39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Северокорейские хакеры выполняют и перевыполняют планы из года в год, ставя все новые рекорды по части привлечения «инвестиций».
Если в 2022 году им удалось слямзить 1,1 млрд долл., то в 2024 году - 1,34 млрд долларов в ходе 47 кибератак (по данным статистики Chainalysis).
А на 2025 год - план перевыполнен уже в первом квартале в результате крупнейшего в истории криптоограбления на на сумму более 1,5 млрд долл.
Пострадавшая - Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, а после инцидента - первая в антирейтинге по грабежам (лидерство перешло от Ronin Network с украденными 625 млн. долл.).
Взлом состоялся в пятницу, 21 февраля и к настоящему времени теперь признается одним из самых сложных криптоограблений.
Злоумышленники проникли в сеть Bybit, изучили внутренние корпоративные регламенты работы, идентифицировали, а затем заразили вредоносным ПО всех сотрудников, которые обладают правом подписи транзакций и распоряжения средствами компании.
Хакеры специально нацелились на процесс пополнения активных кошельков компании, называемых горячими кошельками, где компания хранит средства, необходимые для ежедневных операций.
Как отмечают в Bybit, когда в пятницу сотрудники выполняли пополнение горячих кошельков, хакеры модифицировали пользовательский интерфейс ПО для перемещения средств с холодных кошельков, что привело к изменению логики смарт-контракта.
Причем «обновление» затронуло системы всех инженеров, которым необходимо было его подписать, в ходе так называемой транзакции с несколькими подписями.
Согласно отчету Bybit, транзакция привела к запуску вредоносного кода, который отправил средства с этого конкретного холодного кошелька на подконтрольные злоумышленникам счета.
Таким образом, более 400 000 ETH и stETH на сумму более 1,5 млрд долл. были переведены на неопознанный адрес.
Затем были распределены по 50 разным кошелькам в течение двух часов и начали выводиться через различные криптосервисы, включая такие как eXch.
Изначально не было понятно, кто осуществил атаку, но исследователи, известные как Arkham и ZachXBT, связали взлом с северокорейской Lazarus, а точнее с той же командой, которая в январе украла 70 млн. долл. у сингапурской биржи Phemex.
Что касается Bybit, у нее достаточно резервов, чтобы покрыть все убытки 1 к 1.
Компания приостановила транзакции на день для расследования инцидента и с тех пор возобновила все операции.
Также была оперативно учреждена программа вознаграждений, согласно которой компания намерена реализовать до 10% суммы украденных средств любому, кто сможет вернуть украденные токены.
Будем следить, но Белой шляпы, как в случае с Poly Network, ожидать явно не стоит.
По всей видимости, недавно описанная исследователями Symantec «халтурка» участника китайской APT, связанная с использованием ransomware, носит вовсе не единичный характер.
В Orange и Trend Micro независимо друг от друга также обнаружили китайское вредоносное ПО, задействованное в арсенале APT, в атаках с использованием ransomware в 15 странах, что позволяет предположить преднамеренный сговор участников групп или изменение тактики.
Замеченные в инцидентах инструменты включают в себя версии PlugX и Shadowpad, сложные бэкдоры, используемые китайскими APT уже более десяти лет исключительно для кибершпионажа.
Два штамма вредоносного ПО были развернуты во взломанных сетях, прежде чем в конце был выпущен вирус-вымогатель.
Полезные нагрузки программ-вымогателей, использованные в атаках, включали RA World и новый штамм под названием NailaoLocker, который доставлялся вместе с Shadowpad, ассоциируемым с APT41.
По данным Trend Micro, в этих инцидентах злоумышленники использовали слабые пароли и обходили многофакторную аутентификацию для проникновения в сети, используя Shadowpad не только для проведения шпионажа, но и для шифрования данных с целью получения выкупа.
В двух случаях злоумышленник применил программу-вымогатель ранее не зарегистрированного семейства NailaoLocker. Это необычный ход для злоумышленников, использующих Shadowpad. Хотя сообщалось, что APT41 использовала Encryptor RaaS.
В отличие от типичных вредоносных APT-кампаний, последние замеченные инциденты сопровождались также активными переговорами о выкупе и подробными инструкциями, что подчеркивает финансовую мотивацию, нетипичную для китайских шпионских групп.
В поисках похожих TTP Trend Micro обнаружила, что за последние 7 месяцев 21 компания подверглась атаке с использованием схожего вредоносного инструментария.
Девять из них в Европе, восемь в Азии, три на Ближнем Востоке и одна в Южной Америке, большая часть жертв из производственного сектора.
Эксперты видят в этом тревожную тенденцию, ведь ранее исторически китайские хакеры не преследовали явную финансовую выгоду, ориентируясь на скрытность, устойчивость и долгосрочную эксфильтрацию данных.
Вовлечение в кампании по вымогательству APT-инструментария говорит о возможном стратегическом сдвиге - или, по крайней мере, о размытии традиционных границ между кибершпионажем и киберпреступностью, но не исключается и версия с эксцессом исполнителя.
Будем следить.
ExploitWhispers, по всей видимости, слил архив логи чатов Matrix банды вымогателей Black Basta, одной из самых активных группировок программ-вымогателей в прошлом году.
В ходе мониторинга исследователи PRODAFT заметили, что банда стала неактивной с начала года в виду нарастающих внутренних конфликтов. Некоторые из его операторов обманывали жертв, получая выкупы и не предоставляя при этом функциональных дешифраторов.
По итогу 11 февраля случилась крупная утечка переписки группы BLACKBASTA (Vengeful Mantis).
В PRODAFT предположили, что утечка могла быть прямым результатом намерений одного из операторов атаковать российские банки, что очень похоже на ее прошлые истории.
Как полагают исследователи, утечка является частью гораздо более масштабного внутреннего конфликта, а сама банда фактически прекратила почти всю свою деятельность в начале года.
При этом большинство операторов переключились на другие группы, такие как Cactus ransomware.
Слив включает почти 200 000 сообщений чатов Black Basta за период с 18 сентября 2023 года по 28 сентября 2024 года.
Анализ сообщений показывает, что они содержат широкий спектр информации, включая шаблоны фишинговых сообщений и электронные письма для их отправки, адреса криптовалюты, утечки данных, учетные данные жертв и обсуждения тактических особенностей работы группы.
Кроме того, в ней 367 уникальных ссылок ZoomInfo, которые указывают на вероятное количество жертв, поскольку обычно он задействуется для обмена информацией по целевой компании.
ExploitWhispers также поделился информацией о некоторых участниках Black Basta, включая Lapa (одного из админов RaaS), Cortes (связанного с группой Qakbot), YY (главного админа Black Basta) и Trump (он же GG и AA), который, как полагают, является боссом группировки.
Напомним, что BlackBasta была запущена в начале 2022 года и была создана выходцами из более крупной группы Conti ransomware. Это было одно из многих ее ответвлений, которые отделились от банды после аналогичной утечки, приведшей к распаду.
После своего обособления BlackBasta продолжала свою деятельность в прежней манере и вошла в десятку самых активных группировок, занимающихся вымогательством.
