41023
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Лаборатории Касперского расчехлили кластер хактивистов, идейных только на словах, отразив реальную географию атак.
В ходе раследования деятельности хактивистской группы 4BID, позиционирующей себя как проукраинскую, в ЛК выявили новую серию кампаний, за которой может стоять несколько связанных друг с другом группировок.
Как правило, подобные политически мотивированные группы атакуют цели в определенных странах. В случае проукраинских хактивистов это российские и в отдельных случаях белорусские организации.
Однако исследование показывает иную картину: реальная география этих атак значительно шире и охватывает компании в Казахстане, ОАЭ, Сирии и Египте из государственной, медицинской и авиационной отраслей.
Например, в сети казахстанской компании из авиаотрасли было обнаружено сразу несколько постэксплуатационных фреймворков с C2-серверами 77.72.85[.]62 и 185.221.153[.]121, следы работы RMM-решений Panorama9 и Tactical RMM, а также загрузчики backupagnt.exe.
Аналогичная картина наблюдалась в инфраструктуре одного из госпиталей Египта, но к уже знакомому набору добавился веб-шелл fd.aspx. У остальных зарубежных жертв мы видели схожий набор артефактов за небольшими исключениями.
Отправной точкой исследования стала скомпрометированная инфраструктура российской организации. В ней исследователи обнаружили набор IOCs, с помощью которого смогли выявить другие среды, атакованные теми же злоумышленниками, и увидеть более широкую картину.
В новом отчете ЛК подробно анализируются как вариации ранее встречавшихся в кампаниях хактивистов инструментов, так и новые: образцы шифровальщиков, скрипты, используемые на разных стадиях атаки, а также коммерческие RMM-решения. Причем как обновленные версии уже известных инструментов, так и ранее не встречавшееся ПО.
В инфраструктуре организации, ставшей отправной точкой исследования, удалось выявить много индикаторов активности различных группировок, позиционирующих себя как проукраинских, - именно они и задали направление дальнейшему анализу.
Следующие находки мы можем со средней степенью уверенности отнести к активности хактивистов:
- Несколько образцов BlackReaperRAT, который ЛК приписывает группировке 4BID, были обнаружены рядом со скриптами для загрузки RMM Panorama9, AnyDesk и Dev Tunnels.
- Помимо них, в других атакованных инфраструктурах был обнаружен шифровальщик ClearWater. Интересно, что в публичных источниках в этот же период группировка Хакерский кiт заявила об успешной атаке на российский завод, в инфраструктуре которого также был обнаружен шифровальщик ClearWater, поблагодарив за содействие группировку C.A.S.
- В атакованных инфраструктурах нашлось также несколько образцов Warp RAT, которые в ЛК связывают с группировкой Goffee. Отчет об этой активности исследователи обещают выкатить чуть позже.
В настоящее время проукраинские хактивистские группировки, упомянутые в исследовании, последовательно расширяют географию своих атак.
Если раньше основным вектором атак были Россия и Беларусь, то теперь злоумышленников интересуют, по всей видимости, другие страны СНГ и Ближний Восток.
Подобная трансформация все отчетливее указывает на переход от декларируемой идеологической мотивации к деятельности, в основе которой все чаще прослеживаются финансовые интересы.
Такое поведение коррелирует с заявлением одного из участников 4BID о том, что атаки на РФ больше не рентабельны. Как заверяют в ЛК, ее решения эффективно обнаруживают описанную вредоносную активность на каждом этапе.
Подробный технический разбор - в отчете.
Израильская Check Point выпустила обновления для устранения критической уязвимости, затрагивающей развертывания удаленного доступа VPN и мобильного доступа, которая использовалась в атаках в качестве 0-day.
CVE-2026-50751 может быть использована неаутентифицированными удаленными злоумышленниками для обхода аутентификации в целевых VPN-сетях мобильного доступа/SSL, VPN-сетях удаленного доступа или межсетевых экранах Spark и установления удаленного VPN-соединения.
По данным поставщика, эта уязвимость затрагивает развертывания, настроенные на использование устаревшего протокола обмена ключами IKEv1, с шлюзами безопасности, которые принимают устаревшие клиенты удаленного доступа и не требуют сертификата машины для подключений.
Атаки стартовали 7 мая и резко усилились в начале июня, затрагивая лишь, как утверждается, лишь «несколько десятков» организаций по всему миру, при этом по меньшей мере один инцидент связан с активностью банды вымогателей Qilin.
Как известно, Qilin впервые засветилась в августе 2022 года как RaaS под названием Agenda и с тех пор на ее счету почти 400 жертв, включая такие известные бренды, как Yangfeng, Nissan, Asahi, Lee Enterprises, Synnovis и др.
Согласно официальному сообщению, исследовательская группа Check Point выявила активную эксплуатацию CVE-2026-50751, затрагивающей развертывания Check Point Remote Access VPN и Mobile Access, настроенные на использование устаревшего протокола обмена ключами IKEv1.
Check Point также поделилась мерами по смягчению последствий для клиентов, которые не могут немедленно обновить уязвимые системы, и посоветовала им отказаться от поддержки устаревшего клиента удаленного доступа, настроить глобальные свойства аутентификации VPN для удаленного доступа только на IKEv2, установить обязательную аутентификацию с помощью сертификата машины, а также включить IPS и загрузить подписи.
В ходе расследования Check Point обнаружила вторую уязвимость (CVE-2026-50752), которая затрагивает проверку сертификатов в устаревшем протоколе обмена ключами IKEv1 и может быть использована для атак типа «человек посередине» на VPN-соединения типа «сайт-сайт.
Пока Check Point не обнаружила доказательств эксплуатации CVE-2026-50752 в реальных условиях, но порекомендовала клиентам установить обновления для снижения потенциального риска.
❗️ Эпидемия червя Miasma парализовала 73 официальных репозитория Microsoft на платформе GitHub
Репозиторий MicrosoftDocs/windows-driver-docs, где хранятся исходники официальной документации Microsoft по драйверам Windows, был отключён администрацией GitHub. На странице проекта указано, что доступ заблокирован сотрудниками GitHub из-за нарушения условий сервиса.
По данным OpenSourceMalware, windows-driver-docs входит в число репозиториев Microsoft, затронутых кампанией Miasma. Возможно, это защитная реакция систем GitHub на инцидент в цепочке поставок и риск последующей компрометации репозиториев. 5 июня 2026 года автоматизированные системы безопасности GitHub буквально за 105 секунд заблокировали 73 официальных репозитория Microsoft. Под удар попали проекты из четырех ключевых организаций компании, куда входят Azure, Azure-Samples, MicrosoftDocs и основная организация Microsoft. Эксперты объясняют автоматическую блокировку спецификой работы вредоносной программы, которая массово создает публичные репозитории и сохраняет туда похищенные учетные данные от облачных сервисов.
Наибольший урон понесла инфраструктура Azure Functions и экосистема Durable Task. Внезапное отключение критически важных компонентов спровоцировало масштабные сбои в CI-конвейерах по всему миру. Разработчики моментально потеряли возможность развертывать свои приложения из-за недоступности популярных инструментов автоматизации.
На страницах проектов Azure, Azure-Samples, microsoft и MicrosoftDocs появилось дословное предупреждение «Этот репозиторий отключен. Доступ к этому репозиторию был отключен сотрудниками GitHub из-за нарушения условий обслуживания GitHub».
Специалисты по кибербезопасности настоятельно рекомендуют разработчикам полностью отказаться от использования плавающих версий при настройке конвейеров. Инженерам стоит применять жесткую привязку к конкретным хешам коммитов для защиты проектов от внезапного исчезновения исходного кода. Командам разработки необходимо срочно обновить все потенциально скомпрометированные ключи доступа к облачной инфраструктуре и проверить свои рабочие пространства на наличие подозрительных установочных скриптов. Представители Microsoft в данный момент советуют перевести процессы на альтернативные методы развертывания до полного выяснения обстоятельств инцидента.
--------------------------
Вдобавок стало известно об атаке на цепочку поставок 🐍 PyPI под названием Hades, которая является новым витком развития вредоносных кампаний Mini Shai-Hulud и Miasma.
Злоумышленники скомпрометировали 19 библиотек и внедрили в них 37 вредоносных wheel-артефактов. Вредонос перехватывает ключи облачных провайдеров, токены платформ разработки и конфигурации локальных сред. Для маскировки сетевой активности вредоносная нагрузка генерирует холостые запросы к API-инфраструктуре Anthropic. При этом реальная эксфильтрация собранных секретов происходит посредством автоматического создания публичных репозиториев на платформе GitHub со специфическими теневыми маркерами.
