39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
GreyNoise сообщает о детектировании двух волн сканировании, нацеленных на устройств Cisco ASA в конце августа.
Злоумышленники использовали до 25 000 уникальных IP-адресов для поиска устройств с доступом в Интернет.
Похоже, все эти атаки представляют собой ту же кампанию, которую NadSec Nadsec/honeypot-report-a-coordinated-reconnaissance-wave-against-cisco-asa-appliances-ddc49b6664ae">описывала на прошлой неделе.
Исследователи волн сканироваполагают, что активность представлять собой разведывательную кампанию, за которая могла предшествовать будущему эксплойту.
Еще одной жертвой инцидента Salesloft Drift стала известная в инфосек-сообществе компания Proofpoint, которая также теперь присоединилась к длинному списку скомпрометированных поставщиков услуг ИБ.
В категории SaaS-услуг также прибавилось: Workiva сообщает, что хакеры получили доступ к данным его аккаунта Salesforce и украли их.
Помимо новых жертв, интересный поворот событий наметился в кейсе с Google.
Scattered LapSus Hunters потребовали увольнения двух сотрудников и прекращения расследования их деятельности, угрожая в противном случае опубликовать данные Google.
Автотема кучно пошла: вслед за Jaguar Land Rover хакеры атаковали производственные активы Bridgestone, предприятия которой в Северной Америке пострадали в результате кибератаки.
Bridgestone Americas (BSA) - североамериканское подразделение Bridgestone, японского транснационального производителя шин, крупнейшего в мире по объему производства.
BSA управляет 50 заводами и имеет штат в 55 000 сотрудников, что составляет примерно 43% от общей численности персонала корпорации. В 2024 году объём продаж только BSA составил 12 млрд долл., а операционная прибыль - 1,2 млрд долл.
Во вторник, 2 сентября 2025 года, появились первые сообщения об инциденте, который затронул два производственных объекта BSA в округе Эйкен, Южная Каролина.
На следующий день канадские СМИ сообщили об аналогичных сбоях на производственном предприятии BSA в Джольетте, провинция Квебек.
В самой компании киберинцидент подтверждают и проводят его всестороннее расследование. BSA отмечает, что оперативное реагирование позволило сдержать атаку на ранних стадиях, предотвратить кражу данных клиентов и более глубокое проникновение в сеть.
Результаты предварительного расследования также указывают на то, что BSA удалось вовремя локализовать ограниченный киберинцидент, при этом какие-либо данные или интерфейсы клиентов скомпрометированы не были.
В настоящее время специалисты работают в круглосуточном режиме, пытаясь минимизировать сбои в цепочке поставок, которые могут привести к дефициту продукции на рынке.
В Bridgestone пока не распространяются относительно того, была ли это атака с использованием ransomware, но по всей видимости, была.
На текущий момент ни одна из банд вымогателей не взяла на себя ответственность за атаку на Bridgestone Americas. Однако в прошлый раз в 2022 году в ее сетях побывали LockBit. Кто на этот раз, будем посмотреть.
Ресерчеры из Лаборатории Касперского выкатили монументальное исследование атак проукраинских хактивистских и APT-группировок, нацеленных на организации в России, Беларуси и некоторых других странах.
В последние годы Россия сталкивается с беспрецедентным количеством кибератак.
По оценкам ЛК, начиная с февраля 2022 года и по сегодняшний день это самая атакуемая в киберпространстве страна. При этом целями становятся организации из самых разных отраслей.
Ключевой угрозой для российского бизнеса на сегодняшний день остается хактивизм, причем масштабы и сложность атак растут.
В 2022 году на фоне геополитической напряженности возникло множество хактивистских групп, нацеленных на российские организации, и они активно развиваются.
За прошедшие годы злоумышленники стали более опытными и организованными, они сотрудничают друг с другом, делятся знаниями и инструментами для достижения общих целей.
Кроме того, после 2022 года в российском ландшафте угроз появилось такое явление как группы двойного назначения.
Они используют одни и те же инструменты, техники и тактики и даже общие инфраструктуру и ресурсы.
В зависимости от жертвы они могут преследовать различные цели: потребовать выкуп за зашифрованные данные, нанести непоправимый ущерб, слить украденные данные и предать их огласке в СМИ.
С начала 2022 года специалисты собрали и проанализировали большой массив данных по TTPs проукраинских групп, отмечая формирование новой волны угроз, приобретающей массовый и системный характер в рамках не только отдельно взятой страны, но и по всему миру.
В результате анализа достигнута одна из основных целей, связанная с документальным доказательством предположений из прошлых отчетов: большинство описанных групп активно взаимодействуют между собой и по факту формируют три крупных кластера угроз.
Новое исследование включает актуальную на 2025 год классификацию проукраинских группировок, а также подробное техническое описание наиболее характерных их TTPs и инструментария, что будет чрезвычайно полезно для специалистов SOC, DFIR, CTI и Threat Hunting на практике.
Все группы в ЛК разделили на три кластера на основе их TTPs:
- Кластер I объединяет хактивистские и финансово-мотивированные группы, использующие схожие TTPs. В него вошли следующие группы: Twelve, BlackJack, Crypt Ghouls, Head Mare и C.A.S.
- К кластеру II были отнесены проукраинские APT-группы, которые отличаются своими TTPs от хактивистов: Awaken Likho, Angry Likho, Mythic Likho, Librarian Likho, Cloud Atlas, GOFFEE и XDSpy.
- В кластер III попали хактивистские группы, за которыми не были замечены признаки активного взаимодействия с другими описанными группами: Bo Team и Cyberpartisans.
Настоятельно рекомендуем изучить и взять на вооружение основные положения отчета, полная верcия которого доступна для скачивания (здесь).
На фоне поползновений ShinyHunters, связанных с утечкой данных своей базы данных Salesforce, Google поспешила опровергнуть взлом своего сервиса Gmail после ряда публикаций на прошлой неделе об угрозах компрометации 2,5 млрд. пользователей Gmail.
Что касается Google - то на этой неделе есть и позитивные новости.
Компания выпустила обновления безопасности для устранения 120 уязвимостей в ОС Android в рамках ежемесячного обновления за сентябрь 2025 года, включая две проблемы, которые, по ее данным, были использованы в целевых атаках.
Среди них: CVE-2025-38352 (CVSS: 7,4) - уязвимость, позволяющая повысить привилегии в компоненте ядра Linux, и CVE-2025-48543 (CVSS: Н/Д) - уязвимость, приводящая к повышению привилегий в компоненте Android Runtime.
Google отмечает, что обе уязвимости могут привести к локальному повышению привилегий без необходимости получения дополнительных прав на выполнение, а для эксплуатации не требуется никакого взаимодействия с пользователем.
Технологический гигант не раскрыл, каким образом уязвимости задействовались в реальных атаках и применяются ли они в тандеме, но признал, что есть признаки «ограниченной, целенаправленной эксплуатации».
Обнаружение уязвимости ядра Linux приписывается исследователям из группы анализа угроз Google (TAG), что указывает на возможности их использования в рамках целевых атак со spyware.
Google также закрыла ряд уязвимостей удаленного выполнения кода, повышения привилегий, раскрытия информации и отказа в обслуживании, влияющих на компоненты Framework и System.
Традиционно вышло два уровня исправлений безопасности: 2025-09-01 и 2025-09-05, предоставляя партнерам Android возможность оперативного устранения части уязвимостей, типичных для всех устройств Android.
Ну, а что там в итоге с утечкой Gmail - будем посмотреть, конечно.
Ресерчеры из Лаборатории Касперского предупреждают о возвращении банды вымогателей OldGremlin, которая возобновила свои атаки на российские компании в первой половине 2025 года.
С действиями злоумышленников столкнулись 8 крупных отечественных предприятий, главным образом промышленных.
В число новых целей OldGremlin также вошли организации из сфер здравоохранения, ретейла и ИТ.
