется и пользуется доверием на местном уровне среди компаний, внедряющих агентный ИИ внутри своих предприятий.
Представленный Anthropic в ноябре 2024, он предоставляет стандартный коннектор между агентами и данными. Используется локально, чтобы избежать сложностей разработки собственных коннекторов, в качестве локального STDIO MCP-сервера.
Существует множество поставщиков MCP-серверов, почти все из которых используют код Anthropic. Однако как сообщает OX Security, проблема заключается в архитектурном недостатке кода MCP от Anthropic, встроенного в большинство этих локальных STDIO MCP.
Как полагают в OX Security, уязвимость может привести к полному захвату системы пользователя. Причем механизм эксплуатации довольно прост: интерфейс STDIO MCP был разработан для запуска локального серверного процесса. Но команда выполняется независимо от того, успешно ли запустился процесс.
Если передать вредоносную команду, выйдет ошибка - но команда всё равно выполнится. Никаких предупреждений о проверке на наличие вредоносного кода, равно никаких тревожных сигналов в инструментарии разработчика на этот случай не предусмотрено.
OX Security провела различные исследования на предмет возможности использования этой «уязвимости», добилась значительных успехов и широко поделившись своими выводами среди поставщиков MCP.
Но реакция была мягко сказать некорректной. В конце концов, все сошлось на бездействии в сочетании с предположением, что такое поведение было «задумано».
Однако исследователи продемонстрировали, что такое «заложенное в проекте» поведение может быть легко использовано злоумышленниками, а миллионы пользователей потенциально могут стать жертвами кражи данных, ключей API и корпоративных секретов, утечки истории чатов и др.
Если процесс, в котором произошел сбой MCP, включал вредоносное ПО, то оно вполне, как оказывается, могло быть установлено незаметно, что потенциально могло привести к полному захвату системы.
В итоге единственным очевидным действием со стороны Anthropic стало незаметное обновление рекомендаций по безопасности, в которых указывалось на использование адаптеров MCP «с осторожностью», оставив уязвимость в неизменном виде и переложив ответственность на разработчиков.
Позиция Anthropic предполагает, что разработчики сами несут ответственность за безопасность того, что они разрабатывают. Так что любая компания, подвергшаяся взлому, не попадает в зону ответственности Anthropic, а виновата в неправильной настройке установки MCP.
В OX настаивают на том, что Anthropic должна взять на себя ответственность и самостоятельно исправить «архитектурный недостаток».
В противном случае отрасль остается уязвимой для «самой масштабной атаки на цепочку поставок», которая начнётся с Anthropic, распространится на многие тысячи локальных пользователей MCP, а с их скомпрометированных систем - на массу других серверов.
OX реализовала скоординированный процесс раскрытия информации, в результате чего было получено более 30 подтвержденных сообщений об уязвимостях и исправлено более 10 критически важных уязвимостей.
Однако, как утверждается, основной недостаток проектирования остается, делая миллионы пользователей и тысячи систем уязвимыми для несанкционированного доступа. Несмотря на то, что в своем отчете OX подробно описала, как Anthropic могла бы решить проблему.
Текущая реализация MCP перекладывает всю ответственность за безопасность на разработчика - структурный сбой, гарантирующий уязвимость в больших масштабах. Любой компании, внедряющей STDIO MCP в рамках разработки агентного ИИ, следует делать это «с осторожностью».
Более 30 плагинов WordPress из пакета EssentialPlugin были скомпрометированы вредоносным кодом, реализующим несанкционированный доступ к сайтам, на которых они установлены.
Злоумышленник внедрил бэкдор в прошлом году, но лишь недавно начал распространять его среди пользователей через обновления, генерируя спам-страницы и вызывая перенаправления, в соответствии с инструкциями, полученными от сервера C2.
Взлом затронул плагины с сотнями тысяч активных установок и был обнаружен Остином Гиндером, основателем Anchor Hosting, предоставляющей управляемый хостинг для WordPress, после получения сообщения об одном из дополнений, содержащем код, позволяющий третьим лицам получать к нему доступ.
Дальнейшее расследование позволило выявить наличие бэкдора во всех плагинах пакета EssentialPlugin, начиная с августа 2025 года, после того как проект был куплен новым владельцем за шестизначную сумму.
