39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Продолжаем знакомить с наиболее трендовыми уязвимостями и обусловленными ими угрозами. Новая подборка включает:
1. Исследователи PAN Unit42 обнаружили три новые уязвимости в маршрутизаторах TOTOLINK. Самая серьёзная из них связана с внедрением команды unauth.
2. DrayTek выпустила обновления для своих популярных моделей маршрутизаторов Vigor для исправления CVE-2025-10547.
Она позволяет злоумышленникам взломать маршрутизаторы Vigor, используя специально созданные HTTP- или HTTPS-запросы, отправляемые на веб-панель управления устройства. Для эксплуатации уязвимости не требуются действительные учётные данные.
3. Oracle связала продолжающуюся кампанию с вымогательством со стороны известной банды Clop с уязвимостями E-Business Suite (EBS), которые были исправлены в июле 2025 года.
При этом компания не указала конкретную задействовавшуюся уязвимость, но в рамках своего критического обновления тогда устранила девять ошибок в E-Business Suite, три из которых (CVE-2025-30745, CVE-2025-30746 и CVE-2025-50107) можно использовать удаленно, не требуя ввода учетных данных пользователя.
4. Устранены критические уязвимости в компонентах WebGPU и Video браузера Chrome, а также в компонентах Graphics и JavaScript Engine браузера Firefox.
Google перевела Chrome 141 в стабильную версию с 21 исправлением безопасности.
Две из них, CVE-2025-11205 и CVE-2025-11206, представляют собой серьезные проблемы с переполнением буфера кучи, влияющие на компоненты WebGPU и Video в Chrome.
Mozilla выпустила Firefox 143.0.3 с исправлениями двух серьезных дефектов в компонентах Graphics и JavaScript Engine.
Первая, CVE-2025-11152 - проблема целочисленного переполнения, может привести к выходу из песочницы, вторая CVE-2025-11153 - ошибка JIT-компиляции.
5. Исследователи Clutch Security раскрыли подробности серьезной уязвимости (CVE-2025-59363 с CVSS 7,7) в One Identity OneLogin Identity and Access Management (IAM).
Успешная эксплуатация уязвимости может позволить злоумышленнику с действительными учётными данными API OneLogin получить доступ к клиентским секретам всех приложений OIDC, настроенных в клиенте OneLogin.
Проблема связана с тем, что конечная точка списка приложений - /api/2/apps - была настроена на возврат большего объема данных, чем ожидалось, включая значения client_secret в ответе API, а также метаданные, связанные с приложениями в учетной записи OneLogin.
После раскрытия 18 июля 2025 уязвимость была устранена в OneLogin 2025.3.0, свидетельств эксплуатации в реальных условиях не получено.
6. Разработчики Red Hat выкатили бюллетень, анонсировав серьезная уязвимость в службе Red Hat OpenShift AI, которая позволяет злоумышленникам повысить привилегии и получить контроль над всей инфраструктурой при определенных условиях.
CVE-2025-10725 имеет оценку CVSS 9,9, тем не менее Red Hat классифицировала её как «важную», но не «критическую», поскольку для взлома среды требуется аутентификация удалённого злоумышленника.
Проблема затрагивает следующие версии: Red Hat OpenShift AI 2.19, Red Hat OpenShift AI 2.21 и Red Hat OpenShift AI (RHOAI).
Отраслевые эксперты также высказывают предположения, что недавний инцидент со взломом закрытых репозиториев GitLab компании может быть связан с CVE-2025-10725, однако в Red Hat категорически отвергают эти гипотезы.
Но будем посмотреть.
После неудавшейся январской попытки правительство Великобритании вновь пытается затянуть удавку не шее Apple в надежде заполучить доступ к зашифрованным данным пользователей в облаке.
По данным Financial Times, британские чиновники в сентябре направили в адрес Apple новый официальный, но уже откорректированный запрос с более узкой областью применения, требуя доступа к зашифрованным облачным данным только для пользователей из Великобритании.
Ранее Лондон требовал предоставить техническую возможность доступа к данным пользователей Apple в iCloud по всему миру, что вызвало острую негативную реакцию со стороны властей США, да и, пожалуй, за пределами штатов.
Разработчики Apple были вынуждены ограничить в Великобритании функционал iCloud Advanced Data Protection, обеспечивавший облачное хранилище сквозным шифрованием.
После чего Apple подала жалобу на январский запрос в Трибунал по надзору за деятельностью правоохранительных органов.
Рассмотрение дела было назначено на январь 2026 года. Новая инициатива британского правительства может привести к возобновлению процесса.
После давления со стороны Вашингтона власти Великобритании отозвали то требование и теперь ограничили запрос только британскими пользователями.
В Apple подчёркивают, что конфиденциальность - у них в приоритете, так что компания не собирается идти на компромисс, а правозащитники предполагают: если приказ вступит в силу, аналогичные требования могут быть предъявлены и к другим технологическим компаниям.
Тем временем источники FT утверждают, что вопрос доступа к пользовательским данным вновь поднимался во время июльского визита президента США Дональда Трампа в Лондон.
Несмотря на это, представители британского правительства заявляют, что Соединенные Штаты больше не настаивают на полном отказе от этого требования.
Вот и порешали. Будем следить.
Ранее мы уже рассказывали про метода атаки Battering RAM, который был разработан группой бельгийских учёных и основывается на вредоносном модуле памяти, который можно использовать для взлома конфиденциальности современных облачных сервисов.
Он устанавливается между оперативной памятью (RAM) и материнской платой и позволяет злоумышленникам взломать функции безопасности процессоров Intel и AMD, используемых в облачных серверах.
Его стоимость составляет всего лишь 50 долларов США.
Аналогичное устройство WireTap разработала другая команда исследовательской из Технологического института Джорджии и Университета Пердью, продемонстрировав, что пассивный интерпозер DIMM может быть использован для взлома механизма DCAP Intel SGX.
Атака WireTap также требует физического доступа к серверу, использующему SGX, и задействует интерпозер, которое можно создать с использованием общедоступной электроники менее чем за 1000 долларов США.
Технология Intel SGX (Software Guard Extensions) встроена в некоторые процессоры и предназначена для защиты конфиденциальных данных и кода от несанкционированного доступа или подмены, даже если остальная часть системы скомпрометирована.
После установки интерпозер позволил учёным замедлить и собрать трафик шины DDR4, а затем взять под контроль анклав SGX, очистив кэш. Затем учёные атаковали криптографический механизм безопасности SGX и извлекли ключ аттестации машины в течение 45 минут.
Исследователи объяснили, что скомпрометированный ключ затем может быть использован для злоупотребления конфиденциальностью многочисленных развертываний, включая сети смарт-контрактов Phala и Secret, а также централизованную систему хранения блокчейнов Crust.
В ходе атак на Phala и Secret ученые смогли извлечь ключи для шифрования данных контракта, подделав котировки в пользовательском анклаве, что позволило им расшифровать состояние смарт-контракта по всей сети.
В контексте Crust исследователи продемонстрировали, что злоумышленник может использовать скомпрометированный ключ и модифицированный анклав для подделки доказательств хранения, тем самым нарушая целостность и корректность действий сетевого узла.
Ученые отмечают, что атаку WireTap можно смягчить, отказавшись от использования детерминированного шифрования памяти, обеспечив достаточную энтропию внутри каждого блока шифрования, установив более высокие скорости шины и предоставив единый главный ключ для всех анклавов SGX из единой системы с усиленной защитой.
Они сообщили о своих результатах Intel, которая в своем заявлении на этой неделе признала факт атаки, но отметила на необходимость наличия у злоумышленника физического доступа к оборудованию с интерпозером шины памяти, а это уже выходит за рамки ее модели угроз.
Банда вымогателей Crimson Collective заявили, что им удалось взломать частные репозитории Red Hat на GitHub и похитить почти 570,2 ГБ сжатых данных из 28 000 внутренних проектов.
Данные массив, предположительно, включает около 800 отчетов о взаимодействии с клиентами (CER), которые могут содержать конфиденциальную информацию в отношении сети и платформ клиента.
CER - это консультационный документ, подготовленный для клиентов, который часто содержит сведения об инфраструктуре, данные конфигурации, токены аутентификации и другую информацию, которая может быть использована для взлома сетей клиентов.