✋ @Russian_OSINT
Тем временем, пока Microsoft рулится с исследователями в ответ на критику ее непрозрачных процедур рассмотрения сообщений об ошибках и вознаграждение за их обнаружение, Copilot AI на Windows окончательно проваливается.
На днях микромягкие анонсировали Scout - постоянно работающего корпоративного агента ИИ, построенного на базе OpenClaw.
Агент уже интегрирован в приложения Microsoft 365. Запуск состоялся спустя несколько недель после того, как руководители компании признали, что почти никто не использует их Copilot. И так всегда у них.
Исследователи из Университета Торонто представили компьютерного червя, работающего на основе ИИ, который способен автономно адаптировать свои методы атак по мере распространения по сети.
Вредоносная ПО, созданная для демонстрации концепции, была разработана с использованием общедоступных моделей ИИ с открытым исходным кодом. Так что для реализации продвинутых наступательных задач больше не требуется доступ к передовым ИИ или мощным вычислительным ресурсам.
Команда исследователей проводила все тесты в изолированной виртуальной среде и заявляет, что не разглашала ключевые технические детали, дабы предотвратить злоупотребления.
В отличие от традиционных червей, которые полагаются на фиксированный набор эксплойтов, прототип использует агента ИИ, способного к разведке, рассуждениям и выбору инструментов.
При обнаружении нового устройства он анализирует систему, выявляет уязвимости и генерирует индивидуальную стратегию атаки, прежде чем скопировать себя на следующую цель, реализуя переход от заранее запрограммированной эксплуатации к целенаправленному принятию решений.
В ходе своих экспериментов исследователи развернули червя в смоделированной корпоративной сети, содержащей устройства Linux, Windows и IoT.
Вредоносная ПО успешно распространилась, используя различные известные уязвимости, слабые учетные данные и ошибки конфигурации, не полагаясь при этом на ранее неизвестные 0-day. Червь достиг примерно половины тестовой сети из 33 хостов в течение пяти дней.
Ключевым открытием стало то, что червь мог работать, используя относительно небольшую открытую языковую модель большого размера, запущенную на одном графическом процессоре.
После взлома машины ее вычислительные ресурсы добавлялись к инфраструктуре червя, позволяя зараженным системам обеспечивать будущие атаки. По словам исследователей, это эффективно снижает операционные издержки злоумышленника по мере распространения инфекции.
Поскольку прототип работает исключительно на локально размещенных моделях с открытым исходным кодом, меры защиты, применяемые коммерческими поставщиками ИИ не могут предотвратить его работу.
Исследователи утверждают, что ИБ-сообщество в значительной степени сосредоточилось на рисках, создаваемых наиболее мощными моделями ИИ, недооценивая при этом возможности более мелких, свободно доступных систем в сочетании с автономными агентными системами.
Перед публикацией исследователи уведомили канадские научные, оборонные и силовые ведомства и намеренно опустили все важные детали. Червь также не был оснащен функциями скрытности или уклонения, хотя будущие варианты вполне смогут их реализовать.
Хотя прототип пока остается лишь исследовательским проектом, организациям все же следует готовиться к появлению все более адаптивного вредоносного ПО, способного быстро включать вновь обнаруженные уязвимости в свои атаки.
Cisco выпустила обновления для устранения критической уязвимости в Unified Communications Manager (Unified CM), которая позволяла злоумышленникам получить права root.
Cisco Unified CM (ранее известная как Cisco CallManager) служит центральной системой IP-телефонии Cisco, отвечающей за управление устройствами, маршрутизацию вызовов и функции телефонии.
Уязвимость отслеживается как CVE-2026-20230 и может быть удаленно использована злоумышленниками без привилегий для осуществления атак с подделкой запросов на стороне сервера (SSRF) низкой сложности.
Злоумышленник может использовать ее, отправив специально сформированный HTTP-запрос на затронутое устройство. Успешная эксплуатация позволит записывать файлы в базовую ОС, которые впоследствии могут быть использованы для получения прав root.
Cisco (PSIRT) предупреждает о наличии общедоступного PoC-эксплойта для CVE-2026-20230, но пока не обнаружила доказательств активной эксплуатации или целенаправленного воздействия.
Следует отметить, что уязвимость затрагивает только системы, в которых служба WebDialer включена (по умолчанию отключен).
Обходных путей для устранения этой уязвимости не существует, но настоятельно рекомендуется установить Cisco Unified CM версий 14SU6 или 15SU5 (сентябрь 2026 г. или COP), или же отключить службу WebDialer до установки патча, блокирующего входящие атаки на CVE-2026-20230.
Исследователи BI.ZONE отмечают, что ИИ активно проникает во многие сферы, и кибербезопасность не исключение, причем это касается и атакующей стороны.
В рамках изучения, как именно злоумышленники используют ИИ для кибератак, Бизоны проанализировали более 7400 сообщений на эту тему на различных даркнет-ресурсах (форумы, Telegram-каналы).
Результаты своего исследования ресерчеры отразили в Threat Zone 2026: Dark AI, анонсировав на полях ПМЭФ‑2026 ключевые прогнозы. В свою очередь, также не можем не поделиться основными выводами, среди которых:
- Резкий рост упоминаний ИИ
Начался в обсуждениях в декабре 2025 года и достиг пика в январе 2026-го. Всплески, вероятно, связаны с выходом крупных публичных моделей: сначала Grok 4.1, Gemini 3 и Claude Opus 4.5 в ноябре 2025-го, затем DeepSeek-V3.2 и GPT-5.2 в декабре. Эти релизы вызвали волну интереса к обходу ограничений новых открытых моделей.
- Проанализированные сообщения злоумышленников
22% - нецензурируемые ИИ-модели
77% - возможности обхода ограничений публичных ИИ-моделей
1% - остальные темы: вредоносное ПО, реализация различных этапов кибератак, ИИ-агенты и комплексные решения
- Злоумышленники используют ИИ
В основном для первоначальной разведки, массовой генерации фишинга, реализации методов социальной инженерии, работы с вредоносным кодом и автоматизации атак.
- Пока ИИ не позволяет взломать что угодно нажатием одной кнопки
Для проведения атаки злоумышленнику в любом случае требуется техническая подготовка.
- ИИ не заменяет атакующего
Он выступает инструментом автоматизации и ускорения рутинных операций.
- ИИ снижает порог входа в киберпреступность
Позволяет компенсировать недостаток знаний.
Таким образом, тренд на вепонизацию ИИ сохраняется. Основной целью злоумышленников по‑прежнему остается повышение уровня автоматизации кибератак и снижение порога входа в киберпреступность.
Дабы противостоять современным угрозам, защитникам также следует внедрять аналогичные технологии на своей стороне, что позволяет быстрее выявлять угрозы, оперативнее обрабатывать инциденты и сокращать время принятия решений.
Продолжаем отслеживать наиболее актуальные уязвимости и связанные с ними угрозы:
1. Acer подтвердила, что работает над устранением двух 0-day максимальной степени серьезности в ее маршрутизаторах с mesh-сетью Wave 7, работающие под управлением прошивки версии T7c_GBL_1.01.000055 или более ранних версий.
Раскрытие приписывается исследователю Герго Пап. Первая CVE-2026-49200 связана с нарушением контроля доступа и позволяет неавторизованным злоумышленникам удаленно получить доступ к учетным данным в открытом виде, хранящимся в архивах журналов.
Вторая CVE-2026-49201 связана с жестко закодированным криптографическим ключом, который позволяет удаленным злоумышленникам без привилегий получить постоянный доступ к маршрутизатору через бэкдор.
2. Хакеры используют критическую уязвимость повышения привилегий (CVE-2026-8206) в плагине Kirki - Freeform Page Builder, Website Builder & Customizer для WordPress для захвата учетных записей пользователя, включая администраторов.
Атаки были обнаружены Defiant, чей межсетевой экран Wordfence заблокировал более 222 попыток доступа к клиентам за последние 24 часа. CVE-2026-8206 вызвана раскрытием пользовательской конечной точки REST API для сброса пароля через функцию 'handle_forgot_password()'.
Учитывая, что продвинутый инструмент для настройки тем используется более чем на 500 000 веб-сайтов, объемы работы у киберподполья имеются.