OldGremlin, как известно, была профилирована пять лет назад, использует сложные TTPs. Злоумышленники могут долго находиться в системе жертвы - в среднем около 49 дней, прежде чем зашифровать файлы.
Ранее OldGremlin была активна в 2020-2022 гг. и последний раз замечена в 2024 году. В прошлом хакеры требовали достаточно крупные выкупы, в одном из случаев - почти 17 млн долл.
В новой наблюдаемой кампании злоумышленники обновили набор инструментов для атак.
С их помощью они в том числе эксплуатировали уязвимость в легитимном драйвере, чтобы отключить защитные решения на компьютерах жертв, и использовали легитимный интерпретатор Node.js (среда выполнения JavaScript) для запуска вредоносных скриптов.
Также группа начала «брендировать» свои кибератаки: в сообщениях с требованием выкупа она использовала OldGremlins - немного изменённое имя, которое ранее ей присвоили исследователи.
Для проникновения в компьютеры жертв и шифрования данных, злоумышленники рассылают фишинговые письма и используют несколько вредоносных инструментов.
Бэкдор помогает атакующим получить удалённый доступ и управлять заражёнными устройствами, а чтобы отключить защиту Windows и запустить свой собственный вредоносный драйвер, группа эксплуатирует уязвимость в легитимном драйвере.
Это позволяет OldGremlin запустить программу-вымогатель.
Причем в новой кампании вредонос не просто блокирует файлы, но и может транслировать злоумышленникам актуальный статус.
Последний, четвёртый, инструмент оставляет жертве сообщение с требованием выкупа, удаляет следы вредоносной активности и отключает устройство от сети на время шифрования - это усложняет дальнейшее исследование инцидента.
Решения Лаборатории Касперского детектируют вредоносное ПО как Trojan-Ransom.Win64.OldGremlin, Backdoor.JS.Agent.og, HEUR:Trojan.JS.Starter.og и HEUR:Trojan-Ransom.Win64.Generic.
Исследователи из Positive Technologies выпустили полугодовой отчет по актуальным киберугрозам, основанный на собственной экспертизе, результатах расследований, а также на данных авторитетных источников.
Из ключевых трендов в первом полугодии 2025 года - злоумышленники чаще всего атаковали госучреждения (21% от общего количества успешных атак на организации), промышленность (13%), IT-компании (6%) и медицинские учреждения (6%).
По данным исследователей, в первом полугодии 2025 года количество APT-атак на корпоративные сети выросло на 27% по сравнению с аналогичным периодом прошлого года.
В успешных атаках на организации мы отмечаем увеличение доли использования шифровальщиков относительно предыдущего полугодия на 6% (с 43% до 49%) и на 8% (с 41% до 49%) относительно первого полугодия 2024 года.
В феврале 2025 года российский малый и средний бизнес столкнулся с новой угрозой - вымогательской программой PE32, жертвами которой стали десятки предприятий (общая сумма выкупа варьируется от 500 до 150 000 долларов и выплачивалась в биткоинах).
Наиболее распространенными методами успешных атак на организации стали использование ВПО (63%), социальная инженерия (50%) и эксплуатация уязвимостей (31%).
На протяжении всего первого полугодия 2025 года мы наблюдали атаки, в которых для проникновения в системы использовалась техника ClickFix. Во II квартале ClickFix впервые стала впервые использоваться в атаках на российские организации.
В успешных атаках на организации чаще всего использовались шифровальщики (49% атак), ВПО для удаленного управления (33%) и шпионское ПО (22%).
За рассматриваемый период утечки конфиденциальных данных наблюдались в результате 52% успешных атак на организации и в 74% успешных атак на частных лиц.
Чаще всего злоумышленникам удавалось украсть конфиденциальные данные (52% успешных атак на организации и 74% атак на частных лиц).
Другое частое последствие для организаций — это нарушение основной деятельности.
Доля таких атак увеличилась на 13% по сравнению с предыдущим полугодием и на 15% по сравнению с 2024, что объясняется увеличением активности вымогателей и хактивистов.
В успешных атаках на организации, повлекших утечки конфиденциальной информации, преступники чаще были нацелены на учетные данные (25% успешных атак), персональные данные (17%) и коммерческую тайну (15%).
В 26% случаев атаки на частных лиц привели к финансовым потерям: продолжается тенденция конца прошлого года.
Подробный разбор с инфографикой, анализов наиболее тресковых уязвимостей и инцидентов - в отчете.
Подкатили горячие новости от киберподполья.
1. Известная в отрасли Zscaler стала жертвой серьёзной утечки данных в результате атаки на цепочку поставок, которая затронула одного из её сторонних поставщиков, Salesloft.
Злоумышленники UNC6395 использовали украденные токены OAuth сервиса Drift для получения несанкционированного доступа к среде Salesforce компании Zscaler, что позволило им похитить конфиденциальную информацию клиентов.
При этом инцидент не затронул основные продукты, сервисы или инфраструктуру компании.
Раскрытая информация включает в себя: наименования, адреса электронной почты, должности, номера телефонов, адреса, сведения по лицензированию решений и данные их техподдержки.
Согласно заявлениям Zscaler, случаев неправомерного использования этой информации не обнаружено, тем не менее компания отменила все интеграции Salesloft Drift с экземпляром Salesforce, провела ротацию других API-токенов и начала расследование инцидента.
2. Анонсирована продажа ZeroClick для Android 11-15, потенциально позволяя осуществить полный удаленный захват миллионов устройств. Уязвимость связана с повреждением памяти в Android MMS Parser и не имеет доступных исправлений безопасности.
Цепочка эксплойтов предположительно обходит средства защиты Android, включая его «песочницу», предоставляя злоумышленнику полный root-доступ.
3. Крупная криптобиржа Nobitex, предположительно, подверглась атаке с использованием критической 0-day, которая теперь доступна к продаже и нацелена на корпоративную почтовую инфраструктуру компании.
Эксплойт позволяет полностью захватить почтовый домен компании и реализуется единственному покупателю по цене в 10 BTC. Уязвимость связана с неправильной настройкой SMTP-сервера и позволяет обойти аутентификацию.
Помимо самого эксплойта, злоумышленник утверждает, что продаёт сопутствующие данные, якобы полученные от компании. Причем хакер неоднократно пытался связаться с Nobitex, но там на него не обратили внимания.
4. Банда вымогателей Anubis утверждает, что ей удалось взломать крупного подрядчика в сфере аэрокосмической и оборонной промышленности TRAF Industrial Products.
Компания является специализированным машиностроительным предприятием, поставляющим компоненты для крупных международных корпораций, включая Boeing, Airbus, Lockheed Martin, Bombardier и Pratt & Whitney.
Злоумышленники утверждают, что смогли похитить внушительный объём конфиденциальных корпоративных и персональных данных, угрожая опубликовать их.
5. По всей видимости, основательно подломили сети AT&T, доступ к инфраструктуре теперь выставлен на продажу.
Продавец утверждает, что закрепился в инфраструктуре первого уровня компании, получив интерактивный доступ для чтения и записи к базе данных, содержащей информацию примерно о 24 миллионах активных абонентов.
Как утверждается, этот доступ позволяет осуществлять атаки с подменой SIM-карт, считывать коды 2FA, отправленные по SMS, а также получать онлайн-доступ к базе данных примерно 24 миллионов клиентов AT&T.
6. Досталось и китайскому правительству, доступ к системе которого также доступен для покупки в даркнете. Согласно сообщению, доступ предоставляется к системе на базе Linux в .gov. cn домене через SSH-ключ.
Как известно, чем популярнее система у пользователей, тем больший интерес она представляет для злоумышленников, как в случае с Windows и macOS.
Занимая уверенное второе место по распространенности, macOS все чаще становится целью атакующих, о чем предупреждают исследователи Лаборатории Касперского в своем новом отчете с отражением того, как атакующие адаптируются к встроенным механизмам защиты.