Только за период с апреля 2022 года по май 2024 года члены Black Basta взломали более 500 организаций, включая Rheinmetall, Hyundai, BT Group, Ascension, ABB, Capita и др.
По данным Corvus Insurance и Elliptic, к ноябрю 2023 года банда смогла заработать около 100 млн. долл. в виде выкупов от более чем 90 жертв.
Чем завершится конфликт будем, конечно, посмотреть.
И вновь черная (коричневая) полоса в жизни клиентов Palo Alto Networks и Ivanti.
У первых продолжаются проблемы с PAN-OS’ом, теперь уязвимость чтения файлов (CVE-2025-0111) объединена хакерами в цепочке атак с двумя другими CVE-2025-0108 и CVE-2024-9474 для взлома межсетевых экранов в активных атаках.
Поставщик впервые раскрыл уязвимость обхода аутентификации CVE-2025-0108 12 февраля, выпустив исправления.
В тот же день исследователи Assetnote опубликовали PoC, демонстрирующий, как CVE-2025-0108 и CVE-2024-9474 могут быть объединены для получения привилегий root на неисправленных брандмауэрах PAN-OS.
CVE-2024-9474 связана с повышением привилегий в PAN-OS, исправлена в ноябре 2024 и позволяет администратору PAN-OS выполнять команды на брандмауэрах с привилегиями root. Уже использовалась в качестве 0-day на момент раскрытия.
Днем позже компания GreyNoise начала фиксировать, как злоумышленники приступили к активной эксплуатации уязвимости, причем попытки осуществлялись с двух IP-адресов.
Затем масштаб не только расширился, но и, согласно сообщениям GreyNoise, активность эксплуатации также возросла.
GreyNoise сообщает, что теперь обнаружено 25 IP-адресов, нацеленных на CVE-2025-0108, тогда как в первоначальном отчете от 13 февраля было зарегистрировано только два. Основными источниками атак являются США, Германия и Нидерланды.
В свою очередь, исследователь Macnica Ютака Сэдзияма выявил тысячи устройств PAN-OS, которые раскрывают свой веб-интерфейс управления через Интернет.
При этом относительно недавно исправленных уязвимостей CVE-2025-0108 и CVE-2025-0111, то большинство серверов, которые публично раскрывают свой веб-интерфейс управления, по-прежнему не имеют исправлений. Из 3490 серверов только несколько десятков обновились.
Из этих уязвимых устройств 1168 не имеют исправлений CVE-2025-0108 и CVE-2025-0111, но имеют исправления CVE-2024-9474.
Исследователь сообщил, что при анализе в призме всех трех уязвимостей, связанных с атаками, 65% (2262 устройства) остаются уязвимыми для всех из них.
По Ivanti все как обычно: исправленные в январе CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 и CVE-2024-13159 (CVSS 9,8) в Ivanti Endpoint Manager (EPM) благодаря исследователям Horizon3.ai обзавелись PoC.
Это при том, что четыре уязвимости могут быть использованы неавторизованным злоумышленником для принудительного использования учетных данных учетной записи машины Ivanti EPM в ретрансляционных атаках, что может привести к компрометации сервера и затем клиентов EPM.
Citrix выпустила обновления безопасности для устранения серьезной уязвимости безопасности, влияющей на NetScaler Console (ранее NetScaler ADM) и NetScaler Agent, которая может привести к повышению привилегий при определенных условиях.
Уязвимость отслеживается как CVE-2024-12284 и имеет CVSS v4 8,8 из максимальных 10,0. Она может привести к аутентифицированному EoP, если развернут NetScaler Console Agent, позволяющий злоумышленнику выполнять действия после компрометации.
Проблема обусловлена неадекватным управления привилегиями и может быть использована аутентифицированным злоумышленником для выполнения команд без дополнительной авторизации.
Однако воспользоваться этой уязвимостью могут только аутентифицированные пользователи, имеющие доступ к консоли NetScaler, тем самым ограничивая область угрозы.
Недостаток затрагивает: NetScaler Console 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, NetScaler Agent 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, исправлен в версиях 14.1-38.53, 13.1-56.18 и более поздних версиях, а также 14.1-38.53 и 13.1-56.18 и более поздних версиях (соответственно).
Cloud Software Group настоятельно рекомендует пользователям NetScaler Console и NetScaler Agent как можно скорее установить соответствующие обновленные версии, добавляя, что обходных путей устранения уязвимости не существует.
При этом клиентам, использующим службу консоли NetScaler под управлением Citrix, не нужно предпринимать никаких действий.
Microsoft выпустила обновления безопасности для устранения двух критических уязвимостей, влияющих на Bing и Power Pages, одна из которых активно эксплуатировалась злоумышленниками.
Проблемы отслеживаются как CVE-2025-21355 (CVSS: 8,6, уязвимость Microsoft Bing, делающая возможным RCE) и CVE-2025-24989 (CVSS: 8,2, уязвимость Microsoft Power Pages, приводящая к EoP).
В бюллетене по CVE-2025-21355 компания отмечает, что отсутствие аутентификации для критической функции в Microsoft Bing позволяет неавторизованному злоумышленнику выполнить код по сети. Никаких действий со стороны клиента не требуется.
При этом исправленная Microsoft CVE-2025-24989 в Power Pages активно использовалась при атаках, о ней сообщил один из сотрудников компании.
Microsoft Power Pages - это SaaS-платформа с минимальным написанием кода, предназначенная для создания, размещения и управления бизнес-сайтами.
Уязвимость описывается как критическая проблема ненадлежащего контроля доступа, которая позволяет злоумышленнику повысить привилегии в сети, потенциально обходя контроль регистрации пользователей.
Уязвимость уже была устранена в сервисе, все затронутые клиенты были уведомлены. Им не нужно устанавливать исправления, но некоторым пользователям может потребоваться проверить свои экземпляры на наличие признаков взлома.
На данный момент Microsoft не разглашает никакой информацией об атаках с использованием CVE-2025-24989. Но будем посмотреть.
Исследователи созданного на базе F.A.C.C.T. нового инфосек-бренда F6 выкатили первый ежегодный аналитический отчет по основным актуальным для России и стран СНГ киберугрозам 2024 года с рекомендациями и прогнозами на 2025 год.
Главный неутешительный вывод - все рлохо: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся ощутимее, а мошенничество переживает очередной ренессанс.
Если в 2023 году Россию и СНГ атаковали 14 прогосударственных APT, то в 2024 их стало в два раза больше - 27, причем 12 из них это новые группы: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.
Прибавилось также в полку хактивистов: в 2024 году не менее 17 атаковали российские и белорусские организации, хотя годом ранее их было как минимум 13.
В своих атаках хактивисты реализуют различные методы, включая как DDoS-атаки, так и шифрование или уничтожение данных.
Количество DDoS-атак в 2024 выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активно себя проявила IT Army of Ukraine.
По всей видимости, в текущих условиях атаки на российские цели будут только с нарастать.
На этом фоне исследователи отмечают серьезную трансформацию самого ландшафта киберугроз, привычные границы классификации преступных групп на хактивистов, APT и киберпреступников размываются, а атаки зачастую носят комбинированный характер.
