39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Дорогие подписчики!
Желаем всем добра, здоровья и благополучия!
Да прибудет с вами праведный инфосек!
Продолжаем обозревать кибертрендами уходящего года и прогнозы на будущее от Positive Technologies: новый подгон сделали исследователи из экспертного центра безопасности.
Из главного:
- Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее
Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура.
Наибольшее количество обращений поступало от ИТ-компаний и госорганизаций: на их долю пришлось по 24% атак.
Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Самая продолжительная кибератака длилась 3,5 года, а самая короткая - всего сутки.
В 43% компаний была выявлена деятельность известных APT, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов.
В 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%.
Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).
- Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня
В рамках исследований и киберразведки Позитивы в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее.
Если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.
Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор.
Данные по числу уведомлений об инцидентах (данные по России) составили: всего атак - 168 (в 2024 - 45), в том числе известных APT-группировок - 135 (21).
Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок.
Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas, эти группировки в основном нацелены на кражу или уничтожение данных.
Кроме того, продолжился рост числа целевых атак. Атакующие вновь начали использовать 0-day в атаках против российских компаний.
В частности, Team46 применила многоступенчатую уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR.
Отдельно можно выделить появление нового типа кейлоггера - программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.
- Тенденции ВПО в опенсорсе PyPI и NPM
В экосистеме PyPI в 2025 году зафиксирован значительный рост, количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).
Среди ключевых трендов - активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей.
Основными целями остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.
В NPM в 2025 году - наоборот, снизилось почти в 5 раз по сравнению с предыдущим годом.
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту.
Другие подробности и тренды - в отчете.
Исследователи из Лаборатории Касперского сообщают о кампании шпионажа с использованием уязвимостей высокого уровня, в ходе которой китайская APT отключала DNS-запросы для доставки бэкдора MgBot жертвам в Турции, Китае и Индии.
Активность фиксировалась в период с ноября 2022 по ноябрь 2024 и была связана с Evasive Panda (Bronze Highland, Daggerfly и StormBamboo).
Группа активна с 2012 года и в основном реализует AitM-атаки в отношении конкретных жертв, полагаясь на размещение загрузчиков в определенных местах и хранение зашифрованных частей вредоносного ПО на серверах, которые расшифровывались в ответ на DNS-запросы с конкретных сайтов.
В атаках, замеченных ЛК, использовались приманки под обновления стороннего ПО, включая SohuVA, сервис потокового видео от китайской Sohu, которые распространялись с «p2p.hd.sohu.com[.]cn», что указывает на DNS poisoning.
Исследователям также удалось выявить другие кампании, в которых Evasive Panda задействовала фейковые обновления для iQIYI Video от Baidu, а также IObit Smart Defrag и Tencent QQ.
Атака открывает путь для развертывания начального загрузчика, запускающего шеллкод, который, в свою очередь, загружает зашифрованный шеллкод второго этапа в виде файла изображения PNG, опять же посредством DNS poisoning с легитимного веб-сайта dictionary[.]com.
Evasive Panda манипулировала IP-адресом, связанным с dictionary[.]com, в результате чего системы жертв перенаправляли трафик на сайт по IP-адресу, контролируемому злоумышленником, на основе их местоположения и провайдера.
В настоящее время неизвестно, каким образом злоумышленник злоупотребляет DNS-ответами.
Предполагаются два сценария: либо провайдеры, используемые жертвами, были выборочно скомпрометированы для установки какого-либо сетевого имплантата на периферийные устройства, либо маршрутизатор или межсетевой экран, используемые жертвами, были взломаны с этой целью.
HTTP-запрос для получения шеллкода второго этапа также содержит текущий номер версии Windows для более четкого нацеливания и адаптирования стратегии в зависимости от ОС.
Стоит отметить, что Evasive Panda ранее использовала атаки типа watering hole для распространения вредоносного ПО для Apple macOS под названием MACMA.
Точная природа вредоносного ПО второго этапа неясна, но анализ ЛК показывает, что шеллкод первого этапа расшифровывает и запускает полученную полезную нагрузку.
Предполагается, что злоумышленники генерируют уникальный зашифрованный второй файл шеллкода для каждой жертвы.
Ключевым аспектом операций является использование вторичного загрузчика (libpython2.4.dll), который использует переименованную, более старую версию python.exe, загружаемую из сторонних источников.
После запуска он загружает и расшифровывает вредоносное ПО следующего этапа, считывая содержимое файла с именем C:\ProgramData\Microsoft\eHome\perf.dat. Он содержит расшифрованную полезную нагрузку, загруженную на предыдущем шаге.
По всей видимости, злоумышленник использовал сложный процесс для получения этого этапа из ресурса, где он изначально был зашифрован с помощью XOR-шифрования.
Затем злоумышленник расшифровал этот этап с помощью XOR-шифрования, а впоследствии зашифровал и сохранил его в файл perf.dat, используя собственную гибридную архитектуру интерфейса программирования приложений для защиты данных (DPAPI) от Microsoft и RC5.
Использование собственного алгоритма шифрования - это попытка усложнить анализ, гарантирующая, что зашифрованные данные могут быть расшифрованы только в той системе, где шифрование было изначально выполнено.
Расшифрованный код представляет собой вариант MgBot, внедряемый вторичным загрузчиком в svchost.exe.
Модульный имплант MgBot способен собирать файлы, данные из буфера и браузеров, логировать нажатия клавиш, записывать аудио.
Как отмечает ЛК, Evasive Panda в очередной раз показала передовые возможности, обходя меры безопасности с помощью новых методов и инструментов, сохраняя при этом длительное присутствие в целевых системах.
В киберподполье засветились новые новогодние подарки: предположительно, взломана база данных Condé Nast и слита база данных WIRED с более 2,3 млн. записей, ожидается слив еще до 40 млн. записей в отношении других ресурсов Condé Nast.
20 декабря некто Lovely вывалил в даркнет базу данных, предложив доступ к ней за 2,30 доллара и обвинив Condé Nast в игнорировании сообщений об уязвимостях. Якобы почти месяц хакер пытался убедить администраторов устранить уязвимости на своих сайтах.
Но, терпение закончилось (или не договорились), так что пришлось переходить к методу кнута.
Lovely также поделился другими украденными данными по изданиям Condé Nast, включая, судя по аббревиатурам, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com и Condé Nast Traveler.
Condé Nast пока не подтвердила факт взлома, но анализ утечки указывает на то, что ряд записей принадлежат подлинным подписчикам WIRED.
Набор данных содержит 2 366 576 записей и 2 366 574 уникальных адреса электронной почты с временными метками от 26 апреля 1996 года до 9 сентября 2025 года.
Каждая запись содержит уникальный внутренний идентификатор подписчика, адрес электронной почты и другие регданные, такие как имя и фамилия, номер телефона, физический адрес, пол и дата рождения.
В записях также содержатся отметки времени создания и обновления учетной записи, информация о последней сессии, а также поля, специфичные для WIRED, такие как отображаемое имя пользователя и даты создания и обновления учетной записи.
Приблизительно 284 196 записей (12,01%) содержат как имя, так и фамилию, 194 361 запись (8,21%) содержит физический адрес, 67 223 записи (2,84%) содержат дату рождения, и 32 438 записей (1,37%) содержат номер телефона.
Значительно меньшая часть включает более полные профили, содержащие 1529 записей (0,06%), в которых указаны полное имя, дата рождения, номер телефона, адрес и пол.
Исследователи Hudson Rock также подтвердили подлинность записей пользователей wired.com, используя журналы вредоносного ПО, содержащие ранее скомпрометированные учетные данные.
