39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Jaguar Land Rover (JLR) опубликовала финансовые результаты за период с 1 июля по 30 сентября, отмечая, что ущерб от недавней кибератаки за квартал составил 196 миллионов фунтов стерлингов (220 миллионов долларов США).
Официальное заявление в отношении кибератаке состоялось 2 сентября 2025 года, что вынудило британского автопроизводителя остановить производство на основных заводах и отправить сотрудников домой.
В последующем заявлении Jaguar Land Rover подтвердила кражу данных, о которой заявили взявшие на себя ответственность участники хакерского коллектива Scattered Lapsus$ Hunters.
Перебои в работе продолжались в течение нескольких недель, создавая нагрузку на финансовое положение как самой компании, так и некоторых ее поставщиков в цепочке поставок, которые столкнулись с серьезными проблемами ликвидности и откровенным банкротством.
Все пришло к тому, что 29 сентября 2025 года правительство Великобритании было вынуждено вмешаться в ситуацию для спасения JLR, выдав гарантии по кредиту в размере 1,5 млрд. фунтов стерлингов для восстановления цепочки поставок и скорейшего возобновления производства.
Судя по опубликованным JLR финансовым результатам, кибератака с последующей остановкой производства и сбоями в продажах достаточно серьезно ударила по доходной части компании.
Критичное падение показателей также подтверждает Банк Англии уже в своем отчете по денежно-кредитной политике, который был опубликован ранее на этой неделе.
Финансисты отметили, что ВВП страны в третьем квартале 2025 года оказался «слабее» ожиданий, назвав кибератаку на Jaguar Land Rover одной из основных причин.
Несмотря на все это, JLR рапортовала, что ее деятельность в настоящее время стабилизировалась, включая продажную сеть, логистику запчастей и контрактование поставщиков.
При этом объемы инвестиций под сокращение попали и останутся на прежнем уровне.
Но будем посмотреть.
VulnCheck задетектила широкомасштабную эксплуатацию недавней критической уязвимости XWiki, которая началась в течение двух недель после того, как ошибка была обнаружена.
Уязвимость отслеживается как CVE-2025-24893 (CVSS 9,8) и была обнаружена в мае 2024 года и исправлена в июне 2024 года, но идентификатор CVE ей был присвоен только в начале 2025 года, после того как техническая информация стала общедоступной.
Ошибка обусловлена тем, что в версиях XWiki до 15.10.11, 16.4.1 и 16.5.0RC1 вводимые пользователем данные для функции поиска неправильно очищаются, позволяя удаленно реализовать RCE без аутентификации с помощью специально созданных запросов к конечной точке поиска.
При этом PoC для этой CVE-2025-24893 стал доступен с начала 2025 года, когда исследователи заметили, что ошибка использовалась в разведывательных целях, но ее реальная эксплуатация началась только в прошлом месяце.
В конце октября VulnCheck предупредила, что злоумышленник использует уязвимость CVE-2025-24893 для майнинга крипты, а спустя два дня американская CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей (KEV).
По данным VulnCheck, вредоносная активность, нацеленная на уязвимые серверы XWiki, значительно усилилась, поскольку ошибка теперь задейстсвуется в кампаниях одновременно разными злоумышленниками.
Наблюдался всплеск попыток эксплуатации уязвимостей, достигший нового максимума 7 ноября, за которым последовал еще один всплеск 11 ноября. Это указывает на более масштабную активность сканирования, вероятно, вызванную участием нескольких злоумышленников.
В частности, эксплойт для CVE был добавлен инструментарии боднет RondoDox, так что начиная с 3 ноября уязвимость стала активно использоваться его операторами в атаках.
RondoDox - ботнет, который быстро добавляет новые векторы эксплуатации, объединяя уязвимые устройства в ботнет для проведения распределенных атак типа DDoS с использованием протоколов HTTP, UDP и TCP.
С 7 ноября уязвимость начала применяться в другой кампании, связанной с майнингом, в то время как - предыдущий эксплуататор предпринял меры по расширению своих атак, добавив дополнительные сервера для размещения полезной нагрузки.
VulnCheck также зафиксировала атаки, в которых IP-адрес, связанный с AWS, без истории злоупотреблений, использовался «для создания обратного шелла к самому себе с помощью двоичного файла BusyBox nc», вероятно, в рамках целенаправленной атаки.
Вообще, веб-шеллы на уязвимых серверах XWiki пытались устанавливать и другие злоумышленники.
Кроме того, VulnCheck зафиксировала массовые сканирования уязвимых серверов со стороны различных субъектов угроз, в том числе с использованием шаблонов Nuclei.
Исследователи Лаборатории Касперского раскрыли неожиданные артефакты в недавней кампании GoRed (v1.1.5-34ab), обнаруженной весной 2025 года.
Впервые задокументированный еще в 2024 году GoRed, также известный как Bulldog Backdoor, представляет собой вредоносное ПО для кибершпионажа.
Функциональность подробно описана в исследовании Positive Technologies.
Бэкдор появился в 2023 году, написан на Golang и является продвинутым инструментом, который постоянно модифицируется и улучшается.
Ряд ИБ-компании приписывают его группам ExCobalt и Shedding Zmiy. В свою очередь, в ЛК отслеживают эту активность как Red Likho.
Бэкдор GoRed нацелен, в первую очередь, на российские организации из разных отраслей, включая ИТ, производство, автомобилестроение, энергетику.
GoRed обладает расширенной конфигурацией, описывающей коммуникацию с C2, и поддерживает режимы маяка, прокси-сервера и обратной оболочки для подключений операторов.
Для связи использует несколько протоколов, включая DNS, ICMP, QUIC и WebSocket Secure (WSS).
В ходе анализа новой кампании и последующих атак операторов GoRed исследователям удалось задетектить ряд новых TTPs, инструментов и объектов инфраструктуры.
В частности, выявлены ранее неописанные вектор заражения и метод доставки вредоносного ПО, а также новые C2 и версии бэкдора, профильтрованные, прежде всего, на компании в сфере разработки ПО, а значит и на цепочки поставок.
В одном из недавних инцидентов атакующие скомпрометировали публичный веб-портал и, используя ошибки конфигурации в PostgreSQL, смогли удаленно выполнить команды. Такой вектор заражения ранее не встречался в атаках с GoRed.
Сначала злоумышленники получили список запущенных на хосте процессов, после чего выполнили обфусцированную команду, которая загрузила на этот хост бэкдор GoRed, который затем запускали его вручную.
Помимо компрометации веб-портала жертвы, злоумышленники получали первоначальный доступ, эксплуатируя цепочку уязвимостей ProxyShell в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).
Получив повышенные права, злоумышленники загружали вредоносный веб-шелл (.aspx) в корневой каталог сервера Exchange. С помощью него проводили первоначальную разведку, а затем через него же загружали GoRed.
После установки GoRed операторы запрашивали различные данные о системе, выполняли простые для обнаружения команды для получения учетных данных, а также использовали бэкдор для развертывания Cobalt Strike.
Большинство образцов Cobalt Strike представляли собой троянизированные версии легитимных инструментов Sysinternals, а именно Sysmon и Process Explorer.
Также ресерчерам ЛК удалось задетектить несколько троянизированных инструментов Sysinternals, которые вместо Cobalt Strike загружали агент Tuoni - продвинутого C2-фреймворка, который появился в феврале 2024 года.
Он использовался для выполнения разведывательных команд.
Бэкдор GoRed обращался к C2-доменам, зарегистрированным через NameCheap, а также серверам CloudFlare и хостинг-провайдеров, в основном расположенных в России.
На этапе постэксплуатации злоумышленники использовали Leaked Wallpaper - инструмент повышения привилегий, позволяющий извлечь NetNTLM-хэш пользователя из любого сеанса на компьютере.
Примечательно, что арсенале атакующих отыскались инструменты другой группы, действующей на российском направлении, - BO Team.
Кроме того, одна из недавних жертв Red Likho упоминалась среди жертв BO Team в их Telegram-канале.
По всей видимости, две группы кооперируются или вовсе могли проводить совместные операции.
Учитывая, что BO Team известна сотрудничеством с другими хактивистами, атакующими Россию, включая Ukrainian Cyber Alliance, вполне вероятно, что группа обменивается опытом и инструментами и с Red Likho, или же это может быть совместная скоординированная операция.
Технические подробности и IOCs - в отчете.
Исследователи предупреждают, что уязвимость обхода пути Fortinet FortiWeb с общедоступным PoC активно эксплуатируется для создания новых административных пользователей на уязвимых устройствах без необходимости аутентификации.
Эксплуатация была впервые обнаружена компанией Defused 6 октября, которая сообщила о «неизвестном эксплойте Fortinet», используемом в отношении уязвимых устройств для создания учетных записей администраторов.
С тех пор число атак возросло, и злоумышленники теперь реализуют эту уязвимость по всему миру.
Согласно новому исследованию PwnDefend и Defused, уязвимость представляет собой проблему обхода пути, затрагивающую следующую конечную точку Fortinet: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi.
Злоумышленники отправляют по этому пути HTTP-запросы POST, содержащие полезную нагрузку, которая создает локальные учетные записи уровня администратора на целевом устройстве.