По данным Wordfence, проблема возникла в недавнем крупном релизе, версии 6.0.0, и затрагивает версии плагина до 6.0.6 включительно, которые, согласно статистике загрузок с WordPress, используют почти 40% пользователей плагина.
3. Тем временем, обнаружена новая 0-day в продуктах Microsoft без предварительного уведомления. Исследователь Аммар Аскар опубликовал эксплойт (GitHub), позволяющий одним щелчком мыши украсть токены GitHub через редактор Visual Studio Code.
Причем, как отмечает исследователь, сообщения об ошибках в продуктах Microsoft были проигнорированы и исправлены без каких-либо вознаграждений или признания.
4. BishopFox выпустила описание и инструмент обнаружения CVE-2026-22557, представляющей собой ошибку обхода пути при неаутентификации в устройствах Ubiquiti UniFi.
5. HP выпустила обновления прошивки для своих VoIP-телефонов серии VVX, устраняя серьезную уязвимость CVE-2026-0826, которая позволяет удаленным злоумышленникам запускать вредоносный код на телефонах без необходимости аутентификации.
По данным Rapid7, она может быть использована только на устройствах, где используется функция интерактивного установления соединения.
6. Positive Technologies представила свой очередной майский дайджест В тренде VM, указав громкие уязвимости в Linux (CVE-2026-31431), ActiveMQ (CVE-2026-34197), SharePoint (CVE-2026-32201) и Acrobat Reader (CVE-2026-34621).
7. CISA предупредила об использовании уязвимости ядра Linux CVE-2022-0492 (CVSS 7,8) в реальных условиях, что приводит к выходу из контейнеров. Она описывается как некорректная аутентификация, позволяя повысить привилегии и обойти изоляцию пространства имен.
8. Уязвимость типа HTTP/2 Bomb выводит веб-серверы из строя за считанные секунды.
Исследователи Calif сообщают, что известные методы DoS-атак могут быть объединены в цепочку в новой уязвимости.
HTTP/2 Bomb обнаружена с помощью Codex от OpenAI и сочетает в себе бомбу сжатия, нацеленную на схему сжатия заголовков HTTP/2 (HPACK), с механизмом блокировки в стиле Slowloris, который препятствует освобождению памяти сервером.
Атака потенциально затрагивает более 880 000 сайтов, поддерживающих HTTP/2 и работающих под управлением стандартных конфигураций NGINX, Apache HTTPD, Microsoft IIS, Envoy или Cloudflare Pingora.
Причем может быть совершена с домашнего компьютера при скорости соединения 100 Мбит/с и в считанные секунды вывести из строя любой из этих серверов.
Исследователи Лаборатории Касперского в своем новом отчете рассмотрели основные векторы атак на контейнеры, которые остаются наиболее актуальными на сегодняшний день.
Современные инфраструктуры повсеместно используют контейнеризацию для развертывания приложений, масштабирования сервисов и построения облачных платформ. Docker, Kubernetes и другие технологии стали стандартом эффективной автоматизации для корпоративных сред.
Но вместе с ростом популярности контейнеров увеличивается и интерес злоумышленников к этой технологии, что прослеживается исследователями ЛК в рамках исследований сложных киберугроз.
В частности, APT-группа TeamPCP в одной из своих недавних атак скомпрометировала Checkmarx KICS в контексте сразу нескольких цепочек для разных векторов, включая заражение репозитория Docker Hub для дальнейшей кражи секретов Kubernetes и чувствительной информации. В зараженных образах распространялся стилер, который загружался в процессе сканирования KICS.
На сегодняшний день атаки на контейнерные среды представляют собой полноценные многоэтапные сценарии, включающие атаку на цепочку поставок, кражу секретов Kubernetes, злоупотребление API оркестрации и попытки побега из контейнера.
В целом современные атаки на контейнерные среды показывают, что основная угроза возникает не только внутри самого контейнера, но и в реализации контейнерной инфраструктуры.
Контейнеры часто используются как промежуточная среда для закрепления внутри системы: после первоначальной компрометации злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API контейнеризации и оркестрации.
Для этого эксплуатируются слабые конфигурации, избыточные привилегии и ошибки в изоляции. Кроме того, наблюдается тенденция смещения атак в сторону конвейеров CI/CD, где компрометация одной части может привести к захвату всей инфраструктуры.
Поэтому безопасность контейнерных сред в текущих реалиях включает в себя защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и валидацию всей цепочки поставки.
Разбор актуальных векторов атак - в отчете.
Уязвимость Oracle WebLogic используется в реальных условиях без аутентификации для взлома затронутых серверов.
Предупреждение вынесла CISA, уведомляя организации о том, что уязвимость в Oracle WebLogic, исправленная почти два года назад, теперь используется злоумышленниками в реальных условиях.
Уязвимость отслеживается как CVE-2024-21182 и была исправлена Oracle в Java-сервере приложений в рамках обновления от июля 2024 года. В уведомлении Oracle указано, что уязвимость была обнаружена и раскрыта независимо несколькими исследователями.
С момента обнаружения уязвимости CVE-2024-21182 в открытом доступе появилось несколько демонстрационных PoC, но CISA, похоже, первой предупредила о её использовании в реальных условиях.
1 июня американский регулятор добавил CVE-2024-21182 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Она может быть использована удаленными, неавторизованными хакерами для полной компрометации уязвимых экземпляров Oracle WebLogic Server.
Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или к полному доступу ко всем данным, доступным через Oracle WebLogic Server, как отмечает CISA.
По всей видимости, никакой информации об атаках, использующих эту уязвимость, пока нет. В целом, в каталоге KEV CISA содержится еще около десятка уязвимостей WebLogic Server.
Причем большинство из них имеют CVE, присвоенные в 2020 году или ранее, но большинство были добавлены в каталог спустя несколько лет после того, как Oracle выпустила для них исправления.
Google выпустила июньские обновления для Android за 2026 год с исправлением 124 уязвимостей, включая одну 0-day, используемую в таргетированных атаках.
Злоумышленники, использующие локальные сети, могут эксплуатировать активно используемую уязвимость высокой степени серьезности в Android Framework (CVE-2025-48595) для получения RCE и EoP на устройствах под управлением Android 14 или более поздних версий.
Несмотря на отмеченные в своем бюллетене по безопасности Android за март 2025 года признаки того, что CVE-2025-48595 может быть использована в ограниченных атаках, Google не представила какой-либо дополнительной информации.
Однако стоит отметить, что подобные уязвимости ранее использовались коммерческими шпионскими ПО и APT-группами, нацеленными на высокопоставленных или представляющих большой интерес лиц.
В этом месяце в обновлениях безопасности для Android компания исправила 18 критических уязвимостей в компонентах System, Framework и Qualcomm с закрытым исходным кодом, которые злоумышленники могут использовать для атак типа DoS и EoP на незащищенных устройствах.
Наиболее серьезной из этих проблем является критическая уязвимость в компоненте Framework, которая может привести к RCE без необходимости получения дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем.
Традиционно Google представила два набора исправлений: уровни от 1 июня 2026 года и от 5 июня 2026 года. Последний включает в себя все исправления из первого набора, а также для закрытых сторонних компонентов, которые могут не применяться ко всем устройствам Android.
Исследователи из Лаборатории Касперского этот тренд достаточно основательно расчехлили еще в ходе расследования «Операции Триангуляция».
В контексте новых разоблачений в ЛК рассказали о сложной атаке через скрытое сообщение.
Как отметил директор центра исследования и анализа угроз ЛК Игорь Кузнецов, взломать айфон могут путем установки вредоносной программы через "невидимое" сообщение iMessage.
По его словам, в 2023 году во время стандартного мониторинга Wi-Fi сети в офисе лаборатории эксперты обнаружили подозрительную активность.
Дальнейший анализ позволил мноступенчатую цепочку заражения и задействованные компоненты уникального программного обеспечения, позволявшего снимать ограничения, совершенно незаметно для пользователя. В результате злоумышленник получал контроль над смартфоном.
Вредоносная ПО попадала на устройство сразу же, как начиналась обработка полученного сообщения. С ее помощью злоумышленники получали полный контроль над устройством, включая запись звука.
Устройство запускало аудиозапись на следующие три часа, и неважно, телефон был ли в сети. Как только у появлялась связь эта аудиозапись уже уходила на атакующий сервер.
В целом, со слов Кузнецова, было очень много различных компонентов.