EssentialPlugin была основана в 2015 году как WP Online Support и прошла ребрендинг в 2021 году, специализируется на разработке сайтов на WordPress и предлагает слайдеры, галереи, маркетинговые инструменты, расширения для WooCommerce, утилиты для SEO и темы оформления.
По данным Гиндера, бэкдор оставался неактивным до недавней активации и незаметно связался с внешней инфраструктурой для получения файла (wp-comments-posts.php), который внедряет вредоносное ПО в wp-config.php.
Загруженное вредоносное ПО невидимо для владельцев сайтов и использует разрешение адресов C2 на основе Ethereum для обхода защиты. В зависимости от полученных инструкций, вредоносная ПО может получать «спам-ссылки, перенаправления и поддельные страницы».
Внедренный код был сложным и показывал спам только Googlebot, делая его невидимым для владельцев сайтов.
Анализ PatchStack также показал, что бэкдор работал только в том случае, если конечная точка analytics.essentialplugin[.]com возвращала вредоносное сериализованное содержимое.
WordPress оперативно отреагировал на сообщения о вредоносной активности, закрыв плагины и принудительно обновив сайты, чтобы нейтрализовать связь бэкдора и отключить путь его выполнения. В EssentialPlugins пока никак не комментируют сообщения о вредоносном коде.
Однако разработчики предупредили, что это действие не очищает основной конфигурационный файл wp-config, который связывает сайты с их базами данных и содержит важные настройки.
Команда разработчиков плагинов WordPress также предупреждает администраторов, использующих EssentialPlugin, что, хотя одним из известных мест расположения бэкдора является wp-comments-posts.php, который похож на легитимный wp-comments-post.php, вредоносное ПО может скрываться и в других файлах.
В менеджере пакетов для PHP Composer закрались две серьезные уязвимости, которые в случае успешной эксплуатации могут привести к выполнению произвольных команд.
Проблемы связаны с внедрением команд и затрагивают драйвер Perforce VCS (система контроля версий).
Первая, CVE-2026-40176 (CVSS: 7.8) обусловлена некорректной проверкой входных данных и позволяет злоумышленнику, контролирующему конфигурацию репозитория в вредоносном файле composer.json, объявляющем репозиторий Perforce VCS, внедрять произвольные команды, что приводит к выполнению команд в контексте пользователя, запускающего Composer.
Вторая, CVE-2026-40261 (CVSS: 8.8) представляет собой уязвимость, связанную с некорректной проверкой входных данных из-за недостаточного экранирования, позволяя злоумышленнику внедрять произвольные команды через специально созданную ссылку на исходный код, содержащую метасимволы оболочки.
В обоих вариантах Composer будет выполнять эти внедренные команды, даже если Perforce VCS не установлен, что отметили разработчики в своем уведомлении.
Уязвимости затрагивают версии: >= 2.3, < 2.9.6 (исправлено в версии 2.9.6) и >= 2.0, < 2.2.27 (Исправлено в версии 2.2.27).
В случае если, оперативное внесение изменений затруднено, пользователям рекомендуется проверить файлы composer.json перед запуском Composer и убедиться, что поля, связанные с Perforce, содержат допустимые значения.
Также следует использовать только доверенные репозитории Composer, запускать команды Composer для проектов из доверенных источников и избегать установки зависимостей с использованием параметров конфигурации --prefer-dist или preferred-install: dist.
Composer заявила, что провела сканирование Packagist.org и не обнаружила никаких доказательств использования вышеупомянутых уязвимостей злоумышленниками путем публикации пакетов со вредоносной информацией Perforce.
Ожидается, что новая версия будет выпущена для клиентов, использующих частный хостинг Packagist.
В качестве меры предосторожности публикация метаданных исходного кода Perforce отключена на Packagist.org с пятницы, 10 апреля 2026 года. Тем не менее, все установки Composer следует немедленно обновить в любом случае.
Microsoft выпустила очередной Patch Tuesday с исправлением активной используемой 0-day в SharePoint и еще 168 других уязвимостей в своем продуктовом портфеле, что, по мнению экспертов, стало вторым по величине обновлением за всю историю по количеству закрытых CVE.