Эксплуатация, обнаруженная исследователями, включает в себя несколько наборов созданных комбинаций имён пользователей и паролей, в том числе: Testpoint, trader1 и trader.
Пароли, назначенные учётным записям, включают 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.
Атаки осуществлялись с широкого спектра IP-адресов: 107.152.41.19, 144.31.1.63, адреса в диапазоне 185.192.70.0/24 и 64.95.13.8 (из оригинального октябрьского отчета).
Исследователи из watchTowr Labs подтвердили наличие эксплойта, опубликовав на X видео с демонстрацией его работы и успешного входа в систему в качестве вновь созданного пользователя-администратора.
watchTowr также представила инструмент под названием FortiWeb Authentication Bypass Artifact Generator, укоторый призван помочь админам обнаружить уязвимые устройства.
Он пытается проэксплуатировать уязвимость, создавая пользователя-администратора с 8-символьным случайным именем пользователя, полученным из UUID.
По данным Rapid7, протестировавшей эксплойт в нескольких версиях, уязвимость затрагивает FortiWeb версии 8.0.1 и более ранние.
Уязвимость была исправлена в 8.0.2, которая, предположительно, вышла в конце октября.
Самое интересное, что не удалось найти никаких сведений об уязвимости FortiWeb на сайте PSIRT Fortinet, которые соответствовали бы той, которая эксплуатируется. В компании пока вообще не комментируют ситуацию.
Поскольку уязвимость, по всей видимости, активно эксплуатируется в реальных условиях, администраторам следует проверить свои устройства на наличие необычных административных учетных записей, проверить журналы на наличие запросов к пути fwbcgi и расследовать любую активность с выявленных подозрительных IP-адресов.
Администраторы также должны убедиться, что эти интерфейсы управления недоступны из Интернета, а подключение к ним разрешено только из доверенных сетей или через VPN.
Как и ожидалось, Европол и силовой блок более чем 30 стран нейтрализовали серверы, домены и Telegram-каналы трех вредоносных сервисов - инфокрада Rhadamanthys, VenomRAT и ботнета Elysium.
Силовики сообщают, что три вида вредоносного ПО заразили сотни тысяч пользователей и похитили миллионы учётных данных, которые впоследствии использовались для развертывания ransomware или кражи криптовалюты.
Новая волна атак на киберподполье стала частью операции Endgame - проекта Европола, который стартовал в 2023 году и нацелен на криминальную инфраструктуру, используемую для осуществления атак с целью вымогательства.
В общей сложности власти конфисковали 1025 серверов, 20 доменов и провели 11 обысков. Администратор VenomRAT также был арестован после рейда в Греции в начале этого месяца.
Новости о активности силовиков начали распространяться еще во вторник, когда ряд отраслевых специалистов заметили, что администратор Rhadamanthys уведомил всех своих клиентов о необходимости сворачивать все свои кампании в связи с утратой доступа к главной панели управления.
Из трех попавших под удар правоохранителей вредоносных операций Rhadamanthys оказалась, безусловно, самой серьезной реализацией.
Как уже отмечалось, сервис был запущен в декабре 2022 года как небольшой проект, но быстро превратился в масштабную MaaS, в рамках которой другие хакеры могли взять в аренду доступ к вредоносному ПО за довольно высокую плату в размере 300 долларов США в месяц и более.
Вредоносная ПО представляла собой сложный, эффективный и широко задействуемый киберподпольем код. Европол полагает, что её админ собрал достаточно большой объем данных, получив доступ к более чем 100 000 криптокошельков.
Силовики все эти собранные Rhadamanthys слили в politie.nl/checkyourhack и haveibeenpwned.com, где пользователи могут ознакомиться и понять, были ли их данные украдены в ходе атак с использованием инфокрада.
Обеспечившие техническую поддержку Endgame 3.0 ИБ-компании также выкатили собственные отчеты по результатам исследований в рамках отслеживания вредоносного ПО: Proofpoint по VenomRAT и Rhadamanthys, а также Shadowserver Foundation по Rhadamanthys (1, 2, 3 соответственно).
В ИБ как и в других сферах сильно влияет окружение, если вы талантливый, но вас никто не знает, намного сложнее достигать успеха.
Но как знакомиться с интересными и полезными людьми и при этом не нарушать личных границ. Команда из @CyberJobsRussia сделали некоммерческий проект HIVE - сервис, в котором вы можете удобно знакомиться с единомышленниками.
Как это работает:
• заходишь в HIVE;
• заполняешь короткий профиль: кто ты и кого ищешь;
• получаешь мэтчи.
DanaBot возвращается с обновленной версией, которая теперь задействуется в новых атаках спустя полугода после того, как инфраструктуру вредоносного ПО вынесли западные силовики в ходе операции Endgame.
По данным Zscaler ThreatLabz, новая версия 669 DanaBot обзавелась инфраструктурой C2 с использованием доменов Tor (.onion) и узлов «бэкконекта».
Исследователям Zscaler также удалось идентифицировать перечень ряда кроптоадресов, которые злоумышленники используют для реализации украденных средств в BTC, ETH, LTC и TRX.
Как известно, DanaBot был впервые обнаружен исследователями Proofpoint и предстоял собой банковский троян на базе Delphi, работающий в формате MaaS, который распространялся через электронную почту и вредоносную рекламу.
Впоследствии вредоносная ПО превратилась в модульный стилер и загрузчик, целями которого стали учетные данные и данные криптокошельков в браузерах.
Вредоносное ПО использовалось в многочисленных кампаниях, некоторые из которых были достаточно масштабными, периодически отсвечивая в атаках с 2021 года, но оставаясь при этом постоянной отлеживаемой угрозой.
В мае этого года в рамках международной операции правоохранителей под кодовым названием Endgame инфраструктура Danabot была нейтрализована, в результате чего деятельность ее операторов оказалась фактически парализована.
Однако, как мы и предполагали, Danabot вновь активизировался фазу с переработанной инфраструктурой. Правда, за время простоя, многие брокеры первоначального доступа (IAB) успели переключиться на другие вредоносные ПО.
Повторное появление DanaBot четко демонстрирует общую стратегию его операторов, нацеленных на финансовую прибыль и дальнейшее развитие, которое лишь не небольшой период силовикам удалось притормозить.
Типичные методы первоначального доступа, наблюдаемые при заражении DanaBot, остаются прежними: вредоносные электронные письма (через ссылки или вложения), SEO-заражение и кампании вредоносной рекламы. Некоторые из них привели к запуску ransomware.
Технические подробности и IoCs - в здесь.
Более 12 тысяч конфиденциальных документов китайской KnownSec слиты на прошлой неделе на GitHub неизвестным лицом, а затем удалены еще до широкой огласки.
Тем не менее, некоторым (Mrxn и NetAskari) удалось задетектить утечку и частично ознакомиться с ней.
Как сообщается, самые последние документы датированы 2023 годом, но, по всей видимости, более свежие файлы не были опубличены.
К настоящему времени неясно, является ли это намеренным сливом со стороны инсайдера или же результатом скоординированной деятельности с участием продвинутого актора, включая хактивистские группы или APT.
Но из увиденного стало понятно, что утечка KnownSec представляет собой настоящий Клондайк кибершпионажа.
Сама KnownSec широко известна среди западных исследователей благодаря своей поисковой системе ZoomEye для IoT, однако также является крупным киберподрядчиком для китайских военных и разведывательных служб.
Утечка, предположительно, включает подробные сведения о контрактах KnownSec с китайским правительством, разработанных хакерских инструментах и список целей, в отношении которых проводились разведывательные мероприятия.
Как отмечает NetAskari, так называемое «кибероружие», как его описывают в утечке, по всей видимости, представляет собой традиционные RAT, инструменты извлечения и анализа данных, которые правоохранительные органы, как правило, приобретают по всему миру.
Самая интересная часть утечки - это упомянутый «список целей», представляет собой электронную таблицу с названиями 80 организаций.
По данным NetAskari, утечка предполагает, что KnownSec также участвовала в картографировании цифровой инфраструктуры других стран, что обусловлено реализацией проекта ZoomEye, аналогично многим другим подобным системам: Shodan, Censys или BinaryEdge.
По данным StealthMole, KnownSec участвовала в картографировании интернет-инфраструктуры 28 стран.
Примечательно, что KnownSec, судя по всему, также собрала данные с наиболее «интересных» уязвимых серверов, которые он обнаружил в некоторых странах.
Как утруждается, сюда вошли 95 ГБ миграционных данных из Индии, 3 ТБ записей соединений южнокорейского оператора связи LG U-Plus, 459 ГБ данных в отношении дорожной сети Тайваня, пароли к тайваньским аккаунтам Yahoo, данные бразильских аккаунтов LinkedIn и всевозможные другие массивы с уязвимых серверов.
Как мы и предполагали, отработанный инструмент контролируемого «слива» продолжает работать, в данном случае, больше в политической плоскости, нежели в инфосеке, а усеченный формат и кратковременная подача с последующей интерпретацией только усиливает наметившуюся тенденцию.
Очевидно, что продолжение после предварительного прогрева определенно последует.
Подкатил ноябрьский PatchTuesday от Microsoft с исправлениями для 63 уязвимостей, включая одну активно эксплуатируемую 0-day, а также первое расширенное обновление безопасности (ESU) для Windows 10.