При этом сама Red Hat подтвердила, что столкнулась с инцидентом, связанным с ее консалтинговым бизнесом, пока не комментирует какие-либо заявления относительно украденных репозиториев GitHub и CER клиентов, но инициировала необходимые меры по устранению последствий.
В настоящее время у Red Hat нет оснований полагать, что проблема безопасности повлияет на какие-либо другие сервисы или продукты, в компании полностью уверены в целостности цепочки поставок ПО.
В свою очередь, хакеры сообщили, что вторжение произошло примерно две недели назад.
Они обнаружили токены аутентификации, полные URI базы данных и другую конфиденциальную инфу в коде Red Hat и CER, которые затем использовали для доступа к инфраструктуре клиентов.
Банда поделилась в телеге полным списком, предположительно, украденных репозиториев GitHub и перечнем CER за период с 2020 по 2025 год, который включает ряд известных организаций.
По данным International Cyber Digest, к ним относятся АНБ, ВМС, Федеральное управление гражданской авиации, Палату представителей, Министерство энергетики США, НИСТ, Bank of America, T-Mobile, AT&T, Fidelity, Kaiser, Mayo Clinic, Walmart, Costco IBM, Citi, Verizon, Siemens, Bosch, JPMC, HSBC, Telefonica, крупные телекоммуникационные компании, банки и многие другие организации.
Хакеры опубликовали скриншоты структур файлов, содержащих файлы конфигурации и инструменты, такие как инвентаризация серверов, Ansible playbooks, руководства по настройке OpenShift, средства развертывания кода, конфигурации реестра контейнеров и VPN, ссылки для управления секретами, резервные копии, экспортированные конфигурации репозиториев GitHub/GitLab и многое другое.
Как утверждают представители Crimson Collective, они пытались связаться с Red Hat с требованием выкупа, но так и не получили ответа, кроме стандартизированного шаблона с указанием предоставления отчета об уязвимости.
При этом созданный тикет неоднократно переназначался другим лицам, включая сотрудников юридического отдела и службы безопасности Red Hat.
Все же не стоило недооценивать банду, которая на прошлой неделе отдефейсила страницы Nintendo для рекламы своего канала в телеге.
Будем следить.
Исследователи Google Mandiant и Google Threat Intelligence Group (GTIG) отследили новый кластер активности, возможно, связанный с финансово мотивированным злоумышленником, известным как Cl0p.
Злонамеренная деятельность включает в себя отправку вымогательских писем руководителям различных организаций с утверждениями о краже конфиденциальных данных из Oracle E-Business Suite.
Как полагают в GTIG, эта деятельность началась не позднее 29 сентября 2025 года, но эксперты Mandiant пока находятся на ранних стадиях многочисленных расследований и пока не подтвердили заявления этой группы.
Текущая активность описывается как «массовая кампания по электронной почте», которая запускается с сотен взломанных аккаунтов, при этом есть данные, указывающие на то, что по крайней мере один из этих аккаунтов ранее был связан с деятельностью FIN11, которая является подгруппой внутри группы TA505.
По данным Mandiant, FIN11 участвовала в атаках с целью вымогательства и использованием программ-вымогателей еще в 2020 году.
Ранее ее связывали с распространением различных штаммов вредоносных ПО, таких как FlawedAmmyy, FRIENDSPEAK и MIXLABEL.
Вредоносные письма содержат контактную информацию, а два указанных адреса также публично указаны на DLS банды Cl0p. Это убедительно свидетельствует о наличии определенной связи с бандой.
Тем не менее, у Google нет убедительных доказательств, подтверждающих предполагаемые связи, несмотря на сходство TTPs, наблюдавшихся в предыдущих атаках Cl0p.
Компания призывает организации исследовать среду на предмет наличия признаков активности злоумышленников. В настоящее время неясно, как был получен первоначальный доступ.
Однако, по данным Bloomberg, предполагается, что злоумышленники взломали электронную почту пользователей и воспользовались функцией сброса пароля по умолчанию, чтобы получить действительные учётные данные для интернет-порталов Oracle E-Business Suite, ссылаясь на информацию, предоставленную Halycon.
В самой Oracle пока не комментирует ситуацию.
Однако учитывая послужной список Cl0p, отметившихся умелым применением 0-day в Accellion FTA, SolarWinds Serv-U FTP, Fortra GoAnywhere MFT и Progress MOVEit Transfer, потенциальным жертвам и разработчикам волноваться стоит.
Но будем посмотреть.
Теперь вы знаете, кто вдохновлял основателя киберпанка
Читать полностью…
Разработчики OpenSSL объявили о выпуске новых версий инструментария SSL/TLS с открытым исходным кодом, закрывающих уязвимости, которые позволяют восстанавливать закрытый ключ, выполнять код и проводить DoS-атаки.
Обновленные версии библиотеки OpenSSL 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.0.2zm и 1.1.1zd включают исправления для CVE-2025-9230, CVE-2025-9231 и CVE-2025-9232.
CVE-2025-9231 может быть использована для восстановления закрытого ключа.
Учитывая, что OpenSSL используется приложениями, сайтами и службами для защиты коммуникаций, злоумышленник, получивший его, может расшифровать трафик или провести атаку MitM.
Однако разработчики OpenSSL отметили, что уязвимость затрагивает только реализацию алгоритма SM2 на 64-битных платформах ARM.
OpenSSL напрямую не поддерживает сертификаты с ключами SM2 в TLS, поэтому эта CVE неактуальна в большинстве контекстов TLS.
Однако, учитывая возможность добавления поддержки таких сертификатов через настраиваемого поставщика, а также тот факт, что в таком контексте закрытый ключ может быть восстановлен посредством удалённого измерения времени, проблеме присвоили средний рейтинг серьёзности.
Другая CVE-2025-9230 описывается как проблема чтения/записи за пределами выделенного буфера, которая может быть использована для выполнения произвольного кода или DoS-атак.
Ей также присвоен рейтинг средней серьезности.
Как отмечают в OpenSSL Project, последствия успешной эксплуатации этой уязвимости могут быть серьезными, но вероятность того, что злоумышленник сможет это сделать, достаточно невелика.
Третьей уязвимости присвоен низкий рейтинг, ее можно эксплуатировать для вызова сбоя, который может привести к состоянию DoS.
В целом, можно констатировать, что безопасность OpenSSL существенно усилилась с момента обнаружения печально известной Heartbleed.
Несмотря на то, что некоторые уязвимости всё же попадали в топы, количество и серьёзность уязвимостей, обнаруженных в OpenSSL в последние годы, остаются на невысоком уровне.
В 2025 году - только четыре проблемы, из них лишь одна имела рейтинг высокой степени серьёзности.
Почти 50 000 устройств Cisco Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD), доступных в общедоступной сети, подвержены двум активно эксплуатируемым уязвимостям.
Упомянутые нами ранее CVE-2025-20333 и CVE-2025-20362 позволяют выполнять произвольный код и получать доступ к ограниченным URL-адресам, связанным с VPN-доступом.
Обе уязвимости безопасности могут быть эксплуатированы удалённо без аутентификации.
25 сентября Cisco предупредила, что эти уязвимости активно использовались в атаках, которые начались до того, как исправления стали доступны клиентам.
Обходных путей для обеих уязвимостей не существует, но временные меры по смягчению могут включать ограничение доступа к веб-интерфейсу VPN, а также мониторинг подозрительных входов в VPN и HTTP-запросов.
В свою очередь, The Shadowserver Foundation отметила, что в ходе сканирования было обнаружено более 48 800 экземпляров ASA и FTD, доступных через Интернет, которые по-прежнему уязвимы к CVE-2025-20333 и CVE-2025-20362.
Большинство IP-адресов расположено в США (более 19 200 конечных точек), за которыми следуют Великобритания (2 800), Япония (2 300), Германия (2 200), Россия (2 100), Канада (1 500) и Дания (1 200).
Статистка соответствует состоянию на 29 сентября и свидетельствуют об отсутствии адекватной реакции на продолжающуюся эксплуатацию и фактические указывает на начало новой масштабной атаки на цепочку мудаков.
Причем, еще 4 сентября Greynoise также предупреждала о сканированиях, начавшихся ещё в конце августа и нацеленных на устройства Cisco ASA.
В 80% случаев эти сканирования указывают на готовящиеся к обнаружению незадокументированные уязвимости в атакуемых продуктах. Так и случилось.