Примечательно, что до утечки Lovely позиционировал себя исследователем и даже обращался к Dissent Doe из DataBreaches.net за помощью в ответственном раскрытии уязвимостей изданию Condé Nast.
Согласно данным DataBreaches, в конце ноября этот человек действительно обратился к ним за помощью в установлении контакта со службой безопасности Condé Nast по поводу уязвимостей, которые, предположительно, позволяли злоумышленникам просматривать и изменять информацию об учетных записях пользователей.
Первоначально Lovely заявил, что скачал лишь небольшое количество записей, чтобы предоставить доказательства изданию Condé Nast, включая записи, которые, как подтверждено, принадлежат DataBreaches.net и сотруднику WIRED.
Однако, не получив ответа от Condé Nast, Lovely позже сообщил Dissent Doe, что скачал всю базу данных и угрожал ее опубликовать.
В DataBreaches расценили это как игру и пришли к выводу, что злоумышленник действовал, намереваясь слить украденные данные вместо того, чтобы ответственно раскрыть информацию.
В Condé Nast пока отмалчиваются и не дают комментариев. По всей видимости, подарки им не зашли.
Под конец года подкатили не очень утешительные новости: cерьезная уязвимость MongoDB под названием MongoBleed (CVE-2025-14847) активно эксплуатируется и затрагивает более 80 000 потенциально уязвимых серверов в открытом доступе в сети Интернет.
Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.
MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.
Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.
Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.
Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.
Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.
При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.
В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.
Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.
Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.
В России - почти 2000.
Влияние на всю облачную среду оценивается как значительное.
В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.
При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.
Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.
MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).
Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.
Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.
В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.
Обходного пути для этой уязвимости нет.
Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.
К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).
Последние обновления по Trust Wallet.
Компания официально подтвердила, что в результате взлома обновления для расширения Chrome, выпущенного 24 декабря, было украдено 7 миллионов долларов.
Похищенные средства будут компенсированы.
Тем временем, расследование продолжается, еще не ясно, как хакерам удалось выпустить новую вредоносную версию.
Будем следить.
Исследователи из Лаборатории Касперского продолжают анализировать ландшафт угроз для систем промышленной автоматизации, в новом отчете - данные за третий квартал 2025 года.
В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, по сравнению с предыдущим кварталом уменьшилась на 0,4 п.п. и составила 20,1%, а это минимальный показатель за исследуемый период.
В регионах доля компьютеров АСУ, на которых в третьем квартале 2025 года были заблокированы вредоносные объекты, варьируется от 9,2% в Северной Европе до 27,4% в Африке.
Показатель за квартал увеличился в пяти регионах, больше всего - в Восточной Азии, где был отмечен резкий рост доли компьютеров АСУ, связанный с локальным распространением вредоносных скриптов в OT-инфраструктуре организаций в сфере инжиниринга и интеграции АСУ.
Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавили биометрические системы.
В четырех из семи исследуемых отраслей доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, в третьем квартале 2025 года увеличилась.
Больше всего показатель вырос в следующих отраслях инжиниринга и интеграторов АСУ, а также в производстве.
В третьем квартале 2025 года защитные решения Лаборатории Касперского позволили заблокировать в системах промышленной автоматизации вредоносное ПО из 11 356 семейств, относящихся к различным категориям.
В третьем квартале 2025 года доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных, уменьшилась до 4,01%. Это наименьший квартальный показатель с начала 2022 года.
Доля компьютеров АСУ, на которых были обнаружены вредоносные документы, после снижения в конце 2024 года растет третий квартал подряд. В третьем квартале 2025 года показатель составил 1,98%.
Показатель вырос в четырех регионах - в Южной Америке, Восточной Азии, Юго-Восточной Азии и в Австралии и Новой Зеландии.
Наибольший рост отмечен в Южной Америке - в связи с масштабной фишинговой кампанией, в ходе которой использовались новые эксплойты для CVE-2017-11882 в Microsoft Office Equation Editor для доставки на компьютеры жертв различного шпионского ПО.
Примечательно, что в этой волне фишинга злоумышленники использовали локализованные письма на испанском языке, содержание которых похоже на деловую переписку.
Выросла и доля компьютеров АСУ, на которых были заблокированы вредоносные скрипты и фишинговые страницы, — в третьем квартале 2025 года показатель составил 6,79%.
В целом, третьем квартале 2025 года показатели всех источников угроз, включая интернет, почтовые клиенты и съемные носители, в среднем по миру уменьшились.
Доля компьютеров АСУ, на которых были заблокированы шпионские ПО и ransopmware, выросла и составила: 4,04% (рост 0,20 п.п.) и 0,17% (рост 0,03 п.п.) соответственно. А вот показатель майнеров уменьшился.
При этом доля компьютеров АСУ, на которых были заблокированы черви и вирусы, увеличилась до 1,26% (на 0,04 п. п.) и 1,40% (на 0,11 п. п.) соответственно, также незначительно увеличилась доля компьютеров АСУ с вредоносным ПО для AutoCAD - до 0,30% (на 0,01 п. п.).
Более подробная инфографика и цифры - в отчете.
Серьезный инцидент затронул пользователей расширения Trust Wallet для Chrome, некоторые из которых после установки скомпрометированных обновлений лишились своих криптосбережений, а потенциальный ущерб оценивается в более чем 6 миллионов долларов.
Trust Wallet - это широко используемый криптокошелек, позволяющий пользователям хранить, управлять и взаимодействовать с цифровыми активами в различных блокчейнах.
Он доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями (dApps).
Первые сообщения жертв криптоограблений начали поступать 24 декабря.
Пользователи жаловались на то, что деньги исчезают из их расширений для браузера сразу после простой авторизации.
Причем Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря, незадолго до того, как начали появляться сообщения об инцидентах с выводом средств из кошелька.
По мере того, как росло количество жалоб и предупреждений, в Chrome Web Store незаметно была выпущена версия 2.69 расширения Trust Wallet для Chrome.
В общем, спустя несколько часов после инцидента исследователи обнаружили подозрительный код в версии 2.68.0 расширения Trust Wallet для Chrome.
Пользователи мобильных устройств и всех остальных версий расширений для браузеров, как оказалось, остались не затронуты.
По данным Akinator, подозрительная логика содержится в файле JavaScript под названием 4482.js, который содержит плотно упакованный код, предназначенный для передачи конфиденциальных данных кошелька на внешний сервер.
Мимикрируя под аналитику, он отслеживает активность кошелька и срабатывает при импорте сид-фразы. Данные были отправлены на metrics-trustwallet[.]com, сам домен был зарегистрирован несколько дней назад и теперь недоступен.
Наличие недавно зарегистрированной внешней точки доступа к "метрикам" внутри расширения браузерного кошелька является крайне необычным, учитывая привилегированный доступ расширения к операциям кошелька и конфиденциальным данным.
Как впоследствии подтвердили исследователи, именно эта конечная точка и была связана с утечкой секретной информации.
Вчера вечером Trust Wallet, в свою очередь, подтвердила инцидент безопасности, отмечая затронутую версию 2.68.0 расширения для Chrome, посоветовав пользователям немедленно обновиться до версии 2.69 для решения проблемы.
Тем не менее, в Trust Wallet пока не ответили, будут ли пострадавшим пользователям выплачены компенсации или предложены какие-то варианты возмещения ущерба.
Причем в ходе развития этого инцидента параллельно раскручивалась другая фишинговая кампания, подстроенная под кейс с вредоносным расширением Trust Wallet.
Ряд аккаунтв в X [1, 2] перенаправляли обеспокоенных пользователей на веб-сайт: fix-trustwallet[.]com, который очень точно имитировал бренд Trust Wallet и якобы включал исправления для недавней «уязвимости безопасности».
Однако после нажатия кнопки «Обновить» пользователям отображалась всплывающая форма с запросом фразы восстановления кошелька.