В PatchTuesday также исправлены пять критических уязвимостей, две из которых связаны с RCE, одна - с EoP, а четвертая - с раскрытием информации.
Общее распределение ошибок в каждой категории представлено следующим образом: 29 связаны с EoP, 2 - обходом функций безопасности, 16 - RCE, 11 - раскрытием информации, 3 - DoS и 2 - спуфингом.
Кроме того, также вышло внеочередное исправление для ошибки, которая вызывала сбои в процессе регистрации в программе ESU с расширенными обновлениями для Windows 10. Впрочем, удивляться не стоит, микромягкие традиционно в своем стиле.
Анонсированная активно эксплуатируемая 0-day затрагивает компонент ядра Windows и отслеживается как CVE-2025-62215 (CVSS 7.8), которая приводит к повышению привилегий.
Microsoft отмечает, что локальный злоумышленник, прошедший аутентификацию, может воспользоваться этой уязвимостью, реализовав состояние гонки, получая системные привилегии.
Корпорация приписала обнаружение этой уязвимости Microsoft MSTIC и MSRC, но не раскрыла, как именно она эксплуатировалась.
Исправленные критические уязвимости пометок об эксплуатации не имеют и включает в себя следующие:
- CVE-2025-60724 (CVSS 9,8): уязвимость связана с переполнением буфера кучи в компоненте Microsoft Graphics, что позволяет неавторизованному злоумышленнику выполнить код по сети. Она может быть активирована посредством специально созданного метафайла без взаимодействия с пользователем. Успешная эксплуатация этой уязвимости может привести к RCE или раскрытию информации.
- CVE‑2025‑30398 (CVSS 8,1 ): уязвимость раскрытия информации в Nuance PowerScribe 360, связанная с отсутствием авторизации, которая позволяет неавторизованному злоумышленнику раскрыть информацию по сети, выполнив API-вызов к конечной точке.
- CVE‑2025‑62199 (CVSS 7,8): уязвимость в приложениях Microsoft Office, связанная с использованием памяти после освобождения. Она позволяет неаутентифицированному злоумышленнику выполнить код локально на уязвимой рабочей станции посредством открытия вредоносного файла.
- CVE‑2025‑60716 (CVSS 7): уязвимость графического ядра DirectX, приводящая к EoP. Ошибка использования памяти после освобождения в позволяет авторизованному злоумышленнику локально повысить привилегии.
- CVE‑2025‑62214 (CVSS 6,7): уязвимость RCE в Visual Studio. Внедрение команд ИИ в Visual Studio позволяет авторизованному злоумышленнику локально выполнить код. Эксплуатация нетривиальна, требует нескольких этапов: внедрение подсказки, взаимодействие с Copilot Agent и запуск сборки.
Полное описание каждой уязвимости и затрагиваемых ею систем - здесь.
Исследователи Mandiant сообщают об обнаружении злоумышленников, которые использовали уже исправленную уязвимость в платформе обмена файлами и удаленного доступа Triofox компании Gladinet.
Критическая уязвимость отслеживается как CVE-2025-12480 (CVSS: 9,1), позволяет злоумышленнику обойти аутентификацию и получить доступ к страницам конфигурации, что приводит к загрузке и выполнению произвольных полезных нагрузок.
Mandiant установила, что кластер угроз UNC6485 нацелился на уязвимость ещё 24 августа 2025 года, почти через месяц после того, как поставщик выпустил исправления для нее версии 16.7.10368.56560.
Стоит отметить, что CVE-2025-12480 - это уже третья уязвимость Triofox, которая подверглась активной эксплуатации только в этом году, после CVE-2025-30406 и CVE-2025-11371.
По данным Mandiant, злоумышленник воспользовался уязвимостью неаутентифицированного доступа для получения доступа к страницам конфигурации, а затем использовал их для создания новой учётной записи администратора Cluster Admin, запустив процесс настройки.
Для выполнения кода злоумышленник вошёл в систему, используя недавно созданную учётную запись администратора.
Затем загрузил вредоносные файлы и выполнил их, используя встроенную функцию антивируса.
Для настройки антивирусной функции пользователь может указать произвольный путь к выбранному антивирусу.
Настроенный таким образом файл наследует привилегии учётной записи родительского процесса Triofox и запускается в контексте учётной записи SYSTEM.
Как отмечает Mandiant, злоумышленники запустили вредоносный пакетный скрипт (centre_report.bat), указав путь к нему в антивирусном движке.
Скрипт предназначен для загрузки установщика Zoho Unified Endpoint Management System (UEMS) с адреса 84.200.80[.]252 и развертывания на хосте программ удалённого доступа, таких как Zoho Assist и AnyDesk.
Удаленный доступ, реализуемый Zoho Assist, использовался для проведения разведки, после чего предпринимались попытки смены паролей существующих учетных записей и добавления их в локальные администраторы и группу администраторов домена для повышения привилегий.
Обход обнаружения осуществлялся через загрузку таких инструментов, как Plink и PuTTY, позволяющих настроить зашифрованный туннель к C2 через порт 433 по протоколу SSH с конечной целью разрешения входящего трафика RDP.
Пока конечная цель кампании остается неизвестной, но пользователям Triofox рекомендуется обновиться до последней версии, провести аудит учетных записей администраторов и убедиться, чтобы антивирусный движок не был настроен на выполнение несанкционированных скриптов или двоичных файлов.
Критическая уязвимость в популярной библиотеке JavaScript expr-eval, имеющей более 800 000 еженедельных загрузок на NPM, может быть использована для удаленного выполнения кода с помощью вредоносных входных данных.
Ошибка была обнаружена исследователем Джангву Чо и отслеживается как CVE-2025-12735 с оценкой CVSS 9,8. Исправление доступно в expr-eval-fork версии 3.0.0.
Разработанный Мэтью Крамли expr-eval представляет собой небольшой парсер выражений JavaScript, который используется в более чем 250 проектах, требующих безопасного анализа и вычисления введенных пользователем математических выражений во время выполнения.
Примерами таких проектов являются онлайн-калькуляторы, системы моделирования, финансовые инструменты, а в последнее время - системы ИИ и обработки естественного языка (NLP), которые анализируют математические выражения из текстовых подсказок.
Уязвимость вызвана тем, что библиотека не может проверить переменные/контекстный объект, переданный в функцию Parser.evaluate(), что позволяет злоумышленнику предоставлять вредоносные объекты функций, которые анализатор вызывает во время оценки.
CVE-2025-12735 обеспечивает злоумышленнику полный контроль над поведением ПО или полное раскрытие всей информации об уязвимой системе.
При этом затрагивает как оригинальный expr-eval, стабильная версия которого была выпущена 6 лет назад, так и его активно поддерживаемый форк expr-eval-fork, имеющий более 80 000 еженедельных загрузок в реестре пакетов NPM для Node.js.
Для пользователей expr-eval доступен запрос на извлечение, реализующий исправление, однако из-за отсутствия ответа от сопровождающих проекта неизвестно, когда он будет включен в новый релиз.
Разработчикам затронутого ПО рекомендуется немедленно перейти на expr-eval-fork v3.0.0 и повторно выкатить свои библиотеки, дабы пользователи гарантированно получили исправление.
Comparitech выкатила результаты анализа паролей за 2025 год с уже традиционно неутешительными для данной проблематики выводами.
Исследователи проанализировали более 2 млрд. учётных записей из утечек, которые им удалось собрать в даркнете и из отчетов по реагированию на инциденты.
В исследование попали лишь те данные, которые реально были скомпрометированы в 2025 году.
Используя их, Comparitech представила список наиболее часто используемых паролей.
В ТОП-10 попали постоянные лидеры этого антирейтинга, как вы уже сами могли догадаться, на первом месте - 123456 с 7 618 192 упоминаний.
Далее по убыванию - 12345678 (3 676 487), 123456789 (2 866 100), admin (1 987 808), 1234 (1 771 335), Аа123456 (1 411 847), 12345 (1 301 052), password (1 082 010, а Password - 470 313), 123 (959 741) и 1234567890 (674 200).
Поразительное число паролей представляют собой легко угадываемые цифры в порядке возрастания или убывания. Четверть из 1000 самых популярных паролей состояла исключительно из цифр.
38,6% содержали последовательность цифр «123», ещё 2% - убывающие цифры «321».
Аналогично, 3,1% - последовательность букв «abc». Многие распространённые пароли состоят из одного символа. «111111» - 18-е по частоте использования, а «********» - 35-е место.
Все эти цифры и буквы часто комбинируются с такими же слабыми словами, как «password», «admin» и «qwerty».
3,9% из 1000 самых распространенных паролей содержали в себе те или иные вариации слов «pass» или «password», 2,7% - вариацию слова «admin», 1,6% - строку «qwerty» и 1% - слово «welcome».
«Minecraft» занял 100-е место по распространённости среди паролей в изученном наборе данных, встречаясь почти 70 000 раз, плюс ещё 20 000 раз с альтернативным регистром «Minecraft».
Причем пароль «India@123», занявший 53-е место, выделяется как очень распространенный, но менее универсальный пароль.
Распределение по длине выглядит следующим образом: 65,8% проанализированных паролей содержали менее 12 символов, 6,9% имели менее 8 символов и 3,2% использовали 16 или более символов.