Ransomware в 2025 году останется одной из главных киберугроз для российских компаний.
По итогам 2024 зафиксировано более 500 атак с использованием шифровальщиков, что в полтора раза больше по сравнению с 2023.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и др. добавились новые игроки, в том числе банды MorLock, Head Mare, Masque, Sauron.
Причем TTPs вымогателей от года к году становятся все более сложными и изощренными.
Суммы первоначального выкупа за расшифровку данных в 2024 для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1 тыс. - $50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, - от 5 млн рублей ($50 тыс.) и выше.
Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из главных целей вымогателей. Отмечается рост числа атак на крупные компании с целью компрометации их клиентов.
В целом, за прошлый год было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году - 246), а количество строк в утечках превысило 457 млн.
Масштаб кражи и публикации баз данных в 2025 году, по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам.
Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру».
Количество «лотов» в киберподполье с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023.
Ожидается, что в 2025 году продолжится рост числа фишинговых атак с использованием шпионских программ по модели MaaS. При этом вредоносные фишинговые рассылки в 2024 оставались одним из самых популярных векторов проникновения в целевую инфраструктуру.
В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок и атак типа Trusted Relationship.
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак.
Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний.
В 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10112.
Кроме фишинговых сайтов для хищений данные банковских карт в 2024 году злоумышленники стали активно использовать RAT (как в случае с CraxsRAT) и злоупотреблять NFCGate.
Полная версия отчета с подробной аналитикой и прогнозами доступна для cкачивания по ссылке.
Juniper предупреждает об исправлении критической уязвимости в маршрутизаторах Session Smart Router (SSR), которая позволяет злоумышленникам обходить аутентификацию и получать полный контроль над устройством.
CVE-2025-21589 была обнаружена в ходе собственного тестирования безопасности продукта и также затрагивает маршрутизаторы Session Smart Conductor и WAN Assurance Managed Routers.
По данным SIRT Juniper, компания пока не нашла доказательств того, что уязвимость использовалась в реальных атаках.
Проблема устранена в SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 и последующих выпусках.
Учитывая практику атак на устройства Juniper, достаточно часто используемые в критически важных средах (в некоторых случаях это случалось менее чем через неделю после выпуска исправлений) к вопросу обновления следует отнестись с должным вниманием.
При этом некоторые устройства, подключенные к Mist Cloud, уже были исправлены, но администраторам рекомендуется обновить все затронутые системы до одной из исправленных версий ПО.
В развертывании под управлением Conductor достаточно обновить только узлы Conductor, исправление будет автоматически применено ко всем подключенным маршрутизаторам. На практике их все равно следует обновить.
Израильская Hudson Rock в новом отчете приводит неутешительную статистику для американских военных, сообщая о сотнях активных заражений инфостилерами ВС и ВМС США, а также их крупных подрядчиков, включая Lockheed Martin, Boeing и Honeywell.
Миллиарды инвестиций в разведсистемы и раздутые бюджеты на передовые решения в сфере ИБ, как выяснили исследователи, в конечном счете не оказывают никакого влияния на прайс, который предлагает киберподполье за краденные креды, реализуемые по итогу за десятки долларов.
Hudson Rock обнаружила 398 хостов, зараженных инфокрадами в Honeywell, а также в Boeing (66), Lockheed Martin (55), Leidos (55) и др. оборонных подрядчиках, которые принимают непосредственное участие в передовых разработках, от истребителей F-35 до атомных подводных лодок.
Что же касается самого военного ведомства: 71 активное заражение было выявлено в ВС США, 30 - в ВМС США и 24 - в ФБР.
Помимо этого были раскрыты более 470 корпоративных учетных данных третьих лиц, включая интеграции Microsoft, Cisco и SAP.
Как полагают исследователи, краденные у военнослужащих армии и флота США данные для входа в систему потенциально раскрывают доступ к VPN, системам электронной почты и секретным порталам закупок, а также внутренним коммуникациям, грифованным проектам и документации.
Попадя в даркнет, собранные с зараженных хостов логи, как правило, уходят заинтересованным покупателям по крайне низкой цене. В качестве примера, Hudson Rock указывает на реальный лот в 10 долл., согласно которому продавался хост с учетными данными army.mil.
Другой печальный пример - инженер Honeywell, который проработал в компании 30 лет и заразился инфокрадом в сентябре 2024 года, благодаря чему раскрыл 56 корпоративных учетных данных для инфраструктуры компании, а также 45 дополнительных учетных данных третьих лиц.
Аналогичным образом, у военнослужащих ВМС были украдены их учетные данные, история просмотров и cookie с 30 компьютеров, включая данные аутентификации для доступа к Outlook, Confluence, Citrix и FTP, что открывает злоумышленникам возможности горизонтального перемещения внутри военных систем.
В целом, Hudson Rock называет инфокрады общей угрозой и предупреждает, что за последние несколько лет более 30 000 000 компьютеров были заражены ими, при этом у каждого пятого инфицированного пользователя на компьютере хранились корпоративные учетные данные.
Резюмируя отчет, исследователи задаются вопросом, а что если бы потенциальный противник заполучил эти креды, сколько времени ему потребовалось для более глубокого проникновения в секретную инфраструктуру США.
И если инфокрады уже в ВПК, то что там может быть еще.
Исследователи BI.ZONE продолжают отслеживать активность группы Bloody Wolf, которая в ходе последней замеченной кампании успешно скомпрометировала более 400 систем на территории Казахстана и России.
Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты.
Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года.
Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком.
Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает.
По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку.
Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы.
При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения.
Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок.
IoC и примеры фишинговых писем - отчете.
Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
🤖Meta* хочет создать универсальную платформу для гуманоидных ИИ-роботов, но не торопится выпускать своих роботов
Стало известно, что Meta* вплотную хочет заняться рынком робототехники, но не с целью производства собственных гуманоидных роботов, а для построения универсальной экосистемы в будущем. По данным журналистов [1,2], внутри Reality Labs формируется новая команда специалистов, фокус которой будет направлен на создание новых ИИ-технологий, сенсоров и аппаратного ПО, относящиеся к робототехнике.
Руководство корпорации не скрывает того факта, что нынешние гуманоиды все еще недостаточно хороши для того, чтобы, например, складывать одежду, элементарно нести аккуратно стакан воды, ставить посуду или выполнять другие домашние дела.
🤔Тут, скорее всего, речь идёт про домашний сегмент роботов, а не коммерцию (пример Amazon).
Основные тезисы:
1️⃣ Meta намерена сыграть ключевую роль в формировании экосистемы робототехнического рынка, аналогично тому, как 📱 операционная система Android и чипы от Qualcomm Inc. в своё время способствовали развитию рынка смартфонов. Экосистема может быть универсально использована в будущем для роботов от разных брендов.
2️⃣ Meta подчёркивает, что её опыт, а также наработки в области ИИ и виртуальной реальности, помогут компании легко вписаться в рынок робототехники. Руководить инновационным направлением будет бывший CEO Cruise и Марк Уиттен, который наймёт в штат около 👨🔬100 топовых инженеров для решения амбициозных задач в 2025.