Британский NCSC в своем отчете отметил, что хакеры использовали вредоносную программу-загрузчик шелл-кода под названием Line Viper, а затем буткит GRUB под названием RayInitiator.
Учитывая, что активная эксплуатация уязвимости продолжается уже более недели, администраторам потенциально затронутых систем настоятельно рекомендуется как можно скорее применить рекомендации Cisco для CVE-2025-20333 и CVE-2025-20362 [1 и 2].
Вкратце отметим также и другие наиболее трендовые уязвимости и связанные с ними угрозы:
1. Исследователи CyberOK сообщают, что более 30 000 устройств Cisco по всей России уязвимы к недавней 0-day, которая была исправлена на прошлой неделе и отслеживается как CVE-2025-20352.
2. GitLab выпустила обновления с исправлениями десяти уязвимостей в своем основном продукте.
3. Исследователь MoSalah11/a-critical-zero-day-in-atlassian-jira-service-management-cloud-password-reset-account-takeover-1903cbb8bd31">раскрыл подробности критической уязвимости в Atlassian Jira Service Management Cloud, которая могла привести к сбросу пароля любой учетной записи, за что получил вознаграждение в размере 1500 швейцарских франков.
4. Роботы-гуманоиды Unitree G1, как сообщает IEEE Spectrum, собирают и отправляют телеметрические данные на серверы в Китай без ведома и согласия владельца.
По данным группы исследователей, анализировавших прошивки робота, сбор данных происходит каждые пять минут. Кроме того, G1 также содержит уязвимости BLE.
5. Positive Technologies обнаружила ряд уязвимостей, включая обход SQLi и MFA, позволяющих запустить вредоносный код в PassOffice - разработанной в России платформе управления посетителями, которую используют в бизнес-центрах.
6. Broadcom выпустила обновления, устраняющие две серьезные уязвимости VMware NSX, о которых сообщило АНБ США.
Первая CVE-2025-41251 связана со проблемами реализации механизма восстановления пароля, которая позволяет неаутентифицированным злоумышленникам перечислять действительные имена пользователей, которые впоследствии могут быть использованы в бруте.
Вторая уязвимость (CVE-2025-41252) также связана с перечислением имен пользователей, ее могут использовать неавторизованные злоумышленники для перечисления действительных имен пользователей, что потенциально может привести к неправомерному доступу.
Компания устранила серьезную уязвимость внедрения заголовка SMTP (CVE-2025-41250) в VMware vCenter, которая позволяет злоумышленникам с неадминистративными привилегиями и разрешениями создавать запланированные задачи для манипулирования электронными письмами с уведомлениями, отправляемыми для запланированных задач.
7. Исследователи Tenable раскрыли три уже исправленные уязвимости безопасности, влияющие на работу помощника на основе ИИ Gemini от Google.
Все они открывали вектор для атак с внедрением поисковых запросов на его модель персонализации поиска, атак с внедрением журналов запросов на Gemini Cloud Assist, а также кражи сохраненной информации пользователя и данных о его местоположении через Gemini Browsing Tool.
8. Исправлена неаутентифицированная CVE-2025-30247, которая затрагивает пользовательский интерфейс прошивки Western Digital My Cloud до версии 5.31.108 на платформах NAS, позволяя удаленным злоумышленникам выполнять произвольные системные команды с помощью специально созданного HTTP-запроса POST.
Эксплуатация уязвимости может привести к полному захвату устройства.
9. В Notepad++ v8.8.3 обнаружена критическая уязвимость перехвата DLL (CVE-2025-56383), которая позволяет заменить исходный DLL-файл для выполнения вредоносного кода и делает миллионы пользователей уязвимыми для RCE.
10. В SonicWall SonicOS закрыта уязвимость, связанная с ненадлежащим контролем доступа, которая потенциально приводит к несанкционированному доступу к ресурсам и, при определённых условиях, к сбою межсетевого экрана.
CVE-2024-40766 затрагивает устройства SonicWall Firewall Gen 5 и Gen 6, а также устройства Gen 7 под управлением SonicOS 7.0.1-5035 и более ранних версий.
Проблема активно эксплуатировалась бандой вымогателей Akira, которая обходила MFA на основе одноразовых паролей на пропатченных VPN-устройствах SonicWall, используя учётные данные и, возможно, украденные начальные значения OTP, полученные через CVE-2024-40766.
Исследователи NVISO Labs сообщают, что недавно исправленная уязвимость в Broadcom VMware Tools и VMware Aria Operations, эксплуатировалась как 0-day с середины октября 2024 года злоумышленником, который отслеживается как UNC5174.
CVE-2025-41244 (CVSS: 7,8) затрагивает: Cloud Foundation 4.x и 5.x, 9.xxx, 13.xxx (Windows, Linux), vSphere Foundation 9.xxx, 13.xxx (Windows, Linux), Aria Operations 8.x, Tools 11.xx, 12.xx и 13.xx (Windows, Linux), Telco Cloud Platform 4.x и 5.x и Telco Cloud Infrastructure 2.x и 3.x.
Согласно бюллетеню VMware, локальный злоумышленник с неадминистративными привилегиями, имеющий доступ к виртуальной машине с установленными и управляемыми Aria Operations инструментами VMware с включенным SDMP, может воспользоваться этой уязвимостью для повышения привилегий до root на той же виртуальной машине.
NVISO обнаружила уязвимость и сообщила о ней 19 мая 2025 года в ходе операции по реагированию на инцидент.
Компания также заявила, что VMware Tools 12.4.9, входящий в состав VMware Tools 12.5.4, устраняет эту проблему в 32-разрядных системах Windows, а версия open-vm-tools, устраняющая CVE-2025-41244, будет распространяться поставщиками Linux.
Несмотря на то, что Broadcom не упоминает об эксплуатации этой уязвимости в реальных атаках, NVISO Labs приписала замеченную активность связанной с Китаем группе, которую Google Mandiant отслеживает как UNC5174 (Uteus или Uetus).
Как полагает исследователи, группа имеет богатый опыт эксплуатации различных уязвимостей, включая SAP NetWeaver, для получения начального доступа к целевым средам.
В случае успеха эксплуатации непривилегированные пользователи получают возможность выполнить код в привилегированном контексте (например, с правами root).
Однако в NVISO не могут пока оценить, был ли этот эксплойт частью реальных возможностей UNC5174 или же использование нуля носило случайный характер в виду её незначительности.
По данным NVISO, уязвимость затрагивает в функцию под названием get_version(), которая принимает шаблон регулярного выражения (regex) в качестве входных данных для каждого процесса с прослушивающим сокетом, проверяет, соответствует ли двоичный файл, связанный с этим процессом, шаблону, и, если соответствует, вызывает команду версии поддерживаемой службы.
Хотя эта функциональность работает ожидаемым образом для системных исполняемых файлов (например, /usr/bin/httpd), использование класса символов \S с широким соответствием (соответствие символам, отличным от пробелов) в нескольких шаблонах регулярных выражений также соответствует несистемным исполняемым файлам (например, /tmp/httpd).
Эти несистемные исполняемые файлы находятся в каталогах (например, /tmp), которые по умолчанию доступны для записи непривилегированным пользователям.
В результате это открывает возможность для потенциального злоупотребления со стороны непривилегированного локального злоумышленника, который может разместить вредоносный исполняемый файл в каталоге /tmp/httpd, что приводит к EoP при сборе метрик VMware.
Всё, что нужно злоумышленнику, чтобы воспользоваться уязвимостью, - это обеспечить запуск исполняемого файла от имени непривилегированного пользователя, и он откроет случайный прослушивающий сокет.
UNC5174 использовала каталог /tmp/httpd для размещения вредоносного двоичного файла, запуска оболочки с расширенными правами root и выполнения кода. Точная природа вредоносной нагрузки, выполняемой с помощью этого метода, на данном этапе неясна.
Исследователи отметили, что широкая практика имитации системных двоичных файлов (например, httpd) подчеркивает реальную возможность того, что ряд других штаммов вредоносного ПО в течение многих лет случайным образом достигали непреднамеренного повышения привилегий.
Любители японского пенного стали жертвой атаки с использованием ransomware.
В отличие от Jaguar Land Rover удар по Asahi помимо владельцев бизнеса непосредственно затронул интересы клиентов, рискующих остаться без любимого напитка.