Киберподполье взялось за сайты WordPress с уязвимой версией плагина WP Maps Pro, которая позволяет создавать учетные записи администратора без аутентификации.
CVE-2026-8732 имеет критический уровень серьезности и затрагивает версии WP Maps Pro 6.1.0 и более ранние, была обнаружена и раскрыта исследователем Дэвидом Брауном.
WP Maps Pro - это премиальный плагин для WordPress, предназначенный для создания интерактивных, настраиваемых карт и локаций магазинов, поддерживает множество поставщиков карт, таких как Google Maps и OpenStreetMap.
Уязвимость вызвана функцией «временного доступа» в плагине, предназначенной для предоставления сотрудникам службы поддержки поставщика доступа к сайтам клиентов для устранения неполадок.
Браун обнаружил, что AJAX-интерфейс, используемый для этой функции, был доступен неаутентифицированным пользователям и полагался исключительно на общедоступную проверку nonce во фронтенд-JavaScript, что делало защиту неэффективной.
Это позволяет отправлять специально сформированный запрос, который запускает код для создания нового пользователя WordPress, назначения ему роли администратора, генерации URL-адреса для входа без пароля и отправки его на удаленную систему.
После перехода по этому URL-адресу злоумышленник автоматически авторизуется в созданной учетной записи администратора, без необходимости ввода пароля или какой-либо другой проверки.
Исследователи Defiant обнаружили, что злоумышленники пытаются использовать эту уязвимость. Только за последние 24 часа заблокировали более 3600 попыток.
Как пояснили исследователи, когда запрос выполняется с параметром check_temp, установленным в значение false, функция создает нового пользователя WordPress с помощью wp_insert_user() с жестко заданной ролью администратора, случайно сгенерированным именем пользователя и жестко заданным адресом электронной почты support@flippercode.com.
Затем функция генерирует специальный URL-адрес для входа с помощью функции generate_login_link(), сохраняет его в качестве метаданных пользователя и возвращает в теле ответа».
Наличие прав администратора на сайте означает, что злоумышленники могут внедрять постоянные бэкдоры, изменять контент, получать доступ к конфиденциальным данным, развертывать веб-оболочки, устанавливать вредоносные плагины и захватывать контроль над веб-сайтом.
Браун сообщил о проблеме Wordfence 24 марта, а поставщик был уведомлен 16 мая после подтверждения уязвимости. 20 мая был выпущен WP Maps Pro 6.1.1 с исправлением уязвимости CVE-2026-8732.
Администраторам сайтов рекомендуется как можно скорее обновить свои плагины, дабы не стать жертвуй новой атаки на цепочку мудаков.
В ядре Linux обнаружена новая 19-ти летняя уязвимость локального повышения привилегий CIFSwitch, которая позволяет подделывать описания ключей аутентификации CIFS, использовать механизм запроса ключей ядра и получать права root.
Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.
CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.
Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.
Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.
Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.
В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.
Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.
Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.
Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.
В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.
Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.
Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.
Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.
Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.
Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.
Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.
Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.
Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.
Корпорации 🍏Apple и ❗️Microsoft отказываются от ответственного поведения и выплат по Bug Bounty исследователям за найденные уязвимости
В сети очередное недовольство политикой ответственного раскрытия уязвимостей (вспоминаем на прошлой неделе скандал с Microsoft), но на этот раз под горячую руку исследователей попала корпорация Apple. Исследователи из Mysk объявили о полном прекращении сотрудничества с официальной программой Apple Security Bounty.
Mysk приняли такое решение после того, как представитель отдела безопасности Apple Роберт отказал им в выплате вознаграждения за критический баг. В корпорации заявили, что уязвимость уже была зарегистрирована кем-то другим, но при этом отказались предоставить какие-либо доказательства. Исследователи признались, что полностью потеряли доверие к платформе из-за несправедливого отношения и постоянного игнорирования их отчетов.
Мы больше не будем отправлять обнаруженные нами баги в системах Apple через программу Apple Bounty Program.
Публичное разглашение информации об уязвимостях, которые позволяют злоумышленникам наносить вред пользователям, является неправильным, незаконным и преступным деянием. Мы больше 🤐не будем отправлять отчеты об уязвимостях и прекращаем активно проводить исследования безопасности в отношении продуктов Apple. Мы предпочтем сосредоточиться на других интересных проектах в области конфиденциальности и делиться их результатами с вами.
Исследователи F6 выкатили исследование с обзором атак новой группировки SiribClone, нацеленной на российских военных, которые продолжают оставаться в числе приоритетных целей киберпреступников, практикующих шпионаж и мошенничество.
Раскрыть инфраструктуру ранее неизвестных злоумышленников помог файл, который эксперты обнаружили в феврале 2026 года.
Файл, с которого началось раследование, был загружен на платформу для анализа файлов. С Google‑диска загружался файл под названием «Решение по СВОДУ.zip».
В архиве, защищенном паролем, находится файл lnk. При открытии выполняется команда, открывающая файл‑приманку и запускающая файл REA.md с GitHub.
Он представляет собой PowerShell‑скрипт, содержащий встроенный массив байтов. Скрипт загружает этот массив в память как NET сборку и вызывает метод Down() класса Vmngr. Она выполняет роль загрузчика: во временную директорию пользователя загружает файл vmngr.dll github.
Далее DLL загружается в процесс через LoadLibrary, выполняется ее функция Wrapper, и управление передается основной полезной нагрузке. Загружаемая vmngr.dll предназначена для эксфильтрации интересующих злоумышленника файлов с использованием rclone.
Для получения конфигурации DLL расшифровывает URL‑ссылку алгоритмом Base64 → AES CBC, в результате получая URL. Далее DLL выполняет запрос для получения конфигурации к данной URL, расшифровывает конфигурацию тем же алгоритмом и парсит по набору параметров.
После успешной конфигурации подключения SiribGrabber выполняет сбор логических дисков. Для каждого диска выполняется команда копирования файлов с заданным набором фильтров на удаленное хранилище, подконтрольное злоумышленнику.
Также для каждого логического диска собранная итоговая команда будет записана в BAT‑файл. После чего будет создан одноименный PS1-файл, который будет закреплен в системе путем добавления ключа с именем, имеющим шаблон rc{drive}, в ветку реестра.
Название новой группе было присвоено согласно метаданным одного из атакующих и используемому инструменту rclone (утилита командной строки с открытым исходным кодом для работы с облачными хранилищами).
Несмотря на небольшое количество обнаруженных публичных сэмплов, в F6 установили, что атакующие активно тестировали свои разработки с декабря 2025 года, а самые ранние следы фишинговой активности злоумышленников датируются летом 2025 года.
Кроме того, в ходе исследования они выяснили, что группировка распространяет вредоносные файлы для десктопных и мобильных устройств, используя в качестве приманок приложения для «безопасного обмена фотографиями» и другие сервисы, документы на военную тематику, а также активно применяют социнженерию для получения доступа к Telegram‑аккаунтам российских военнослужащих.
Участники группировки под видом девушек, «желающих познакомиться», и волонтёров лично общаются с военными через Telegram и другие популярные платформы.
Данная активность была зафиксирована в январе‑феврале 2026 года, однако по обнаруженным сетевым артефактам можно предположить, что SiribClone применяет фишинг через Telegram с лета 2025 года по настоящее время.
В мае 2026 года, спустя несколько месяцев молчания SiribClone, удалось задетектить новые файлы группировки, которые злоумышленники распространяли через сайт, мимикрирующий под тематику Дня Победы (Бессмертный полк).
Благодаря исследованию первоначального файла и GitHub‑профилей удалось отследить С2-инфраструктуру, которая в числе прочего включала веб‑страницы КОНТУР и Telegram Session Manager. Первый - это внутреннее приложение атакующих для просмотра сообщений скомпрометированных аккаунтов.
Итоги исследования инфраструктуры новой группировки, инструментов, которые используют злоумышленники - в отчете.
Признанная в России экстремистской Meta сообщает, что в результате недавнего инцидента злоумышленники задействовали ее систему поддержки на основе ИИ для сброса паролей, взломав таким образом аккаунты 20 225 пользователей Instagram.
Хакеры воспользовались уязвимостью в инструменте High Touch Support (HTS) компании, который обеспечивает пользователям возможность восстановления доступа к своим аккаунтам в Instagram после блокировки.