В macOS предусмотрено довольно таки много механизмов защиты, которые обладают высокой степенью устойчивости и по большей части обеспечивают комплексную безопасность конечного пользователя.
Тем не менее, как и в любой зрелой ОС, злоумышленники продолжают адаптироваться и искать способы обхода даже самых надежных защитных барьеров.
В ряде случаев при их успешном обходе может оказаться непросто внедрить дополнительные средства безопасности и остановить атаку.
В своем исследовании ЛК акцентирует внимание на том, как работают некоторые из них (на примере Keychain, TCC, SIP, File Quarantine, Gatekeeper, XProtect и Xprotect Remediator), рассматривают распространенные атаки, а самое главное - способы их детектирования и предотвращения.
В июне 2025 года исследователи F6 обнаружили новую вредоносную активность, отлеживаемую как Phantom Papa.
Злоумышленники рассылали письма весьма достаточно фривольного содержания на русском и английском языках с вредоносными вложениями, содержащими новый Phantom Stealer.
Стилер основан на коде Stealerium и позволяет собирать пароли, банковскую и криптовалютную информацию, содержимое браузеров и мессенджеров.
Также в нем реализована функция антианализа, автозапуска, кейлоггер и поддержка популярных обфускаторов.
Для эксфильтрации данных может использовать Telegram, Discord или SMTP.
Кроме того, под капотом наряду с модями клиппера, граббера и стилера также имеется модуль PornDetector.
Он мониторит активность пользователя и, если обнаруживает в активном окне одну из подстрок «porn», «sex», «hentai», «chaturbate», то создает скриншот с экрана и затем с камеры.
Phantom Stealer распространяется через сайт phantomsoftwares[.]site (домен зарегистрирован в феврале 2025 года).
Помимо него, представлены ещё несколько «решений»: Phantom crypter, Phantom stealer advanced и Phantom stealer basic.
Получателями вредоносных писем являлись компании из различных отраслей: ритейла, промышленности, строительства, IT.
Заголовки писем относились к следующим темам: «See My Nude Pictures and Videos», «Прикрепленная копия платежа №06162025» и др., с соответствующими наименованиями вложений.
В логах стилера были выявлены IP устройств, на которых были запущены образцы вредоносного ПО, связанные с США, Россией, Великобританией, Румынией, Испанией, Венгрией, Казахстаном, Азербайджаном, Эстонией, Сербией, Швейцарией, Сингапуром, Беларусью и др.
В архивах злоумышленники доставляли файлы с расширением img и iso. Пользователь, открыв данный файл, монтирует образ, внутри которого расположен исполняемый файл.
После запуска вредоносное ПО собирает следующую информацию: версия Windows, имя ПК, язык системы, наличие антивируса, информация о CPU, GPU, RAM, батарее, экранах, вебкамерах.
Также он пысесосит файлы куки, пароли, кредитные карты из браузера, изображения и документы.
Всю собранную информацию отправляет в случае в Telegram-бот (в одном из примеров) papaobilogs, который используется минимум с апреля 2025 года.
Собственно, в "честь него" и злоумышленнику и было присвоено имя (Phantom Papa).
Исследуя угрозу, специалисты обнаружили образцы Agent Tesla, которые распространялись в 2023-2024 годах с такой же иконкой, как и у Phantom Stealer.
Причем в конфигурации у них была указана почта login112004@yandex[.]com, которая также используется в проанализированном образце Phantom Stelaer в качестве получателя логов.
Подробный технический анализ Phantom Stealer и IoCs — в отчете F6.
Никогда такого не было и вот опять: WhatsApp устранила ZeroClick в своих приложениях для iOS и macOS, которая использовалась в целевых атаках.
Разработчики утверждают, что проблема (отслеживается как CVE-2025-55177) затрагивает WhatsApp для iOS до версии 2.25.21.73, WhatsApp Business для iOS v2.25.21.78 и WhatsApp для Mac v2.25.21.78.
Неполная авторизация сообщений синхронизации связанных устройств в WhatsApp позволяла стороннему пользователю инициировать обработку контента с произвольного URL-адреса на целевом устройстве.
Предполагается, что эта уязвимость в сочетании с уязвимостью на уровне ОС на платформах Apple (CVE-2025-43300) могла быть использована для реализации сложной атаки в отношении конкретных целевых пользователей.
Указанную 0-day Apple экстренно исправляла в начале этого месяца, также отмечая ее задействование в «чрезвычайно сложной атаке».
При этом ни Apple, ни WhatsApp пока не представили дополнительную информацию об атаках.
Однако в Amnesty International заявили, что WhatsApp буквально только что предупредил некоторых пользователей о том, что в течение последних 90 дней они подвергались атакам с использованием продвинутого шпионского ПО.
В этих уведомлениях WhatsApp рекомендует пострадавшим пользователям выполнить сброс настроек устройства до заводских и поддерживать ОС и ПО своих устройств в актуальном состоянии.
Ожидаем подробностей. Будем следить.
Разработчики Click Studios предупредили клиентов о необходимости как можно скорее устранить серьезную уязвимость обхода аутентификации в менеджер паролей корпоративного уровня Passwordstate.
Passwordstate реализует безопасное хранилище паролей, которое позволяет компаниям обеспечивать и контролировать доступ к паролям, ключам API, сертификатам и различным другим типам учетных данных через централизованный веб-интерфейс.
По данным Click Studios, ее менеджером паролей пользуются более 370 000 ИТ-специалистов, работающих в 29 тыс. компаниях по всему миру, включая госуучреждения, финучреждения, международные корпорации и компании из списка Fortune 500 в различных отраслях.
Разработчики Click Studios призвают пользователей как можно скорее перейти на Passwordstate в версии 9.9 Build 9972, которая была совсем недавно выпущена с двумя обновлениями безопасности под капотом.
Одно из них устраняет уязвимость высокой степени серьезности (без идентификатора CVE), которая позволяет использовать специально созданный URL-адрес на основной странице экстренного доступа Passwordstate Products для обхода аутентификации и получения доступа к разделу администрирования продукта.
Несмотря на то, что компания пока не раскрыла дополнительную информацию по этой уязвимости, Click Studios предоставила обходной путь для тех, кто не имеет возможности оперативного обновления.
Для решения проблемы следует настроить IP-адрес экстренного доступа для веб-сервера в разделе системных настроек, но это лишь краткосрочное решение, так что Click Studios настоятельно рекомендует всем клиентам как можно скорее обновиться.
По сути все рекомендации и поведение Click Studios указывает на повторение событий апреля 2021 года, когда злоумышленники успешно взломали механизм обновления менеджера паролей и заразили неизвестное количество пользователей инфокрадом Moserpass.
Причем несколько дней спустя компания подтвердила, что у некоторых пострадавших клиентов могли быть украдены пароли из Passwordstate, а ряд других пользователей подверглись фишинговым атакам с использованием обновленного вредоносного ПО Moserpass.
Насколько серьезно все окажется на этот раз - будем, конечно, посмотреть.
Сотни клиентов Salesforce стали жертвами широкомасштабной кампании по краже данных.
Исследователи Google Threat Intelligence Group (GTIG) сообщают, что хакеры на постоянной основе экспортировали корпоративные данные, уделяя особое внимание, прежде всего AWS и Snowflake.
В начале этого месяца хакеры украли данные сотен экземпляров клиентских систем Salesforce в рамках широкомасштабной кампании.
Причем в атаках не использовались уязвимости базовой платформы Salesforce, а задействовались скомпрометированные токены OAuth для Salesloft Drift - стороннего чат-бота на основе искусственного интеллекта.
По данным GTIG, кампания приписывается злоумышленнику, отслеживаемому как UNC6395, и была реализована в период с 8 по 18 августа 2025 года.
Злоумышленник систематически проводил экспорт больших объёмов данных из различных корпоративных систем Salesforce.
GTIG полагает, что основной целью злоумышленника является сбор учётных данных.