Крупнейший пивоваренный завод Asahi Group Holdings, Ltd (Asahi) в Японии приостанавливает работу после кибератаки, которая привела к выводу из строя его инфраструктуры.
По данным компании, инцидент непосредственно повлиял на работоспособность систем оформления заказов и доставки, колл-центра и службы поддержки клиентов
Asahi - одна из крупнейших пивоваренных компаний Японии, которая контролирует треть всего рынка.
Штат включает 30 000 сотрудников, производительность составляет до 100 млн. гектолитров напитков, а годовая выручка за прошлый год составила почти 20 млрд. долл.
На международном уровне компания представлена четырьмя региональными филиалами (в Японии, Европе, Океании и Юго-Восточной Азии) и владеет такими брендами, как Peroni, Pilsner Urquell, Grolsch и Fullers.
Как сообщают специалисты Asahi, кибератака затронула лишь подразделения компании, дислоцированные в Японии.
Пока неясно, были ли скомпрометированы или украдены данные, поскольку расследование продолжается.
Тем не менее, в самой компании заявляют, что на данный момент не зафиксировано ни одного случая утечки личной информации или данных клиентов.
Также компания принесла свои извинения клиентам и деловым партнерам за причиненные неудобства.
Кроме того, в Asahi отметили, что приступили к работе над восстановлением пострадавших систем, но не назвая конкретных сроков.
Каких-либо подробностей о злоумышленнике или первоначальном векторе атаки нет, как и непонятно было ли вообще шифрование.
При этом ни одна из банд вымогателей на данный момент публично также не взяла на себя ответственность за атаку. И вряд ли возьмет, дабы не портить карму.
Исследователи из Лаборатории Касперского продолжают отслеживать инциденты, связанные с резонансными атаками на цепочку поставок.
Как отмечается, подобные случаи компрометации стали частым явлением и «трендовым» направлением у злоумышленников.
За последний месяц произошло два крупных инцидента, которые привели созданию вредоносных модулей, зависимостей и отдельных пакетов, а 16 сентября 2025 года стало известно о новой волне заражения npm-пакетов при помощи самораспространяющегося зловреда Shai-Hulud.
Собственно, в новом отчете специалисты ЛК разобрали технические особенности масштабного заражения npm с использованием червя Shai-Hulud.
Как известно, Shai-Hulud нацелен на кражу конфиденциальных данных, раскрытие приватных репозиториев организаций и учетных данных жертвы для заражения других пакетов и дальнейшего распространения.
Вследствие инцидента было заражено свыше 500 пакетов, в число которых попал пакет с более чем двумя миллионами загрузок в неделю - ctrl/tinycolor, и даже библиотеки известной компании CrowdStrike.
В результате разработчики, внедрившие в свои проекты вредоносные пакеты, рисковали потерять конфиденциальные данные, а их собственные библиотеки могут быть инфицированы Shai-Hulud.
Этот самораспространяющийся зловред активно захватывает учетные записи и секреты для создания новых зараженных модулей, распространяя угрозу по цепочке зависимостей.
Проведя ряд исследований, в ЛК смогли обнаружить первый пакет, с которого началось распространение Shai-Hulud, - ngx-bootstrap версии 18.1.4. Именно он стал отправной точкой распространения данной инфекции.
Кроме того, ресерчеры заметили, что в ряде случаев в одном и том же пакете находилось несколько версий, содержащих вредоносный код.
Причем вредоносный скрипт делает скрытые репозитории организаций публичными, что представляет серьезную угрозу для их владельцев, так как возникает риск раскрытия исходных кодов библиотек, продуктов и т.д., а также утраты еще большего количества данных.
В общем, настоятельно рекомендуем ознакомиться с результатами исследования в части погружения в техническую плоскость вредоносной активности червя, эксфильтрации секретов и механизма саморепликации, а также выявленных ЛК особенностей заражения и IOCs.
🟦Академическое исследование на тему безопасности Bluetooth в автомобилях 🔎вскрывает 128 уязвимостей
Исследователи в августе 2025 представили новый open-source фреймворк BlueToolkit для автоматизированного тестирования безопасности Bluetooth Classic, которым воспользовались ресёрчеры для 📄 масштабного анализа автомобильных систем.
Фреймворк использует конфигурационные YAML-файлы для добавления новых тестов, поддерживает различное аппаратное обеспечение (ESP32, Nexus 5) и интегрирует эксплойты из разрозненных репозиториев, таких как BrakTooth и BlueBorne.
Он работает по принципу black-box через Over The Air (OTA), позволяя провести глубокую оценку In-Vehicle Infotainment (IVI) систем, чтобы выявить проблемы в безопасности.
🚘Согласно результатам исследования, в ходе которого было протестировано 22 автомобиля от 14 ведущих производителей (выпущенных в период с 2015 по 2023 год) было обнаружено 128 уязвимостей.
🖥 Проведён 891 тест: выявлен 21 недостаток в проектировании протоколов и 46 ошибок в их реализации на уровне конкретных вендоров.
В рамках исследования описываются четыре атаки, наиболее опасной из которых является User Account Takeover. С помощью Man-in-the-Middle атакующие могут перехватывать SMS или HFP (Hands-Free Profile) данные для обхода двухфакторной аутентификации и захвата интернет-аккаунтов жертвы.
✅ Если судить только по результатам тестов Bluetooth, то картина следующая:
1️⃣ Skoda: Показала наименьшее количество уязвимостей в среднем. Модель Skoda Enyaq (2023) оказалась единственным автомобилем из 22, у которого не было обнаружено ни одной уязвимости (0 положительных тестов из 30 проведенных).
2️⃣ Tesla: Модель Tesla Model Y (2023) показала очень хороший результат — всего 2 уязвимости.
3️⃣ Audi: Две протестированные модели (A5 и e-tron 2020 года) показали умеренное количество уязвимостей (4 и 6).
🛡 Самые уязвимые в рамках исследования:
4️⃣ Toyota: Модель Toyota Corolla (2023) показала 9 уязвимостей.
5️⃣ BMW: Модель BMW X2 (2021) показала 10 уязвимостей.
6️⃣ Renault: Модель Renault Megane (2021) стала "антилидером" с 13 уязвимостями.
👆Полученные данные говорят о серьезных системных проблемах безопасности Bluetooth в автомобильной сфере. Даже абсолютно новые машины оснащаются технологиями с уже известными и неисправленными уязвимостями, фактически наследуя риски десятилетней давности.
❗️ https://github.com/sgxgsx/BlueToolkit
✋ @Russian_OSINT
Microsoft Threat Intelligence обнаружила новый вариант вредоносного ПО XCSSET для macOS, который использовался в ходе целевых ограниченных атак и включал обновленный функционал.
XCSSET - это модульное вредоносное ПО для macOS, которое реализует кражу широкого профиля данных и криптоактивов с зараженных устройств.
Вредоносное ПО предназначено для заражения проектов Xcode, которые обычно используются разработчиками программного обеспечения, и запускается во время сборки проекта Xcode.
В Microsoft полагают, что этот способ заражения и распространения основан на совместном использовании файлов проекта разработчиками, создающими приложения для Apple или macOS.
В новом варианте исследователи отметили несколько изменений.
Теперь он пытается выкрасть данные из браузера Firefox, устанавливая модифицированную версию инструмента HackBrowserData с открытым исходным кодом, который используется для расшифровки и экспорта данных браузера из хранилищ данных браузера.
Новый вариант также включает обновление компонента перехвата буфера обмена, которое отслеживает буфер macOS на предмет шаблонов регулярных выражений, связанных с адресами криптокошельков.
При обнаружении криптоадреса он подменяет его подконтрольным злоумышленнику. В результате любая транзакция криптовалюты на зараженном устройстве переправляется злоумышленникам.
Вредоносное ПО также включает новые методы сохранения, включая создание записей LaunchDaemon, которые выполняют полезную нагрузку ~/.root и создают поддельный файл System Settings.app в /tmp для маскировки своей активности.
Новый вариант пока не получил широкого распространения, Microsoft наблюдала его лишь в единичных атаках. Исследователи также поделились своими результатами с Apple и работают с GitHub над удалением связанных с ним репозиториев.