Воспользовавшись тем, что HTS фактически не проверяла, связаны ли адреса электронной почты с целевыми аккаунтами Instagram, они получали ссылки для сброса паролей, что позволяло захватить учетные записи без включенной 2FA.
Руководство компании признало ошибку, направив соответствующее уведомление в Генеральную прокуратуру штата Мэн и отметив, что сам инструмент работал корректно и функционировал должным образом, однако из-за ошибки в отдельном участке кода система не смогла должным образом реализовать указанную проверку.
После того, как в соцсетях появилось множество жалоб пользователей в отношении этих атак, у Meta в общем-то и не осталось выбора, как признать проблему и покаяться. Хотя с прошлой недели Meta уверенно сохраняла молчание.
Официально уязвимость в инструменте High Touch Support Instagram была выявлена 31 мая 2026 года, когда в проблема была использована неавторизованными третьими лицами для сброса паролей в учетных записях пользователей.
Хотя Meta не уточнила в письме о взломе, когда именно начались атаки, в документах, размещенных на сайте Генеральной прокуратуры штата Мэн, утверждается, что взлом произошел 17 апреля, что, вероятно, является датой первой атаки с использованием уязвимости HTS.
Компания заявляет, что не располагает информацией о том, какие личные данные могли быть получены или украдены из взломанных аккаунтов.
Тем не менее отмечает, что потенциально злоумышленники могли получить доступ к контактной информации пострадавших, датам рождения, публикациям и контенту (фотографии, видео, истории), переписке, истории активности и взаимодействий, информации профиля, а также к другим связанным аккаунтам и сервисам.
После обнаружения инцидента компания отключила HTS и все созданные ею ссылки для сброса паролей, чтобы гарантировать блокировку всех будущих попыток взлома в рамках той же вредоносной кампании.
Кроме того, все потенциально украденные учетные записи были внесены в обязательную контрольную точку безопасности, и всем пострадавшим пользователям было предложено повторно сбросить пароли и пройти аутентификацию.
По всей видимости, в ближайшее время компания может повторить свои предыдущие судилища, когда в результате аналогичных косяков ей выписывали внушительные штрафы в 264 млн. (2018 год) и 265 млн. (2022 год). Но будем посмотреть.
Продолжаем делиться подробностями наиболее серьезных и трендовых уязвимостей, на сегодня подборка выглядит следующим образом:
1. Исследователи 0x12 Dark Development s12deff/bring-your-own-rwx-region-dll-byorwxdll-0283951d34e9">выкатили подробности новой техники под названием Bring Your Own RWX Region DLL (BYORWXDLL).
Вместо загрузки устаревшего драйвера для эксплуатации, эта техника загружает легитимные DLL с предопределенными RWX (чтение+запись+выполнение) областями памяти, которые могут быть использованы для внедрения шеллкода.
2. Manifold обнаружила уязвимость в сервере n8n MCP, которая может позволить злоумышленникам получить доступ к данным других арендаторов в многопользовательских средах n8n.
3. Исследователь обнаружил уязвимость в GitHub Action от Anthropic под названием Claude Code, которая позволяла злоумышленнику захватывать уязвимые общедоступные репозитории, использующие этот инструмент, имея при себе лишь одну открытую задачу на GitHub.
Поскольку собственный репозиторий Action от Anthropic использовал тот же рабочий процесс, успешная атака могла бы внедрить вредоносный код в сам Action и в проекты, которые его используют.
О проблеме сообщила GMO Flatt Security, а Anthropic устранила её в течение четырёх дней. Исправления включены в пакет claude-code-action v1.0.94. Anthropic оценила проблему на 7,8 балла по стандарту CVSS v4.0 и выплатила вознаграждение за обнаружение ошибки.
4. Исследователи SafeBreach обнаружили критическую уязвимость в голосовом помощнике Google Gemini, которая позволяла злоумышленникам захватить контроль над ИИ, используя косвенные подсказки, передаваемые через обычные уведомления в мессенджерах.
Основываясь на своих предыдущих исследованиях, SafeBreach обнаружила в целом новый класс атак, названный Fake Context Alignment.
5. Хакеры активно используют критическую уязвимость в плагине WordPress Everest Forms Pro с 4000 активными установками для выполнения произвольного кода, что может привести к полной компрометации сайта.
Речь идёт о CVE-2026-3300 (CVSS: 9.8), представляющей собой ошибку удалённого выполнения кода, затрагивающую все версии плагина вплоть до 1.9.12 включительно. Патч для этой уязвимости был выпущен 18 марта 2026 года в версии 1.9.13.
6. После публикации кода эксплойта Cisco так и исправила CVE-2026-20230 в Unified Communications Manager, которая позволяла неавторизованному злоумышленнику в сети записывать файлы на устройство и оттуда получать права root. Cisco заявляет, что атак пока не зафиксировано.
7. В Tier Zero Security нашли способ обойти Mark of the Web, используя вредоносный код, скрытый в файлах .targets NuGet. Задачи в этих файлах запускаются автоматически при установке или обновлении библиотек NuGet. MSRC назвала это не ошибкой, а технической особенностью.
8. В ПО для управления проектами SOPlanning закрыто семь ошибок, в том числе несколько довольно серьезных, которые могли быть использованы для SQL-инъекций, кражи резервных копий, атак с обходом пути и многого другого.
9. OpenSSL объявила об обновлениях на в рамках PatchTuesday. Ничего критического, но есть несколько ошибок высокой степени серьезности.
10. Израильский исследователь Йени Шерез опубликовал отчет в отношении DarkReplica (CVE-2026-23631), RCE-уязвимости после аутентификации в Redis, которую он реализовал на прошлогоднем хакерском конкурсе ZeroDayCloud.
11. Уязвимость в межсетевом экране Comodo Internet Security способна привести к сбою системы Windows всего одним пакетом данных.
Ошибка вызвана проблемой анализа IP в драйвере межсетевого экрана. Она до сих пор не устранена, поскольку производитель не ответил исследователю Маркусу Хатчинсу. PoC также имеется.
12. CISA предупреждает о критической уязвимости CVE-2026-45247 (CVSS 9,8) в расширении Mirasvit Full Page Cache Warmer для Magento 2, которая используется злоумышленниками для RCE.
Как отмечает Sansec, Злоумышленники могут использовать уязвимость Mirasvit, внедряя в cookie-файл CacheWarmer специально созданные сериализованные PHP-объекты, которые десериализуются без ограничения классов, которые могут быть созданы.
В результате новой атаки на цепочку поставок 36 пакетов в экосистеме Node Package Manager (npm) были заражены вредоносным ПО IronWorm, предназначенным для кражи информации.
Вредоносная ПО нацелена на 86 переменных окружения (пары ключ-значение) и 20 файлов учетных данных, которые могут содержать учетные данные OpenAI, AWS, Anthropic и npm, файлы конфигурации хранилища, ключи SSH и файлы криптокошелька Exodus.
По данным исследователей JFrog, IronWorm написан на Rust, скрывается за руткитом ядра eBPF и взаимодействует с оператором через сеть Tor.
При этом вредоносная ПО самораспространяется, используя украденные учетные данные для публикации в npm, что включает в себя секреты, связанные с рабочим процессом доверенной публикации npm.
После взлома среды разработки или системы непрерывной интеграции (CI) вредоносная ПО может публиковать троянизированные версии пакетов, принадлежащих жертве, которые затем заражают других разработчиков и системы CI.
Подобное поведение концептуально схоже с Shai Hulud, код которого недавно был опубликован на GitHub. Исследователи JFrog не обнаружили явной связи между IronWorm и Shai Hulud, но заметили одинаковые имена коммитов в обеих атаках на цепочки поставок.
Возможно, новое вредоносное ПО является эволюцией полезной нагрузки TeamPCP, поскольку IronWorm, по всей видимости, представляет собой специально разработанный, тщательно созданный имплант от организации, имеющей собственную инфраструктуру.
По данным JFrog, последняя атака началась с взломанного аккаунта под ником asteroiddao, который публиковал версии пакетов, содержащие исполняемый файл Rust ELF, запускаемый с помощью preinstall, и внедрял вредоносные коммиты в репозитории.
Автор коммита указан как claude, а временные метки указывают на несколько лет назад, в некоторых случаях до 13 лет, хотя коммиты были отправлены в последние несколько дней. Вероятно, это делается для того, чтобы избежать расследования.
Одним из примечательных элементов является механизм, использующий GitHub Actions для доставки украденных секретов.