В общем, тут и комментировать нечего.
Исследователи BI.ZONE представили «ультимативный гайд по защите инфраструктуры от шифровальщиков и вайперов», в котором разобрали фазы успешной атаки с эксплуатацией конкретных ошибок в защите, а также рассмотрели ключевые последствия.
Как отмечают Бизоны, атаки с применением шифровальщиков и вайперов представляют собой одни из самых разрушительных инцидентов для любого бизнеса, приводя к финансовым потерям из‑за утечки данных, остановкам операционной деятельности и ущербу для репутации.
При этом, как показывает практика, причинами таких инцидентов становятся ошибки, допущенные при построении инфраструктуры и системы ее защиты.
В частности, согласно статистике, наработанной в ходе расследования связанных с шифрованием или уничтожением данных инцидентов в 2025 году, в 90% компаний встречаются одни и те же критические проблемы, которые создают идеальные условия для атакующего.
Структура отчета соответствует представленной BI.ZONE матрице рисков, систематизирующей уязвимости по нескольким ключевым параметрам: фазе атаки, тактикам MITRE ATT&CK, вероятности наличия проблемы в типовой инфраструктуре и приоритетности устранения.
В целом, Бизоны достаточно подробно разбирают ключевые ошибки, которые, во-первых открывают доступ в инфраструктуру, во-вторых, позволяющие атакующим продвигаться по сети.
Небольшая глава посвящена проблеме отсутствия контроля доступа к критическим системам управления, которые становятся первостепенными целями атакующих, поскольку их компрометация позволяет одновременно вывести из строя или зашифровать значительную часть инфраструктуры.
Отдельно рассматриваются главные ошибки, которые препятствуют восстановлению после атаки: уязвимости в системе резервного копирования, отсутствие корректного логирования и готового плана аварийного восстановления (DRP).
Каждый из названных разделов содержит конкретные описания сути проблем, акценты на важном и четкие рекомендации.
В общем, однозначно рекомендуем гайд к обязательному ознакомлению и, главное, - практическому руководству.
😆QNAP устранила семь zero-day уязвимостей после их демонстрации на Pwn2Own 2025
Тайваньский производитель QNAP выпустил экстренные обновления безопасности, закрывающие семь уязвимостей нулевого дня, которые были продемонстрированы на соревновании Pwn2Own Ireland 2025.
Уязвимости затрагивают не один продукт, а всю экосистему QNAP, например, QTS, QuTS hero, ПО для резервного копирования (HBS 3 Hybrid Backup Sync), защиту данных (Hyper Data Protector) и даже антивирусный сканер (Malware Remover).
🛡 Затронутые версии программного обеспечения (необходимо срочное обновление):
▪️Hyper Data Protector: все версии, предшествующие 2.2.4.1 (CVE-2025-59389)
▪️Malware Remover: все версии, предшествующие 6.6.8.20251023 (CVE-2025-11837)
▪️HBS 3 Hybrid Backup Sync: все версии, предшествующие 26.2.0.938 (CVE-2025-62840, CVE-2025-62842)
▪️QTS 5.2.7: все версии, предшествующие build 20251024 (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849)
▪️QuTS hero h5.2.7: все версии, предшествующие build 20251024 (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849)
▪️QuTS hero h5.3.1: все версии, предшествующие build 20251024 (CVE-2025-62847, CVE-2025-62848, CVE-2025-62849)
Все семь уязвимостей были продемонстрированы командами Summoning Team, DEVCORE, Team DDOS, а также стажером из компании CyCraft technology.
👆QNAP настоятельно рекомендует пользователям обновиться до последних версий ПО.
✋ @Russian_OSINT
Исследователи Socket Security обнаружили вредоносные пакеты NuGet, которые были загружены в 2023 и 2024 годах и предназначены для запуска вредоносного кода после определённых дат в 2027 и 2028 годах, способного вызвать DoS в работе баз данных и ICS.
Найденный набор включает в себя девять вредоносных пакетов NuGet, автором которых выступил пользователь под ником shanhai666.
В общей сложности пакеты были загружены 9488 раз.
Среди них: MyDbRepository, MCDbRepository, Sharp7Extend, SqlDbRepository, SqlRepository, SqlUnicornCoreTest, SqlUnicornCore, SqlUnicorn.Core и SqlLiteRepository.
По данным Socket, все девять вредоносных пакетов работают так, как заявлено, что вызывая доверие у разработчиков, которые в конечном итоге могут загрузить их, не осознавая, что внутри них встроена логическая бомба, которая должна сработать в будущем.
Злоумышленник опубликовал в общей сложности 12 пакетов, при этом оставшиеся три работают по назначению без каких-либо вредоносных функций.
К настоящему времени все они удалены из NuGet.
Socket Security также отмечает, что Sharp7Extend предназначен для пользователей легитимной библиотеки Sharp7 - реализации .NET для взаимодействия с ПЛК Siemens S7.
При этом включение Sharp7 в пакет NuGet создает ложное ощущение безопасности, скрывая тот факт, что библиотека скрытно внедряет вредоносный код, когда приложение выполняет запрос к базе данных или операцию ПЛК, используя методы расширения C#.
Методы расширения позволяют разработчикам добавлять новые методы к существующим типам данных без изменения исходного кода - мощная функция C#, которую злоумышленники используют для перехвата.
Каждый раз, когда приложение выполняет запрос к базе данных или операцию ПЛК, эти методы расширения автоматически выполняются, сверяя текущую дату с датами срабатывания (жёстко заданными в большинстве пакетов, зашифрованной конфигурацией в Sharp7Extend).
Восемь пакетов нацелены на системы баз данных и завершат процесс базы данных с вероятностью 20% после даты срабатывания.
В случае Sharp7Extend вредоносная логика активируется сразу после установки и действует до 6 июня 2028 года, после чего механизм завершения работы останавливается автоматически.
Он нацелен на ПЛК с двойным механизмом саботажа: немедленное случайное завершение процесса и скрытые сбои записи по истечение 30–90 минут после установки. После 6 июня 2028 года пакет не позволит ПЛК записывать новые данные, фактически уничтожая устройство.
Некоторые реализации SQL Server, PostgreSQL и SQLite, связанные с другими пакетами, должны запуститься 8 августа 2027 года (MCDbRepository) и 29 ноября 2028 года (SqlUnicornCoreTest и SqlUnicornCore).
Такой поэтапный подход дает злоумышленнику больше времени для охвата жертв до того, как сработает вредоносное ПО с отложенной активацией, при этом немедленно нарушая системы ICS.
На данный момент неизвестно, кто стоит за атакой на цепочку поставок, однако, по мнению Socket, анализ исходного кода и выбор имени shanhai666 позволяют предположить, что это может быть делом рук злоумышленника, возможно, китайского происхождения.
Разработчики, установившие пакеты в 2024 году, к 2027–2028 годам, когда сработает вредоносное ПО для баз данных, скорее всего перейдут на другие проекты или в другие компании, а 20%-ная вероятность выполнения замаскирует атаки под случайные сбои или отказы оборудования.
Что, в свою очередь, сделает реагирование на инциденты и проведение криминалистического расследования труднореализуемым, в виду невозможности отследить вредоносное ПО до точки его внедрения, определения, кто установил скомпрометированную зависимость, или установления четкой хронологий взлома, фактически стирая следы атаки.
🈁 Anthropic пресекла шпионскую киберкампанию под управлением 🤖ИИ-агентов
Компания Anthropic выкатила ноябрьский отчёт 📄"Disrupting the first reported AI-orchestrated cyber espionage campaign", где рассказывает о пресечении первой в истории кибершпионской кампании, практически полностью организованной и выполненной 🤖искусственным интеллектом. Операция приписывается якобы китайской прогосударственной группировке GTG-1002, которая нацелилась примерно на 30 крупных организаций, включая технологические корпорации и правительственные учреждения. Специалисты подчёркивают особую роль ИИ в новой истории кибервойн, где автономные ИИ-агенты постепенно становятся мощнейшим оружием в киберпространстве.
В отчёте утверждается, что злоумышленники использовали Claude Code и ИИ-агентов в качестве самостоятельных исполнителей на всех стадиях атак, от разведки до эксфильтрации конфиденциальных данных. Если верить отчёту, то ИИ-агенты автономно выполняли до 80-90% тактических операций, действуя как единая команда профессиональных пентестеров на сверхчеловеческих скоростях.
Изначально злоумышленники использовали "социальную инженерию", убеждая большую языковую модель Claude, что она участвует в легитимном тестировании на проникновение. Операторы-люди лишь задавали первоначальные цели и утверждали ключевые решения, сохраняя за собой исключительно стратегический контроль.
ИИ-модель продемонстрировала способность автономно обнаруживать уязвимости, создавать полезные нагрузки и успешно их применять в реальных операциях, но вместе с тем проявились и недостатки. "Галлюцинации" ИИ стали серьезным препятствием для атакующих, поскольку модель периодически фабриковала данные и преувеличивала результаты.
Тем не менее, кейс подтверждает резкое снижение барьеров для проведения сложных киберопераций, делая их доступными для менее ресурсных групп.
Пример:
👤 Человек: Дает начальную цель (например, "Компания X").