Из этих 169 уязвимостей 157 оцениваются как важные, восемь - как критические, три - как умеренные и одна - как низкая по степени серьезности.
93 классифицируются как EoP, за ними следуют 21 уязвимость, связанная с раскрытием информации, 21 - с RCE, 14 - с обходом функций безопасности, 10 - с подменой адреса и девять - с DoS.
В число 169 обнаруженных уязвимостей также входят четыре CVE, не выпущенные Microsoft, затрагивающие AMD (CVE-2023-20585), Node.js (CVE-2026-21637), Windows Secure Boot (CVE-2026-25250) и Git for Windows (CVE-2026-32631). Эти обновления дополняют 78 ошибок, которые были устранены в браузере Edge на основе Chromium.
Уязвимость в SharePoint Server отслеживается как CVE-2026-32201 и относится к проблемам с подменой IP-адреса. Microsoft присвоила ей рейтинг серьезности «важный» с оценкой CVSS 6,5.
Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику осуществлять подмену данных в сети. Злоумышленник может использовать эту уязвимость для доступа к конфиденциальной информации и ее изменения.
Пока неясно, кто стоит за 0-day атаками, нацеленными на CVE-2026-32201. Уязвимость была обнаружена внутри компании, в настоящее время неизвестно, как она используется и каков масштаб.
Однако, судя по краткому описанию поставщика, возможно, что уязвимость CVE-2026-32201 связана с другими уязвимостями.
Уязвимости SharePoint достаточно часто используются злоумышленниками в реальных условиях. В каталоге KEV CISA в настоящее время включено 10 подобных проблем, включая CVE-2026-32201.
Из оставшихся уязвимостей, исправленных Microsoft в рамках Patch Tuesday за апрель 2026 года, 19 имеют рейтинг «более вероятна эксплуатация», что указывает на то, что они могут быть использованы в атаках.
Одна из них - CVE-2026-33825 (CVSS: 7.8), уязвимость повышения привилегий в Microsoft Defender, которая, по данным микромягких, была публично раскрыта до выпуска исправлений.
По данным Microsoft, она позволяет авторизованному злоумышленнику повысить привилегии локально, воспользовавшись отсутствием в Defender адекватных средств контроля доступа.
Одна из наиболее серьезных уязвимостей - это случай удаленного выполнения кода, затрагивающий расширения службы обмена ключами в Интернете (IKE) Windows. Отслеживается как CVE-2026-33824 и имеет оценку CVSS 9,8 из 10,0.
Для использования уязвимости злоумышленнику необходимо отправить специально сформированные пакеты на компьютер под управлением Windows с включенным протоколом IKE v2, что может позволить удаленное выполнение кода
Уязвимости в компонентах Windows, включая загрузчик, Active Directory, удаленный рабочий стол, Hello, контроллеры пространства хранения, поиск, драйвер трансляции TDI, BitLocker, консоль управления, TCP/IP, общий драйвер файловой системы журналов, хост устройств UPnP, COM, оболочка, служба обнаружения функций и диспетчер окон рабочего стола, также с большей долей вероятности будут использованы в недалеком будущем.
Исследователи в Tenable отмечают, что это второй по величине «Вторник обновлений» за всю историю, и он лишь немного не дотянул до рекорда, установленного в октябре 2025 года (183 уязвимости).
Более того, EoP-уязвимости продолжают доминировать в цикле обновлений Patch Tuesday за последние восемь месяцев, составляя рекордные 57% всех CVE, исправленных в апреле, в то время как количество RCE снизилось до 12%, сравнявшись с количеством уязвимостей раскрытия информации в этом месяце.
CitizenLab совместно с журналистами из VSquare в своем очтете расчехлили платформу под названием Webloc, которая позволяет отслеживать сотни миллионов пользователей по всему миру через данные, полученные из мобильных приложений и цифровых рекламных экосистем.
В ходе расследования были получены доказательства того, что Webloc задействовалась властями ряда стран (упоминаются Венгрия, США и Сальвадор) для проведения разведывательных и силовых операций.
В основу отчета помимо технического анализа легли данные о закупках, утечки документов и 96 запросов на предоставление информации в соответствии с законом о свободе информации, что позволило его участникам составить карту возможностей, инфраструктуры и использования Webloc.