Данные WHOIS указывают на то, что домен fix-trustwallet[.]com был зарегистрирован ранее в этом месяце у того же регистратора, что и metrics-trustwallet[.]com.
Веротяно, оба домена могут быть связаны и потенциально управляться одним и тем же злоумышленником или группой, стоящей за более масштабной атакой.
Но будем посмотреть.
Исследователи из Лаборатории Касперского под конец года не на шутку разошлись и, пожалуй, активнее всех делятся новыми исследованиями.
Среди последних отчетов специалистам по тестированию будет интересно взглянуть на разбор ранее не описанного DCOM-объекта, который может использоваться как для выполнения команд, так и для потенциального закрепления в системе.
Ведь горизонтальное перемещение в сети становится все более трудной задачей, особенно в хорошо защищенных средах, а одна из распространенных техник перемещения полагается на DCOM-объекты.
За прошедшие годы было обнаружено множество разных DCOM-объектов. Некоторые опираются на системные компоненты Windows, другие зависят от стороннего ПО, например Microsoft Office, а некоторые объекты и вовсе являются недокументированными.
Новая задокументированная ЛК техника обращается к известным методам получения первоначального доступа и закрепления в системе через элементы панели управления.
Изменение значений реестра для регистрации вредоносных CPL-файлов - плохая практика с точки зрения этики red teaming.
Однако апплеты панели управления могут быть зарегистрированы в разных ключах реестра, что оставляет потенциальные возможности для эксплуатации.
Другое исследование позволяет комплексно понять, что происходит с украденными данными после фишинговой атаки.
Обычно фишинговая атака заключается в том, что пользователь переходит по мошеннической ссылке и вводит свои учетные данные на мошенническом ресурсе.
Но кража информации - это только начало.
В тот момент, когда конфиденциальные сведения попадают в руки злоумышленников, они превращаются в товар и отправляются на конвейер теневого рынка.
Собственно, в ЛК проследили путь украденных данных, начиная от их сбора через различные инструменты, такие как Telegram-боты и продвинутые панели управления, и заканчивая продажей и последующим многоразовым использованием в новых атаках.
Кроме того, исследователи обратили внимание на то, как однажды утекшие логин и пароль становятся частью объемного цифрового досье и почему злоумышленники могут использовать даже старые утечки для целевых атак спустя годы после компрометации данных.
И, наконец, оценка эффективности использования SIEM.
Как многим известно, SIEM - довольно сложная система, предоставляющая широкие и гибкие возможности по детектированию угроз.
В силу сложности эффективность ее работы сильно зависит от того, как она настроена и какие источники к ней подключены.
Однократной настройки SIEM при внедрении недостаточно: с течением времени меняется как инфраструктура организации, так и методы злоумышленников. Для эффективной работы, SIEM-система должна учитывать актуальное положение дел.
Ресерчеры ЛК в своей статье рассматривают типичные ошибки при эксплуатации SIEM, одновременно указавая, как их можно исправить. Для каждого случая также приводят способы самостоятельной проверки.
Материал основан на оценке эффективности Kaspersky Unified Monitoring and Analysis Platform (KUMA), соответственно, все конкретные примеры, команды и названия полей взяты из этого решения.
Однако, как отмечает в ЛК, методику проверки, выявленные проблемы и способы повышения эффективности системы несложно экстраполировать на любые другие SIEM.
👩💻 Docker Security.
• На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д. Рекомендую к изучению:
• Basic Docker Engine Security:
➡Secure Access to Docker Engine;
➡Security of Container Images;
➡Image Scanning;
➡Docker Image Signing.
• Containers Security Features:
➡Namespaces;
➡cgroups;
➡Capabilities;
➡Seccomp in Docker;
➡AppArmor in Docker.
• К слову, в канале есть еще тонна дополнительного материала по Docker:
➡Список вспомогательных приложений и скриптов для автоматической проверки Docker образов на уязвимости;
➡Docker с нуля: бесплатный курс от Select;
➡Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.;
➡Metarget: инструмент, который позволяет развернуть уязвимую версию Docker. Будет полезно пентестерам для получения практического опыта;
➡Secret Docker Commands: небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации;
➡Play with Docker: онлайн-сервис для практического знакомства с Docker;
➡Attacking Docker: хорошая статья, которая включает в себя описание актуальных методов атак на Docker, описание различных уязвимостей и неправильных конфигураций, слабых мест в различных компонентах и т.д.;
➡Docker Security: еще одно объемное руководство по безопасной настройке Docker.
S.E. ▪️ infosec.work ▪️ VT
Очень странные дела с ASUS Live Update: активно обсуждается уязвимость CVE-2025-59374 (CVSS 9,3), при этом некоторые заголовки в специализированных ИБ-изданиях указывают на недавнюю или продолжающуюся ее эксплуатацию.
При этом в пояснениях к CVE фигурирует задокументирована несколько лет назад атака на цепочку поставок программного продукта, снятого с поддержки (EoL).
В недавних публикациях по CVE-2025-59374 проблема была представлена как новый актуальный риск безопасности после включения в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
Однако при более внимательном изучении этого кейса становится ясно, что в реальности все гораздо сложнее.
Представленная в описании атака на цепочку поставок была обнаружена и задюокументована командой GReAT Лаборатории Касперского в 2018-2019 гг. и получила название Operation ShadowHammer.
Тогда в результате сложной APT-кампании на серверы Live Update в небольшое количество устройств был внедрен вредоносный код, а вредоносные модифицированные бинарные файлы выборочно доставлялись на узкую категорию целевых систем.
В общей сложности затронула более миллиона пользователей, загрузивших утилиту ASUS Live Update на свои компьютеры, в том числе более чем 57 000 пользователей решений ЛК.
Кроме того, исследователи ЛК также нашли взаимосвязи ShadowHammer с атакой на CCleaner и цепочку поставок ПО NetSarang в 2017 году.
Возвращаясь к пояснениям CVE основное уведомление от производителя, на которое дана ссылка в записи CVE, датируется 2019 годом.
Причем уведомление также содержит ссылку на раздел FAQ (этот) с датой последнего обновления: 06.12.2025 20:09.
Однако ссылка с номером 1018727 существовала еще в 2019 году, когда это уведомление было впервые опубликовано.
На самой странице FAQ отсутствует метаданные о времени первой публикации. Вместо этого, она просто была обновлена и отображает упомянутую выше дату 6 декабря.
Собственно, это временная страница ASUS, периодически обновляемая для предоставления информации о пути обновления, включая последнюю версию, которую пользователям следует использовать для утилиты Live Update от производителя.
Но на странице по-прежнему отображаются (более старые) инструкции по устранению неполадок со скриншотами, на которых указаны даты 2019 года.
Но странно еще и другое.
Согласно записи CVE, поддержка затронутого ASUS Live Update прекратилась в октябре 2021 года, и «ни одно из поддерживаемых в настоящее время устройств или продуктов не затронуто этой проблемой».
Однако обновленная страница часто задаваемых вопросов ASUS за этот месяц противоречит этой формулировке, подразумевая, что поддержка окончательно прекратилась 4 декабря 2025 года и последняя версия - 3.6.15.
В более ранних вариациях (2019-2022 гг.) этого раздела FAQ рекомендовалось обновиться до версии 3.6.8 (последней на тот момент).
Теперь же 3.6.15 теперь указана как «последняя версия». И, судя по всему, она существовала еще в марте 2024 года, если не раньше.
В общем, в совокупности все имеющиеся данные свидетельствуют о том, что присвоение статуса CVE отражает ретроспективную попытку классификации, формально документирующую известную атаку, которая произошла до присвоения статуса CVE, а не для устранения новой.