Для защиты от этого типа вредоносного ПО рекомендуется поддерживать macOS и приложения в актуальном состоянии, особенно учитывая, что XCSSET ранее эксплуатировал уязвимости, включая 0-day.
Microsoft рекомендует разработчикам всегда проверять проекты Xcode перед их сборкой, особенно если ими с вами поделились другие.
Cisco предупреждает еще о двух 0-day в межсетевых экранах, которые активно используются в атаках.
Первая CVE-2025-20333 позволяет аутентифицированным удаленным злоумышленникам выполнять произвольный код на устройствах, на которых работает уязвимое программное обеспечение Adaptive Security Appliance (ASA) и Firewall Threat Defense (FTD).
Другая уязвимость (CVE-2025-20362) позволяет удаленным злоумышленникам получать доступ к ограниченным конечным точкам URL без аутентификации.
Как отмечает Cisco PSIRT, компании известно о попытках эксплуатации этой уязвимости, в связи с чем настоятельно рекомендует клиентам перейти на исправленную версию программного обеспечения для ее устранения.
Cisco также выразила благодарность Австралийскому центру кибербезопасности, Канадскому центру кибербезопасности, Национальному центру кибербезопасности Великобритании (NCSC) и Агентству кибербезопасности и безопасности инфраструктуры США (CISA) за помощь в расследовании 0-day атак, анцеленных на CVE-2025-20333 и CVE-2025-20362.
Несмотря на то, что Cisco напрямую не связывала это с этими атаками, она исправила третью критическую уязвимость (CVE-2025-20363) в межсетевом экране ASA/FTD и Cisco IOS, которая может позволить неаутентифицированным злоумышленникам удаленно выполнять произвольный код.
Текущие исправления появились спустя несколько недель после того, как в конце августа GreyNoise обнаружила две широкомасштабные кампании с 25 000 уникальными IP-адресами, нацеленными на порталы входа в систему ASA и Cisco IOS Telnet/SSH.
Причем GreyNoise ранее сообщала, что подобная разведдеятельность предшествует раскрытию новых уязвимостей, влияющих на проверяемые продукты в 80% случаев.
Собственно, выводы исследователей оказались верными.
В самой Cisco пока это никак не комментируют, но будем следить.
Похоже, что успешно обкатанный спецслужбами механизм легализации разведданных в отношении деятельности APT теперь будет работать как конвейер.
На этот раз вслед за китайскими и северокорейскими группировками под пресс отправили иранскую APT35 (Charming Kittens, Phosphorus и Newscaster), которая является одной из наиболее активных группы в сфере кибершпионажа и, как считается, связана с подразделением 1500 КСИР.
Согласно отработанному сценарию некая таинственная группа, в данном случае - называющая себя KittenBusters, выкатила на GitHub архивы, содержащие подробные сведения в отношении APT35.
Анонсированную утечку на сегодняшний день называют одним из самых значительных сливов, касающихся деятельности иранских прогосударственных хакеров.
Она включает сотни файлов с отчётами об атаках за последние несколько лет, ежедневные опержурналы, внутреннюю переписку, образцы вредоносного ПО и фотографии с установочными данными сотрудников, предположительно, связанных с деятельность группы.
При этом некто Аббас Рахрови, также известный как Аббас Хоссейни, заявлен в качестве лидера Charming Kittens.
В документах раскрыты его паспортные данные, а также сеть подставных компаний, через которые он якобы организует деятельность группы.
Одна из представленных папок с наименованием All_Proxy_Shell_Targets содержит подпапки для Ирана, Южной Кореи, Кувейта, Турции, Саудовской Аравии и Ливана.
Судя по всему, в файлах документируются факты эксплуатации серверов Microsoft Exchange с использованием уязвимостей ProxyShell, что в целом согласуется с тактикой Charming Kitten.
Наиболее интересная папка «Отчёты об атаках» с документами на персидском языке, многие из которых содержат фразу «گزارش عملکرد ماهانه» (ежемесячный отчёт об эффективности) в названиях файлов.
Отдельные ежедневные отчёты операторов с именами вроде Маджида, Мехьяра и Хоссейна содержат подробную информацию о результатах выполнения повседневных задач: мониторинг аккаунтов в соцсетях, сбор данных через OSINT, настройка фишинговой инфраструктуры.
В отчётах даже указывается отработанное количество часов, что указывает на некую бюрократическую рутину, с которой приходится сталкиваться участникам APT.
Дополнительные папки с метками «Malware_and_Logs» и «CMPGN_PST» содержат информацию об используемом в операциях инструментарии и журналы основных событий отработанных кампании.
Наиболее чувствительной информацией, конечно же, следует считать данные на участников APT (фигурируют даже бейджи с различных конференции, не говоря про личные аккаунты и прочее), что может считаться критическим провалом в ее деятельности по части OpSec.
Уровень детализации утечки свидетельствуют о том, что её инициатор имел систематический доступ к внутренним системам в течение длительного периода.
Действующие от имени KittenBusters обещают, что в будущем будут публиковаться все новые материалы. Тем не менее, уже сейчас расчет на серьёзный удар по иранской разведке, следует полагать, определенно сработал.
Однако эффект, как в случае предыдущих подобных сливов, будет иметь ограниченный по времени характер.
Но будем посмотреть.
У Microsoft вновь поломался Defender for Endpoint, который теперь ошибочно помечает прошивку BIOS некоторых устройств как устаревшую, предлагая пользователям обновить ее.
Согласно сервисному предупреждению от Редмонда, эта известная проблема затрагивает устройства Dell и вызвана ошибкой логики Defender for Endpoint.
Ошибка кода в логике Microsoft Defender для конечных точек, отвечающей за выявление уязвимостей для устройств Dell, приводит к возникновению названных проблем.
Компания уже разработала исправление этой ошибки и в настоящее время готовит его к развертыванию, но так и не раскрывает регионы или число клиентов, которые оказались затронуты текущими проблемами Defender XDR.
Но это еще не все.
Буквально на днях инженеры Microsoft также устранили «черный экран», возникавший на устройствах macOS, получивших обновления после 29 сентября.
Сбои в работе были вызваны взаимной блокировкой в корпоративной системе безопасности Apple, которая возникает, когда несколько поставщиков безопасности пытаются прослушивать события.
Немного ранее в этом месяце Редмонд разобрался с другими ложными сработками, из-за которых служба защиты от спама ошибочно блокировала попытки открыть URL-адреса пользователями Microsoft Teams и Exchange Online.
Тогда проблема была вызвана тем, что антиспамовый модуль ошибочно помечал URL-адреса, содержащиеся в других URL, как потенциально вредоносные, что также приводило к помещению некоторых писем в карантин.
Так что вечно можно смотреть на три вещи: как микромягкие пилят патч, как они пилят новый патч для предыдущего и, наконец, устраняют ошибки, возникшие в результате этих патчей.
Стало известно и о другом серьезном инциденте, ответственность за который несет банда вымогателей J GROUP.
Хакеры выкатили на свой DLS компанию Dimensional Control Systems (3DCS), заявляя о краже корпоративной документации.
3DCS реализует программные решения и услуги производственным компаниям по всему миру, включая крупных игроков в секторах автомобилестроения, аэрокосмической промышленности, медицинского оборудования, высокотехнологичной электроники и машиностроения.
Среди клиентов 3DCS - Fiat Chrysler Automobiles, General Motors, Nissan, Volkswagen, Airbus и Boeing, Philips Medical, LG и Samsung.
Хакеры утверждают, что им удалось похитить 11 ГБ данных компании, включая: документацию фирменного ПО, конфигурационные файлы для интеграции с системами CAE, HPC и PLM, клиентские метаданные, конфиденциальные юридические документы (сертификаты, страховые полисы), а также сведения в отношении врезервного копирования, технической поддержки и безопасности.
Злоумышленники в качестве пруфов представили файл .txt и архив с образцами данных.
Первый содержал обширный список предположительно украденных PDF-файлов, по всей видимости, имеющих непосредственное отношение к 3DCS.
Второй файл включал ряд службеных документов материнской компании Sandvik, включая регламенты по безопасности и сведения по киберстрахованию.
Правда, до сих пор неясно, являются ли эти данные подлинными. В 3DCS никак не комментируют заявления вымогателей.
Будем следить.