3️⃣ Meta планирует выделить в 2025 году рекордные $65 млрд на инфраструктуру для ИИ и направление робототехники.
Cоздание прототипов и аппаратного обеспечения является ключевым моментом перед развертыванием платформы, даже если сама Meta* в конечном итоге не выпустит свой брендированный продукт.
Сразу после сообщений о проблемах Palo Alto Networks с PAN-OS’ом возникли новые, связанные с начавшейся эксплуатацией.
Хакеры нацелились на межсетевые экраны Palo Alto Networks PAN-OS, задействуя недавно исправленную CVE-2025-0108, которая позволяет обойти аутентификацию.
Как ранее упоминалось, уязвимость получила высокую оценку и влияет на веб-интерфейс управления PAN-OS, а также позволяет неавторизованному злоумышленнику в сети обойти аутентификацию и вызвать определенные PHP-скрипты.
Проблема была обнаружена и сообщена Palo Alto Networks исследователями Assetnote, которые также опубликовали описание с полными техническими подробностями эксплуатации.
Они наглядно продемонстрировали, как уязвимость можно использовать для извлечения конфиденциальных системных данных, восстановления конфигураций брандмауэра или потенциального манипулирования определенными настройками в PAN-OS.
Представленный эксплойт использует путаницу путей между Nginx и Apache в PAN-OS, что позволяет обойти аутентификацию.
Злоумышленники, имеющие сетевой доступ к интерфейсу управления, могут воспользоваться этим для сбора развединформации для дальнейших атак или для ослабления защиты путем изменения доступных настроек.
В свою очередь, GreyNoise уже зафиксировала попытки эксплуатации, нацеленные на неисправленные брандмауэры PAN-OS.
Атаки стартовали 13 февраля в 17:00 UTC и, по-видимому, исходили с нескольких IP-адресов, что может указывать на участие в кампании сразу нескольких различных злоумышленников.
При этом для киберподполья есть и где развернуться, ведь в настоящее время более 4400 устройств PAN-OS раскрывают свой интерфейс управления в Интернете.
Учитывая наличие PoC и полного описания механизма эксплуатации кульминация проблем PAN-OS’а ожидается в ближайшие дни. Но будем посмотреть.
У Palo Alto снова проблемы с PAN OS'ом
В среду компания опубликовала 10 новых рекомендаций по безопасности, информируя клиентов о новых и влиянии ранее известных уязвимостей на ее решения, включая потенциально серьезную уязвимость обхода аутентификации брандмауэра.
Наиболее важная CVE-2025-0108 описывается поставщиком как проблема PAN-OS’а, позволяющая неавторизованному злоумышленнику, имеющему сетевой доступ к интерфейсу управления целевого брандмауэра, обойти аутентификацию и вызвать определенные PHP-скрипты.
Palo Alto Networks поясняет, что вызов этих PHP-скриптов не обеспечивает удаленного выполнения кода, но может негативно повлиять на целостность и конфиденциальность PAN-OS’а.
Компания выпустила исправления для уязвимых версий PAN-OS’а, а также обходные пути и меры по смягчению последствий, отметив, что уязвимость значительно снижается, если доступ к интерфейсу управления разрешен только доверенным внутренним IP-адресам.
Palo Alto присвоила высокий уровень серьезности (CVSS 7,8) для проблемы PAN-OS’а, однако никаких доказательств ее реальной эксплуатации не обнаружено.
Исследователи Assetnote, обнаружившие CVE-2025-0108 при анализе двух других уязвимостей брандмауэра Palo Alto, которые использовались в реальных атаках, относят уязвимость к критичесой, поскольку она может привести к RCE в сочетании с другой проблемой PAN-OS’а.
В свою очередь, Searchlight Cyber, которая недавно приобрела Assetnote, также в среду раскрыла технические подробности уязвимости PAN-OS’а.
Кроме того, Palo Alto Networks сообщает об исправлении еще одной проблеме с PAN-OS’ом - CVE-2025-0110, которая также имеет высокий уровень серьезности и связана с внедрением команд, но для ее эксплуатации требуются права администратора.
Также опубликованы рекомендации по проблемам средней степени серьезности в агенте Cortex XDR (позволяет отключить агента) и Cortex XDR Broker (несанкционированный доступ), а также другим проблемам PAN-OS’а (чтение и удаление файлов).
По данным Palo Alto Networks, ни одна из уязвимостей, описанных в последнем пакете рекомендаций, не была использована в реальных условиях, включая проблемы с PAN-OS’ом.
Valve удалила игру PirateFi с игровой платформы Steam после того, как в ней обнаружился вредоносный код для кражи cookie из браузера и захвата учетных записей.
По данным PCMag, 6 февраля разработчик Seaworth Interactive выпустил игру под названием PirateFi на платформе Steam в виде бета-версии.
На первый взгляд игра смахивала на популярные игры в жанре выживалок, но вскоре выяснилось, что в игре зашито вредоносное ПО.
Буквально через несколько дней после релиза геймеры после ее установки столкнулись со взломами своих аккаукнтов с помощью украденных cookie, а антивирусы помечали ее как Trojan.Win32.Lazzzy.gen.
Последовавшие в связи с этим жалобы в Valve привели к оперативному удалению игры из магазина и рассылке рекомендаций о необходимости перестановки своих операционок для устранения угрозы.
Безусловно, такое предупреждение вызвало неоднозначную реакцию в сообществе геймеров, многие из которых посетовали на заражение руткитом и раздули обсуждения на Reddit.
Ситуацию прояснили в SECUINFRA FALCON, идентифицировав по результатам динамического анализа и совпадениям сигнатур YARA образец в качестве Vidar stealer.
В одном случае С2 - opbafindi[.]com, в более позднем образце нашли другой - durimri[.]sbs.
Точное число жертв инцидента пока не установлено, но по оценкам SECUINFRA FALCON игру скачали 800-1500 пользователей.
Основатель Xintra и бывший консультант по реагированию на инциденты в Secureworks Лина Лау, aka inversecos, выкатила интересный отчет, в котором раскрывает подробности о том, как АНБшная Equation Group взломала китайский Сианьский Северо-Западный политех в 2022.
Глубоко осведомленная в специфике китайского инфосека она смогла четко разложить результаты, с указанием ссылок, отчетов Qihoo 360, Pangu Lab и Национального CVERC.
В свое время, представители CVERC обвинили АНБ в десятках тысяч кибератак на национальные сети, в том числе связывая TAO (Tailored Access Operations) NSA со взломом китайского политеха.
Согласно вновь представленной аналитике, TAO задействовала не менее 41 штамма вредоносного ПО в совокупности с другими 16 специализированными инструментами, которые полностью совпадают (в 23 случаях - на 97%) с утечками Shadow Brokers.
Кроме того, специалисты Qihoo 360 и CVERC задетектили 4 IP-адреса, которые американское ведомство, предположительно, приобрело через подставные организации Jackson Smith Consultants и Mueller Diversified Systems.
Причем один из сотрудников под данными Amanda Ramirez анонимно закупил их для платформы FoxAcid, которая впоследствии была использована в атаке на политех.