Но кто знает, может с того времени, что-то и продолжалось?
А кто знает - молчат: в ASUS и CISA по поводу всего этого от комментариев отказались.
Исследователи из Лаборатории Касперского сообщает о новой кампании, связанной с распространением вредоносной ПО WebRAT через репозитории GitHub, которые, как утверждается, содержат PoC-эксплойты для недавно обнаруженных уязвимостей.
Ранее распространявшийся через пиратское ПО и читы для таких игр, как Roblox, Counter Strike и Rust, WebRAT представляет собой бэкдор с возможностями кражи информации, появившийся в начале уходящего года.
Согласно майскому отчету Solar 4RAYS, WebRAT способен красть учетные данные для аккаунтов Steam, Discord и Telegram, а также данные криптокошельков, а также шпионить за жертвами через веб-камеры и делать скрины.
По меньшей мере с сентября операторы начали распространять вредоносное ПО через тщательно созданные репозитории, которые якобы включали эксплойты для ряда уязвимостей.
Среди заявленных следующие:
- CVE-2025-59295: уязвимость переполнения буфера в куче в компоненте Windows MSHTML/Internet Explorer, позволяющая выполнять произвольный код с помощью специально сформированных данных, передаваемых по сети.
- CVE-2025-10294: критическая уязвимость, позволяющая обойти систему аутентификации в плагине OwnID Passwordless Login для WordPress и входить в систему под любыми учетными данными, включая администраторов.
- CVE-2025-59230: уязвимость в службе диспетчера подключений удаленного доступа Windows (RasMan), которая позволяет прошедшему локальную аутентификацию злоумышленнику повысить свои привилегии до уровня SYSTEM в затронутых установках Windows.
В общей сложности исследователям ЛК удалось выявить 15 репозиториев, распространяющих WebRAT.
Во всех содержится общая ориентирующая информация об ошибке и доступных способах её устранения.
Судя по структуре изложения, в Лаборатории Касперского полагают, что текст был сгенерирован с помощью модели искусственного интеллекта.
Вредоносная ПО задействует несколько методов для обеспечения своего постоянного присутствия, включая модификацию реестра Windows, использование планировщика задач и внедрение в случайные системные каталоги.
Исследователи утверждают, что фейковые эксплойты распространяются в виде защищенного паролем ZIP-архива с пустым файлом, в имени которого содержится пароль, поврежденным DLL-файлом, выступающим в роли приманки, а также включает пакетный файл, используемый в цепочке выполнения, и основной дроппер под названием rasmanesc.exe.
По данным аналитиков, вредоносная ПО повышает привилегии, отключает Windows Defender, а затем загружает и запускает WebRAT по жестко закодированному URL-адресу.
При этом вариант WebRAT, использованный в этой кампании, ничем не отличается от ранее задокументированных образцов и обладает теми же возможностями, что были описаны в предыдущих отчетах.
Использование фейковых эксплойтов на GitHub для - уже не новая тактика, поскольку она широко использовалась в прошлом. Совсем недавно злоумышленники продвигали фейковый эксплойт LDAPNightmare на GitHub для распространения инфокрада.
Все вредоносные репозитории GitHub, связанные с WebRAT, по наводке ЛК были удалены.
Однако разработчикам и ИБ-специалистам следует быть осторожными, поскольку злоумышленники, вероятно, будут размещать новые приманки под разными именами издателей.
Накануне новогодних праздников подкатили подарочки от киберподполья, больше всего привалило румынам и французам.
В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.
Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.
Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.
При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.
Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.
По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.
Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.
Теперь с подачи хакеров эту досадную ошибку решили исправить.
В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.
Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.
La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.
Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.
Во многих почтовых отделениях наблюдались перебои.
В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.
Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.
В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.
В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.
Новый вредоносный дроппер для инфокрада MacSync обходит проверки Gatekeeper в macOS, о чем предупреждают исследователи Jamf.
Последняя версия инфокрада MacSync, нацеленная на системы macOS, реализуется через https://zkcall[.]net/download посредством приложения Swift с цифровой подписью и нотариальным заверением, располагаясь в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg.
Такой метод распространения представляет собой серьезную эволюцию по сравнению с предыдущими версиями, в которых использовались менее сложные методы, включая «перетаскивание в терминал» или ClickFix, устраняя необходимость во взаимодействии с терминалом.
На момент проведения анализа Jamf заявила, что последняя версия MacSync имела действительную цифровую подпись и могла обходить проверки Gatekeeper, системы безопасности macOS.
После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, исследователи подтвердили, что он имеет цифровую подпись и нотариальное заверение.
При этом подпись была связана с идентификатором команды разработчиков GNJLS3UYZ4.
Однако после прямого обращения в отношении сертификате в Apple, он был оперативно аннулирован.
Вредоносная ПО распространяется в системе через закодированный дроппер.
После расшифровки полезной нагрузки исследователи обнаружили типичные признаки MacSync Stealer.
Она использует ряд механизмов обхода защиты, включая увеличение размера файла DMG до 25,5 МБ путем внедрения фейковых PDF, удаление скриптов, используемых в цепочке выполнения, и проверку подключения к интернету перед выполнением для обхода изолированных сред.
Инфокрад для macOS появился в апреле 2025 года под названием Mac.C и был создан злоумышленником Mentalpositive.
Но уже к июлю он набрал обороты, присоединившись к менее многочисленному, но все еще прибыльному сегменту программ-стилеров для macOS наряду с AMOS и Odyssey.
Согласно анализу Mac.C от MacPaw Moonlock, установлено, что эта программа способна красть учетные данные связки ключей iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптокошельков и файлы из системы.
Причем в своем интервью для g0njxa в сентябре Mentalpositive, автор вредоносного ПО заявил, что введение более жесткой политики нотаризации приложений в macOS 10.14.5 и более поздних оказало наибольшее влияние на разработку и, как показывает практика, находит отражение в последних обнаруженных версиях.
Исследователи сингапурской Group-IB задетектили вредоносные дропперы, мимикрирующие под приложения, для распространения SMS-стилера для Android под названием Wonderland в атаках, нацеленнных на Узбекистан.
Если ранее пользователи получали «чистые» троянские APK, которые сразу после установки действовали как вредоносное ПО, то теперь злоумышленники все чаще задействуют дропперы, замаскированные под легитимные приложения.
Он выглядит безобидным, на первый взгляд, но содержит встроенную вредоносную полезную нагрузку, которая развертывается локально после установки - даже без активного подключения к интернету.
Wonderland (WretchedCat) обеспечивает двустороннюю связь C2 для выполнения команд в режиме реального времени, что позволяет отправлять произвольные USSD и совершать кражу SMS.
При этом маскируется под Google Play или файлы других форматов, включая видео, фото и свадебные приглашения.
Финансово мотивированный злоумышленник TrickyWonders, стоящий за этим вредоносным ПО, использует Telegram в качестве основной платформы для координации различных аспектов своей деятельности.
Впервые Wonderland был обнаружен в ноябре 2023 года и относится к двум семействам вредоносных программ-дропперов, предназначенных для сокрытия основной зашифрованной полезной нагрузки: MidnightDat (замечен 27 августа 2025) и RoundRift (замечен 15 октября 2025).
Wonderland распространяется в основном с помощью фейковых веб-страниц Google Play Store, рекламных кампаний в соцсетях, а также аккаунтов в приложениях для знакомств и мессенджерах.
Злоумышленники применяют для этого украденные сессии Telegram узбекских пользователей, которые продаются в даркнете, распространяя APK-файлы среди контактов и через чаты жертв.
После установки вредоносная ПО получает доступ к SMS и перехватывает OTP, которые затем используются для вывода средств с банковских карт жертв.