Ресерчеры из Лаборатории Касперского в своем новом отчете обращают внимание на весьма важный артефакт в контексте криминалистического анализа Windows-систем - Amcache.hve.
Он содержит обширные метаданные для каждого обнаруженного в системе исполняемого файла, включая полные пути, хэши SHA-1, временные метки компиляции, сведения о версии и издателе, позволяя определить факт запуска как легитимного, так и вредоносного ПО на компьютере.
AmCache формирует и ведет операционная система, и на момент написания статьи не существует известных способов вмешаться в его данные или стереть их.
Так что, в случае реагирования на инцидент именно эти данные могут помочь идентифицировать утраченные артефакты (например, сведения о шифровальщике, который автоматически удаляет себя).
Безусловно, этот артефакт не стоит рассматривать как настоящий лог выполнения, но его ценность заключается в документировании существования файла и пути к нему.
Он незаменим при выявлении аномальных бинарных файлов, проверке легитимности файлов с помощью онлайн-баз угроз и сопоставлении значений LinkDate с датами известных кампаний.
Весь аналитический потенциал данных AmCache раскрывается в сочетании с другими артефактами, такими как Prefetch, ShimCache и журналы событий Windows, которые помогают подтвердить факт выполнения бинарных файлов и построить точную хронологию событий.
Сопоставление записей в разделах InventoryApplicationFile и InventoryApplication позволяет определить, был ли файл формально установлен или просто сохранен на накопителе.
Выявление нетипичных записей драйверов может указывать на скрытые руткиты и механизмы закрепления в системе.
Все это делает задействование артефакта AmCache в криминалистическом анализе ценным навыком для специалистов по DFIR.
Представленная ЛК публикация содержит детальный анализ артефакта AmCache.
Кроме того, исследователи разработали инструмент AmCache-EvilHunter, с помощью которого можно без лишних усилий пропарсить файл Amcache.hve и извлечь из него IOCs.
Инструмент также позволяет обращаться к VirusTotal или проприетарными базам данных об угрозах для сверки с данными о детектировании вредоносных файлов, повышая эффективность реагирования на инциденты.
Dстроенная автоматизация сокращает объем ручной работы и ускоряет выявление угроз, что по достоинству оценят как ИБ-аналитики, так и специалисты по реагированию.
В общем, настоятельно рекомендуем ознакомиться с отчетом и взять на вооружение AmCache-EvilHunter (доступен на GitHub для Linux и Windows).
4⃣ Расследование аферы с GitHub: как тысячи «модов» и «кряков» крадут ваши данные.
• Еще в апреле на хабре был опубликован перевод очень интересной статьи, в которой описана схема распространения вредоносного ПО через тысячи GitHub репозиториев - от модов для Fortnite до «взломанного» Photoshop.
• Если жертва скачивает и запускает такое ПО, то все данные с ПК отправляются на Discord-сервер, где сотни злоумышленников просматривают их в поисках ключей от криптокошельков, учётных данных от социальных сетей, банковских данных, а также аккаунтов Steam и Riot Games.
• В общем и целом, автор проделал огромную работу и подробно описал это в статье:
➡Было найдено пошаговое руководство по созданию скам-репозиториев, которое автор подробно изучит и разложил его по полочкам.
➡Был написан скрипт, который помог найти 1115 репозиториев, созданных по инструкциям из руководства. Менее чем у 10% из них есть открытые Issues с жалобами, остальные выглядят просто замечательно.
➡Найден вредоносный код, который был проанализирован. Этот обфусцированный код стилера, который ищет ценные данные на компьютере жертвы и незаметно отправляет их на сервер Discord.
➡ Читать статью [14 min].
➡ Первоисточник.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Sekoia раскрыли масштабную смишинг-кампанию, в которой задействуются промышленные сотовые маршрутизаторы Milesight.
Таинственный злоумышленник использует Milesight Industrial Cellular Routers для рассылки SMS-спама пользователям в нескольких европейских странах как минимум с февраля 2022 года, оставаясь все это время незамеченным.
Злоумышленники злоупотребляют функцией настройки получения SMS-оповещений, которая достаточно часто встречается в промышленных маршрутизаторах, которые обеспечивают подключение удалённого оборудования к более крупной сети через сотовый модем.
Sekoia полагает, что злоумышленники используют уязвимость 2023 года, обнаруженную Бипином Джитией из Cuberk Solutions.
Проблема отслеживается как CVE-2023-43261 (оценка CVSS: 7,5) и может привести к раскрытию системных журналов маршрутизаторов Milesight.
Злоумышленники могут их просматривать, находить и взламывать зашифрованные пароли администратора, которые затем можно использовать для подключения к устройствам и злоупотребления API маршрутизатора SMS для отправки фишинговых сообщений на заданный номер телефона.
Распространяемые фишинговые URL-адреса включают JavaScript, который проверяет, осуществляется ли доступ к странице с мобильного устройства, прежде чем предоставить вредоносный контент.
Более того, один из доменов, использовавшихся в кампаниях с января по апрель 2025 года - jnsi[.]xyz – содержит код JavaScript, блокирующий действия правой кнопки мыши и инструменты отладки браузера, чтобы затруднить анализ.
На некоторых страницах также были обнаружены подключения посетителей к Telegram-боту GroozaBot, управление которым осуществляет некто под именем Gro_oza, владеющий, по-видимому, арабским и французским языками.
При этом в наблюдаемой активности не замечено каких-либо попыток установки бэкдоров или эксплуатации других уязвимостей, что говорит о целенаправленном подходе, непосредственно связанном с мошенническими операциями злоумышленников.
Большая часть спама была отправлена в три страны - Швецию, Италию и Бельгию. Большинство SMS-сообщений содержали фишинговые ссылки на правительственные порталы, финансовые, почтовые и электронные сервисы.
По данным Sekoia, проведенное сканирование позволило выявить более 19 000 маршрутизаторов Milesight с API для отправки SMS.
Как минимум у 572 из них этот API доступен в интернете вообще без аутентификации, то есть злоумышленникам даже не нужно эксплуатировать уязвимость 2023 года для получения доступа.
Турция, Испания и Австралия входят в число стран с наибольшей концентрацией уязвимых устройств. При агрегировании данных почти половина выявленных уязвимых маршрутизаторов находится в Европе.
Sekoia также отметила, что API может быть общедоступным из-за ошибок в настройках, учитывая, что было обнаружено несколько маршрутизаторов с более новыми версиями прошивки, невосприимчивыми к уязвимости CVE-2023-43261.
По мнению исследователей, упомянутые устройства особенно привлекательны для злоумышленников, поскольку позволяют децентрализованно рассылать SMS по нескольким странам, что затрудняет как обнаружение, так и блокировку.
Учитывая стратегическую полезность такого оборудования, весьма вероятно, что аналогичные устройства либо уже используются в текущих кампаниях по смишингу или будут задействоваться в будущем.
Технические подробности и IOCs - в отчете.
Исследователи из Католического университета Лёвена в Бельгии, Бирмингемского университета и Даремского университета в Великобритании раскрыли подробности новой аппаратной атаки под названием Battering RAM, реализуемую с помощью устройства стоимостью 50 долларов.
В прошлом году они разработали также атаку BadRAM, в которой использовалось оборудование за 10 долларов, позволяя обойти защиту доверенной среды выполнения AMD и получить доступ к потенциально конфиденциальной информации, хранящейся в памяти.
Новая Battering RAM способна обходить современные средства защиты, предоставляемые облачными процессорами Intel и AMD.
По словам исследователей, атака может нарушить конфиденциальные вычислительные технологии Intel SGX и AMD SEV-SNP, которые широко используются поставщиками облачных услуг и разработаны для защиты данных от злоумышленников, находящихся внутри компании, или имеющих доступ к хостовой системе.
Взлом RAM подразумевает установку устройства - интерпозера, между процессором и DRAM-памятью, который подключается к модулю DIMM.
Щёлкнув переключателем, устройство можно ориентировать на скрытое перенаправление защищённых адресов памяти в области, контролируемые злоумышленником.
Скрытый интерпозер обходит как шифрование памяти, так и самые современные средства защиты при загрузке, оставаясь невидимым для операционной системы.
Он обеспечивает произвольный доступ к памяти, защищённой SGX, открытым текстом и нарушает функцию подтверждения SEV в полностью пропатченных системах.