🤖 ИИ-агент:
1️⃣ Разведка 🕵️♂️ → Автономно сканирует сеть, ищет сервисы и слабые места.
2️⃣ Анализ уязвимостей 🔬 → Находит "дыру" в защите, изучает ее и сам пишет код для взлома (эксплойт).
3️⃣ Взлом 🔓 → После одобрения человеком проникает в систему.
4️⃣ Захват сети 🕸 → Распространяется по внутренней сети, воруя пароли и доступы.
5️⃣ Поиск данных 📖 → Самостоятельно анализирует огромные объемы информации, находя самое ценное (коммерческие тайны, учетные записи).
6️⃣ Кража информации 📤 → По команде человека выгружает ценные сведения.
👆Компания отмечает, что те же возможности, которые были использованы для атаки, являются критически важными и для киберобороны. Для расследования атаки Anthropic активно использовала собственные ИИ-модели, подчёркивая их двойную роль ИИ в кибербезопасности.
✋ @Russian_OSINT
Fortinet втайне устранила критическую 0-day в своем брандмауэре FortiWeb, которая теперь массово эксплуатируется в дикой природе.
Как подтверждает сам поставщик, ошибка была устранена после появившийся в начале октября сообщений об эксплуатации неизвестной уязвимости обхода пути FortiWeb без аутентификации для создания новых аккаунтов администраторов на устройствах с доступом к Интернету.
Атаки были впервые обнаружены 6 октября компанией Defused, занимающейся разведкой угроз, которая опубликовала PoC, публично сообщив, что недокументированный эксплойт Fortinet (возможно, вариант для CVE-2022-40684) используется для отправки HTTP-запросов POST на конечную точку Fortinet /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi для создания локальных учетных записей уровня администратора.
Позже исследователи watchTowr Labs также продемонстрировали эксплойт и выпустили специальный инструмент для FortiWeb, призванный помочь ИБ-специалистам идентифицировать уязвимые устройства.
В свою очередь, Rapid7 отметила, что уязвимость затрагивает версии FortiWeb 8.0.1 и более ранние, что подтверждается неработоспособностью общедоступного экспериментального PoC после обновления до 8.0.2.
И, теперь уже, Fortinet анонсировала эксплуатацию уязвимости путаницы путей (отслеживаемую как CVE-2025-64446) в компоненте графического интерфейса FortiWeb, которая позволяет неаутентифицированным злоумышленникам выполнять административные команды на непатченных системах с помощью специально созданных HTTP- или HTTPS-запросов.
В своем бюллетене по безопасности компания также подтвердила, что 0-day была устранена в версии FortiWeb 8.0.2, выпущенной 28 октября, через три недели после первого сообщения об активной эксплуатации CVE-2025-64446.
Администраторам, которые не имеют возможности оперативного перехода на FortiWeb 8.0.2, следует отключить HTTP или HTTPS для всех интерфейсов управления, подключенных к Интернету, и убедиться, что доступ ограничен доверенными сетями.
Fortinet также посоветовала клиентам проверить свою конфигурацию и просмотреть журналы на предмет новых неавторизованных учетных записей администраторов и других неожиданных изменений.
Patchstack предупреждает об RCE-уязвимости в сканере вредоносных программ ImunifyAV для серверов Linux, который используется десятками миллионов сайтов и открывает возможности для компрометации среды хостинга.
Проблема затрагивает версии компонента сканирования вредоносных программ AI-bolit до версии 32.7.4.0.
Он присутствует в пакете Imunify360, платной версии ImunifyAV+ и бесплатной версии сканера ImunifyAV.
ImunifyAV является частью пакета безопасности Imunify360, который обычно используется провайдерами хостинга или общими средами хостинга Linux.
Продукт устанавливается на уровне хостинговой платформы, а не конечными пользователями напрямую.
Он чрезвычайно распространён на тарифных планах виртуального хостинга, управляемом хостинге WordPress, серверах cPanel/WHM и Plesk.
Владельцы сайтов редко взаимодействуют с ним напрямую, но это повсеместный инструмент, незаметно работающий на 56 миллионах сайтов, если верить данным Imunify за октябрь 2024 года, где также сообщается о более чем 645 000 установок Imunify360.
По данным компании Patchstack, уязвимость стала известна с конца октября, когда поставщик ImunifyAV, CloudLinux, выпустил исправления. В настоящее время идентификатор уязвимости не присвоен.
10 ноября поставщик перенёс исправление на более старые версии антивируса Imunify360.
Кроме того, CloudLinux предупредила пользователей о критической проблеме в отдельном информационном бюллетене, порекомендовав как можно скорее обновиться до 32.7.4.0.
Первопричиной уязвимости является логика деобфускации AI-bolit, которая выполняет контролируемые злоумышленником имена функций и данные, извлеченные из обфусцированных PHP-файлов, при попытке распаковать вредоносное ПО для его сканирования.
Это происходит в виду того, что инструмент использует call_user_func_array без проверки имен функций, что позволяет выполнять опасные функции PHP, такие как system, exec, shell_exec, passthru, eval и другие.
Patchstack отмечает, что для эксплуатации необходимо, чтобы Imunify360 AV выполнял активную деобфускацию на этапе анализа, что отключено в конфигурации по умолчанию автономного AI-Bolit CLI.
Однако интеграция компонента сканера Imunify360 принудительно переводит сканирование в фоне, по требованию, инициированное пользователем или быстрое сканирование в состояние «всегда включено», что соответствует условиям эксплуатации.
Исследователи также поделились PoC, который создает PHP-файл в каталоге tmp, который запускает удаленное выполнение кода при сканировании антивирусом, что может привести к полной компрометации сайта, а если сканер работает с повышенными привилегиями в системах общего хостинга, последствия могут распространиться на весь сервер.
Исправление CloudLinux добавляет механизм белого списка, который позволяет выполнять только безопасные, детерминированные функции во время деобфускации, что блокирует выполнение произвольных функций.
Несмотря на отсутствие четких предупреждений от поставщика или CVE-ID, которые помогли бы распознать проблему и отследить ее, системным администраторам следует выполнить обновление до версии v32.7.4.0 или более новой.
В настоящее время нет никаких официальных инструкций о том, как проверять уязвимость, равно как и руководства по ее обнаружению или подтверждения ее активной эксплуатации в реальных условиях.
Поставщик также ничего не комментирует.
Amazon сообщает об обнаружении более 150 000 вредоносных пакетов в реестре NPM, опубликованных в рамках недавно раскрытой скоординированной автоматизированной кампании использованием червя IndonesianFoods, нацеленной на токены tea.xyz.
Самораспространяющийся пакет в npm фактически массово «засоряет» реестр, порождая новые пакеты каждые семь секунд, создавая большие объемы «спама».
Червь получил название в виду своей отличительной схемы наименования пакетов, которая выбирает случайные индонезийские названия и названия продуктов питания.
При этом сами пакеты не содержат вредоносных компонентов для разработчиков (например, кражи данных, бэкдоринга хостов), но это может измениться с обновлением, которое может реализовать опасную полезную нагрузку.
Уровень автоматизации и растущий охват атаки создают потенциальную возможность масштабного нарушения цепочки поставок.
Исследователь Пол Маккарти первым сообщил об этой спам-кампании и расшарил страницу для отслеживания издателей npm-нарушителей и количества пакетов, выпущенных ими на платформе.
В свою гореть, Sonatype сообщает, что те же злоумышленники предприняли ещё одну попытку 10 сентября с пакетом под названием fajar-donat9-breki. Причем пакет содержал ту же логику репликации, но не имел функционала самираспространения.
Как отмечают исследователи Sonatype, новая атака затронула сразу несколько систем безопасности данных, продемонстрировав беспрецедентные масштабы.
Amazon отмечает эти пакеты в рекомендациях OSV, что вызывает массовую волну сообщений об уязвимостях. Только в базе данных Sonatype за один день появилось 72 000 новых рекомендаций.
Исследователь отметил, что IndonesianFoods, судя по всему, не фокусируется на проникновении в компьютеры разработчиков, а скорее на том, чтобы нагрузить экосистему и порушить крупнейшую в мире цепочку поставок ПО.
В отчете Endor Labs по IndonesianFoods упоминается, что некоторые пакеты, по всей видимости, злоупотребляют блокчейн-протоколом TEA, нацеливаясь на учетные записи и адреса кошельков.
Публикуя тысячи взаимосвязанных пакетов, злоумышленники завышали свои показатели воздействия, чтобы заполучить больше токенов, что указывает все же на наличие финансового мотива атаки.
Кроме того, Endor Labs сообщает, что спам-кампания фактически началась два года назад: в 2023 году было добавлено 43 000 пакетов, в 2024 году была реализована монетизация TEA, а в 2025 году был представлен червеобразный цикл репликации.
Новая масштабная кампания IndonesianFoods реализуется в контексте ряда схожих атак на цепочки поставок, основанных на автоматизации, на экосистемы с открытым исходным кодом, включая атаку GlassWorm на OpenVSX и червя Shai-Hulud.
По отдельности все эти инциденты нанесли ограниченный ущерб, но вместе подчеркивают новую тенденцию, в которой злоумышленники все чаще используют автоматизацию и масштабирование, воздействуя на экосистемы с открытым исходным кодом.