Среди других возможностей - излучение телефонных номеров, кража списка контактов, скрытие push-уведомлений, а также отправка SMS-сообщений с зараженных устройств для горизонтального перемещения.
Однако для установки приложения из неизвестных источников пользователям необходимо сначала включить параметр, разрешающий установку из неизвестных источников, что достигается путем отображения экрана обновления и «установки обновлений».
В момент устанавки APK и получения необходимых разрешений, злоумышленники перехватывают номер телефона и пытаются войти в учетную запись Telegram, зарегистрированную на этот номер. После авторизации процесс распространения повторяется, создавая циклическую цепочку заражения.
Wonderland знаменует собой вершину эволюцию мобильного вредоносного ПО в Узбекистане: от примитивных вредоносных ПО, типа Ajina.Banker для масштабных спам-кампаний к более серьезным, таким как Qwizzserial, маскирующимся под безобидные медиафайлы.
Как отмечают исследователи, дропперы представляют собой стратегический сдвиг, поскольку это позволяет обходить проверки безопасности. Кроме того, как дропперы, так и SMS-стилеры сильно обфусцированы и поддерживают защиту от анализа.
Более того, использование двусторонней связи C2 превращает вредоносную ПО из пассивного похитителя SMS-сообщений в активного удаленно управляемого агента, способного выполнять произвольные USSD, отправляемые сервером.
Вспомогательная инфраструктура также стала более динамичной и устойчивой. Разработчики полагаются на быстро меняющиеся домены, каждый из которых используется только для ограниченного набора сборок.
Вредоносные APK создаются с помощью Telegram-бота, которые затем распространяется привлеченными операторами в обмен на долю украденных средств.
В рамках этой операции каждый файл связан со своим собственным доменом C2 так, чтобы любая блокировка не привела к сбою всей инфраструктуры.
В преступный синдикат также входят владельцы групп, разработчики и вбиверы.
Подобная иерархическая структура подчеркивает новый этап в реализации финансового мошенничества и изощренном подходе киберподполья к взлому современных Android.
Ресерчеров Лаборатории Касперского остановит только Новый год (но это неточно): число исследований в последние дни просто впечатляет.
В новом отчете они изучают обновленный образец бэкдора ToneShell, типичный для китайского кибершпионажа, который был доставлен через загрузчик в режиме ядра в ходе атак на правительственные организации.
Активность приписывается Mustang Panda (HoneyMyte или Bronze President), которая традиционно нацелена на правительственные учреждения, НПО, аналитические центры и другие организации по всему миру.
Проанализировав обнаруженный вредоносный файловый драйвер, в ЛК выяснили, что он использовался в кампаниях как минимум с февраля 2025 в отношении госучреждений в Мьянме, Таиланде и др. азиатских странах.
При этом скомпрометированные устройства ранее были заражены более старыми вариантами ToneShell, вредоносным ПО PlugX или USB-червем ToneDisk.
По данным ЛК, новый бэкдор ToneShell был развернут с помощью мини-фильтра ProjectConfiguration.sys и подписан украденным или скомпрометированным сертификатом (действительным в период с 2012 по 2015 год) и выданным Guangzhou Kingteller Technology Co., Ltd.
Мини-фильтры - это драйверы режима ядра, которые подключаются к стеку ввода-вывода файловой системы Windows и могут проверять, изменять или блокировать операции с файлами.
Обычно их используют ПО безопасности, средства шифрования и утилиты резервного копирования.
В разделе data файла ProjectConfiguration.sys содержатся два шеллкода для пользовательского режима, каждый из которых выполняется как отдельный поток пользовательского режима и внедряется в процессы.
Для уклонения от статического анализа, драйвер разрешает необходимые API ядра во время выполнения, перечисляя загруженные модули ядра и сопоставляя хеши функций, вместо того чтобы импортировать функции напрямую.
Он регистрируется как драйвер мини-фильтра и перехватывает операции файловой системы, связанные с удалением и переименованием.
Когда такие операции нацелены на сам драйвер, они блокируются путем принудительного завершения запроса.
Драйвер также защищает ключи реестра, связанные со службами, регистрируя функцию обратного вызова реестра и блокируя попытки их создания или открытия.
Для обеспечения приоритета над средствами безопасности он выбирает уровень мини-фильтра выше диапазона, зарезервированного антивирусом.
Кроме того, руткит противодействует Microsoft Defender, изменяя конфигурацию драйвера WdFilter таким образом, что он не загружается в стек ввода-вывода.
Для защиты внедряемых в пользовательский режим полезных нагрузок драйвер поддерживает список защищенных идентификаторов процессов, запрещает доступ к их дескрипторам во время выполнения полезных нагрузок и снимает защиту после выполнения.
Как отмечают исследователи, это первый случай, когда ToneShell распространяется через загрузчик в режиме ядра, что обеспечивает защиту от мониторинга в пользовательском режиме и позволяет использовать возможности драйвера по обнаружению руткитов, скрывая его активность от средств безопасности.
Возвращаясь к новому ToneShell, теперь в него внесены изменения и улучшена скрытность.
Вредоносная ПО использует новую схему идентификации хоста, основанную на 4-байтовом идентификаторе хоста, вместо ранее использовавшегося 16-байтового GUID, а также применяет обфускацию трафика с помощью фейковых заголовков TLS.
Исследователи Лаборатории Касперского резюмировали, что в ходе операций HoneyMyte в 2025 году была отмечена заметная эволюция в сторону использования инжекторов в режиме ядра для развертывания ToneShell, что повысило как скрытность, так и отказоустойчивость.
Новый вариант ToneShell переносит и внедряет бэкдор непосредственно из встроенной полезной нагрузки.
Для сокрытия активности драйвер сначала развертывает небольшой компонент в пользовательском режиме, который обрабатывает заключительный этап внедрения.
Поскольку шеллкод выполняется в оперативной памяти, ее анализ становится крайне важным для обнаружения вторжения, а его выявление является индикатором присутствия ToneShell.
IOCs и технические подробности - в отчете.
Последние обновления по инциденту с расширением Trust Wallet для браузера: хакеры похитили около 7 млн. долл. с почти 3000 адресов криптовалютных кошельков.
Напомним, инцидент 24 декабря привел к краже активов из скомпрометированных кошельков после того, как была взломана версия 2.68.0 расширения Chrome, в которую злоумышленники добавили вредоносный JavaScript-файл.
Trust Wallet подтвердила факт взлома и посоветовала пользователям немедленно обновить систему до версии 2.69, чтобы заблокировать дальнейшие попытки кражи криптовалюты.
Рабочая гипотеза (все еще находится на стадии расследования): хакер использовал утекший ключ API Chrome Web Store для отправки вредоносного расширения версии 2.68.
Оно успешно прошло проверку Chrome Web Store и было выпущено 24 декабря 2025 года в 12:32 UTC.
В ответ на инцидент Trust Wallet приостановила поддержку всех API для выпуска новых версий, чтобы заблокировать любые попытки выпуска новых версий в течение следующих двух недель.
Кроме того, компания предотвратила кражу дополнительных данных хакерами, сообщив о вредоносном домене, используемом для утечки данных, регистратору NiceNIC, который незамедлительно заблокировал его.
Однако злоумышленники пошли еще дальше, запустив фишинговую кампанию, в ходе которой, пользуясь возникшей паникой и фейковым сайтом брендом Trust Wallet, запрашивали у пользователей фразу восстановления для получения «важного планового обновления с улучшениями безопасности».
С тех пор Trust Wallet сообщила, что злоумышленники украли криптовалюту из 2596 кошельков идентифицированных жертв, и заявила о планах возместить убытки всем пострадавшим пользователям. При этом компанией было получено более 5000 обращений о взломе.