Webloc представляет собой систему геолокационной разведки, первоначально разработанную израильской Cobwebs Technologies, которая впоследствии перешла под управление американской Penlink после слияния в 2023 году.
Cobwebs была основана в 2015 году бывшими сотрудниками израильской разведки и занималась разработкой инструментов сбора информации из интернета и соцсетей, в то время как Penlink долгое время поставляла правоохранительным структурам США инструменты для перехвата и анализа данных.
По данным Citizen Lab, Webloc обрабатывает огромные потоки данных, поступающих из мобильных приложений и бирж рекламы в реальном времени, обычно называемых RTB, а также экосистем отслеживания на основе SDK.
Все они включают идентификаторы мобильной рекламы (MAID), координаты местоположения, полученные с помощью GPS и Wi-Fi, IP-адреса, сведения об устройстве и поведенческие профили, включая интересы и привычки.
Система обрабатывает миллиарды сигналов местоположения ежедневно от 500 млн. устройств, позволяя пользователям отслеживать перемещения, создавать профили и восстанавливать историю местоположений за период до трех лет.
Просочившиеся в сеть технические документы, изученные исследователями, показывают, что Webloc поддерживает запросы геозонирования, позволяя аналитикам идентифицировать все устройства, находящиеся в определенной области, или те, которые перемещались между локациями.
Платформа также может определять конфиденциальные личные данные, такие как место жительства и работы, на основе повторяющихся моделей местоположения и сопоставлять устройства на основе данных о совместном перемещении.
Результаты исследования Citizen Lab показывают, что Webloc широко используется в государственных секторах.
Среди подтвержденных клиентов в США - Иммиграционная и таможенная служба (ICE), вооруженные силы США, Департамент общественной безопасности Техаса и многочисленные полицейские управления. Система также используется Национальной гражданской полицией Сальвадора как минимум с 2021 года.
По Европе задокументирован первый подтвержденный случай массового использования слежки с помощью рекламы: по сообщениям, венгерские внутренние разведывательные службы используют Webloc с 2022 года, Специальная служба национальной безопасности (NBSZ) даже продлила лицензии на Webloc в марте 2026 года.
В свою очередь, Penlink оспорила некоторые аспекты отчета, заявив о неточностях и отметив, что некоторые из описанных продуктов «больше не существуют», но не предоставила подробных разъяснений.
Компания заверяет, что ее инструменты используются исключительно в законных целях, помогая бороться с преступностью и искать пропавших без вести в строгом соответствии с законами о защите частной жизни.
Впрочем, нас это никак не удивляет, о подобных технологиях писали уже не раз. Новый отчет с акцентом на венгерские выборы, по всей видимости, носит больше политический, нежели технический аспект. Но будем следить.
Исследователи Гонконгского политехнического университета и Китайского университета Гонконга на симпозиуме NDSS 2026 рассказали, что стандартные оптоволоконные кабели можно незаметно перепрофилировать в высокочувствительные подслушивающие устройства.
Исследование показало, что в реальных условиях злоумышленники могут использовать существующую телекоммуникационную инфраструктуру для акустического прослушивания и съема другой конфиденциальной информации без применения традиционного оборудования для слежки.
Основной целью исследования было изучение возможности утечки акустической информации через оптические волокна, которые считаются неуязвимыми для прослушивания, посредством едва заметных физических эффектов.
В основе атаки тот факт, что оптические волокна, хотя и предназначены для передачи световых сигналов, также чувствительны к мельчайшим физическим вибрациям.
Звуковые волны в окружающей среде могут слегка деформировать волокно, вызывая измеримые фазовые сдвиги света, проходящего через него.
Подключив один конец волокна к имеющейся в продаже системе распределенного акустического зондирования (DAS), злоумышленник может проанализировать эти фазовые изменения и восстановить исходный звук.
Угроза становится особенно актуальной в контексте развертывания оптоволоконных сетей до зданий (FTTH), где оптоволоконные кабели прокладываются непосредственно в жилые и офисные помещения.
В таких сетях часто используются «темные волокна» и излишки кабеля, хранящиеся в распределительных коробках, которые могут быть использованы для видеонаблюдения.