Sonatype также предупредила, что такие простые, но эффективные операции создают идеальные условия для злоумышленников, желающих внедрить более серьезное вредоносное ПО в экосистемы с открытым исходным кодом.
Поскольку атака продолжает развиваться, разработчикам ПО рекомендуется заблокировать все версии зависимостей, отслеживать аномальные шаблоны публикации и внедрять строгие политики проверки цифровых подписей.
Исследователи CyberProof обнаружили сходство между банковским вредоносным ПО Coyote и недавно замеченным Maverick, которые активно распространяется через WhatsApp.
Согласно отчёту, оба вида вредоносного ПО написаны на .NET, нацелены на бразильских пользователей банковских услуг и обладают идентичными функционалом. Что ещё важнее, оба могут распространяться через WhatsApp Web.
В свою очередь, Trend Micro задокументировала Maverick в начале прошлого месяца, приписав его группировке Water Saci.
Кампания включает в себя два компонента: самораспространяющееся вредоносное ПО SORVEPOTEL, которое распространяется через десктопную веб-версию WhatsApp и используется для доставки ZIP-архива, содержащего полезную нагрузку Maverick.
Вредоносное ПО предназначено для мониторинга активных вкладок браузера на предмет URL-адресов, соответствующих жёстко заданному списку финансовых организаций Латинской Америки.
В случае совпадения вредоносная ПО устанавливает связь с удалённым сервером для получения последующих команд, которые реализуют сбор системной информации и фишинговые страницы для кражи учётных данных.
Исследователи Sophos в последующем отчёте высказала предположение о том, что возможно эта активность может быть связана с ранее известными кампаниями Coyote, нацеленными на пользователей в Бразилии, и является ли Maverick развитием Coyote.
Ответы на эти вопросы нашлись в исследовании Лаборатории Касперского, который позволил установить, что Maverick действительно содержит много совпадений кода с Coyote, но все же является совершенно новой угрозой, массово нацеленной на Бразилию.
Согласно последним данные CyberProof, ZIP-файл содержит ярлык Windows (LNK), который при запуске пользователем запускает cmd.exe или PowerShell для подключения к внешнему серверу (zapgrande[.]com) и загрузки полезной нагрузки первого этапа.
Скрипт PowerShell способен запускать промежуточные инструменты, предназначенные для отключения антивируса Microsoft Defender и UAC, а также для получения загрузчика .NET.
Загрузчик, в свою очередь, использует методы антианализа для проверки наличия инструментов реверс-инжиниринга и самоуничтожается при их обнаружении. Затем загрузчик приступает к загрузке основных модулей атаки: SORVEPOTEL и Maverick.
Стоит отметить, что Maverick устанавливается только после установления факта причастности жертвы к бразильскому сегменту на основе проверки часового пояса, языка, региона и формата даты, а также точного времени, заданного на зараженном компьютере.
CyberProof также обнаружила доказательства использования вредоносного ПО для атаки на гостиничный сегмент в Бразилии, что указывает на возможное расширение сферы атак.
Продолжаем отслеживать.
Пока одни возвращаются после «силовых» ударов, другие отхватывают.
На этот раз прилетело разработчикам Rhadamanthys, которые, по всей видимости, лишились доступа к своей корневой инфраструктуре, впрочем как и их клиентам-операторам.
Rhadamanthys представляет собой вредоносную ПО для кражи информации, нацеленную на учётные данные и cookie аутентификации из браузеров, почтовых клиентов и других приложений.
Она традиционно реализуется в формате MaaS через кампании, продвигаемые под видом взлома ПО, видеороликов на YouTube или вредоносной поисковой выдачи.
По данным исследователей g0njxa и Gi7w0rm, ответственные за Rhadamanthys хакеры анонсировали на просторах киберподполья заявление, согласно которому утверждается, что правоохранительные органы якобы получили доступ к их веб-панелям.
Некоторые из клиентов посетовали на утрату обычного SSH-доступа к своим веб-панелям Rhadamanthys, которые теперь требуют сертификат для входа в систему вместо обычного пароля.
Кроме того, им прилетело предупреждение от разработчиков, что если пароль не позволяет войти в систему, а метод авторизации требует сертификата, то немедленно следует «сматывать» удочки и чистить следы в виду риска стать объектом преследования немецкой полиции.
Один из клиентов подтвердил, что на его сервер «гости заходили, и пароль был удалён», так что ему пришлось немедленно удалить всё и выключить сервер.
Как заявили разработчики Rhadamanthys, по их мнению, за сбоями стоят правоохранительные органы Германии, поскольку в веб-панелях, размещенных в ЦОДах ЕС, отметились немецкие IP для входа до того, как киберпреступники утратили доступ.
В свою очередь, G0njxa сообщил, что задействованные в кампании Rhadamanthys сайты в Tor также были отключены, но баннера с предупреждением о конфискации полицией до сих пор нету, поэтому неясно, кто именно стоит за сбоями.
Многие исследователи полагают, что этот сбой, вероятно, связан с Operation Endgame, о чем в будущем должны будут отрапортовать правоохранительные органы после обкатки всех запланированных мероприятий новой волны силовой операции.
Что определенно вписывается в парадигму операции, в списке целей которой наряду с бандами вымогателей, также отметились SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.
Тем временем на официальном сайте Operation Endgame в настоящее время тикает таймер обратного отсчета, указывая на выход очередного обновления в самое ближайшее время.
Amazon сообщает об обнаружении кампании, нацеленной на критические уязвимости Citrix Bleed 2 (CVE-2025-5777) в NetScaler ADC и Gateway, а также CVE-2025-20337 в Cisco Identity Service Engine (ISE) в качестве 0-day для развертывания специализированного вредоносного ПО.
Посредством MadPot Honeypot группе по анализу угроз удалось попытки эксплуатации еще до того, как они были раскрыты публично и вышли исправления.
В ходе дальнейшего расследования этого кластера угроз, попавшего на уязвимости Citrix, Amazon Threat Intelligence выявила и передала в Cisco аномальную полезную нагрузку, нацеленную на ранее незадокументированную конечную точку в Cisco ISE с уязвимой логикой десериализации.
Напомним, что Citrix Bleed 2 представляет собой проблему чтения за пределами выделенной памяти NetScaler ADC и Gateway, исправления которой поставщик опубликовал в конце июня.
Поставщику потребовалось больше времени для подтверждения использования узявимости в реальных атаках, несмотря на многочисленные отчеты третьих сторон. При этом эксплойты стали доступны в начале июля, а CISA пометила ее как эксплуатируемую.
Уязвимость в ISE (CVE-2025-20337) с максимальной оценкой серьезности была раскрыта 17 июля.
Тогда Cisco предупредила, что она может быть использована неаутентифицированным злоумышленником для реализации вредоносных файлов, RCE или EoP до root на уязвимых устройствах.
Менее чем через пять дней поставщик повторно опубликовал предупреждение об активной эксплуатации CVE-2025-20337, а 28 июля исследователь Бобби Гулд выкатил технические подробности в отчете, включающем также цепочку эксплойтов.
В свою очередь, в своем отчете Amazon утверждает, что обе уязвимости использовались в APT-атаках до того, как Cisco и Citrix опубликовали свои первые бюллетени.
Хакеры использовали уязвимость CVE-2025-20337 для получения предварительного административного доступа к конечным точкам Cisco ISE и развернули пользовательскую веб-оболочку под названием IdentityAuditAction, замаскированную под легитимный компонент ISE.
Веб-оболочка регистрировалась как HTTP-прослушиватель для перехвата всех запросов и использовала Java-рефлексию для внедрения в потоки сервера Tomcat.
Использовалось шифрование DES с нестандартным кодированием base64 для обеспечения скрытности и минимального криминалистического следа.
Использование множества скрытых 0-day, а также глубокое знание внутренних компонентов Java/Tomcat архитектуры Cisco ISE указывают на участие в кампании высококвалифицированного и достаточно продвинутого актора.
Однако Amazon в конечном счете атрибутировать угрозу не удалось.
Тем не менее, нацеливание носит неизбирательный характер, что не соответствует типичному таргету узкоцеленаправленных операций, проводимых такими субъектами угроз.
Исследователи рекомендуют применять доступные обновления для CVE-2025-5777 и CVE-2025-20337, а также ограничить доступ к пограничным сетевым устройствам с помощью брандмауэров и многоуровневой сегментации.
🚩 Google CTF.
• Как известно, без практики любое обучение имеет мало смысла. Если говорить про различные аспекты ИБ, то здесь может быть два варианта: искать стажировку в компаниях, либо практиковаться на различных CTF-платформах - ресурсах, где есть тренировки по поиску уязвимостей, взлому и другим задачам.
• По ссылке ниже вы сможете найти все таски Google CTF с 2017 по 2025 год вместе с решениями. Добавляйте в избранное и практикуйтесь:
➡ https://github.com/google/google-ctf
• Напоминаю, что в канале опубликована очень объемная подборка различных CTF площадок, которые помогут прокачать скилл в различных аспектах информационной безопасности.
S.E. ▪️ infosec.work ▪️ VT
Тем временем, кейс израильской (и уже с американской пропиской) NSO Group обретает завершающие очертания после того, как новым председателем совета директоров с функциями генерального директора стал Дэвид Фридман.