В JFrog пояснили, что вредоносная ПО сериализует секреты в одно значение, а затем записывает его в файл с безобидным на вид именем, как если бы это был вывод команды lint или форматирования.
Последний этап процесса - загрузка файла в качестве артефакта сборки, который может быть скачан любым пользователем, имеющим доступ. Таким образом, злоумышленник может полностью избежать необходимости во внешней системе C2.
Однако исследователи отмечают, что этот механизм доставки не использовался в проанализированной атаке IronWorm на цепочку поставок.
Ещё одна обнаруженная особенность заключается в том, что оператор жёстко закодировал фразу восстановления своего собственного криптовалютного кошелька.
Исследователи утверждают, что единственная причина этого состоит в том, что злоумышленник не хотел, чтобы вредоносная ПО украла её на этапе тестирования.
В свою очередь, Ox Security сообщает, что атака IronWorm была обнаружена на очень ранней стадии и была нейтрализована еще до того, как она распространилась на более популярные пакеты в npm.
В своем отчете исследователи приводят список всех затронутых названий пакетов и их версий, рекомендуя разработчикам обновиться до исправленных версий, менять ключи и включить 2FA для всех учетных записей.
Кроме того, Endor Labs и StepSecurity (1 и 2) обнаружили в тот же период времени очень схожую, но немного другую атаку с использованием вредоносного ПО на основе JavaScript под названием binding.gyp, осуществляющего отравление реестра и заражение GitHub Actions.
Cisco вновь предупреждает о серьезной неисправленной 0-day в Cisco Catalyst SD-WAN Manager (CVE-2026-20245 ), которая активно используется в атаках, позволяя повысить привилегии до уровня root.
0-day затрагивает все типы развертывания, включая локальное развертывание, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud (управляемое Cisco) и Cisco SD-WAN для госучреждений (FedRAMP).
Поставщик заявиляет, что проблема связана с недостаточной проверкой входных данных, предоставляемых пользователем. Злоумышленник может использовать эту уязвимость, загрузив специально созданный файл в затронутую систему.
Успешная эксплуатация может позволить злоумышленнику выполнить атаки с внедрением команд в затронутую систему и повысить свои привилегии как пользователя root.
Для использования этой уязвимости злоумышленнику необходимы права сетевого администратора в затронутой системе. Для этого потребуются действительные учетные данные или использование CVE-2026-20182 или CVE-2026-20127.
Cisco пока не располагает информацией об успешной эксплуатации другими методами, но фиксирует ограниченное число случаев, когда использование этой ошибки привело к изменению конфигурации, отобразившемуся на периферийных устройствах.
Ранее известное как SD-WAN vManage, это программное обеспечение для управления сетью помогает администраторам отслеживать и управлять до 6000 устройствами Catalyst SD-WAN с единой панели управления.
Cisco (PSIRT) узнала об использовании CVE-2026-20245 в июне этого года после того, как дочерняя компания Google по кибербезопасности, Mandiant, сообщила об этой уязвимости, но не предоставив никаких подробностей.
Однако в нем содержались IOCs, предупреждающие администраторов о необходимости проверить файл /var/log/scripts.log на SD-WAN на предмет попыток загрузки данных конфигурации клиента на контроллеры vSmart для повышения привилегий с помощью легитимных команд.
Для определения того, был ли взломан Cisco Catalyst SD-WAN Manager, клиенты могут обратиться в службу технической поддержки Cisco (TAC), но сначала собрать файлы, относящиеся к административно-технической документации, для проведения проверки.
Cisco еще не выпустила исправления для CVE-2026-20245, но рекомендовала клиентам обновить ПО до версии с исправлениями для CVE-2026-20182, от 14 мая.
Исследователи из Лаборатории Касперского делятся секретами того, как выявить эксплуатацию критической Windows-уязвимости MiniPlasma, для которой еще нет исправления.
Как уже ранее сообщалось, за последние два месяца анонимный исследователь Nightmare Eclipse (Chaotic Eclipse) без согласования с Microsoft выкатил 6 нулей для Windows с готовыми эксплойтами.
Наиболее опасным из которых является MiniPlasma – эксплойт нулевого дня, который позволяет локальным пользователям повысить свои привилегии до максимального SYSTEM.
Эксплойт нацелен на старую уязвимость CVE-2020-17103, которую считали закрытой еще в 2020 году.
Причем атакам через этот вектор подвержены полностью обновленные системы на базе Windows 11, а также Windows Server 2022 и 2025.
Как и в случае уязвимости CVE-2020-17103, проблема MiniPlasma связана с драйвером Cloud Filter и процедурой HsmOsBlockPlaceholderAccess.
По данным Huntress Labs, реальные атаки, эксплуатирующие первые уязвимости из того же списка, что и MiniPlasma, стартовали еще с 10 апреля, однако Microsoft обещает выпустить исправление для MiniPlasma только 9 июня.
В ЛК на этот счет представили конкретные варианты детектирования угрозы с помощью Kaspersky Managed Detection and Response, Kaspersky Unified Monitoring and Analysis Platform (KUMA) или Kaspersky Extended Detection and Response, отразив вполне конкретные индикаторы потенциальной атаки.
Эксплуатация MiniPlasma с использованием опубликованного PoC-эксплойта также успешно выявляется также с помощью Kaspersky EDR Expert и Kaspersky Extended Detection and Response.
Помимо этих продуктов, Kaspersky Endpoint Security успешно обнаруживает и блокирует попытки эксплуатации данной уязвимости.
Все технические подробности - в отчете.
🥷❗️Атаки кибершпионской группировки SiribClone на 🇷🇺 российских военных
Как сообщают специалисты F6, 👮военнослужащие 🇷🇺 ВС РФ – по-прежнему среди приоритетных целей атак различных киберпреступных группировок, которые занимаются шпионажем и мошенничеством.
❗️ Цель: сбор личных, технических, географических и других данных, а также контактов.
Для атак на пользователей ПК группа использует 🎣фейковые сайты, например, 🇷🇺«Бессмертный полк». Нажимая кнопку ✒️«Принять участие», жертвы скачивают зараженный архив.
‼️ В атаках на пользователей ПК SiribClone применяет уникальное вредоносное ПО, которое в F6 назвали SiribGrabber.
Атаки на пользователей 📲мобильных устройств проводят с помощью 🤯социальной инженерии. Под видом 💘девушек или волонтеров преступники знакомятся с военнослужащими, входят в доверие и присылают ссылки на приложения для обмена фотографиями, формы для получения гуманитарной помощи, облачные хранилища и др.
Подробнее в отчёте — https://www.f6.ru/blog/siribclone
✋ @Russian_OSINT
Исследователи Sophos заметили злоумышленника, который использует набор инструментов для атаки с использованием ransomware на основе ИИ, который автоматизируюет обнаружение в Active Directory и помогает обходить EDR-решения на конечных устройствах.
При разработке инструментов и полезной нагрузки агенты Cursor и Claude Opus применялись на различных этапах, включая первоначальное кодирование, анализ и внесение изменений. Кроме того, некоторым агентам было поручено проверять публикации исследователей на предмет различных методов обхода защиты.
Часть вредоносного ПО, созданного таким образом, была протестирована в виртуальных средах с использованием инструментов EDR от Sophos, CrowdStrike и Microsoft.
Несмотря на то, что исследования и разработки вредоносного ПО проводятся с использованием технологий ИИ, исследователи отмечают, что весь рабочий процесс полностью управляется человеком.
Исследователи Sophos обнаружили активность инструментария на системе одного из клиентов, которая вызвала оповещения о полезных нагрузках, хранящихся в папке C:\Users\User\Documents\test.
Вредоносные файлы указывали на то, что они являлись частью схемы атаки, направленной на уклонение от обнаружения. В частности:
- Профили Cobalt Strike, разработанные для того, чтобы трафик маяков имитировал легитимные веб-запросы.
- Механизм C2 для ботов Telegram, основанный на API, который маршрутизировал обмен данными через инфраструктуру Telegram, а не использовал прямые соединения.
- Скрипты для разработки вредоносного ПО на основе Python, предназначенные для внедрения шеллкода в легитимные исполняемые файлы Windows с сохранением исходной функциональности.
- Cloudflare Worker выступает в роли перенаправителя на стороне клиента, чтобы скрыть фактический сервер C2 на стороне бэкэнда.