На участие американских спецслужб указывали языковые и временные параметры атак. Хакеры использовали английский в ОС и приложениях, а также американскую раскладку клавиатуры.
При этом все «ручные» операции выполнялись в будние дни, причем активность прекращалась в такие национальные праздники, как день поминовения и день независимости.
Было замечено, что один из атакующих забыл изменить параметры скрипта Python при запуске и вызвал ошибку, раскрыв их рабочий каталог, который известен как каталог инструментов TAO.
Для взлома политеха АНБ полагалось на 0-day, задействовав в атаке 54 jump-сервера и 5 прокси в 17 странах, полученных благодаря применению фирменного инструмента Shaver для атак на уязвимые системы SunOS в соседних с КНР странах.
Как отмечают исследователи, американские спецы также применяли MitM-атаки и фишинг, маскируя письма под научную тематику. Эксплуатируя системы Solaris через Island, хакеры внедряли шпионский фреймворк SecondDate для перехвата трафика и перенаправления на FoxAcid.
Платформа использовалась для взлома внутренних хостов и серверов и развертывания дополнительных инструментов для получения удаленного доступа к основному сетевому оборудованию, серверам и терминалам.
Для обеспечения устойчивости и горизонтального перемещения злоумышленники использовали также такие инструменты, как NoPen, Flame Spray, Cunning Heretics и Stoic Surgeon, украденные учетные данные, получая доступ к критически важным устройствам для манипулирования трафиком.
Пароли крали с помощью утилиты Drinking tea, которая послушивала SSH, Telnet и Rlogin. Для сокрытия следов и маскировки использовали среди прочего утилиту Toast bread (UTMP, WTMP и LASTLOG).
Все это позволяли атакующим систематически красть секретные исследовательские данные, сведения об инфраструктуре сети и конфиденциальные оперативные документы посредством набора Operation behind enemy lines.
Примечательно, полагали, что западные издания проигнорят кейс, как оказалось, не стали. Тем не менее, некоторые все же на этом фоне предпочли прогонять Cisco с отчетом по Salt Typhoon.
OPSWAT сообщает о двух критически важных уязвимостях в библиотеке Mongoose Object Data Modeling (ODM) для MongoDB, приводящие к удаленному выполнению кода на сервере Node.js.
Mongoose, широко используемый в производственных средах, позволяет отображать объекты JavaScript в документы MongoDB, что упрощает управление данными и их проверку. Однако функция, которая улучшает работу со связями между документами, может быть использована для RCE.
Первая из уязвимостей в библиотеке отслеживается как CVE-2024-53900 и позволяет злоумышленнику использовать значение $where для потенциального достижения RCE на Node.js.
Вторая проблема, отслеживаемая как CVE-2025-23061, представляет собой обход патча CVE-2024-53900.
Как поясняет OPSWAT, $where - это оператор запроса MongoDB, который позволяет выполнять JavaScript непосредственно на сервере MongoDB, но с определенными ограничениями.
При обработке полученных данных одна из функций Mongoose передавала значение $where, импортированной из внешней библиотеки, которая обрабатывала запросы локально на сервере приложений, не выполняя проверку входных данных.
Отсутствие проверки и ограничения входных данных создает существенную уязвимость, поскольку значение «параметров», напрямую контролируемое вводом пользователя, может быть использовано злоумышленниками, что потенциально может привести к RCE-атакам.
В исправлении для CVE-2024-53900 добавлена проверка, запрещающая передачу оператора $where уязвимой функции, что предотвращает выполнение вредоносных полезных нагрузок.
Однако исправление можно обойти, встроив оператор $where в оператор $or, поддерживаемый как MongoDB, так и уязвимой функцией. В результате злоумышленник может вложить $where в $or, чтобы обойти одноуровневую проверку патча.
Поскольку Mongoose проверяет только свойства верхнего уровня каждого объекта в массиве соответствия, обходная полезная нагрузка остается незамеченной и в конечном итоге достигает библиотеки sift, что приводит к вредоносному RCE.
OPSWAT также представила прототип PoC, нацеленного на обе уязвимости, рекомендуя обновить Mongoose до версии 8.9.5 или более поздней, включающей полные исправления для двух ошибок.
Исследователи из Лаборатории Касперского анонсировали ежегодный аналитический отчет MDR, проливая свет на на наиболее распространенные TTPs и особенности инцидентов, обнаруженных командой командой SOC.
В 2024 году в среднем ежедневно выявлялось более двух инцидентов высокой степени серьезности.
Наибольшее количество инцидентов в промышленном (25,7%), финансовом (14,1%) и государственном (11,7%) секторах.
В случае с инцидентами высокой степени серьезности, то распределение выглядит следующим образом: 22,8% в ИТ, 18,3% в государственном, 17,8% в промышленном и 11,9% в финансовом секторе.
По результатам аналитики за 2024 год в ЛК выделили следующие тенденции:
1. Инцидентов высокой степени серьезности стало меньше (сократилось на 34% по сравнению с 2023), но их сложность возросла.
Среднее время расследования и сообщения об этих инцидентах увеличилось на 48%, что указывает на рост средней сложности атак.
Подавляющее большинство сработавших правил обнаружения и IoA были получены от специализированных инструментов XDR.
Это знаменует собой сдвиг по сравнению с предыдущими годами, когда обнаружение на основе журналов ОС играло более значимую роль.
2. Число целевых атак, совершаемых человеком, возрастает и составило 43% инцидентов высокой степени серьезности - на 74% больше, чем в 2023 , и на 43% больше, чем в 2022.
Несмотря на достижения в области автоматизированных средств обнаружения, мотивированные злоумышленники продолжают находить способы их обхода.
Для противодействия таким угрозам решающее значение приобретают такие решения, как MDR.
3. Статистика указывает на то, что атакующие часто возвращаются после успешной атаки. Это особенно заметно в госсекторе, где акторы стремятся оставаться в системе в течение длительного времени в целях шпионажа.
В таких случаях сочетание внутреннего SOC, оснащенного XDR, или аутсорсингового MDR с регулярными оценками компрометации является эффективным способом обнаружения и расследования инцидентов.
4. Методы Living off the Land по-прежнему остаются распространенными.
Злоумышленники часто используют их в инфраструктурах, где отсутствуют надлежащие средства управления конфигурацией системы.
Значительное количество инцидентов связано с несанкционированными изменениями, такими как добавление учетных записей в привилегированные группы или ослабление защищенных конфигураций.
Для минимизации ложных срабатываний в этих сценариях решающее значение имеют эффективное управление конфигурацией и формальные процедуры внедрения изменений и управления доступом.
4. User Execution и фишинг остаются главными угрозами и снова вошли в тройку главных угроз, почти 5% инцидентов высокой степени серьезности связаны с успешной социнженерией.
Пользователи по-прежнему являются самым слабым звеном, что делает обучение важным направлением для планирования корпоративной ИБ.
Полный аналитический отчет по реагированию - в PDF.
Новый метод обфускации JavaScript с невидимыми символами Unicode для представления двоичных значений активно используется в фишинговых атаках, нацеленных на филиалы Американского комитета политических действий (PAC).