Ранее UNC6395 также осуществлял поиск краденных секретов и кредов, включая ключи доступа AWS, пароли и токены, связанных со Snowflake.
При этом злоумышленник применял инструмент Python для автоматизации процесса кражи данных для каждой организации, которая подвергалась атаке.
Salesloft представила IOCs для клиентов, позволяющих выявлять потенциальные взломы, отметив влияние инцидента лишь на интегрирующие Drift с Salesforce организации.
В сотрудничестве с Salesforce представители Salesloft отозвали токены для Drift 20 августа.
Таким образом, для повторной активации интеграции все соединения Drift-Salesforce необходимо будет повторно аутентифицировать.
Как отмечает Salesloft, инцидент не затронул клиентов, которые не используют интеграцию Drift-Salesforce.
Согласно результатам расследования, свидетельств продолжающейся вредоносной активности, связанной с этим инцидентом, в Salesloft не заметили.
По данным GTIG, в результате этих атак пострадали сотни организаций, но в Salesforce утверждают, что хакеры получили доступ лишь к небольшому количеству экземпляров через подключение Drift к платформе (который уже удален из AppExchange).
GTIG предупреждает, что организациям, интегрирующим Drift с Salesforce, следует учитывать возможность компрометации данных Salesforce и советует выявлять признаки компрометации, а также заменять все учетные данные и секреты.
Sangoma FreePBX предупреждает об активно эксплуатируемой 0-day FreePBX, которая затрагивает системы с панелью управления администратора (ACP), доступные через Интернет.
FreePBX - это платформа Private Branch Exchange с открытым исходным кодом, созданная на основе Asterisk, широко используемая предприятиями, колл-центрами и поставщиками услуг по управлению голосовой связью.
Согласно сообщению группы безопасности Sangoma FreePBX, с 21 августа киберподполье начало пылесосить доступные в глобальной сети админские панелях FreePBX с использованием нуля.
К настоящему времени Sangoma FreePBX уже разобралась в проблеме и работает над исправлениями, которые будут развернуты в ближайшие 36 часов.
Пользователям рекомендуется ограничить доступ к FreePBX Administrator с помощью модуля брандмауэра,ограничив доступ только известными доверенными хостами.
Пока же команда разработчиков выпустила исправление модуля EDGE для тестирования, а полноценный стандартный выпуск запланирован на сегодня.
Также следует учесть, что существующие системы 16 и 17 могли быть затронуты, если в них был установлен модуль конечной точки и их страница входа в FreePBX Administrator была напрямую открыта в сети.
После вышедшего заявления Sangoma, достаточно большое число пользователей FreePBX стали сообщать о компрометации их серверов с помощью этой уязвимости.
При этом замеченный эксплойт, по сути, позволяет злоумышленнику выполнить любую команду, доступную пользователю Asterisk.
Пока в Sangoma не раскрывают подробности наблюдаемой кампании, но поделились МОК для определения того, был ли сервер взломан:
- Отсутствует или изменен файл конфигурации /etc/freepbx.conf.
- Наличие скрипта оболочки /var/www/html/.clean.sh. Предполагается, что он был загружен злоумышленниками.
- Подозрительные записи журнала Apache для modular.php.
- Необычные звонки на номер 9998 в журналах Asterisk начиная с 21 августа.
- Неавторизованные записи в таблице ampusers в MariaDB/MySQL, в частности поиск имени пользователя ampuser в крайнем левом столбце.
Если так случилось, что сервер был скомпрометирован, Sangoma рекомендует выполнить восстановление из резервных копий, созданных до 21 августа, развернуть исправленные модули на новых системах и провести ротацию всех системных и связанных с SIP учетных данных.
В общем, как отмечает разработчики, чьи интерфейсы FreePBX ACP открыты, уже могут быть скомпрометированы, так что администраторам настоятельно рекомендуется проверить свои установки и системы, пока не будет применено исправление.
Исследователи Positive Technologies опубликовали новый отчет с анализом недавнего штамма вредоносного ПО, используемого APT PhantomCore в атаках на российские организации.
Как отмечает исследователи, оперативный контроль активности PhantomCore, невзирая на эволюцию вредоносных инструментов, и принятые меры позволили в начале мая этого года обнаружить новую масштабную кампанию кибершпионажа на российском направлении.
В рамках исследования удалось установить ключевую инфраструктуру PhantomCore, изучить обновленный арсенал, в том числе ранее не встречавшиеся образцы собственной разработки, TTP и kill chain кибератак, а также идентифицировать жертв из числа российских организаций, корпоративные сети которых подверглись компрометации, и предотвратить реализацию недопустимых событий.
Кроме того, Позитивам удалось обнаружить ответвление группировки, не входящее в основное звено, состоящее из низкоквалифицированных специалистов.
Выявленная группа была организована в качестве собственного киберкриминального стартапа одним из членов основного костяка PhantomCore, имеющим доступ к исходникам кастомных инструментов.
В обвези всех деталей не пересказать - сморите все в отчете.
Исследователи из Positive Technologies представили подборку десятка самых распространенных семейств вредоносных ПО в 2024 и первом квартале 2025 года.
В основу легли результаты более глобального отчета по трендам в развитии вредоносного ПО и оценке его роли в кибератаках.
Итак, уверенное первое место досталось шпионскому трояну Snake Keylogger, который серьезно укрепил свои позиции за пару лет.
В сравнении с 2023 годом количество обнаружений увеличилось более чем в 30 раз.
Вероятно, это связано со сменой приоритетов злоумышленников с финансовой выгоды на получение доступа к данным.
Собратья из этой же категории Agent Tesla и FormBook, - обладатели второго и третьего мест.
Они остаются в числе наиболее распространенных в рассматриваемый период.
Во многом это объясняется простотой их использования злоумышленниками, широким набором функций и доступностью в дарквебе, в том числе по схеме MaaS.
Четвертое место занял вредонос, скрывающийся в файлах-картинках с помощью стеганографии - Steganoloader.
Впервые в топ-10 вошли вредонос для удаленного доступа DarkWatchman и модульный ботнет Prometei.
Занявший пятое место в позитивном хит-параде DarkWatchman представляет собой RAT, отличающийся бесфайловой архитектурой, конфигурацией, размещенной в реестре, и загрузкой из памяти, что делает его обнаружение и нейтрализацию достаточно сложной задачей.
Вредоносное ПО для удаленного администрирования Remcos заняло шестое место.
Он активно задействуется как в кибершпионаже, так и в финансово мотивированных атаках, поддерживая регистрацию пользовательского ввода, захват экрана, удаленное выполнение команд, извлечение паролей и многоуровневую антиотладку.
Седьмое место среди самых распространенных семейств вредоносного ПО занял загрузчик Emotet, старый знакомый для всех исследователей.
На восьмом месте - шпионская малварь Evilnum, нацеленная на финансовые компании и их клиентов.
Впервые в десятку забрался перспективный новичок Prometei - модульный ботнет, оснащенный широким спектром компонентов, которые он использует для заражения систем по всему миру, сбора учетных данных и майнинга криптовалюты.
Последние версии Prometei используют алгоритм генерации доменов DGA для создания инфраструктуры управления и контроля. Он также имеет механизм самообновления и расширенный набор команд для сбора конфиденциальных данных и захвата узлов.
Некоторые штаммы, популярные в 2023 году, покинули десятку - например, Lokibot и Donut.
Причины связаны как с нейтрализацией инфраструктуры отдельных вредоносов, так и с общим переходом атакующих на более продвинутые и менее заметные инструменты.
В результате анализа поведения ВПО установлено, что наибольшую популярность у атакующих набирают техники, связанные со сбором информации, шпионажем и маскировкой действий.
При этом чаще всего злоумышленники использовали его для захвата аудиопотока с микрофона, динамиков и других источников.
Причем в 2023 году техника Audio Capture не входила даже в топ-10 по популярности у злоумышленников.