В конечном счёте, Battering RAM раскрывает ограничения современного масштабируемого шифрования памяти, но проведения атаки требуется физический доступ к целевому устройству - лишь кратковременный.
В реальных условиях подобные атаки могут осуществить недобросовестные сотрудники облачных сервисов, технические специалисты ЦОДов, сотрудники правоохранительных структур, а также в атак на цепочку поставок, нацеленных на модули памяти в ходе производства или доставки.
Исследователи отметили, что разработанный ими интерпозер работает только с памятью DDR4, но они полагают, что более продвинутый интерпозер сможет задействоваться в атаках и на DDR5, поскольку основная проблема не устранена.
Intel и AMD были ознакомлены с результатами исследования в феврале 2025 года и опубликовали свои рекомендации по безопасности буквально в день публикации исследования.
Тем не менее, они заявили, что исследование не входит в их модель угроз и, похоже, даже не обеспокоены проблематикой, поскольку этот метод требует физического доступа к целевому устройству.
Intel отметила, что некоторые процессоры Xeon поддерживают функцию Total Memory Encryption - Multi-Key (TME-MK), которая может обеспечить дополнительную защиту от подобных атак, однако также настоятельно рекомендовала клиентам обеспечить физическую защиту устройств.
В свою очередь, исследователи отметили, что обновления ПО или прошивки не смогут устранить уязвимость.
В дополнение к основному документу с описанием результатов исследования, ресерчеры представили всю техническую информацию, необходимую для создания интерпозера для Battering RAM.
По аналогии с микромягкими после релиза своих обновленных iOS и macOS Apple приходится закрывать в них дыры.
В случае с iOS 26 и macOS 26 речь идет об уязвимости, которая может привести к DoS или повреждению памяти при обработке вредоносного шрифта.
В понедельник компания выпустила новый пакет обновлений, устраняющих одну уязвимость средней степени серьезности, затрагивающую как iOS, так и macOS.
Дефект отслеживается CVE-2025-43400 и описывается как проблема записи за пределами выделенного буфера памяти в компоненте FontParser операционной системы.
Как поясняет Apple, обработка вредоносного шрифта может привести к неожиданному завершению работы приложения или повреждению памяти процесса.
Согласно рекомендациям Гонконгского CERT и Akaoma Cybersecurity, уязвимость может быть использована удаленно, без специальных привилегий, хотя требуется взаимодействие с пользователем.
Уязвимость может быть вызвана вредоносным шрифтом, доставленным через документ, вложение электронной почты или веб-контент, и может привести к неожиданному завершению работы приложения или повреждению памяти.
Для устранения ошибки Apple выпустила обновления для недавно выпущенных iOS 26 и macOS 26, а также для более старых версий своих мобильных и настольных платформ: iOS 26.0.1 и iPadOS 26.0.1, macOS Tahoe 26.0.1, iOS 18.7.1 и iPadOS 18.7.1, macOS Sequoia 15.7.1 и macOS Sonoma 14.8.1, visionOS 26.0.1.
Как отмечает Йоханнес Ульрих из Института SANS, для Apple достаточно типично выпускать обновление „.0.1“ вскоре после выхода новой крупной операционной системы, и свежее обновление не должно стать сюрпризом.
Эти обновления обычно исправляют различные функциональные проблемы, но на этот раз они также закрывают уязвимость безопасности.
Apple не упоминает о фактах эксплуатации этой уязвимости, но пользователям рекомендуется как можно скорее обновить свои устройства.
Дополнительную информацию можно найти на здесь.
Американская CISA предупреждает об эксплуатации уязвимости Sudo, которая позволяет локальным злоумышленникам с низким уровнем привилегий выполнять команды с привилегиями root, что приведет к полной компрометации системы.
Sudo - утилита командной строки для Linux и macOS, позволяющая определённым пользователям выполнять команды с правами root или администратора без необходимости входа в систему как суперпользователь. Существует также реализация Sudo для Windows.
Из-за расширенного временного доступа, предоставляемого Sudo в Linux и macOS, только пользователи, настроенные в файле sudoers, имеют право выполнять команды через Sudo.
Отмеченная как эксплуатируемая уязвимость отслеживается как CVE-2025-32463 (CVSS 9,3) и позволяет любому пользователю выполнять команды с помощью Sudo, даже если они не настроены в файле sudoers.
Успешная эксплуатация этой ошибки возможна только в системах, которые поддерживают /etc/nsswitch.conf, поскольку для этого злоумышленнику необходимо создать файл /etc/nsswitch.conf в указанном пользователем корневом каталоге, а затем использовать функцию chroot, чтобы обманом заставить Sudo загрузить его.
Ошибка появилась еще в 2023 году в Sudo версии 1.9.14 и была устранена в июне с выпуском версии 1.9.17p1, в которой была отменена функция chroot и удалена возможность запуска команд с выбранным пользователем корневым каталогом.
До того, как CISA добавила уязвимость CVE-2025-32463 в каталог известных эксплуатируемых уязвимостей (KEV), сообщений о её эксплуатации в реальных условиях не поступало. Однако с июля стали доступны PoC.
В этот же список также попали три недавно обнаруженные уязвимости в Cisco IOS и IOS XE (CVE-2025-20352), Fortra GoAnywhere MFT (CVE-2025-10035) и Libraesva Email Security Gateway (CVE-2025-59689), все были отмечены как эксплуатируемые на прошлой неделе.
Кроме того, CISA добавила в KEV CVE-2021-21311 - SSRF-уязвимость в Adminer, которая впервые была отмечена как эксплуатируемая в 2022 году.
В связи с чем, рекомендуем применить необходимые меры по устранению указанных уязвимостей и свести на ноль риски стать жертвой атак на цепочку мудаков, о которых предупредила CISA.
Исследователи F6 обнаружили новую волну вредоносных рассылок финансово-мотивированной группы Hive0117, которая проводит атаки с февраля 2022 года с использованием вредоносного ПО DarkWatchman.
Рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
24 сентября после нескольких месяцев затишья F6 зафиксировала новую активность трояна DarkWatchman RAT.
Ранее он также распространялся под видом архива якобы от Минобороны и лже-повесток.
Злоумышленники атаковали компании под видом почтовой рассылки от ФССП (Федеральная служба судебных приставов) с почтового адреса mail@fssp[.]buzz.
Аналогичная рассылка была также обнаружена в июне и июле.
В ходе анализа IOCs было выявлено, что в этих рассылках использовались домены 4ad74aab[.]cfd и 4ad74aab[.]xyz.
Анализ получателей показал, что целью группы HIVE0117 были компании, расположенные в России и Казахстане.
В списке числится 51 адресат, включая банки, маркетплейсы, телеком-операторы, логистические компании, автодилеры, производственные предприятия, строительные компании, продуктовый ритейл, лотерейные операторы, страховщики, инвестиционные компании, организации ТЭК, фармацевтические компании, НИИ, технопарк, оператор ТКО, тревел-сервисы, фитнес и IT.
Правительство Великобритании намерено предоставить Jaguar Land Rover кредит в размере 1,5 млрд фунтов стерлингов, который уйдет на поддержку автопроизводителя после недавней кибератаки, парализовавшей работу предприятий почти на месяц.
Транш был одобрен в воскресенье после визита министра экономики Великобритании Питера Кайла в штаб-квартиру JLR и Webasto на этой неделе.
31 августа компания JLR стала жертвой атаки вируса-вымогателя, предположительно, со стороны группировки HellCat.
С тех пор производственные линии на всех заводах JLR остановлены и, как ожидается, сбои продолжатся до октября.
Хоть все это выглядело как очередная атака с использованием ransomware, поразившая бэк-офис, последствия которой устраняются в ходе перезапуска бухгалтерских систем, но в реальности все было иначе.
Вышли из строя системы автоматизированного проектирования, инженерное ПО, ПО для управления жизненным циклом продукции, системы отслеживания платежей и системы отгрузки автомобилей клиентам.
Инцидент обернулся настоящей катастрофой как для компании, так и для ее поставщиков, а также в целом для британской экономики.
Из-за остановки производственных линий сотни небольших компаний, поставлявших запчасти Jaguar и предоставлявших различные услуги, также были вынуждены приостановить работу и даже отправить сотрудников в отпуска.
Несколько небольших компаний столкнулись с банкротством и, как ожидается, прекратят работу вовсе, поскольку на счетах некоторых из них осталось оборотки лишь на несколько дней.