Атаку задетектили исследователи Juniper Threat Labs в начале января 2025 года, отмечая ее особую изощренность.
При этом метод обфускации был впервые раскрыт еще в октябре 2024 года разработчиком JavaScript Мартином Клеппе.
Новый метод обфускации задействует невидимые символы Unicode, в частности, Hangul half-width (U+FFA0) и Hangul full-width (U+3164).
Каждый символ ASCII в полезной нагрузке JavaScript преобразуется в 8-битное двоичное представление, а двоичные значения (единицы и нули) в нем заменяются невидимыми символами Hangul.
Запутанный код хранится как свойство в объекте JavaScript, и поскольку символы-заполнители Hangul отображаются как пустое пространство, полезная нагрузка в скрипте выглядит пустой.
Краткий скрипт начальной загрузки извлекает скрытую полезную нагрузку с помощью JavaScript Proxy 'get()'.
При доступе к скрытому свойству Proxy преобразует невидимые символы-заполнители Hangul обратно в двоичные и восстанавливает исходный код JavaScript.
Аналитики Juniper сообщают, что злоумышленники используют дополнительные меры маскировки в дополнение к вышеперечисленным, например, кодируют скрипт с помощью base64 и используют антиотладочные проверки, чтобы избежать анализа.
Атаки были узко таргетированными и включали в себя использование закрытой информации, а исходный JavaScript пытался вызвать точку останова отладчика, если он анализировался, обнаруживал задержку, а затем прерывал атаку, перенаправляя ее на безопасный веб-сайт.
Такие атаки сложно обнаружить, поскольку пустое пространство снижает вероятность того, что даже сканеры безопасности пометят их как вредоносные.
Поскольку полезная нагрузка - это всего лишь свойство объекта, ее можно внедрить в легитимные скрипты, не вызывая подозрений; кроме того, весь процесс кодирования прост в реализации и не требует дополнительных знаний.
Juniper утверждает, что два домена, использованных в этой кампании, ранее были связаны с фишинговым набором Tycoon 2FA, а значит в скором времени этот метод обфускации будет принят на вооружение более широким кругом злоумышленников.
Исследователи из Лаборатории Касперского раскрыли масштабную вредоносную кампанию по майнингу StaryDobry, нацеленную на геймеров по всему миру и задействовала троянизированные пиратские версии таких игр, как Garry's Mod, BeamNG.drive и Dyson Sphere Program.
Причем игры имеют самые высокие рейтинги и сотни тысяч исключительно положительных отзывов в Steam, что делает их первоклассными целями для вредоносной деятельности.
По данным ЛК, кампания началась в конце декабря 2024 года и закончилась 27 января 2025 года, затронув пользователей из Германии, России, Бразилии, Беларуси и Казахстана.
Злоумышленники распространяли зараженные установщики игр через торрент-файлы в сентябре 2024 года, за несколько месяцев до этого, и активировали полезные нагрузки в период праздничных дней, что снижало вероятность обнаружения.
StaryDobry включала многоступенчатую цепочку заражения, кульминацией которой выступал криптомайнер XMRig.
Пользователи скачивали троянизированные установщики игр с торрент-сайтов, которые выглядели вполне обычно, включая при этом как обещанную игру, так и вредоносный код.
Во время установки вредоносный файл unrar.dll распаковывается и запускается в фоновом режиме.
Перед продолжением он проверял, запущен ли он на виртуальной машине, в песочнице или в отладчике.
Вредоносная ПО демонстрирует крайне скрытное поведение и оперативно завершает работу при обнаружении каких-либо средств защиты, возможно, вероятно, чтобы не портить репутации торрента.
Затем вредоносная ПО регистрируется с помощью regsvr32.exe для сохранения и собирает подробную системную информацию, включая версию ОС, страну, ЦП, ОЗУ и сведения о графическом процессоре, отправляя ее на C2 по адресу pinokino[.]fun.
В конечном итоге дроппер расшифровывает и устанавливает загрузчик вредоносного ПО MTX64.exe в системный каталог.
Загрузчик выдает себя за системный файл Windows, реализует подмену ресурсов, обеспечивая легитимность, создает запланированную задачу, которая сохраняется между перезагрузками.
Если хост-машина имеет не менее восьми ядер ЦП, она загружает и запускает XMRig.
Майнер, используемый в StaryDobry, представляет собой модифицированную версию майнера Monero, которая создает свою внутреннюю конфигурацию перед выполнением и не имеет доступа к аргументам.
Майнер постоянно поддерживает отдельный поток, отслеживая работающие на зараженной машине инструменты безопасности, и в случае обнаружения каких-либо инструментов мониторинга процессов отключается.
Задействуемый в кампании XMRig подключается к частным серверам майнинга, что затрудняет отслеживание доходов.
Исследователи Лаборатории Касперского не смогли связать атаки с каким-либо известным актором, но отмечает, что, скорее всего, за атаками стоит русскоязычный злоумышленник.
StaryDobry представляет собой одноразовую кампанию, внедряя майнерский имплант через сложную цепочку выполнения, ориентированную на любителей халявы с мощными игровыми машинами.
Тем не менее такой подход гарантировал злоумышленникам максимализацию прибыли.
Технические подробности и IoCs - отчете.
Исследователи Trend Micro сообщают о задействовании китайской APT Mustang Panda утилиты Microsoft Application Virtualization Injector в качестве LOLBIN с целью обхода антивирусного ПО ESET.
Компания отслеживает группу угроз как Earth Preta, насчитывая с 2022 года более 200 жертв ее APT-атак, в числе которых госучреждения Азиатско-Тихоокеанского региона.
Хакеры орудуют посредством фишинговых писем, используя в том числе скрытые бэкдоры и реализуя цепочки атак на основе червей.
Обнаруженные Trend Micro письма включали вредоносное вложение, содержащее файл-дроппер (IRSetup.exe) - установщик Setup Factory.
После его запуска, он размещает несколько файлов в папку C:\ProgramData\session, включая легитимные файлы, компоненты вредоносного ПО и поддельный PDF-файл, который используется в качестве отвлекающего маневра.
При обнаружении антивирусных продуктов ESET (ekrn.exe или egui.exe) на зараженном компьютере Mustang Panda применяет уникальный механизм обхода, используя инструменты, предустановленные в Windows 10 и более поздних версиях.
Злоупотребление начинается с Microsoft Application Virtualization Injector (MAVInject.exe), легального системного инструмента Windows, позволяющего операционной системе внедрять код в запущенные процессы.
Преимущественно он используется в Application Virtualization (App-V) от Microsoft для запуска виртуализированных приложений, но разработчики и администраторы также могут использовать его для выполнения DLL-библиотек внутри другого процесса в рамках тестирования или автоматизации.
В 2022 году исследователи FourCore сообщали, что MAVInject.exe может использоваться как LOLBIN, предупреждая, что исполняемый файл следует заблокировать на устройствах, не использующих APP-v.
Mustang Panda использует исполняемый файл для внедрения вредоносных данных в waitfor.exe - легальную утилиту Windows, которая предустановлена в операционных системах.