Для инициирования процесса получения компенсации пострадавшим пользователям следует заполнить эту форму: https://be-support.trustwallet.com, с указанием: контактных данных, адресов опустошенных кошельков, хэши транзакций.
Trust Wallet также предупреждает, что в настоящее время злоумышленники выдают себя за службу поддержки, реализуя мошеннические схемы через рекламу в Telegram и распространяют фейковые формы для получения компенсации.
🔑 Как я поймал сетевика на передаче пароля в SSH и чем это закончилось.
• Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для автора данного материала хорошим уроком...
• В этой статье описана ситуация, когда сотрудники сопровождения передавали пароль по SSH. В открытом виде.
• Почему это проблема:
➡Передача пароля в аргументах — это классический антипаттерн.
➡Аргументы команд видны в ps, /proc/[PID]/cmdline, Task Manager.
➡Они могут попасть в логи CI/CD.
➡Мониторинг и аудит тоже их подхватят.
➡Многие утилиты (sshpass, plink, WinSCP CLI, rsync, mysql, curl, mRemoteNG) позволяют так передавать пароль — и это соблазн для быстрого «костыля».
• В итоге получить пароль можно даже не трогая сам SSH, что может привести к утечке. Подробности по ссылке ниже:
➡ Читать статью [3 min].
• P.S. Рекомендую обратить внимание на комментарии, там можно найти полезные советы и рекомендации.
S.E. ▪️ infosec.work ▪️ VT
👮 Хакеры взломали Rainbow Six Siege и 🎄раздали игрокам кредиты на сумму около $13 миллионов
Весьма неприятный инцидент произошел с компанией Ubisoft, которая известна по линейке игры Tom Clancy’s Rainbow Six Siege. Дело в том, что, согласно многочисленным сообщениям игроков и скриншотам, опубликованным в сети, хакеры каким-то образом получили возможность:
🔻 Блокировать и разблокировать игроков Rainbow Six Siege.
🔻 Выводить фальшивые сообщения о блокировках в системной строке уведомлений (тикер банов).
🔻 Начислять всем игрокам примерно 2 миллиарда кредитов R6 и очков славы (Renown).
🔻 Разблокировать предметы в игре, включая эксклюзивные скины, доступные только разработчикам.
Похоже, R6 пришёл полный конец. Просто нереально, насколько всё плохо.
🥷 Хакеры сделали следующее:
↘️ Забанили и разбанили тысячи людей.
↘️ Захватили ленту уведомлений о банах и могут писать туда что угодно.
↘️ Выдали каждому по 2 миллиарда кредитов и очков славы.
↘️ Открыли каждому все скины, включая скины разработчиков.
Кредиты в игре R6 — это премиальная внутриигровая валюта, продаваемая за реальные деньги в магазине Ubisoft.
Хьюстон! У NASA проблема.
В киберподполье c 22 декабря реализуется дамп данных, предположительно, полученный с официального сервера Национального управления по аэронавтике и исследованию космического пространства (NASA).
Согласно заявлениям селлера, утечка связана с совместными проектами NASA и испанской службой телерадиологии, включает: исходники, данные PACS, модули системы управления, внутреннюю документацию и прочие конфиденциальные данные.
Исследователи Solar 4RAYS выкатили свой прогноз в отношении киберугроз на 2026 год, отмечая, что ранняя инфомированность об угрозах, которые вот-вот станут актуальными, - это первый шаг к построению надежной защиты.
С чем мы не можем не согласиться, так что выделим главное по предстоящим трендам:
1. Ландшафт угроз и тактика атакующих:
- APT-группировки. Их активность будет напрямую зависеть от геополитической обстановки. Снижение активности после публичного разоблачения некоторых группировок - временная мера для перевооружения.
- Цели атак. Усилится давление на критические отрасли: промышленность, ТЭК, логистику, госсектор и другие социально и экономически значимые отрасли.
- «Кинетический» хактивизм. Хактивизм превратился в инструмент профессионалов, способных наносить реальный физический ущерб инфраструктуре.
- Усложнение атрибуции. Атакующие активно маскируются под других, используя чужие инструменты и инфраструктуру, что затрудняет определение истинного виновника.
- Атаки через подрядчиков (Trusted Relationship Attacks). Это один из основных путей проникновения в крупные компании, безопасность которых усилилась.
2. Уязвимости и целевые платформы:
- Российское ПО. Будет расти эксплуатация уязвимостей в отечественном ПО (почтовые серверы, CMS, мессенджеры) из-за недостаточного внимания к безопасности на этапе разработки.
- Windows 10. Станет главной мишенью из-за прекращения поддержки; уязвимости от Windows 11 будут работать и на 10-й версии, но патчи - выходить реже.
- Панель предпросмотра MS Office. Ожидается волна фишинговых атак с использованием RCE-уязвимостей в этом компоненте.
- Небезопасная десериализация. Будет основным вектором RCE-атак в средах PHP, Java, Python, ASP.NET.
- Атаки на репозитории Open Source. Популярные репозитории (Nuget, Maven и др.) станут целью для внедрения бэкдоров в доверенный код.
3. Вредоносное ПО и техники:
- Банковские трояны с NFC. Будет расти эффективность вредоносов, перехватывающих бесконтактные платежи (например, NFCGate).
- Zero-click атаки на Android. Ожидается увеличение числа эксплойтов для Android, не требующих взаимодействия с пользователем.
- Фишинг ClickFix. Будут нарастать атаки, где жертву через социнженерию вынуждают вручную запускать вредоносные команды, например, в PowerShell.
- Атаки на Linux. Рост числа атак, включая использование руткитов (Puma, Kitsune и др.), из-за импортозамещения и слабой защиты.
- Атаки на macOS. В фокусе злоумышленников будут ключевые компоненты защиты macOS (Keychain, TCC, SIP), так как устройства Apple активно используются в корпоративной среде.
- Маскировка вредоносного трафика. Ожидается усложнение маскировки вредоносного трафика, он будет все больше похож на легитимный трафик атакованной организации. Злоумышленники стремятся использовать те же протоколы, порты, время работы и т.п.
4. ИИ в атаках:
- Вайб-кодинг в вредоносах. Низкоквалифицированные злоумышленники будут массово использовать ИИ (вайб-кодинг) для генерации простого вредоносного ПО.
- Профессиональные группировки (APT). Будут применять LLM для оркестрации сложных атак (пример, фреймворк Hexstrike-AI).
5. Киберпреступность:
- Снижение «порога входа». Растет число группировок, покупающих готовые доступы и инструменты.
- Мошеннические атаки через мессенджеры. Продолжатся атаки, использующие социальную инженерию через популярные мессенджеры и госсервисы.
Fortinet сообщает о новой волне эксплуатации пятилетней уязвимости SSL VPN в FortiOS, которая реализуется при определенных конфигурациях.
Речь идёт о CVE-2020-12812 (CVSS: 5.2), представляющей собой уязвимость некорректной аутентификации в SSL VPN на FortiOS, которая позволяет успешно войти в систему без запроса второго фактора аутентификации, если регистр имени пользователя был изменён.
Как упоминалось в 2020 году, это возможно, если в настройках «локальная аутентификация пользователя» включена 2Fa, а тип аутентификации пользователя установлен на удаленный метод аутентификации (например, LDAP).
Проблема возникает из-за непоследовательного сопоставления данных с учетом регистра между локальной и удаленной аутентификацией.
С тех пор на этой уязвимости различные злоумышленники неплохо набили руку, а в 2021 году она вошла в перечень наиболее эксплуатируемых в атаках на устройства периметра.
В новом вчерашнем уведомлении Fortinet отметила, что для успешного срабатывания CVE-2020-12812 необходима следующая конфигурация:
- Локальные записи пользователей на FortiGate с 2Fa, ссылающиеся на LDAP.