Вероятно, интерес хакеров продиктован тем, что некоторые аудиоданные можно использовать в атаках с использованием методов социнженерии, например, для создания голосовых дипфейков.
Кроме того, киберпреступники все реже используют «шумные» методы закрепления в системе, предпочитая более скрытные: удаление журналов, временных файлов и других следов активности, а также манипуляции токенами доступа для повышения привилегий или выполнения действий от лица легитимного пользователя.
Чаще других жертвами атак с использованием вредоносного ПО становились госучреждения, предприятия промышленного сектора и ИТ-компании.
Интерес к первым связан с доступом к критически важным данным и системам, ко вторым - с возможностью нарушить технологические процессы, а к третьим - с перспективой компрометации цепочек поставок ПО.
Основным методом доставки вредоносов в атаках на организации по-прежнему остается электронная почта.
Исследователи Mandiant обнаружили вредоносную кампанию с использованием 0-day в устаревших развертываниях Sitecore для внедрения вредоносного ПО WeepSteel.
CVE-2025-53690 представляет собой уязвимость десериализации ViewState, вызванную включением образца ключа машины ASP.NET в руководства Sitecore до 2017 года.
Некоторые клиенты повторно использовали этот ключ в процессе производства, что позволило злоумышленникам, знающим ключ, создать вредоносные полезные данные _VIEWSTATE, которые обманным путем заставляли сервер десериализовать их и выполнять, что приводило к RCE.
Ошибка не является проблемой в самом ASP.NET, а связана с неправильной конфигурацией, возникшей из-за повторного использования публично документированных ключей, которые никогда не предназначались для использования в рабочей среде.
В Mandiant установили, что злоумышленники используют этот недостаток в многоэтапных атаках и нацелены на конечную точку /sitecore/blocked. aspx, которая содержит неаутентифицированное поле ViewState, выполняя RCE под учетной записью IIS NETWORK SERVICE благодаря CVE-2025-53690.
Вредоносная полезная нагрузка, которую они сбрасывают, - это WeepSteel, разведбэкдор, который собирает информацию о системе, процессах, дисках и сетях, маскируя ее утечку под стандартные ответы ViewState.
Mandiant наблюдал за выполнением разведкоманд в скомпрометированных средах, включая whoami, hostname, tasklist, ipconfig /all и netstat -ano.
На следующем этапе атаки хакеры задействовали Earthworm (сетевое туннелирование и обратный прокси-сервер SOCKS), Dwagent (инструмент удаленного доступа) и 7-Zip, который используется для создания архивов украденных данных.
Впоследствии они повысили свои привилегии, создав учетные записи локального администратора (asp$, sawadmin), выгрузив кэшированные учетные данные (улей SAM и SYSTEM) и попытавшись выдать себя за другого пользователя с помощью GoTokenTheft.
Устойчивость была реализована путем отключения срока действия паролей для этих учетных записей, предоставления им доступа по RDP и регистрации Dwagent в качестве службы SYSTEM.
CVE-2025-53690 влияет на Sitecore Experience Manager (XM), Experience Platform (XP), Experience Commerce (XC) и Managed Cloud до версии 9.0 при развертывании с использованием примера ключа машины ASP.NET, включенного в документацию до 2017 года.
При этом XM Cloud, Content Hub, CDP, Personalize, OrderCloud, Storefront, Send, Discover, Search и Commerce Server не затронуты.
Sitecore выкатила бюллетень совместно с отчетом Mandiant, в котором предупреждает, что многоэкземплярные развертывания со статическими машинными ключами также подвержены риску.
Рекомендуемые действия для потенциально затронутых администраторов - немедленно заменить все статические значения <machineKey> в web.config новыми уникальными ключами и убедиться, что элемент <machineKey> внутри web.config зашифрован.
В целом, рекомендуется регулярно проводить ротацию статических ключей в качестве постоянной меры безопасности. Более подробную информацию о том, как защитить машинные ключи ASP.NET от несанкционированного доступа, можно найти здесь.
Хакерская группа, предположительно стоящая за серией атак на цепочку поставок Salesforce, взяла на себя ответственность за произошедшую на этой неделе кибератаку на производителя автомобилей Jaguar Land Rover.
Речь идет о трио известных хакерских коллективов Scattered Spider, LAPSUS$, Shiny Hunters (или Scattered LAPSUS$ Hunters 4.0), которые заявляют о новых будущих атаках на британские компании, включая Vodafone и правительственный сектор.
Эта банда, выявленная исследователями угроз Google в июне под псевдонимом UNC6240, предположительно, несет ответственность за недавнюю волну атак на Salesforce, которые только за последнюю неделю затронули таких тяжеловесов в сфере инфобеза, как Palo Alto Networks, Cloudflare и Zscaler.
Безусловно, вся эта активность может быть лишь не более чем пиаром-ходом.
Тем не менее, как сообщает BBC, что на двух опубликованных хакерами изображениях явно видны внутренние инструкции по устранению неполадок с зарядкой автомобиля, а также журналы с хостов.
В ряде других публикаций, появившихся в среду, группа напрямую ссылалась на атаки Salesforce, подстебывая исследователей Mandiant (Google).
Продолжаем следить.
CheckPoint отмечает активное задействование возможностей новой платформы безопасности на базе ИИ под названием HexStrike-AI для эксплуатации недавно обнаруженных n-day в реальных атаках.
Исследователи заметили соответствующие обсуждения в даркнете вокруг HexStrike-AI, связанные с нацеливанием на недавно обнаруженные уязвимости Citrix - CVE-2025-7775, CVE-2025-7776 и CVE-2025-8424.
Причем, по данным ShadowServer Foundation, около 8000 конечных точек остаются уязвимыми к CVE-2025-7775, что меньше, чем 28 000 на предыдущей неделе.
HexStrike-AI - это легитимный инструмент Red Teaming, созданный исследователем Мухаммадом Усамой, который позволяет интегрировать агентов ИИ для автономного запуска более 150 инструментов автоматизированного тестирования на проникновение и обнаружения уязвимостей.
Сервис взаимодействует с человеком через внешние LLM посредством MCP, создавая непрерывный цикл подсказок, анализа, выполнения и обратной связи.
Клиент HexStrike-AI использует логику повторных попыток и механизм восстановления для смягчения последствий сбоев на любом этапе сложных операций, автоматически повторяя попытки или корректируя свою конфигурацию до успешного завершения операции.
Инструмент находится в открытом доступе и доступен на GitHub уже месяц, где успел собрать 1800 звезд и более 400 форков. Но, к сожалению, он также привлек внимание хакеров, которые начали использовать его в своих атаках.
По данным CheckPoint, уже через несколько часов после раскрытия 0-day Citrix NetScaler ADC и Gateway в киберподполье начали кумекать, как развернуть HexStrike-AI для эксплуатации упомянутых уязвимостей.
Злоумышленники использовали HexStrike-AI для неавторизованного RCE через CVE-2025-7775, а затем размещали веб-оболочки на скомпрометированных устройствах, а в ряде случаев сразу выставляли скомпрометированные экземпляры NetScaler на продажу.
CheckPoint полагают, что злоумышленники, скорее всего, применили новую платформу, чтобы автоматизировать свою цепочку заражения, сканируя уязвимые экземпляры, создавая эксплойты, доставляя полезные данные и поддерживая устойчивость.
При этом фактически фигурирование HexStrike-AI в этих атаках пока не подтверждено, такой уровень автоматизации может сократить время эксплуатации уязвимости n-day с нескольких дней до нескольких минут.
Новый тренд с внедрением фреймворков атак на базе ИИ меняет привычную парадигму в области безопасности, оставляя системным администраторам все времени между раскрытием информации и массовой эксплуатацией.
Так, по мнению ресерчеров, учитывая, что CVE-2025-7775 уже эксплуатируется в реальных условиях, с появлением Hexstrike-AI количество атак в ближайшие дни будет возрастать.
В общем, будем посмотреть.