Поскольку это доверенный системный процесс, внедряемое в него вредоносное ПО фигурирует как обычный процесс Windows, поэтому ESET и, возможно, другие антивирусные инструменты не детектируют активность вредоносного ПО.
Вредоносное ПО, внедренное в waitfor.exe, представляет собой модифицированную версию бэкдора TONESHELL, которая скрывается внутри файла DLL (EACore.dll).
После запуска вредоносная ПО подключается к своему командному серверу по адресу militarytc[.]com:443 и отправляет системную информацию и идентификатор жертвы.
Вредоносная ПО также предоставляет злоумышленникам обратную оболочку для удаленного выполнения команд и файловых операций.
Trend Micro со средней степенью уверенности полагает, что этот новый вариант представляет собой специализированный инструмент Mustang Panda, основываясь на его функциональных характеристиках и ранее задокументированных механизмах расшифровки пакетов.
Безусловно, новый отчет Trend Micro мягко сказать не порадовал ESET, которая напрочь его раскритиковала, заявляя полное несогласие с тем, что атака эффективно обходит антивирус компании.
По их данным, раскрытая техника не является новой, а технологии ESET защищают от нее уже много лет. При этом обнаруженный артефакт они приписывают связанной с Китаем APT-группе CeranaKeeper.
Но больше всего в ESET обиделись на коллег за то, что с ними не согласовали отчет до его публикации.
Глядя на эти дебаты, на ум напрашивается пост про ведущие мировые инфосек компании.
Разработчики OpenSSH выпустили обновления с исправлениями двух уязвимостей MitM и DoS, причем одна из них появилась еще более десяти лет назад.
MiTM-уязвимость отслеживается как CVE-2025-26465 и появилась еще в декабре 2014 года с выпуском OpenSSH 6.8p1, оставаясь незамеченной более десятилетия.
Уязвимость затрагивает клиенты OpenSSH, если включена опция VerifyHostKeyDNS.
Причем независимо от того, установлена ли опция в значение «да» или «спросить» (по умолчанию — «нет»), не требует взаимодействия с пользователем и не зависит от наличия записи ресурса SSHFP в DNS.
При включении этой функции из-за неправильной обработки ошибок злоумышленник может обмануть клиента, заставив его принять ключ подставного сервера, принудительно вызвав ошибку нехватки памяти во время проверки.
Перехватив SSH-соединение и предоставив большой SSH-ключ с избыточными расширениями сертификатов, злоумышленник может исчерпать память клиента, обойти проверку хоста и перехватить сеанс, чтобы украсть учетные данные, внедрить команды и извлечь данные.
Несмотря на то, что VerifyHostKeyDNS по умолчанию отключена в OpenSSH, в FreeBSD с 2013 по 2023 год она была по умолчанию включена, что сделало многие системы уязвимыми для таких атак.
Вторая CVE-2025-26466 описывается как отказ в обслуживании до аутентификации и появилась в OpenSSH 9.5p1, выпущенной в августе 2023 года.
Проблема возникает из-за неограниченного выделения памяти во время обмена ключами, что приводит к неконтролируемому потреблению ресурсов.
Злоумышленник может многократно отправлять небольшие 16-байтовые ping-сообщения, что заставляет OpenSSH буферизировать 256-байтовые ответы без каких-либо ограничений.
Во время обмена ключами эти ответы хранятся неограниченное время, что приводит к чрезмерному потреблению памяти и перегрузке ЦП, что может привести к сбоям в работе системы.
Последствия эксплуатации уязвимости CVE-2025-26466 могут быть не такими серьезными, как у первой уязвимости, но тот факт, что ее можно эксплуатировать до аутентификации, несет высокий риск сбоя.
Команда OpenSSH выкатила 9.9p2, которая устраняет обе уязвимости, рекомендуя перейти на нее как можно скорее, а также отключать VerifyHostKeyDNS, если в этом нет крайней необходимости.
Что касается проблемы DoS, администраторам рекомендуется ввести строгие ограничения на скорость подключения и отслеживать трафик SSH на предмет аномалий.
Более подробная техническая информация по двум недостаткам от Qualys - здесь.
Cybernews раскрывает подробности масштабной утечки, в результате которой в сети оказались миллионы записей из латвийской системы Lietvaris, которая задействована правительством в работе по управлению документами граждан.
Традиционно огромные объемы общедоступных данных были обнаружены в ноябре прошлого года в незащищенном кластере Elasticsearch, который после анализа и обработки был приписан платформе Lietvaris.
Раскрытый экземпляр содержал ошеломляющие 25 миллионов записей, если учитывать, что население Латвии составляет не более двух миллионов человек.
Так что можно полагать, одной утечкой всю страну слили на 13 раз.
Утечка включала полные установочные данные на лиц, номера национальных удостоверений личности и адреса регистрации.
Исследователи связались с разработчиками Lietvaris из латвийской компании ZZ Dats, после чего обнаруженный сегмент был закрыт и начато внутреннее расследование для выяснения всех обстоятельств инцидента.
Конечно, пока нет никаких признаков того, что кто-либо из злоумышленников успел сдампить данные Lietvaris, но вероятность этого достаточно велика, ведь киберподполье не хуже исследователей шерстит глобальную сеть в поисках таких уязвимых серверов и конфиденциальных данных.
Но будем посмотреть.
Malware analysis. Практический курс по анализу вредоносного ПО
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
😈 Экскурсия по DarkNet: площадки, клиенты, витрина товаров и цены.
• За годы своего развития даркнет превратился в высокоорганизованный рынок киберпреступности, на котором и опытные злоумышленники, и новички могут найти всё, что нужно для проведения успешных кибератак. Теневые площадки живут по законам легальных рынков: привлекают пользователей с помощью маркетинговых инструментов, работают с лояльностью клиентов, обеспечивают безопасность сделок и своих ресурсов. Рынок перегрет, предложений много, но и спрос высокий. Злоумышленники готовы платить немалые деньги за товары и услуги, зная, что в случае успеха могут многократно окупить затраты.
• Недавно позитивы выкатили очень объемное исследование, в котором изучили стоимость предоставляемых товаров и услуг в даркнете, и первоначальные затраты преступников для проведения атаки. Кроме того, рассмотрели ключевые аспекты теневой экономики: экосистему даркнета, мотивацию его участников, принципы регулирования сделок, конкуренцию и способы привлечения клиентов.
• В общей сложности было проанализировано 40 источников, среди которых крупнейшие теневые площадки (форумы, маркетплейсы) и телеграм-каналы на разных языках с различной тематической направленностью. Рассмотрены более 20 000 сообщений, в которых обсуждались вредоносное ПО, уязвимости и эксплойты, доступы к корпоративным сетям и киберпреступные услуги: взлом ресурсов, перенаправление трафика, распространение ВПО, кардинг, инфраструктура и DDoS-атаки.
➡️ https://www.ptsecurity.com/ru-ru/research/analytics/rynok-kiberprestupnosti
• Исследование будет полезно специалистам по информационной безопасности, аналитикам угроз (threat intelligence), а также организациям и частным лицам, интересующимися актуальным состоянием современного рынка киберпреступности.