- Эти же пользователи должны состоять в группе на LDAP-сервере.
- На устройстве FortiGate необходимо настроить как минимум одну группу LDAP, в которую входят пользователи 2Fa, и она должна использоваться в политике аутентификации, которая может включать, например, административных пользователей, SSL или IPSEC VPN.
Если условия выполнены, уязвимость приводит к тому, что пользователи LDAP с настроенной 2Fa проходят аутентификацию непосредственно в LDAP, поскольку FortiGate обрабатывает имена пользователей с учетом регистра, в то время как каталог LDAP этого не делает.
В частности, если пользователь входит в систему с именем Jsmith, jSmith, JSmith, jsmiTh или любым другим именем, которое не является точным совпадением с jsmith, FortiGate не будет сопоставлять данные входа с локальным пользователем.
Такая конфигурация заставляет FortiGate рассматривать другие варианты аутентификации. FortiGate будет проверять другие настроенные политики аутентификации брандмауэра.
После неудачной попытки сопоставления с jsmith, FortiGate обнаруживает дополнительную настроенную группу Auth-Group, а оттуда - LDAP-сервер, и при условии корректности учетных данных аутентификация будет успешной независимо от настроек локальной политики пользователя (2Fa и отключенные учетные записи).
В результате уязвимость позволяет авторизовать администраторов или пользователей VPN без 2Fa.
Fortinet выпустила FortiOS 6.0.10, 6.2.4 и 6.4.1 в июле 2020 года для устранения этой проблемы.
Кроме того, для предотвращения проблемы с обходом аутентификации следует отключить чувствительность к регистру имени пользователя (а для FortiOS версий 6.0.13, 6.2.10, 6.4.7, 7.0.1 и более поздних - чувствительность к имени пользователя).
В качестве дополнительной меры защиты стоит рассмотреть возможность удаления вторичной группы LDAP, если она не требуется, поскольку это полностью исключает линию атаки.
При этом в недавно опубликованных рекомендациях не содержится никакой конкретной информации о характере атак, нацеленных эту уязвимость, а также о том, были ли какие-либо из этих инцидентов успешными.
Fortinet также посоветовала пострадавшим клиентам связаться со службой поддержки и сбросить все учетные данные в случае обнаружения признаков аутентификации администраторов или пользователей VPN без 2Fa.
MongoDB предупреждает о необходимости немедленного устранения серьезной уязвимости, которая может быть использована для атак с удаленным выполнением кода, направленных на уязвимые серверы.
MongoDB - популярная нереляционная система управления базами данных, которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
Программное обеспечение для работы с базами данных используется более чем 62 500 клиентами по всему миру, включая десятки компаний из списка Fortune 500.
Уязвимость отслеживается как CVE-2025-14847 и затрагивает сразу несколько версий MongoDB и MongoDB Server.
Она может быть использована неаутентифицированными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем.
Проблема связана с некорректной обработкой несоответствия параметра длины, что может позволить злоумышленникам выполнить произвольный код и потенциально получить контроль над целевыми устройствами.
Уязвимость на стороне клиента в реализации zlib сервера может привести к возврату неинициализированной памяти кучи без аутентификации на сервере.
Уязвимость затрагивает следующие версии MongoDB: 8.2.0-8.2.3, 8.0.0-8.0.16, 7.0.0-7.0.26, 6.0.0-6.0.26, 5.0.0-5.0.31, 4.4.0-4.4.29, а также все версии MongoDB Server v4.2, v4.0 и v3.6.
Для устранения уязвимости в системе безопасности и блокировки потенциальных атак администраторам рекомендуется немедленно обновить MongoDB до версий 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.
В MongoDB настоятельно рекомендуют немедленно обновить систему.
В противном случае хотя бы отключить сжатие zlib на сервере MongoDB, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors.
Исследователи из Positive Technologies продолжают подводить киберитоги 2025 года и делятся прогнозами на ближайшее будущее.
В новом отчете - решили заглянуть в госучреждения и нормативку. Отметим основное:
1. Киберсреда и мотивация массовых взломщиков изменились
В 2022 году госсектор был объектом почти каждой шестой успешной кибератаки: всего 403 инцидента, а около половины нападений были направлены на официальные веб-ресурсы органов власти.
Затем атаки приобрели яркий хактивистский характер.
Причем помимо политического манифеста в 2025 году хактивисты стали преследовать финансовую выгоду и совершать более дерзкие разрушительные киберпреступления, дестабилизируя работу госучреждений и КИИ.
2. Первые серьезные требования ИБ к работе с подрядчиками и интеграции ИИ
В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации, сформировав новую регуляторную рамку, в которой госструктуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.
3. Безопасность объектов КИИ будет контролироваться жестче
Федеральный закон от 07.04.2025 № 58-ФЗ (вступил в силу 1 сентября 2025 года) вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах, но и о компьютерных атаках.
В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования.
4. Отраслевые центры ГосСОПКА на подходе
Стало известно, что готовится нормативно-правовой акт об аккредитации центров ГосСОПКА.
Кроме того, прорабатываются концепции создания отраслевых центров компетенций по кибербезу, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.
5. Две стороны одной медали: почти полное импортозамещение СЗИ и нехватка экспертов
Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98% (под данным ФСТЭК).
Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров под высокотехнологичное ПО.
6. Интерес злоумышленников к отечественному софту не угасает
Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих, причем эта тенденция сохраняется с 2022 года и останется актуальной в 2026.
7. Острые проблемы регионов и пути их решения
На рынке не хватает около 50 тысяч специалистов в области ИБ, тогда как образовательная система ежегодно готовит лишь 8-10 тысяч профильных выпускников, и до 46% вакансий в госсекторе остаются незакрытыми месяцами, что сказывается прежде всего, на регионах.
8. Старт непрерывного обучения
Программы обучения сотрудников госучреждений станут регулярными: повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты.
9. Оценка устойчивости госсектора на практике, с наглядным результатом
Исследователи BI.ZONE DFIR и BI.ZONE Compromise Assessment подвели итоги, рассказав об актуальных тенденциях по части того, как российские компании справлялись с кибератаками в 2025 году.
По данным исследователей, 2025 год подтвердил главную тенденцию последних лет: количество кибератак на российские компании продолжает расти, а инциденты становятся все более сложными и разрушительными.
Кибератаки постоянно эволюционируют, но базовые мотивы и методы злоумышленников остаются прежними: финансовая выгода доминирует, а фишинг - самый распространенный способ проникновения.
Тем не менее каждый год выделяется всплесками активности в отдельных направлениях:
- 2022: Россия столкнулась с заметным ростом дефейсов и хактивистских кампаний.
- 2023: акцент сместился на публикации утечек и массовые сливы данных.
- 2024: злоумышленники активно шифровали инфраструктуры организаций.
- 2025: все чаще использовались вайперы, полностью уничтожающие как данные, так даже и сетевое оборудование.
Современные атаки становятся многоэтапными, злоумышленники присутствуют в инфраструктуре все дольше и используют легитимные инструменты администрирования в комбинации с самописным вредоносным ПО.
В таких условиях ключевым фактором устойчивости становится не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению.
Из ключевых метрик 2025 года (среднее значение):
- Зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
- Срок присутствия злоумышленника в инфраструктуре - 42 дня (12,5 минуты - 181 день), время восстановления основной функциональности бизнес‑процессов - 3 дня, а полной - 14 дней.
- Количество хостов в инфраструктуре, с которой работали команды DFIR и CA - 3484 (в самом крупном инциденте - до 50 000), число пользователей - 18 159 (в крупных - до 200 000), число хостов-точек закрепления атакующих - 5 (максимум - 14).