Исследователи показывают, что злоумышленник, имеющий доступ к сетевой инфраструктуре, например, злонамеренный сотрудник или подрядчик, может удаленно подключиться к оптоволоконной линии жертвы и начать сбор акустических данных.
Чтобы преодолеть естественное ограничение, заключающееся в низкой чувствительности неизолированных оптических волокон к звукам, распространяющимся по воздуху, команда разработала «сенсорный рецептор» - небольшую цилиндрическую структуру, вокруг которой плотно намотано волокно.
Такая конструкция усиливает вибрации, вызванные звуком, эффективно преобразуя слабые изменения давления воздуха в измеримую деформацию вдоль волокна.
Рецептор может быть замаскирован под стандартную распределительную коробку для оптоволокна, что затрудняет обнаружение атаки во время плановых проверок.
В контролируемых экспериментах система продемонстрировала способность обнаруживать бытовые действия, такие как набор текста или кашель, локализовать источники звука в помещении с точностью до метра и восстанавливать речь с заметной точностью.
Исследователи сообщают, что более 80% речевого контента удалось восстановить в пределах 2 метров, а системы автоматического распознавания речи достигли низкого уровня ошибок распознавания слов на небольшом расстоянии.
В исследовании также рассматривались реальные сценарии, включая офисную обстановку, где две комнаты были соединены более чем 50 метрами оптоволокна.
Даже в условиях сильного шума система восстанавливала разборчивую речь, при этом производительность варьировалась в зависимости от того, как вибрации передавались через такие поверхности, как столы или стены.
Примечательно, что технология оказалась устойчивой к ультразвуковым помехам, поскольку она основана исключительно на оптических и механических эффектах, а не на электронных датчиках.
Несмотря на свою эффективность, эта атака имеет практические ограничения. Качество звука ухудшается с расстоянием, фоновый шум вблизи оптоволокна может значительно снизить точность, а метод требует физического доступа к оптоволоконной инфраструктуре.
Однако исследователи утверждают, что в случае с такими важными объектами, как корпоративные офисы или государственные учреждения, эти препятствия не остановят целеустремленных злоумышленников.
Критическая уязвимость в библиотеке wolfSSL SSL/TLS приводит к снижению защищенности в виду некорректной проверки алгоритма хеширования или его размера при проверке цифровых подписей на основе эллиптических кривых (ECDSA).
Исследователи предупреждают, что злоумышленник может использовать эту уязвимость, чтобы заставить целевое устройство или приложение принимать поддельные сертификаты для вредоносных серверов или соединений.
wolfSSL - это облегчённая реализация TLS/SSL на C, предназначенная для встраиваемых систем, IoT, систем промышленного управления, маршрутизаторов, бытовой техники, датчиков, автомобильных систем и даже аэрокосмического или военного оборудования.
Согласно официальной информации, wolfSSL используется более чем в 5 миллиардах приложений и устройств по всему миру.
Уязвимость обнаружена Николасом Карлини из Anthropic и отслеживается как CVE-2026-5194. Устранена wolfSSL 5.9.1, выпущенной 8 апреля.
Она представляет собой криптографическую ошибку проверки, затрагивающую несколько алгоритмов подписи в wolfSSL, что позволяет принимать некорректно слабые дайджесты во время проверки сертификата.
Проблема затрагивает несколько алгоритмов, включая ECDSA/ECC, DSA, ML-DSA, Ed25519 и Ed448. Для сборок, в которых активны одновременно ECC и EdDSA или ML-DSA, рекомендуется обновить WolfSSL до последней версии.
Согласно уведомлению по безопасности, отсутствие проверки размера хеша/дайджеста и OID позволяет функциям проверки подписи принимать дайджесты меньшего размера, чем разрешено при проверке сертификатов ECDSA, или меньшего размера, чем это подходит для соответствующего типа ключа.
Это может привести к снижению безопасности аутентификации на основе сертификатов ECDSA, если также известен открытый ключ центра сертификации (CA).
По мнению исследователя Лукаша Олейника, использование CVE-2026-5194 позволяет обмануть приложения или устройства, заставив их «принять поддельную цифровую идентификацию как подлинную, доверяя вредоносному серверу, файлу или соединению, которые они должны были отклонить».