Jaguar Land Rover (JLR) пала под ударом хакеров, кибератака привела к отключению инфраструктуры компании и сбоям в работе.
По всей видимости, инцидент оказал существенное влияние на автопроизводителя, который теперь вынуждено ушел в простой и приостановил производственные процессы.
Как отмечают в Jaguar Land Rover, на данном этапе нет никаких доказательств кражи каких-либо данных клиентов, но розничная и производственная деятельность серьезно пострадала.
В JLR сейчас активно ведут работу по перезапуску глобальных приложений.
Jaguar Land Rover функционирует как единая компания под управлением Tata Motors India после того, как обе компании были приобретены у Ford в 2008 году.
Имея годовой доход более 38 млрд. долл. (29 млрд. фунтов стерлингов), компания ежегодно производит более 400 000 автомобилей и насчитывает 39 000 сотрудников.
Первые сообщения о серьезных перебоях в работе JLR поступили от дилеров в Великобритании, которые не смогли регистрировать новые автомобили или поставлять детали в сервисные центры.
Отвечая на запросы журналистов, JLR заявила, что на выходных произошла атака, которая вынудила ее отключить несколько систем, в том числе те, которые использовались на производственном предприятии в Солихалле, где производятся Land Rover Discovery, Range Rover и Range Rover Sport.
В компании пока не готовы назвать сроки перехода к нормальному режиму работы и тем более раскрывать какие-либо подробности инцидента.
На данный момент ни одна из банд вымогателей не взяла на себя ответственность за атаку на JLR.
Так что будем следить.
Cloudflare ставит новый рекорд, заблокировав крупнейшую объемную распределенную DDoS-атаку, мощность которой достигла 11,5 терабит в секунду (Тбит/с).
Предыдущий максимальный показатель составлял 7,3 Тбит/с, атаки была направлена на неназванного хостинг-провайдера.
Атака UDP-флуда мощностью 11,5 Тбит/с длилась около 35 секунд и исходила, в первую очередь из Google Cloud, позже компания добавила, что «атака на самом деле исходила от комбинации нескольких поставщиков услуг Интернета вещей и облачных сервисов».
Наряду с отчетом по отражению атак рекордсмен признался, что стал жертвой недавней серии взломов Salesloft Drift, которые стали частью атаки на цепочку поставок, раскрытой на прошлой неделе.
Интернет-гигант сообщил, что злоумышленники получили доступ к экземпляру Salesforce, который он использует для внутреннего управления обращениями клиентов и поддержки клиентов, и который содержал 104 токена API Cloudflare.
Cloudflare узнала о взломе 23 августа, а 2 сентября она оповестила пострадавших клиентов об инциденте.
Перед этим компания также провела ротацию всех 104 токенов, выпущенных платформой Cloudflare и похищенных во время взлома, хотя ей пока не удалось обнаружить никакой подозрительной активности, связанной с этими токенами.
Большая часть этой информации представляет собой контактную информацию клиентов и основные данные обращений в службу поддержки, но некоторые взаимодействия со службой поддержки клиентов могут раскрывать информацию о конфигурации клиента и могут содержать конфиденциальную информацию, такую как токены доступа.
Расследование показало, что злоумышленники украли только текст, содержащийся в объектах дела Salesforce (включая обращения в службу поддержки клиентов и связанные с ними данные, но не вложения) в период с 12 по 17 августа, после первоначального этапа разведки 9 августа.
В Cloudflare полагают, что инцидент не был единичным случаем, а злоумышленники намеревались собрать учетные данные и информацию о клиентах для будущих атак.
Теперь в списке пострадавших ИБ-компаний: Cloudflare, Zscaler, Palo Alto Networks, Tanium, SpyCloud и Tanium, а также SaaS-платформы PagerDuty и Exclaimer, а также облачная платформа Cloudinary.
Astrix Security также пострадала, но хакеры использовали другую интеграцию для доступа к ее учетной записи Google Workspace.
И все это лишь первые подтвержденные вторжения. Ожидается, что инцидент Salesloft будет иметь гораздо более серьезные последствия.
И в дополнение к предыдущему, Palo Alto Networks тоже столкнулась с утечкой данных, в результате которой были раскрыты данные клиентов и обращения в службу поддержки
И, как с другими жертвами, доступ к ее экземпляру Salesforce был получен после того, как злоумышленники воспользовались скомпрометированными токенами OAuth, полученными в результате взлома Salesloft Drift.
В результате взлома была раскрыта конфиденциальная информация, такая как ИТ-данные и пароли, передаваемые в службах поддержки.
Palo Alto также подтвердила, что инцидент ограничился ее CRM-системой Salesforce и не затронул какие-либо продукты, системы или услуги.
Palo Alto Networks сообщает, что злоумышленники искали секреты, включая ключи доступа AWS (AKIA), токены Snowflake, строки входа VPN и SSO, а также общие ключевые слова, такие как «пароль», «секрет» или «ключ».
Злоумышленники использовали автоматизированные инструменты для кражи данных, а строки пользовательского агента указывают на то, что использовались специальные инструменты Python. Чтобы избежать обнаружения, удалили журналы и использовали Tor.
Кто еще, признавайтесь.
❗️Две опасные уязвимости в 📲Whatsapp принуждают пользователей откатить 🍏айфон к заводским настройкам
Как сообщалось ранее, атака ❗️«zero-click» (CVE-2025-55177) позволяла злоумышленникам (которым не требовалось быть в списке контактов жертвы) добиться того, чтобы WhatsApp на устройстве жертвы обрабатывал контент с произвольного URL-адреса. Нашли уязвимость WhatsApp Security Team.
Уязвимость связана с механизмом обработки сообщений для синхронизации привязанных устройств (linked device synchronization messages).
🗳Сама по себе уязвимость CVE-2025-55177 была лишь средством доставки.
🕷Для взлома устройства и кражи данных уязвимость эксплуатировалась в связке с другой — CVE-2025-43300.
Уязвимость Apple связана с системной библиотекой обработки изображений (ImageIO). Когда WhatsApp по команде злоумышленника обрабатывал вредоносное изображение, то срабатывала уязвимость в iOS, которая приводит к компрометации устройства.
В официальном бюллетене Apple подчеркивается, что уязвимость использовали в «чрезвычайно сложной атаке против конкретных лиц».
Именно сочетание CVE-2025-55177 и CVE-2025-43300 создавало эксплойт-цепочку для незаметного взлома устройств Apple через WhatsApp.
✋WhatsApp сообщил, что отправил уведомления с предупреждением пользователям, которые могли стать целью вредоносной киберкампании. По имеющимся данным, таких пользователей менее 200 человек.
Представитель WhatsApp отказалась комментировать, есть ли у компании данные атрибуции по атаке. Пока неизвестно ничего про конкретного про разработчика шпионского ПО или государство, которое может стоять за этой атакой.
Аналитики в сфере кибербезопасности отмечают явные признаки, указывающие на использование высокотехнологичного шпионского ПО (уровня 🇮🇱NSO Group, Cytrox, Candiru и др.), учитывая сложность цепочки эксплойтов и характер целей.
👆Пострадавшим настоятельно ⚙️рекомендуется выполнить полный сброс устройства до заводских настроек и после обязательно обновить ОС до последней версии, включая само приложение Whatsapp.
--------------------------
Похоже, что ещё одна CVE на подходе...
Неделю назад я сообщил об уязвимости в Meta*, которая может позволить злоумышленникам узнать данные устройств любых пользователей WhatsApp.
Межсетевые экраны Cisco ASA стали целями масштабной скоординированной вредоносной Nadsec/honeypot-report-a-coordinated-reconnaissance-wave-against-cisco-asa-appliances-ddc49b6664ae">кампанииNadsec/honeypot-report-a-coordinated-reconnaissance-wave-against-cisco-asa-appliances-ddc49b6664ae">.
Анализ полезной нагрузки указывает на то, что выявленная активность носила разведывательный характер, попытки эксплуатации не предпринимались.