- Распределение инцидентов по отраслям: ритейл - 31%, IT - 26%, транспорт, госсектор и телеком - по 11%, образование и ТЭК - по 5%.
Из ключевых тенденций атак и новых угроз 2025 года:
- Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры.
- В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты - Babuk, LockBit и Rancoz.
- Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален.
- Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. В Linux безальтернативным вариантом остается gsocket, а в среде Windows - все чаще отдается предпочтение Localtonet.
- Число атак через подрядчиков существенно выросло: в 2025 году около 30% всех инцидентов (ранее - 15%).
Известный расовый румынский инфосек журналист Каталин Чимпану 19 декабря написал, что c 20 числа (🫡) уходит на зимние каникулы аккурат до 12 января.
Спалился гэбешник кровавый!
Исследователи из Лаборатории Касперского продолжают отслеживать активность Cloud Atlas, представив отчет по результатам расследования новых похождений группы в в первой половине 2025 года.
Основной фокус Cloud Atlas, известной с 2014 года, сосредоточен на странах Восточной Европы и Центральной Азии.
Заражение, как правило, реализуется через фишинговые письма с вредоносными вложениями и эксплуатации давно известной уязвимости в процессе компонента Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
В новом отчете исследователи ЛК подробно анализируют цепочку заражения и инструментарии, которые группа применяла в первой половине 2025 года, с особым акцентом на ранее недокументированных имплантах.
По данным телеметрии, выявленные цели вновь задокументированных активностей группы располагаются в России и Беларуси, причем активность наблюдается с начала 2025 года.
Атаки затронули различные отрасли, включая телекоммуникации, строительство, государственные учреждения, производственные компании и другие предприятия.
Отправной точкой атак выступает фишинговое письмо с вредоносным вложением в формате DOC(X).
При открытии с удаленного сервера доставляется вредоносный шаблон в формате RTF с эксплойтом для редактора формул, который загружает и выполняет HTML-приложение (HTA).
При этом, по всей видимости, после успешного заражения жертвы ссылка на RTF-файл шаблона становится недоступной, а возможность их загрузки ограничена как по времени доступности, так и по IP-адресам жертв.
Вредоносный HTA извлекает несколько VBS-файлов, которые в совокупности образуют бэкдор VBShower, сохраняя их на диск.
Затем VBShower загружает и устанавливает другие полнофункциональные бэкдоры: PowerShower, VBCloud и CloudAtlas.
Большинство возможностей этих бэкдоров дублируется, однако отдельные полезные нагрузки имеют специализированные функции. Управление бэкдорами осуществляется через облачные сервисы, что является характерной чертой группы.
Сама цепочка заражения в значительной степени повторяет ту, что наблюдалась ранее в атаках Cloud Atlas в 2024 году, а некоторые ранее замеченные импланты претерпели лишь незначительные изменения.
Вместе с тем, исследователям ЛК удалось задетектить как новые, так и внимательно изучить обновленные компоненты. Учитывая внушительный объем по технике, подробно останавливаться не будем, а порекомендуем обратиться к оригиналу, где и IOCs имеются.
Критическая уязвимость в платформе автоматизации рабочих процессов n8n, которая в случае успешной эксплуатации может привести к выполнению произвольного кода, затрагивая тысячи экземпляров.
Уязвимость отслеживается как CVE-2025-68613, имеет оценку CVSS 9,9 из 10 возможных.
Согласно статистике npm, пакет еженедельно скачивается около 57 000 раз.
Как заявили сопровождающие пакета, при определенных условиях выражения, предоставленные авторизованными пользователями во время настройки рабочего процесса, могут быть оценены в контексте выполнения, который недостаточно изолирован от базовой среды выполнения.
Аутентифицированный злоумышленник может использовать это поведение для выполнения произвольного кода с привилегиями процесса n8n.
Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций системного уровня.
Проблема затрагивает все версии, включая 0.211.0 и ниже 1.120.4, и была исправлена в версиях 1.120.4, 1.121.1 и 1.122.0.
По данным Censys, по состоянию на 22 декабря 2025 года насчитывается 103 476 потенциально уязвимых экземпляров, большинство из которых располагаются в США, Германии, Франции, Бразилии и Сингапуре, а также немалое число - и в России.
Ввиду критичности уязвимости пользователям рекомендуется как можно скорее установить обновления.
В противном случае рекомендуется ограничить права на создание и редактирование рабочих процессов только доверенными пользователями и развернуть n8n в защищенной среде с ограниченными правами доступа к операционной системе и сети для снижения риска.
Исследователи из Лаборатории Касперского рассказали о том, как им удалось препарировать модем в головном устройстве автомобиля в режиме God Mode.
Просто представьте: вы едете на своем новеньком электромобиле, а на огромном мультимедийном дисплее вместо навигации запускается культовый Doom и начинает рубиться в него удаленно.
Такой сценарии, на первый взгляд, кажется невероятной - но в ЛК наглядно доказали, что в современных условиях это более чем реально.
Дело в том, что Интернет используют не только гаджеты, но и заводы, автомобили и даже поезда.
Как правило, они подключаются к мобильным сетям (3G/4G/5G) с помощью модемов, которые зачастую интегрированы в систему на кристалле SoC.
Она выполняет одновременно несколько функций, используя модемный процессор Communication Processor для одних и процессор приложений Application Processor для других.
Операционная система общего назначения, такая как Android, вполне может работать на AP, в то время как CP, предназначенный для взаимодействия с мобильной сетью, обычно реализуется на базе специализированных ОС.
При этом взаимосвязь между AP, CP и RAM на этом кристалле на уровне микроархитектуры представляет собой «черный ящик» и известна только производителю, хотя напрямую влияет на безопасность всей SoC.
При этом считается, что обход механизмов безопасности 3G/LTE - это чисто академическая задача.
Ведь при подключении пользовательского устройства User Equipment к базовой станции сотовой связи Evolved Node B создается безопасный канал связи.
Даже если кто-то сможет обойти его защитные механизмы, обнаружить уязвимость в модеме и выполнить на нем свой код, это, скорее всего, не затронет бизнес-логику устройства.
Эта логика (например, пользовательские приложения, история браузера, звонки и SMS на смартфоне) находится на АР и, как предполагается, не может быть доступна с модема.
Чтобы выяснить, так ли это, исследователи ЛК оценили безопасность современной SoC Unisoc UIS7862A со встроенным 2G/3G/4G-модемом.
Такие чипы встречаются в китайских и отечественных мобильных устройствах, а также в головных устройствах современных китайских автомобилей, количество которых на дорогах растет.
Головное устройство - один из ключевых объектов автомобиля, и его компрометация угрожает не только сохранности пользовательских данных, но и безопасности дорожного движения.
В ходе этого исследования ЛК смогла выявить критические уязвимости на разных уровнях стека сотовых протоколов модема Unisoc UIS7862A.
В частности, уязвимость переполнения стека в реализации протокола 3G RLC (CVE-2024-39432), которая позволяет удаленно выполнять код на ранних этапах подключения, до активации каких-либо защитных механизмов.
Однако получение возможности выполнения своего кода на модеме - лишь точка входа для полной удаленной компрометации всей SoC.
Но исследователям удалось найти несколько способов получения доступа к AP, в том числе с использованием аппаратной уязвимости в виде скрытого DMA-устройства для выполнения горизонтального перемещения внутри SoC.
В конечном итоге, это позволило установить собственный патч к работающему ядру Android и выполнить произвольный код на AP с наивысшими привилегиями.
Технический разбор - в отчете, а полная версия материала с подробным описанием разработки эксплойта для АР и демонстрацией DOOM на головном устройстве автомобиля также доступен на сайте ICS CERT.