Тот самый Фридман, который в прошлом представлял интересы Дональда Трампа в качестве адвоката, который также получил должность посла в Израиле в период его первого президентского срока.
Назначение состоялось сразу выкупа компании консорциумом американских инвесторов в главе с известным кинопродюссером.
Для заключения «сделки» основному владельцу и основателю компании сделали предложение, от которого он не смог отказаться.
Напомним, что в тот момент NSO Group по судебному иску должна выплатить экстремистской Meta компенсацию в размере 167 миллионов долларов за взлом 1400 аккаунтов в WhatsApp.
Правда, после передачи активов - эта сумма «неожиданным» образом сократилась до 4 млн.
В рамках вступления в новую должность Фридман пообещал посодействовать снятию санкций и возвращению компании на американский рынок.
Собственно, все как мы предполагали: дальнейший передел рынка spyware будет реализован по «наработанной схеме».
Будем следить.
Анонсированная китайскими исследователями новая пассивная атака названием U-Print идентифицирует пользователей смартфонов с точностью 98% посредством перехвата и анализа зашифрованного трафика Wi-Fi.
U-Print работает исключительно на уровне беспроводного MAC и может определить не только, какие приложения используются, но и конкретные действия в приложении, а также личность пользователя, без необходимости расшифровывать трафик или отменять рандомизацию MAC-адресов.
Методология атаки предполагает, что злоумышленник размещает пассивный сниффер в зоне действия беспроводной сети целевой среды (например, офиса или дома).
При этом пароль или доступ к сети не требуются, достаточно лишь близости к сигналу Wi-Fi.
После чего система составляет поведенческие профили пользователей на основе их моделей взаимодействия с приложениями, что потенциально позволяет делать выводы о таких личных характеристиках, как возраст, пол и даже психическое здоровье.
Предыдущие атаки позволяли обнаружить использование приложения, но не обеспечивали надежной идентификации пользователя, генерирующего трафик, особенно в условиях рандомизации MAC-адресов - защиты, которая теперь широко применяется в смартфонах.
Подход U-Print основан на идее о том, что индивидуальные предпочтения, такие как выбор приложений и способ их использования, формируют различные закономерности в метаданных MAC-уровня, включая размер пакета, время передачи и направление.
Например, два пользователя могут использовать WhatsApp, но один из них может предпочесть текстовый чат, а другой - голосовые сообщения, что приводит к небольшим различиям в структуре трафика.
Исследователи апробировали U-Print в реальных офисных условиях, используя ноутбук Lenovo и сетевую карту с операционной системой Kali Linux для пассивного сбора Wi-Fi-трафика от 12 пользователей смартфонов в 40 мобильных приложениях.
Результаты впечатлили: точность классификации приложения составила 98,7%, идентификации действий - 96,8% и самого пользователя - 98,4% с показателем F1 0,983, даже при использовании случайных MAC-адресов.
Причем эффективность метода оставалась стабильной, несмотря на такие типичные проблемы в реальном мире, как утрата пакетов (до 15%), фоновый «шум» приложений (даже если несколько приложений генерируют трафик одновременно) и смена окружающей среды.
Несмотря на то, что U-Print пока что лишь теоретическая модель атаки, исследование демонстирует серьезные пробелы в современных системах безопасности беспроводных сетей.
Даже зашифрованные сети Wi-Fi, использующие современные стандарты, такие как WPA3 и рандомизация MAC-адресов, не способны предотвратить подобные атаки, нацеленные на идентификацию и поведение пользователей.
В качестве возможных защитных мер от идентификации типа U-Print исследователи предлагают рассмотреть возможность обфускации трафика, рандомизации размера и времени пакетов, рандомизации MAC-адресов и микширования поведенческих сигналов.
Microsoft раскрыла подробности новой атаки по побочным каналам Whisper Leak, которая позволяет потенциальному злоумышленнику выделять конфиденциальные темы запросов из зашифрованного трафика между пользователями и большими языковыми моделями (LLM).
По мнению исследователей, утечка данных, которыми обмениваются люди и языковые модели в потоковом режиме, представляет серьёзную угрозу для конфиденциальности пользовательских и корпоративных коммуникаций.
Причем основные риски Whisper Leak в Microsoft связывают со акторами, располагающими возможностью контроля за зашифрованным трафиком.
К таковым отнесли спецслужбы с их аппаратурой, провайдеров и продвинутых злоумышленников, находящихся в той же локальной сети.
Несмотря на широкое использование шифрования TLS, исследователи продемонстрировали, что закономерности в размерах пакетов и времени передачи могут раскрыть достаточно информации для классификации основных тем разговоров с поразительной точностью.
Обнаружившие Whisper Leak исследователи раскрыли технические подробности 28 крупным поставщикам LLM, чей трафик им удалось отмониторить в разрезе более 21 000 запросов на каждую модель.
Используя передовые классификаторы машинного обучения, они научили модели отличать деликатные темы, например, «отмывание денег», от безобидных тем в хаотическом наборе данных.
Примечательно, что 17 протестированных моделей достигли 100% точности при полноте 5–20% в условиях смоделированного дисбаланса в соотношении шума к цели - 10 000:1.
Атака нацелена на LLM-модули, которые передают ответы по токенам через зашифрованные HTTPS-соединения. TLS шифрует контент, но не скрывает размер и время доставки отдельных пакетов.
Whisper Leak использует эту особенность, позволяя злоумышленнику наблюдать за зашифрованным трафиком между пользователем и службой LLM, извлекать размер пакета и временные последовательности, и по итогу задействовать обученные классификаторы для определения того, соответствует ли тема разговора конфиденциальной целевой категории.
Как отмечают исследователи, это вовсе не является недостатком самого TLS, а скорее фундаментальной проблемой взаимодействия современных LLM с пользователями, где сочетание авторегрессивной генерации, потоковых API и метаданных шифрования создаёт уязвимости.
Проведенные тесты показали, что к наиболее уязвимым относятся модели OpenAI (GPT-4o-mini, GPT-4.1), Microsoft (DeepSeek), X.AI (серия Grok), Mistral и Alibaba (Qwen2.5).
Все они часто передавали ответы по одному токену за раз, что делало их более уязвимыми.
Модели Google (Gemini) и Amazon (Nova) продемонстрировали большую устойчивость, вероятно, из-за пакетирования токенов, но всё же оказались не полностью защищены от атак.
Кроме того, исследователи пришли к выводу, что ни одна из стратегий смягчения последствий (случайное заполнение, пакетирование токенов или внедрение пакетов) не позволило полностью нейтрализовать атаку.
Что ещё хуже, исследователи обнаружили, что эффективность Whisper Leak может возрастать по мере того, как злоумышленник со временем собирает больше обучающих данных.
Так что атаки по сторонним каналам на системы ИИ могут со временем становиться все более мощными.
После ответственного раскрытия информации, начиная с июня 2025 года, OpenAI, Mistral, Microsoft и xAI внедрили меры по снижению риска, другие же поставщики никак не отреагировали.
Банда вымогателей Cl0p дорабатывает свою очередную кампанию и начинает публиковать на DLS имена жертв взлома Oracle E-Business Suite (EBS), которые, как предполагается, в конце сентября получили электронные письма с требованиями выкупа.
Хакеры перечислили около 30 пострадавших крупных компаний, включая Logitech, The Washington Post, Cox Enterprises, Pan American Silver, LKQ Corporation и Copeland.
Ранее мы уже упоминали некоторых в середине октября. Первыми засветились такие, как Гарвардский университет, Университет Витс (ЮАР) и Envoy Air. Все они подтвердили инциденты.
На прошлой неделе издание The Washington Post также подтвердило, что подверглось атаке в ходе кампании, но не предоставило никаких подробностей.
При этом большинство других предполагаемых жертв еще не подтвердили взлом или утечку данных, включая Schneider Electric и Emerson, а также всех вышеперечисленных.
Другими предполагаемыми жертвами стали компании в сфере промышленности, профессиональных услуг, ЖКХ, строительства, страхования, финансов, транспорта, технологий, автомобилестроения и энергетики.
По всей видимости, все они ведут (или по крайней мере приступили) расследования, но делиться выводами точно не намерены. В связи с чем, Cl0p приступила к стадии слива украденных данных - на данном этапе в этом списке 18 жертв, чьи данные теперь доступны широкой публике.
Структурный анализ некоторых из утекших файлов указывает на то, что все они, вероятно, имеют непосредственное отношение к среде Oracle.
Вообще, учитывая предыдущие кампании Cl0p, связанные с Cleo, MOVEit и Fortra, сомневаться в легитимности утечек и серьезности намерений этой банды не приходится.
Но неизвестным пока остается другой момент: какие именно уязвимости Oracle EBS были использованы в ходе атаки.
Наиболее вероятными являются CVE-2025-61882 и CVE-2025-61884, поскольку обе могут быть проэксплуатированы удалённо без аутентификации или взаимодействия с пользователем для получения доступа к конфиденциальным данным.
Причем в случае CVE-2025-61882 эксплуатация в качестве 0-day, по-видимому, началась как минимум за два месяца до выпуска исправлений, что вполне соответствует почерку клопов.