Исследователи утверждают, что, хотя этот инструмент может выглядеть как фреймворк для постэксплуатации, используемый Red Team, но применяется в деятельности, связанной с вымогателями.
В ходе расследования исследователи обнаружили репозиторий Git с компонентами, связанными с автоматизированной панелью обнаружения Active Directory (AD) и лабораторией, использующей итеративный подход к разработке и тестированию вредоносного ПО в отношении EDR-агентов на конечных точках Sophos, CrowdStrike и Windows Defender.
Обнаружение AD происходит путем сбора наблюдений за выполненными задачами и выбора следующего действия из заранее определенных вариантов. Следующий шаг делегируется удаленным агентам, а результаты переоцениваются.
В этой системе используется множество агентов ИИ, каждый из которых выполняет свою уникальную роль и функцию.
Например, Claude Opus 4.5 выступает в роли координатора процесса исследований и разработок, в то время как другие занимаются тестированием, повышением безопасности операционной системы, документированием, стресс-тестированием прокси-серверов, развертыванием виртуальных машин и другими связанными задачами.
На этапе разработки некоторые агенты задокументировали методы обхода защиты в исследованиях Лаборатории Касперского, Palo Alto Networks, Bishop Fox и SpecterOps, а также подробности, опубликованные в соцсетях.
Агенты извлекли полученные методы, сопоставили их с базой MITRE ATT&CK, определили, что необходимо для воспроизведения, подготовили тестовую лабораторию, выполнили применение метода и сообщили о результате.
Основной компонент вредоносной программы - это инструмент на Python, который генерирует полезные нагрузки, в основном на Rust и Go, с использованием методов обхода защиты. Всего было сгенерировано и протестировано около 80 модулей, которые были проверены на более чем 70 методах.
Sophos не нашла никаких доказательств того, что ИИ был встроен в развернутое вредоносное ПО или работал независимо в средах жертв.
Технология была использована для ускорения итеративного процесса разработки, тестирования и совершенствования полезных нагрузок.
Согласно отчету Interisle, каждый десятый новый домен, зарегистрированный в 2025 году, был связан со вредоносной деятельностью и в конечном итоге был добавлен в один или несколько списков блокировки в сфере ИБ.
В общей в прошлом году было создано сложности 84 961 989 доменов, а 8 496 811 из них впоследствии попали в блеклисты.
Исследователи полагают, что фактическое число вредоносных доменов может быть вдвое больше и составлять около 16,8 миллионов, при этом ожидается, что новые домены будут внесены в черный список после их развертывания в реальных условиях.
Это объясняется практикой киберподполья, называемой «старение доменов», когда злоумышленники покупают новые домены и оставляют их неиспользованными на месяцы или даже годы, дабы избежать их быстрого попадания в черный список после. перенаправления трафика на вновь зарегистрированные домены.
Большинство вредоносных доменов, приобретенных в прошлом году, были куплены оптом у нескольких (известных) сомнительных регистраторов. В прошлом году на долю пяти регистраторов приходилось половина заблокированных доменов.
Если расширить это число до восьми регистраторов, то на эти компании приходилось 92% всех заблокированных доменов, что показывает, насколько емко они сосредоточены в нескольких точках злоупотреблений.
К концу года более 80% всех доменов, зарегистрированных у трех других регистраторов на 2025 год, были внесены в черный список, что заставляет задуматься, зачем они вообще существуют, если не для продажи доменов в даркнет. Хотя это, достаточно спорно.
Продолжая тенденцию, отмеченную в предыдущие годы Interisle заявляет, что большинство вредоносных доменов были зарегистрированы для нового класса gTLD, или глобальных доменов верхнего уровня.
Это класс пользовательских доменов, который был добавлен десять лет назад для расширения стандартных доменов .com, .net и .org, доступных в то время.
Примерно две трети всех новых вредоносных доменов в прошлом году были зарегистрированы через один из этих пользовательских gTLD, таких как .top, .bond, .vip, .xyz, .shop и многие другие.
⚙ Maltrail ― крайне полезный инструмент для обнаружения вредоносного трафика на базе общедоступных черных списков сетевых адресов.
• Если говорить простыми словами, то Maltrail является легковесной системой обнаружения вторжений (IDS). Принцип работы следующий:
➡Тулза тихо слушает весь сетевой трафик, идущий к вашему серверу и от него.
➡Сверяет IP-адреса, домены и URL из этого трафика с огромной, постоянно обновляемой базой данных, собранной из сотен публичных "чёрных списков" и статических сигнатур. Туда входят списки от AlienVault, dshield, Emerging Threats, трекеры Ransomware и данные о тысячах семейств вредоносов!
➡Если обнаруживается совпадение — Maltrail немедленно записывает это в лог и показывает в красивом веб-интерфейсе.
• При использовании нужно учитывать:
➡Это IDS, а не IPS. Maltrail обнаруживает, но не блокирует трафик по умолчанию.
➡Возможны ложные срабатывания. Иногда в списки попадают IP-адреса крупных сервисов вроде Google или Cloudflare.
➡Идеален для pet-проектов и небольших серверов. Он очень лёгкий, почти не потребляет ресурсов и прост в настройке.
➡ https://github.com/stamparm/maltrail
S.E. ▪️ infosec.work ▪️ VT
В результате атаки на цепочку поставок скомпрометированы npm-пакеты в экосистеме Red Hat, распространивших новый вариант вредоносного ПО Shai-Hulud, получившего название Miasma.
Инцидент был обнаружен Aikido и OX Security (1 и 2), которые выявили десятки версий пакетов, содержащих бэкдоры с вредоносным ПО, предназначенным для кражи учетных данных разработчиков, секретов из облачных сервисов, ключей SSH, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, взломанные пакеты скачиваются примерно 117 000 раз в неделю. Как отметили в Red Hat, затронутые пакеты были удалены после того, как ей стало известно об инциденте.
Скомпрометированные пакеты предназначены исключительно для внутренней разработки, вредоносный код не получил распространения среди клиентов через систему console.redhat.com.
Расследование инцидента продолжается, но, предварительно, влияния на среды клиентов или партнеров, а также на производственные системы Red Hat выявлено не было.
По данным Aikido, злоумышленники, по всей видимости, взломали учетную запись GitHub сотрудника Red Hat и использовали ее для прямой отправки вредоносных коммитов в несколько репозиториев.
Инициированные изменения добавили рабочий процесс GitHub Actions и скрипт, который использовал механизм публикации npm для выпуска пакетов с бэкдорами.
Когда запускался рабочий процесс, он устанавливал Bun и выполнял команду _index.js, передавая ей список целевых пакетов через переменную среды OIDC_PACKAGES.
Скрипт использует id-token: разрешение на запись для запроса кратковременного токена OIDC от GitHub, затем использует этот токен для прямой аутентификации с доверенной конечной точкой публикации npm и публикации версий каждого пакета из списка с бэкдорами.
Скомпрометированные пакеты содержали вредоносный скрипт предварительной установки, который автоматически запускал сильно обфусцированный вредоносный файл index.js при установке пакетов разработчиками.
Размер полезной нагрузки в файле index.js составлял приблизительно 4,2 МБ и использовался для кражи секретов GitHub Actions, учетных данных AWS, учетных данных Google Cloud и Docker, субъекта службы Azure, токенов HashiCorp Vault, записи службы Kubernetes, публикации npm и PyPI, ключей SSH и GPG и файлов .env.
Исследователи утверждают, что вредоносная ПО, использованная при взломе Red Hat, имеет много общего с Mini Shai-Hulud, но теперь использует строку «Miasma: The Spreading Blight» в качестве комментариев во взломанных репозиториях GitHub.
Вредоносная ПО хоть и напоминает Mini Shai-Hulud от TeamPCP, но неясно, проводилась ли кампания именно этим злоумышленником либо другим, который модифицировал исходный код просочившейся вредоносной ПО.
OX Security полагает, что вредоносная ПО сохраняет ту же функциональность по краже учетных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоступенчатые механизмы доставки полезной нагрузки, а также расширенные функции кражи данных и сбора учетных данных.
На текущий момент вредоносной ПО Miasma были скомпрометированы 309 репозиториев GitHub. Установившим затронутые версии вредоносного ПО рекомендуется немедленно обновить все учетные данные, секреты и токены.
Российские силовики вскрыли и скомпрометировали схему прослушки, которую иностранные спецслужбы развернули в отношении высокопоставленных российских госслужащих, используя смартфоны и вредоносное ПО.