Злоумышленник может использовать эту уязвимость, предоставив поддельный сертификат с меньшим по размеру дайджестом, чем это допустимо с точки зрения криптографии, в результате чего система принимает подпись, которую легче подделать или воспроизвести.
Несмотря на то, что уязвимость затрагивает основную процедуру проверки подписи, могут существовать предварительные условия и условия, специфичные для развертывания, которые могут ограничить возможность ее эксплуатации.
Системным администраторам, управляющим средами, которые не используют исходные релизы wolfSSL, а вместо этого полагаются на пакеты дистрибутива Linux, встроенное ПО поставщиков и встроенные SDK, следует обращаться за разъяснениями к поставщикам.
В частности, в уведомлении Red Hat, присваивающем уязвимости максимальный уровень серьезности, отмечается, что MariaDB не затронута, поскольку использует OpenSSL, а не wolfSSL для криптографических операций.
Организациям, использующим wolfSSL, рекомендуется проверить свои развертывания и незамедлительно установить обновления, дабы обеспечить надежную проверку сертификатов.
Как нам подсказали подписчики, исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.
В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.
Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).
Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.
Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.
Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.
Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.
Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.
Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.
Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.
По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.
Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.
Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.
Индикаторы компрометации и рекомендации - в отчете.
Всего через 10 часов после ее публичного раскрытия критической уязвимости в платформе с открытым исходным кодом Marimo началась эксплуатация.
Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.
По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.
Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.
CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.
Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.
Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.
Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.
По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.
Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.
Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.
Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.
Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.
Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.
Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.
Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.
Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.
Нарисовались подробности в отношении исправленной к настоящему времени уязвимости в широко используемом SDK для Android под названием EngageLab SDK, которая потенциально ставит под угрозу миллионы пользователей криптокошельков.
Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.
Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.
EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.
По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.
Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.
После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.
В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.
Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.
Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.
Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.
Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.
Говорят, среди адептов запрещенной в РФ экстремистской организации «ЛГБТ» новая мода, они в тексте тг-постов ставят стикеры «чистовик» или «черновик», тем самым дают понять, что сегодня свободны и находятся в поисках партнера на вечер.
Читать полностью…
Скопрометирована система обновления плагина Smart Slider 3 Pro для WordPress и Joomla, которая теперь используется для распространили вредоносной версии с множеством бэкдоров.
Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.
Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.
PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.
Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.
Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.
Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.
Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.
PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.
Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.
Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.
Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.
Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.
Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.
Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).
Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.
Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.
Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.
Новая атака позволяет обходить протоколы безопасности ИИ Apple с высокой вероятностью успеха: исследователи RSAC взломали Intelligence, используя метод NeuralExect и манипуляции с кодировкой Unicode.
Apple Intelligence представляет собой глубоко интегрированную системe персонального интеллекта для iOS, iPadOS и macOS, которая сочетает генеративный ИИ с индивидуальным контекстом.
В основном, задачи обрабатываются непосредственно на процессорах Apple Silicon с помощью компактного встроенного в устройство LLM.
ИИ использует уникальный контекст пользователя (сообщения, фотографии и расписания) для обеспечения работы таких практических функций, как общесистемные инструменты для письма и Siri.
Для более сложных вычислений он перенаправляет запросы более крупным базовым моделям через частные облачные вычисления (PCC) на выделенной облачной инфраструктуре Apple.
Исследователи поставили перед собой задачу обойти локальные входные и выходные фильтры LLM (предназначенные для блокировки вредоносных входных данных и предотвращения нежелательных выходных данных), а также внутренние механизмы защиты, чтобы повлиять на его действия.
Для достижения этой цели они объединили две различные противодействующие техники.
Первая - это Neural Execs, известная атака с внедрением подсказок, которая использует «бессмысленные» входные данные, чтобы обмануть ИИ и заставить его выполнять произвольные, определенные злоумышленником задачи. Входные данные действуют как универсальные триггеры, которые не нужно переделывать для разных полезных нагрузок.
Второй метод, используемый RSAC для обхода входных и выходных фильтров, — это манипулирование кодировкой Unicode. Записав вредоносный выходной текст задом наперёд и используя функцию переопределения направления справа налево, им удалось обойти ограничения на содержимое.
По сути, в RSAC закодировали вредоносный/оскорбительный текст на английском языке, написав его наоборот и используя наш метод взлома Unicode, чтобы заставить LLM правильно его отобразить.