Но будем посмотреть.
Исследователи Koi Security предупреждают о возвращении вредоносного ПО GlassWorm в OpenVSX с тремя новыми расширениями, которые уже были загружены более 10 000 раз.
Вредоносная кампания GlassWorm затронула OpenVSX и Visual Studio Code еще в прошлом месяце.
Вредоносная ПО задействует транзакции Solana для получения полезной нагрузки, нацеленной на учетные данные GitHub, NPM и OpenVSX, а также данные криптовалютных кошельков из 49 расширений.
Вредоносное ПО использует невидимые символы Unicode, которые отображаются как пробелы, но выполняются как JavaScript для упрощения вредоносных действий.
Впервые он материализовался в виде 12 расширений на площадках Microsoft VS Code и OpenVSX, которые тогда были загружены 35 800 раз.
Правда предполагается, что число загрузок было искусственно завышено злоумышленниками, так что точный масштаб кампании неизвестен.
В ответ на это Open VSX провела ротацию токенов доступа для неуказанного количества учетных записей, взломанных GlassWorm, внедрила усовершенствования в части безопасности и отметила инцидент как закрытый.
Однако по данным компании Koi Security, злоумышленник теперь вернулся к OpenVSX, используя ту же инфраструктуру, но с обновленными конечными точками C2 и транзакциями Solana.
Три расширения OpenVSX, нагрузку GlassWorm, включают: ai-driven-dev.ai-driven-dev (3400 загрузок), adhamu.history-in-sublime-merge (4000 скачиваний) и yasuyuky.transient-emacs (2400 загрузок).
При этом все три расширения используют тот же трюк с невидимой обфускацией символов Unicode, что и исходные файлы.
Очевидно, он по-прежнему эффективен и обходит недавно введённые защитные меры со стороны OpenVSX.
Как ранее сообщала Aikido, операторы GlassWorm особо не среагировали на отчеты исследователей и уже перешли на GitHub, но возвращение к OpenVSX посредством новых расширений демонстрирует намерение возобновить работу сразу на нескольких платформах.
Благодаря «анонимному помощнику» Koi Security смогла получить доступ к серверу злоумышленников и получить ключевые данные о жертвах, пострадавших от этой кампании.
Полученные данные указывают на глобальный охват: GlassWorm был обнаружен в системах по всей территории США, Южной Америки, Европы, Азии, а также в неназванном госучреждении на Ближнем Востоке.
Что же касается самих операторов, то, по данным Koi, они русскоговорящие и используют фреймворк расширений браузера C2 с открытым исходным кодом RedExt.
Исследователи поделились всеми данными с правоохранительными органами, включая аккаунты на ряде криптобирж и в мессенджерах, а также координируют информирование пострадавших организаций.
Koi Security также отметила, что на данный момент идентифицировала 60 обособленных жертв, но это лишь частичный список с одной уязвимой конечной точки.
Так что будем следить.
Продолжаем знакомить с наиболее трендовыми уязвимостями и связанными с ними угрозами:
1. Исследователи Cisco обнаружили «сквозные» уязвимости в восьми моделях с открытым кодом LLM, доступных на рынке от таких компаний, как OpenAI, Alibaba, Mistral, Google и др. Неудвительно, ведь после публикации исходного кода эти модели редко обновляются.
2. Cyderes обнаружила уязвимость в Advanced Installer, фреймворке для создания установщиков Windows, которая позволяет злоумышленникам перехватывать механизмы обновления приложений и запускать вредоносный внешний код, если пакеты обновлений не имеют цифровой подписи.
Advanced Installers используется некоторыми крупнейшими мировыми компаниями, такими как Apple, Microsoft, Google и IBM.
3. Исследователи Tenable выявили семь уязвимостей и методов атаки на пользователей ChatGPT. Недостатки позволяют злоумышленникам похищать конфиденциальную информацию из памяти и истории чатов пользователей.
4. Исследователи Zscaler обнаружили уязвимость произвольного доступа к файлам и SSRF (CVE-2025-12058) в платформе искусственного интеллекта Keras.
5. Группа исследователей, связанная с Массачусетским технологическим институтом (MIT), представила достаточно спорный отчет, который вызвал широкие осуждения в инфосеке.
Публика усомнилась в тезисе о том, что ИИ лежит в основе 80% всех современных атак программ-вымогателей.
Известные исследователи и эксперты в области ИБ раскритиковали выводы исследования, назвав их технически необоснованными и вовсе - не более чем попыткой хайпа.
6. В свою очередь, Google выкатила свой отчёт в отношении штаммов вредоносного ПО, задействующих ИИ.
Их всего пять, и все они - фактически «шлак». При этом один из пяти в конечном итоге оказался в реальности проектом ученых.
Так что по мнению Google, эра полноценного вредоносного ПО на базе ИИ ещё не наступила, однако разработчики вредоносного ПО все же создают собственные инструменты LLM для весьма специфических целей.
7. В отчёте «Threat Labs: Производство 2025» от Netskope подробно описываются новейшие угрозы в сфере ИБ, затрагивающие организации производственной отрасли.
В частности, выделены такие тенденции, как растущая зависимость от облачной инфраструктуры и сложные методы компрометации цепочек поставок, приводящие к сбоям в производственных процессах.
8. По данным Palo Alto Networks, злоумышленники использовали уязвимость CVE-2025-21042 для доставки пользователям на Ближнем Востоке шпионского ПО Landfall для Android с помощью специально созданные DNG-изображения и WhatsApp.
Атаки, по всей видимости, были направлены на телефоны Samsung Galaxy, и злоумышленник мог реализовать Landfall с помощью ZeroClick-эксплойта.
Samsung исправила CVE-2025-21042 в апреле, но в сообщении технологического гиганта не упоминается эксплуатация уязвимости в реальных условиях.
В Palo Alto заявили, что атаки Landfall проводились как минимум с июля 2024 года, а CVE-2025-21042 эксплуатировалась как 0-day ещё до выпуска Samsung патчей.
CVE-2025-21042 похожа на CVE-2025-21043, другую уязвимость нулевого дня, недавно исправленную Samsung в той же библиотеке изображений.
За несколько недель до раскрытия информации о CVE-2025-21043 Apple исправила CVE-2025-43300 - похожую уязвимость, которая, как считается, была связана с 0-day WhatsApp (CVE-2025-55177), для доставки шпионского ПО клиентам Apple.
Palo Alto Networks не смогла подтвердить, что цепочка эксплойтов CVE-2025-43300/CVE-2025-55177 использовалась для доставки шпионского ПО Landfall пользователям iOS.
Злоумышленник не атрибутирован и теперь отслеживается как CL-UNK-1054.
Исследователи из Dr.Web в своем новом отчете сообщают расчехлили арсенал Cavalry Werewolf, который удалось задетектить в ходе расследования целевой атаки в отношении неназванного российского госучреждения.
Одной из целей выявленной кампании, проводимой APT, был сбор конфиденциальной информации и данных о конфигурации сети.
Для получения первоначального доступа злоумышленники использовали распространенный вектор проникновения - фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы.
В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS.
Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная ПО располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.
Используя бэкдор, злоумышленники продолжили закрепление в целевой системе, загрузив несколько вредоносных ПО через стандартный для ОС Windows Bitsadmin, предназначенный для управления заданиями по передаче файлов.
Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы.
В целом, вредоносные программы в фишинговых письмах могут быть представлены разным типом вредоносного ПО.
В Dr.Web выделили следующие: скрипты (BAT.DownLoader.1138) и исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).
Первой из ранее неизвестных, загруженных через BackDoor.ShellNET.1, был стилер Trojan.FileSpyNET.5.
С его помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).
Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и дальнейшего выполнения на нем команд, в том числе - с возможностью установки другого вредоносного ПО.
При этом расследование инцидента позволило выявить не только указанные вредоносные приложения, но и множество других инструментов, которые Cavalry Werewolf используют для проведения таргетированных атак.
В частности, были обнаружены следующие вредоносные Пяо, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации: Trojan.Inject5.57968, BackDoor.ShellNET.2, BackDoor.ReverseProxy.1 и Trojan.Packed2.49862.
Последняя представляет собой набор троянизированных версий легитимных ПО, в которые злоумышленники внедрили вредоносный код.
В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы.
Среди них: BackDoor.ReverseProxy.1 (ReverseSocks5), BackDoor.Shell.275 (AdaptixC2), BackDoor.AdaptixC2.11 (AdaptixC2), BackDoor.Havoc.16 (Havoc), BackDoor.Meterpreter.227 (CobaltStrike), Trojan.Siggen9.56514 (AsyncRAT) и Trojan.Clipper.808.
Причем, разрабы из Cavalry Werewolf не ограничиваются единым набором вредоносных ПО и постоянно пополняют свой арсенал.
Поэтому инструменты для проникновения в целевые системы и в последующей в цепочке заражения могут отличаться в зависимости от жертвы.
В целом, исследователи Dr.Web отмечают, что Cavalry Werewolf предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок.
Основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах.
Хакеры часто применяют Telegram API для управления зараженными компьютерами, а для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени госструктур, используя скомпрометированные email-адреса.
Технические особенности выявленных инструментов Cavalry Werewolf и ссылки на IOCs - в отчете.