• Погружение в «темную сеть»:
➡Аудитория подполья: мотивация и цели;
➡Дарквеб как источник прибыли.
• Теневая экосистема:
➡Форумы;
➡Маркеты;
➡Telegram.
• Теневой бизнес как зеркало легального мира:
➡Репутация и отношения с клиентами;
➡Маркетинг;
➡Агрессивные методы конкуренции в подполье;
➡Dark Bounty;
➡Мошенничество и гарантии сделок;
➡Фиксированные цены vs аукционы.
• Оплата и валюты «в тени»:
➡Отмывание доходов от киберпреступлений.
• Экономика «в тени»:
➡Вредоносное ПО;
➡Уязвимости и эксплойты;
➡Доступы;
➡Услуги.
• Стоимость атаки.
• Развитие теневого рынка:
➡«Рынок шифровальщиков за 100»;
➡Неуловимость и кастомизация ВПО;
➡Демоверсия как инструмент привлечения клиентов;
➡Новый виток развития теневой экономики;
➡Магазин журналов внутри администраторской панели стилеров.
• Что ожидать в будущем.
• Заключение.
S.E. ▪️ infosec.work ▪️ VT
Когда молодой и перспективный CISO решил кардинально модернизировать систему кибербезопасности.
Читать полностью…
Исследователи Brutecat обнаружили две уязвимости, при объединении которых злоумышленник может раскрыть адреса электронной почты аккаунтов YouTube.
Как оказалось, API YouTube и Pixel Recorder можно задействовать для извлечения идентификаторов Google Gaia пользователей, которые впоследствии позволяют их преобразовать в адреса электронной почты.
Первая часть цепочки атак, которую можно было эксплуатировать в течение нескольких месяцев, вскрылась после изучения API Google People, в котором функция «блокировки» в масштабах всей сети Google требует замаскированного идентификатора Gaia и отображаемого имени.
Gaia ID - это уникальный внутренний идентификатор, который Google использует для управления учетными записями в своей сети сайтов и служб.
При этом он используется только во внутреннем обмене данными между системами Google и не раскрывается публично.
Экспериментируя с функцией блокировки на YouTube, BruteCat обнаружили, что при попытке заблокировать кого-либо YouTube раскрывает замаскированный идентификатор Gaia целевого лица в ответе на запрос API /youtube/v1/live_chat/get_item_context_menu.
Ответ включал данные в кодировке base64, которые после декодирования содержали идентификатор Gaia целевого пользователя.
Причем простое нажатие на меню из трех точек в чате запускало фоновый запрос к API YouTube, позволяя получать доступ к идентификатору без необходимости блокировать.
Изменив вызов API, исследователи смогли извлекать идентификатор Gaia любого канала YouTube, включая те, которые пытались сохранить анонимность.
Затем BruteCat предстояло отыскать способы конвертации Gaia ID в адрес электронной почты.
Однако пользоволяющие это сделать API устарели или больше не работали, поэтому BruteCat прошерстлили все устаревшие сервисы гугла, которые потенциально все еще могут быть использованы злоумышленниками.
В ходе экспериментов исследователи выяснили, что Pixel Recorder имеет веб-API, который позволял преобразовывать идентификатор в адрес электронной почты при обмене записью.
Таким образом, после получения Gaia ID пользователя YouTube можно было задействовать функцию обмена данными Pixel Recorder, которая возвращала связанный с идентификатором адрес почты, что потенциально ставило под угрозу личность миллионов пользователей YouTube.
Исследователи сообщили об уязвимости в Google еще 24 сентября 2024 года, но окончательно она была исправлена лишь на прошлой неделе, 9 февраля 2025 года.
Дело в том, что Google изначально признала уязвимость дубликатом ранее отслеживаемой ошибки, назначив вознаграждение в размере $3133.
Однако после демонстрации дополнительного компонента цепочки атак в виде Pixel Recorder, в Google моментально переобулись, увеличили вознаграждение до $10633 и отметили высокую вероятность того, что ошибка может быть использована в реальных условиях.
К настоящему времени Google внесла все необходимые исправления и заверила об отсутствии каких-либо признаков активной эксплуатации этой уязвимости (а товарищу майору выдала новые инструкции по деанонимизаци интересующих аккаунтов).
Исследователи Rapid7 сообщают о новой 0-day PostgreSQL, которая, по всей видимости, стала критически важным компонентом в цепочке атак на BeyondTrust Privileged Remote Access и Remote Support, которые позволили китайским хакерам взломать в конце прошлого года Минфин США.
Уязвимость отслеживается как CVE-2025-1094 (оценка CVSS: 8,1) и затрагивает интерактивный терминал PostgreSQL psql и позволяет операторам SQL, содержащим ненадежные, но правильно экранированные входные данные, вызывать SQL-инъекцию.
Найти ошибку удалось в рамках расследования CVE-2024-12356, недавно исправленной уязвимости безопасности в ПО BeyondTrust, которая позволяет выполнять удаленный код без аутентификации.
Исследователи Rapid7 полагают, что в каждом из рассмотренных сценариев эксплойт BeyondTrust (CVE-2024-12356) требовал задействования этой уязвимости PostgreSQL для обеспечения удаленного выполнения кода.
Несмотря на то, что BeyondTrust выпустила исправления для своих уязвимостей, включая CVE-2024-12356 и отдельную CVE-2024-12686, базовая уязвимость PostgreSQL остается важной точкой опоры для злоумышленников.
По данным Rapid7, ошибка обусловлена тем, как psql обрабатывает недействительные последовательности байтов из неправильно сформированных символов UTF-8.
Это открывает возможность для сценария, в котором злоумышленник может воспользоваться SQL-инъекцией, используя команду быстрого доступа «\!», которая позволяет выполнить команду оболочки.
Злоумышленник может использовать CVE-2025-1094 для выполнения этой метакоманды, тем самым контролируя выполняемую команду оболочки операционной системы.
В качестве альтернативы злоумышленник, который может сгенерировать SQL-инъекцию через CVE-2025-1094, может выполнить произвольные SQL-операторы, контролируемые злоумышленником.
В ходе тестирования исследователи пришли к выводу, что созданные недействительные последовательности могут преждевременно завершить команду SQL, позволяя злоумышленникам внедрять дополнительные операторы и даже запускать выполнение оболочки через метакоманду psql.
По результатам проведенных тестов исследователям удалось внедрить команду, которая выполнила команду id в системе, что в итоге подтвердило возможность полной компрометации системы.
Разработчики PostgreSQL выпустили срочный патч и предупреждают, что все версии до PostgreSQL 17.3, 16.7, 15.11, 14.16 и 13.19 уязвимы.
При этом поставщик отказался признавать эксплуатацию 0-day, но тем нее менее приписал открытие Rapid7.
Rapid7 также представила модуль Metasploit, который позволяет идентифицировать уязвимые системы BeyondTrust и автоматизировать доставку полезной нагрузки.
Что же касается, самого инцидента - помимо упоминания в качестве «крупного инцидента кибербезопасности», других подробностей и оценки потенциального ущерба власти США не раскрывают.
И вряд ли раскроют, но будем посмотреть.