Пик сканирований пришелся на прошлый четверг, 28 августа, достигнув трафика в более чем 200 000 обращений к ханипотам.
Кампания достигла своего пика 28 августа. Хирургически точно спланированная интенсивная волна сканирований длилась около 20 часов и сгенерировала почти 200 000 событий с 342 уникальных IP-адресов.
Характеристики наблюдавшейся фазы однозначно указывают на централизованно управляемую, автоматизированную операцию, нацеленную на обнаружение как новых, так и старых уязвимостей ASA.
При этом большая часть обращений исходила из трёх ASN. Кампания практически полностью осуществлялась через тесно связанную группу «пуленепробиваемых» хостинг-провайдеров.
Злоумышленники не просто распыляли трафик - они тщательно сканировали устройства ASA и классифицировали согласно их по потенциальной возможности эксплуатации.
После 20-часовой волны трафик быстро снизился до уровня, близкого к исходному. Вероятно, инициаторы получили необходимые данные и прекратили атаку. Во всяком случае, на этом этапе, но продолжение, очевидно, следует…
😈 Исследование теневых ресурсов.
• Будет что почитать сегодня вечером: BI.ZONE выкатили новое исследование "Threat Zone 2025", в рамках которого представили подробный анализ теневых ресурсов.
• Эксперты изучили десятки форумов и телеграм-каналов, проанализировали объявления о продаже распространенного вредоносного ПО (ВПО) и эксплоитов к уязвимостям. Также были выявлены активные продажи баз данных и доступов к российским организациям.
• В общем и целом, из исследования вы узнаете о ключевых тенденциях теневого рынка, реальных примерах угроз и прогнозы развития дарквеб-ландшафта! Качаем по ссылке ниже:
➡ https://bi.zone/upload/2025
S.E. ▪️ infosec.work ▪️ VT
Google сообщает, что утечка Salesloft Drift оказалась масштабнее, чем предполагалось изначально.
Злоумышленники использовали украденные токены OAuth для доступа к учетным записям электронной почты Google Workspace, а также похитили данные из экземпляров Salesforce.
Согласно обновленным данным GTIG, данная уязвимость не ограничивается интеграцией Salesforce с Salesloft Drift и влияет также на другие.
В Google рекомендуют всем клиентам Salesloft Drift рассматривать любые токены аутентификации, хранящиеся на платформе Drift или подключенные к ней, как потенциально скомпрометированные.
Отслеживаемая GTIG (Mandiant) как UNC6395 кампания была впервые раскрыта 26 августа после того, как злоумышленники похитили токены OAuth для интеграции чата Drift AI компании Salesloft с Salesforce.
Хакеры использовали эти токены для получения доступа к экземплярам Salesforce клиентов, где выполняли запросы к объектам Salesforce, включая таблицы «кейсы», «учетные записи», «пользователи» и «возможности».
Эти данные позволили злоумышленникам сосканить обращения и сообщения в службе поддержки клиентов на предмет конфиденциальной информации, включая ключи доступа AWS, токены Snowflake и пароли, которые можно было бы использовать для взлома других облачных акаунтов, вероятно, с целью последующего вымогательства.
В опубликованном сообщений Google подтвердила, что взлом оказался более серьезным и не ограничился интеграцией с Salesforce.
Расследование показало, что токены OAuth для интеграции Drift Email также были скомпрометированы, а 9 августа злоумышленники использовали их для доступа к электронной почте «очень небольшого числа» учетных записей Google Workspace, которые были напрямую интегрированы с Drift.
Google подчеркнула, что никакие другие учетные записи в этих доменах не пострадали, Google Workspace или Alphabet не были затронуты.
Украденные токены были отозваны, клиентов соответственно уведомили. Google также отключила интеграцию между электронной почтой Salesloft Drift и Google Workspace на время расследования инцидента.
Google настоятельно рекомендует всем использующим Drift считать все токены аутентификации, хранящиеся на платформе или подключенные к ней, скомпрометированными.
Клиентам стоит отзывать и ротировать учетные данные для этих приложений, а также проверять все подключенные системы на наличие признаков несанкционированного доступа.
Google также рекомендует проверить все сторонние интеграции, связанные с экземплярами Drift, поискать раскрытые секреты и сбросить любые найденные учетные данные в случае, если они были скомпрометированы.
Salesloft также обновила рекомендации 28 августа, заявив, что Salesforce отключила интеграцию Drift с Salesforce, Slack и Pardot до завершения расследования.
Реализована первая успешная атака на цепочку поставок с использованием ИИ, нацеленную на разработчиков JavaScript, работающих с популярной системой сборки Nx с открытым исходным кодом, которая имеет более чем 4 млн. загрузок еженедельно.
В рамках недавно обнаруженной атаки, получившей название s1ngularity, хакеры украли токен Nx NPM, позволяющий им публиковать вредоносные версии пакета в реестре.
Как объясняют разработчики Nx, в основе атаки лежал уязвимый рабочий процесс, представленный 21 августа, который можно было использовать для внедрения кода.
Несмотря на то, что ошибка была устранена в основной ветке почти сразу после того, как была обнаружена возможность ее вредоносной эксплуатации, злоумышленник использовал ее в запросе на включение изменений в репозиторий nrwl/nx, нацелившись на устаревшую ветку, чтобы украсть GITHUB_TOKEN, имеющий разрешения на чтение и запись в репозитории.
Затем GITHUB_TOKEN использовался для запуска рабочего процесса publish.yml, содержащего токен NPM, используемый для публикации нескольких вредоносных версий Nx и поддерживающих пакетов плагинов.
Причем пользователи расширения Nx Console IDE также пострадали, даже если у них не было рабочих пространств с Nx.
В период с 18:32 до 20:37 по восточному времени 26 августа было опубликовано восемь вредоносных версий Nx. Они были удалены в 22:44, а все токены NPM с разрешениями на публикацию были отозваны в 23:57.
Как отмечают разработчики, спустя несколько часов все пакеты NPM в Nx стали требовать 2Fa и больше не могли публиковаться с токенами NPM. Во всех пакетах NPM также был реализован новый механизм доверенного издателя, который не использует токены NPM.
Wiz отмечает, что Nx 21.5.0, 20.9.0, 21.6.0, 20.10.0, 21.7.0, 20.11.0, 21.8.0 и 20.12.0 были упакованы скриптом, который запускал вредоносный файл telemetry.js в системах Linux и macOS.
Полезная нагрузка была разработана для систематического поиска в системах конфиденциальных файлов и переменных среды, содержащих ключи SSH, токены NPM и GitHub, ключи API и данные криптовалютных кошельков.
Все найденные данные были закодированы и записаны в файл.
Вредоносный код также использовал API GitHub для создания нового публичного репозитория в учетной записи GitHub зараженного пользователя и загрузки файла со всеми украденными данными.
Все публичные репозитории GitHub, содержащие украденные данные, использовали один и тот же префикс s1ngularity-repository-, что позволяло легко обнаружить их на GitHub.
Вероятно, именно таким образом злоумышленник собрал украденные данные, не используя сторонний сервер.
Кроме того, код был также адаптирован для его задействования в отношении таких инструментов ИИ, как Claude и Gemini, для разведки и кражи данных.
В свою очередь, GitGuardian отметили, что вредоносная ПО также наносила ущерб, изменяя файлы запуска оболочки пользователя, добавляя команды завершения работы, которые приводили к сбою систем при открытии новых сеансов терминала.
По данным GitGuardian, хакерам удалось похитить 2349 различных секретов из 1079 репозиториев, выявленных 27 августа. На пике атаки почти 1400 таких репозиториев были общедоступны.
Среди разнообразных утекших данных Wiz обнаружила более тысячи действительных токенов Github, десятки действительных облачных учётных данных и токенов NPM, а также около двадцати тысяч украденных файлов.
Во многих случаях вредоносное ПО, по-видимому, запускалось на компьютерах разработчиков, часто через расширение NX VSCode.