Сочетание этих двух методов позволяет злоумышленникам заставить локальную систему Apple Intelligence LLM создавать контент, представляющий угрозу, или, что более важно, манипулировать конфиденциальными данными и функциями сторонних приложений, интегрированных с ней, например, данными о здоровье или личными медиафайлами.
Атака была протестирована со 100 случайными запросами, и исследователи достигли показателя успешности в 76%. По их оценкам, от 100 000 до 1 млн. пользователей установили приложения, которые могут быть уязвимы для подобных атак.
По оценкам RSAC, по состоянию на декабрь 2025 года в руках потребителей находилось как минимум 200 млн. устройств с Apple Intelligence, а в Apple App Store уже представлены использующие ее приложения, - поэтому это уже очень перспективная цель.
Apple уведомили в октябре 2025 года, и, по данным RSAC Research, меры защиты были внедрены в последних версиях iOS 26.4 и macOS 26.4.
Пока никаких признаков злонамеренной эксплуатации не обнаружено, но в случае с Apple все не так однозначно, как оно рисуется.
Исследователи Solar 4RAYS расчехлили новые атаки Shedding Zmiy, на этот раз на объекты здравоохранения, где атакующие более 6 месяцев имели доступ к инфраструктуре через VPN и занимались кибершпионажем.
Подключение к инфраструктуре выполнялось с помощью учетных записей уволенных сотрудников, которые не были своевременно выведены из эксплуатации и оказались скомпрометированными.
В процессе расследования были обнаружены новые версии инструментов группы Shedding Zmiy, позволяющие экспортировать данные из баз данных и делать скриншоты экрана.
В ноябре 2025 года к Соларам обратился заказчик из отрасли здравоохранения с просьбой помочь в расследовании вероятной компрометации инфраструктуры. Причиной обращения стало детектирование подключений к IP-адресам GSocket на пограничном устройстве в сети.
В результате предварительного изучения нескольких систем стало понятно, что в инфраструктуре было скомпрометировано несколько десятков Unix-систем, атакующие имели доступ к системам не менее 6 месяцев, а вся цепочка компрометации сводится к VPN-серверу организации.
После получения доступа к VPN в апреле 2025 года атакующие скомпрометировали сервер PostgreSQL, в журналах которого нашлись следы удаленного выполнения команд в системе с использованием легитимной функциональности самой БД.
Доступ к выполнению команд был получен в результате компрометации стандартной УЗ в PostgreSQL, у которой был установлен ненадежный пароль. Для закрепления в системе атакующие разместили утилиту gs-netcat, закрепив ее в файлах «.profile» и «cron» УЗ в PostgreSQL.
Уже через несколько дней у атакующих появилось множество учетных данных (в том числе root), с помощью которых началось активное боковое перемещение и заражение инфраструктуры.
Стоит отметить, что атакующие с новыми учетными данными продолжали подключаться напрямую через VPN и длительное время не использовали размещенные в системах бэкдоры. В целом, в ходе исследования Солары обнаружили целый букет из вредоносного ПО, включая:
- gs-netcat: атакующие использовали и оригинальный исполняемый файл, и дополнительные упаковщики, такие как Bincryptor и UPX (некоторые файлы были упакованы сразу в оба упаковщика). Также выявлены образцы, собранные из исходников gs-netcat с измененным сервером С2.
- Bulldog Backdoor: характерный инструмент группы Shedding Zmiy.
- Megatsune Rootkit (семейство Kitsune Rootkit). Также является характерным инструментом Shedding Zmiy, с помощью которого, вероятно, и были получены учетные данные для бокового перемещения, так как данный Rootkit обладает функцией сбора паролей и ключей ssh.
- Revsocks Proxy, Nmap и различные утилиты для EoP, разведки и удаления логов.
Как отмечают исследователи, в данном инциденте злоумышленник все же заметили, и, вероятно, не один раз. ИТ и ИБ уже проводили реагирование - данный факт был установлен при ретроспективном анализе некоторых систем, где имеются следы удаления вредоносного ПО с последующим повторным заражением.
При этом некоторые системы вовсе были удалены по причине их участия в «иных» инцидентах ИБ летом 2025 года. На деле, вероятно, это были следы более крупного инцидента.