Согласно официальному заявлению ЦОС ФСБ России, чувствительную информацию добывали через вредоносное ПО, связанное с разработками американских IT-компаний Fastly и Cloudflare.
Предпринятая широкомасштабная акция открыла иностранным спецслужбам доступ к имеющимся данным на устройствах, прослушиванию ведущихся переговоров и контролю переписки, а также позволяла осуществлять негласный акустический и видеоконтроль обстановки в непосредственном окружении.
Операция по прослушке была многоуровневой с координацией через несколько стран и нацелена, в том числе на получение разведданных о настроениях в российском обществе. После сбора компромата чиновники, за которыми велась слежка, попадали в санкционные списки США и ЕС.
Причем, как отметили в ведомстве, западные спецслужбы полагали, что им будет проще и дешевле в массовом порядке взламывать сотовые телефоны, чем вербовать дорогостоящих информаторов среди носителей государственной тайны.
По факту выявления данной противоправной деятельности СУ ФСБ России возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 272 и 273 УК РФ.
Начато расследование, ожидаем технических подробностей.
У клиентов Palo Alto Networks снова проблемы, вызванные PAN-OS’ом.
Хакеры теперь используют уязвимость обхода аутентификации в PAN-OS GlobalProtect, отслеживаемую как CVE-2026-0257, в атаках, нацеленных на взлом корпоративных сетей.
В начале этого месяца компания устранила CVE-2026-0257, предупредив, что портал и шлюз GlobalProtect программного обеспечения Palo Alto Networks PAN-OS позволяют злоумышленнику обходить ограничения безопасности и устанавливать несанкционированное VPN-соединение.
Уязвимость получила средний уровень серьезности, поскольку для ее устранения требуется, чтобы устройства были настроены с включенными cookie-файлами для переопределения аутентификации и с использованием определенной конфигурации сертификата.
Однако в пятницу Palo Alto Networks обновила предупреждение, сообщив, что уязвимость активно используется в атаках на устройства без установленных обновлений, повысив уровень серьезности до высокого.
Поставщик получил информацию о немногочисленных попытках использования уязвимостей на устройствах PAN-OS без установленных обновлений и мер по их устранению.
В свою очередь, Rapid7 сообщила, что с 17 мая она обнаружила уязвимость, используемую в отношении ее многочисленных клиентов, однако не обнаружила никаких признаков успешного перемещения устройств по сети. По состоянию на 29 мая уязвимость была добавлена в базу данных CISA KEV.
Атаки начались с того, что хакеры прошли аутентификацию на шлюзах GlobalProtect, используя поддельные cookie-файлы для переопределения аутентификации, которые были нацелены на локальную учетную запись администратора.
Компания впервые обнаружила уязвимость 18 мая на инфраструктуре, размещенной на серверах Vultr, а вторая волна атак, зафиксированная 21 мая, исходила от Dromatics Systems.
В некоторых случаях злоумышленникам удавалось подключиться к устройству через VPN, используя поддельные cookie-файлы, что предоставляло им доступ к внутренним сетям.
Однако, по данным Rapid7, во многих случаях, даже несмотря на то, что устройство принимало поддельные cookie-файлы, установить полноценную VPN-сессию не удавалось.
В ходе расследования Rapid7 было установлено, что на затронутых устройствах были включены файлы cookie для переопределения аутентификации GlobalProtect, и они были настроены таким образом, что позволяли злоумышленникам подделывать действительные файлы cookie для аутентификации.
Исследователи утверждают, что недостаток связан с проверкой PAN-OS файлов cookie, используемых для переопределения аутентификации.
VPN-устройство GlobalProtect расшифровывает такие файлы cookie, используя настроенный закрытый ключ, а затем доверяет расшифрованному содержимому без выполнения какой-либо проверки подписи.
Если один и тот же сертификат используется как для HTTPS-сервисов, так и для файлов cookie, используемых для переопределения аутентификации, злоумышленники могут получить соответствующий открытый ключ через HTTPS-сессию, а затем использовать его для создания поддельных файлов cookie, которые устройство будет воспринимать как легитимные.
Rapid7 разработала PoC, демонстрирующий, как злоумышленник может получить доступ к открытым сертификатам, предоставляемым порталом или шлюзом GlobalProtect, сгенерировать поддельный cookie-файл для переопределения аутентификации для произвольного пользователя и пройти аутентификацию, не зная действительных учетных данных.
Пользователям VPN-устройств GlobalProtect следует немедленно установить последние обновления для устранения выявленных уязвимостей.
Администраторы также могут устранить эту уязвимость, отключив функцию переопределения аутентификации или используя для этой функции другой сертификат и не предоставляя его другим службам на устройстве.
Бельгийский центр кибербезопасности (CCB) выпустил предупреждение, информируй, что злоумышленники теперь используют недавно исправленную критическую уязвимость Windows Netlogon в реальных атаках.
Microsoft устранила CVE-2026-41089 (CVSS 9.8) в рамках майского PatchTuesday, описав её как переполнение буфера стека в Windows Netlogon, которое позволяет злоумышленникам без привилегий получить удалённое выполнение кода на целевых контроллерах домена.
Злоумышленник может отправить специально сформированный сетевой запрос на сервер Windows, выступающий в качестве контроллера домена.
В случае успеха это может привести к некорректной обработке запроса службой Netlogon, что потенциально позволит злоумышленнику запустить код в затронутой системе без необходимости входа в систему или предварительного доступа.
CVE-2026-41089 затрагивает все поддерживаемые в настоящее время версии Windows Server, включая последнюю версию, Windows Server 2025.
Согласно уведомлению от 12 мая, уязвимость была обнаружена группой Windows Attack Research & Protection (WARP), подразделением Microsoft, занимающимся исследованиями в области кибербезопасности и инженерными разработками.
Помимо констатации начавшейся эусплуатации CCB не предоставила никаких дополнительных подробностей о замеченных атаках и пока никак нет комментирует ситуацию.
Microsoft также пока не обновила свое изначальное уведомление и сохраняет молчание относительно атак, нацеленных на CVE-2026-41089.
Вместо этого микромягкие занимаются преследованием анонимного исследователя Nightmare Eclipse, который публично раскритиковал компанию за недобросовестный процесс раскрытия уязвимостей и программу вознаграждений, сопроводив свои доводы отчетами по ранее неизвестным нулям.
После этого публичного конфликта с Microsoft и завуалированных угроз, в адрес исследователя посыпались сообщения об ошибках от других пользователей, которые намерены слить через него для широкой общественности свои изыскания.
Так что Nightmare Eclipse объявил о начале раскрытия новых уязвимостей в решениях Microsoft, следующая из которых связана с BitLocker и была предоставлена ему исследователем по имени JonasLyk.
Силовики из Нидерландов провели одну из крупнейших в истории операций по борьбе с вредоносным ПО и обезвредили ботнет, заразивший более 17 млн. устройств по всему миру.
Ботнет состоял из компьютеров, планшетов и смартфонов, которые использовались для рассылки спам-писем, фишинговых сообщений и проведения DDoS-атак.
Голландская полиция и NCSC страны изъяли более 200 серверов у местного провайдера, которые использовались для развития и контроля ботнета.
Как отметили в нидерландской полиции, участие в операции по нейтрализации вредоносного ПО со стороны Национального центра кибербезопасности Нидерландов явление достаточно редкое.
В NCSC заявили, что узнали о ботнете после получения информации от исследователя, которую затем передали в киберподразделение полиции.
Власти не указали наименование ботнета, но местные СМИ утверждают, что он также являлся основой сервиса резидентных прокси-серверов Asocks.
Причем сайт Asocks всё ещё функционирует, но что по части ботнет пока непонятно. Стоит отметить, что Asocks ранее упоминался в отчете Human Security за 2024 год, так что вполне цель подтвержденная.
Тем более, что за день до блокировки NCSC опубликовала сообщение, в котором назвала сети резидентных прокси-серверов серьезной угрозой цифровой безопасности страны.
В отчете подробно описывалась библиотека PROXYLIB, написанная на Go, которая была встроена в различные приложения для Android и тайно превращала зараженные устройства в узлы сети резидентных прокси-серверов, что, по данным Human, было связано с Asocks.
Таким образом, Asocks пополнил список многочисленных ботнетов, заблокированных правоохранителями за последнее время, наряду с SocksEscort, Aisuru/Kimwolf, FirstVPN, IPIDEA и RapperBot.