Также наблюдались случаи, когда вредоносное ПО запускалось в конвейерах сборки, таких как Github Actions.
По мнению StepSecurity, это первый известный случай, когда злоумышленники превратили ИИ-помощников разработчиков в инструменты для эксплуатации цепочек поставок.
Один из крупнейших IT-поставщиков в Швеции с охватом примерно 80% муниципальных систем - Miljödata, стал жертвой кибератаки, которая к сбоям в работе в более чем 200 регионах страны.
Причем, как отмечается, помимо перебоев в работе сервисов, существуют серьезные опасения относительно того, что злоумышленники также могли похитиьб конфиденциальные данные.
Местные журналисты сообщают, что злоумышленник потребовал от Miljödata выкуп в размере 1,5 биткоинов (что на данный момент составляет около 168 000 долл.) в обмен на отказ от раскрытия украденной информации.
Miljödata - шведская компания-разработчик ПО, которая создает и реализует системы управления рабочей средой и персоналом для муниципалитетов, регионов и крупных организаций.
Его системы используются большинством муниципалитетов Швеции для обработки медицинских сведений, страховых случаев, отчетов об инцидентах и производственной среде, а также для систематического управления производственной средой (SAM).
Атака произошла на выходных, после чего 25 августа гендиректор Miljödata Эрик Халлен официально подтвердил инцидент с пострадавшими более 200 местными муниципалитетами.
Соответствующие объявления об инцидентах фиксировались в регионе Халланд, а также в Готланде с предупреждением о том, что конфиденциальные персональные данные граждан могли быть раскрыты.
Среди других муниципалитетов, о которых сообщали шведские СМИ, - Шеллефтео, Кальмар, Карлстад и Мёнстерос.
Министр гражданской обороны Швеции Карл-Оскар Болин заявил в эфире телевидения, что к настоящему времени совместно с CERT-SE проводится оценка ушерба, к расследованию привлечены спецслужбы.
Реальные масштабы инцидента пока не установлены, так что и о последствиях пока рано говорить.
При этом и ни одна из хакерских групп публично не взяла на себя ответственность за атаку на Miljödata.
В настоящее время сайт компании недоступен, как и сервисы электронной почты.
Как быстро удастся управиться властям Швеции и каковы в реальности последствия еще увидим. Так что будем следить.
Более 28 200 экземпляров Citrix подвержены критической RCE-уязвимости, отлеживаемой как CVE-2025-7775, которая уже активно эксплуатируется, о чем мы ранее сообщали.
Уязвимость затрагивает NetScaler ADC и NetScaler Gateway, поставщик устранил ее в выпущенных на днях обновлениях.
По данным CISA и Citrix уязвимость безопасности активно использовалась как 0-day.
Среди уязвимых для CVE-2025-7775 версий: 14.1 до 14.1-47.48, 13.1 до 13.1-59.22, 13.1-FIPS/NDcPP до 13.1-37.241-FIPS/NDcPP и 12.1-FIPS/NDcPP до 12.1-55.330-FIPS/NDcPP.
Обходных путей для CVE-2025-7775 не существует, единственное решение - обновление прошивки.
Традиционно о новой атаке на цепочку мудаков становится известно от The Shadowserver Foundation, которая задетектила в сети более 28 000 экземпляров Citrix, которые остаются уязвимы к CVE-2025-7775.
Большинство - в США (10 100), далее Германия (4 300), Великобритания (1 400), Нидерланды (1 300), Швейцария (1 300), Австралия (880), Канада (820) и Франция (600).
В России - немного, но тоже есть (193).
К настоящему времени Citrix не предоставила никаких IOCs, связанных с эксплуатацией уязвимости.
Однако поставщик указывает, что CVE-2025-7775 влияет на NetScaler при его настройке в качестве виртуального сервера Gateway/AAA (VPN, ICA Proxy, CVPN, RDP Proxy), виртуальных серверов LB (HTTP/SSL/HTTP_QUIC), привязанных к службам IPv6 или DBS IPv6, или в качестве виртуального сервера CR с типом HDX.
В любом случае администраторам рекомендуется выполнить обновление до: 14.1-47.48, 13.1-59.22, 13.1-FIPS / 13.1-NDcPP 13.1-37.241, 12.1-FIPS / 12.1-NDcPP 12.1-55.330 или более поздние версии.
Citrix также раскрыла в своем бюллетене две другие серьезные уязвимости: CVE-2025-7776 (DoS из-за переполнения памяти) и CVE-2025-8424 (неправильный контроль доступа в интерфейсе управления).
При этом версии 12.1 и 13.0 (не FIPS/NDcPP) также уязвимы; однако они достигли статуса EoL, поэтому клиентам необходимо обновиться до поддерживаемой версии.
Исследователи из Лаборатории Касперского продолжают готовить аналитику по уязвимостям, представив соответствующий отчет за 2 квартал 2025 года.
Регистрация уязвимостям во втором квартале 2025 года оказалась весьма динамичной.
Опубликованные ошибки затрагивают безопасность практически всех подсистем компьютера: UEFI, драйверов, операционных систем, браузеров, а также пользовательских и веб-приложений.
Согласно нашему анализу, злоумышленники, как и в предыдущие периоды, продолжают использовать уязвимости в реальных атаках для получения доступа к пользовательским системам.
Во втором квартале 2025 года, как и прежде, наиболее распространенными атаками были уязвимые продукты Microsoft Office, содержащие неисправленные уязвимости безопасности.
Решения Лаборатории Касперского позволили задетектить наибольшее количество эксплойтов на платформе Windows для следующих уязвимостей: CVE-2018-0802 (RCEв компоненте Equation Editor), CVE-2017-11882 (еще одна RCE в редакторе формул), CVE-2017-0199 (уязвимость в Microsoft Office и WordPad, позволяющая злоумышленнику получить контроль над системой).
Далее следуют не менее популярные уязвимости в WinRAR и эксплойты для кражи учётных данных NetNTLM в операционной системе Windows: CVE-2023-38831 (уязвимость в WinRAR), CVE-2025-24071 (уязвимость проводника Windows) и CVE-2024-35250 (уязвимость в ks.sys).
Для операционной системы Linux наиболее часто фиксировались эксплойты для следующих уязвимостей: CVE-2022-0847 (также известная как Dirty Pipe), CVE-2019-13272 (EoP-уязвимость, вызванная неправильной обработкой наследования привилегий) и CVE-2021-22555 (уязвимость переполнения кучи в подсистеме ядра Netfilter).
Во втором квартале 2025 года мы отметили, что распределение опубликованных эксплойтов по типам программного обеспечения продолжило тенденции прошлого года.
Кроме того, в отчете также описываются известные уязвимости, использованные в популярных фреймворках C2 (Sliver, Metasploit, Havoc и Brute Ratel C4) в первой половине 2025 года.
После изучения открытых источников и анализа вредоносных образцов агентов C2, в ЛК отметили в APT-атаках с участием упомянутых выше фреймворков C2 использовались следующие уязвимости:
- CVE-2025-31324 в SAP NetWeaver Visual Composer Metadata Uploader: позволяет удаленное выполнение кода и имеет оценку CVSS 10,0.
- CVE-2024-1709 в ConnectWise ScreenConnect 23.9.7: может привести к обходу аутентификации, также имеет оценку CVSS 10,0.
- CVE-2024-31839, XSS-уязвимость в инструменте удаленного администрирования CHAOS v5.0.1: приводит к EoP.
- CVE-2024-30850, RCE-уязвимость в CHAOS v5.0.1: позволяет обойти аутентификацию.
- CVE-2025-33053: уязвимость, вызванная неправильной обработкой параметров рабочего каталога для LNK-файлов в Windows: приводит к удаленному выполнению кода.
Четкая инфографика, квартальный TOP 10 уязвимостей и разбор наиболее значимых проблем, опубликованных во втором квартале 2025 года - в отчете.