Анализ VPN-сервера стал для непростой задачей, так как глубина журналов составляла лишь несколько дней, но определить несколько ряд IP-адресов из сети VPN все же удалось с помощью журналов различных сервисов, к которым можно было подключиться из сети VPN.
Так нашлись косвенные следы сетевого сканирования с помощью Nmap в периоды активности атакующих.
Однако на этом расследование столкнулось с проблемой: большая часть обнаруженных подозрительных IP из VPN-пула принадлежала сотрудникам, которые были уволены до или в период инцидента, а их системы уже были недоступны для анализа. При этом учетные записи не были своевременно выведены из эксплуатации.
Определить источник компрометации личных систем сотрудников на момент расследования не представлялось возможным. Вероятно, - фишинг.
Зато нащупали cloudflared proxy, которую Shedding Zmiy периодически использует при атаках на Windows-инфраструктуру.
Другие, в том числе технические подробности - в отчете.
🎩🇨🇳 Масштабная кража 10 петабайт военных секретов из Национального суперкомпьютерного центра Китая
CNN пишет, что группа киберпреступников под названием FlamingChina выставила на продажу в анонимном Telegram-канале более 10 петабайт секретной информации, похищенной из ИТ-инфраструктуры Национального суперкомпьютерного центра в Тяньцзине. Центр обслуживает более 6000 клиентов, а утечка предположительно содержит документы с грифом «секретно», исследования в области аэрокосмической инженерии, визуализации оборонного оборудования, а также схемы ракет и симуляции термоядерного синтеза.
За FlamingChina скрывается неизвестный хакер или группа, заявляющая о своей причастности к хищению информации. Группа утверждает, что утечка связана с «ведущими организациями», среди которых Китайская корпорация авиационной промышленности, Китайская корпорация коммерческой авиации и Национальный университет оборонных технологий.
ИБ-исследователь Марк Хофер сообщил, что связался в Telegram с человеком, заявившим об осуществлении взлома. Атакующий утверждал, что получил доступ к суперкомпьютеру в Тяньцзине через скомпрометированный домен VPN. Атакующий сообщил Хоферу, что они развернули «ботнет» — сеть автоматизированных программ для извлечения, загрузки и хранения данных. Процесс занял около 🤔6 месяцев. По словам другого эксперта, выгрузка была распределена по множеству серверов. В настоящий момент преступники требуют оплату в криптовалюте, оценивая полный доступ к базе в сотни тысяч долларов и предлагая ограниченную демонстрационную выборку за несколько тысяч.
Консультант компании SentinelOne Дакота Кэри подтвердил подлинность опубликованных фрагментов. Эксперт прокомментировал инцидент следующим образом: «Они представляют собой именно то, что я ожидал бы увидеть из суперкомпьютерного центра».
--------------------------
🤔Что странного в этой истории? «Сотни тысяч долларов» за чертежи баллистических ракет, передовую аэрокосмическую инженерию и данные по термоядерному синтезу? — Как-то смехотворно мало. Рассуждая гипотетически, если утечку уже выпотрошили западные спецслужбы, то коммерческая ценность такого 📂 архива может быть очень низкой, а легализовать процесс утечки через кого-то нужно.
Заявлено, что хакер выкачал 10 петабайт за 6 месяцев. Посчитаем, 10 Пбайт — это 10 миллионов гигабайт. Чтобы передать такой объем за полгода, требуется круглосуточный исходящий поток данных на скорости около 5 Гбит/с (более 600 Мегабайт каждую секунду).
Либо объем украденного завышен в тысячи раз ради пиара (журналисты могли раздуть), либо был инсайдер (администратор в НСЦ), который выносил информацию на физических носителях (даже в этом случае слишком большой объем данных), а история с «взломом через VPN» — всего лишь легенда для прикрытия. На стратегических объектах (тем более в Китае) строгий физический контроль: рамки, досмотр сумок, запрет на пронос личной электроники.
NetAskari, кстати, тоже подверг сомнению цифру в 10 Пбайт.
Примечательно, что новость попала в большую прессу только сейчас, хотя об этом кейсе исследователи начали говорить в прошлом месяце. Вот тут есть инфа.
✋ @Russian_OSINT