В связи с отсутствием продаж автомобилей и вторичной экономической активности в цепочке поставок в течение целого месяца, кибератака на JLR, вероятно, повлияет на экономический рост всей Великобритании.
Ведь в компании работает более 34 000 сотрудников, и ещё 120 000 - в цепочке поставок.
Согласно недавнему отчету, на момент атаки у компании не было договора киберстрахования, и, скорее всего, ей придется оплатить счет за атаку из своих средств, что приведет к утрате дохода.
По имеющимся данным, ожидается, что только JLR сама по себе понесет убытки в сотни млн. фунтов стерлингов, что объясняет необходимость андеррайтинга на сумму в 1,5 млрд. фунтов.
Тем не менее, компания все же начинает восстанавливать некоторые из своих систем, однако темпы достаточно низкие. Будем продолжать следить.
Исследователи из Лаборатории Касперского продолжают отслеживать активности проукраинской хакерской группы BO Team, инструментарии и TTPs которой был подробно разобран в мае этого года.
BO Team - это одна из активных на текущий момент группировок хактивистов, существующих как минимум с начала 2024 года, которая нацелена на российские компании.
В начале сентября в поле зрения ЛК попала вредоносная рассылка с использованием запароленных RAR-архивов на тему проведения служебного расследования, связанного со злоупотреблением использования полисов ДМС.
Вложенный RAR-архив с именем Приказ_протокол.rar был защищен паролем и содержал исполняемый файл с иконкой PDF-файла и расширением .exe, отделенным от имени файла большим количеством пробелов.
В отличие от образцов из предыдущих кампаний, новая версия вредоносного файла не запустится, если в системе не установлена русская раскладка клавиатуры.
В рамках новой кампании BO Team был замечен обновленный инструментарий: теперь атакующие рассылают новую версию бэкдора BrockenDoor, переписанную на C#, а также используют его для установки обновленной версии бэкдора ZeronetKit.
Функциональность BrockenDoor не претерпела значительных изменений.
Список команд бэкдора практически идентичен тому, что описывался ранее, хотя в этой версии вместо полных названий команд используются сокращения до двух-трех символов.
В одном из случаев в качестве полезной нагрузки BrockenDoor загружал и выполнял ZeronetKit, бэкдор, написанный на Go, который используется в атаках группы BO Team.
Он получил название за строку ZeroNet by Vegas, присутствующую в ранних версиях.
Он был впервые обнаружен в конце 2024, и его функционал включал четыре команды: запуск скрытой удаленной консоли (cmd.exe), отправка и получение файлов с С2 и создание туннеля TCP/IPv4.
Взаимодействие с С2 обеспечивается по протоколам HTTPS и WebSocket, а для разделения потоков данных внутри соединения используется библиотека Yamux (Yet another Multiplexer).
В июне 2025 года появилась обновленная версия ZeronetKit. В сентябре 2025 и фиксировалась попытка BrockenDoor скачать новую версию этого бэкдора.
Для этого BrockenDoor вызывал PowerShell с командной строкой, полученной от С2.
Как и в предыдущей версии, базовые настройки взаимодействия с С2 и список доменов, использующихся в качестве С2, хранятся в исходном исполняемом файле.
Однако теперь при запуске бэкдор проверяет наличие ключей реестра beh и ad в HKCU\Software\Windows\Applets\Config и, если они существуют, данные из них используются в качестве списка С2 и интервала взаимодействия.
ZeronetKit не способен самостоятельно закрепляться в зараженной системе, поэтому злоумышленники при помощи BrockenDoor копируют скачанный бэкдор в автозагрузку.
Жертвами новых атак стали российские компании в различных сферах. Злоумышленники представлялись поставщиками услуг страхования и банковскими организациями.
При этом стоит отметить, что фишинговые письма, ставшие вектором проникновения в инфраструктуру пострадавших компаний, а также документы-приманки, скорее всего, создавались под конкретные цели.
Обновленный перечень IOCs - в отчете.
Подкатили подробности эксплуатации недавней 0-day Fortra GoAnywhere MFT, которая задействовалась в атаках еще за восемь дней до выхода исправлений для создания бэкдор-учетной записи администратора.
Fortra устранила CVE-2025-10035 (CVSS 10/10), 18 сентября, не упомянув о ее реальной эксплуатации, но предоставив IoC, которые должны были помочь организациям выявлять потенциальные атаки.
Ошибка описывается как уязвимость десериализации в сервлете лицензии приложения безопасной передачи файлов, которая может позволить злоумышленнику с поддельной подписью ответа лицензии десериализовать созданный объект и осуществить инъекцию команд.
Как отмечает Fortra, клиентам необходимо убедиться, что доступ к консоли администратора GoAnywhere закрыт для всех. Эксплуатация этой уязвимости в значительной степени зависит от наличия внешнего доступа к интернету на системах.
По данным watchTowr, Fortra опоздала на восемь дней с выпуском исправлений для CVE-2025-10035, поскольку эта уязвимость уже эксплуатировалась как ноль на момент ее обнаружения 11 сентября.
В распоряжении исследователей оказались достоверные доказательства эксплуатации уязвимости Fortra GoAnywhere CVE-2025-10035 в реальных условиях, начиная с 10 сентября 2025 года.
В ходе наблюдаемых атак хакеры использовали RCE-уязвимость без аутентификации, чтобы создать скрытую учетную запись администратора на уязвимых экземплярах.
Затем они задействовали учетную запись для создания веб-пользователя, который предоставлял им доступ к сервису MFT, и использовали его для загрузки и выполнения различных дополнительных полезных нагрузок.
В техническом анализе CVE watchTowr отметила, что из Интернета доступно более 20 000 экземпляров GoAnywhere MFT, включая развертывания, относящиеся к компаниям из списка Fortune 500.
В свою очередь, Rapid7 также провела собственный углубленный анализ ошибки, пояснив, что это не простая проблема десериализации, а цепочка из трех отдельных ошибок.
Сюда входит обход контроля доступа, известный с 2023 года, небезопасная уязвимость десериализации CVE-2025-10035 и пока неизвестная проблема, связанная с тем, как злоумышленники могут узнать конкретный закрытый ключ.
Компания сообщила об обходе контроля доступа в феврале 2023 года, когда Fortra исправила ошибку удаленного выполнения кода до аутентификации в GoAnywhere MFT, которая эксплуатировалась как ноль.
И watchTowr, и Rapid7 подчеркивают, что им не удалось найти закрытый ключ serverkey1, необходимый для подделки подписи ответа лицензии, которая требуется для успешной эксплуатации CVE-2025-10035.
Обе компании отмечают, что эксплуатация уязвимости возможна в случае попадания его в руки злоумышленников, если они обманом заставят сервер лицензий принять вредоносную подпись или если злоумышленники получат доступ к serverkey1 другим неустановленным способом.
Так что жертвы атак, по всей видимости, в скорой перспективе могут появиться на той или иной DLS.
Но будем посмотреть.
🐲 Kali Linux 2025.3 Release.
• Разработчики Kali Linux выкатили третье обновление в этом году — Kali Linux 2025.3, которое включает в себя 10 новых инструментов, Улучшенные VM-образы (теперь они более стабильные и удобные для работы), Возвращение Nexmon (позволяет реализовать мониторинг трафика и инъекцию пакетов на ряде Wi-Fi-чипов. Актуально для Raspberry Pi, включая Pi 5) и еще ряд значительных изменений. Список новых инструментов следующий (описание найдете по соответствующей ссылке):
➡Caido и Caido-cli - тулкит для аудита веб-безопасности;
➡Detect It Easy (DiE) - определение типов файлов;
➡Gemini CLI - запуск ИИ-агента Gemini прямо из терминала;
➡krbrelayx - инструмент для атак на Kerberos;
➡ligolo-mp - расширенная версия Ligolo-ng с поддержкой нескольких туннелей;
➡llm-tools-nmap - интеграция nmap с LLM для сетевого сканирования;
➡mcp-kali-server - конфиг для подключения ИИ-агентов к Kali;
➡patchleaks - сравнение версий кода для поиска патчей безопасности;
➡vwifi-dkms - создание «виртуальных» Wi-Fi сетей для тестов.
• Еще Kali NetHunter получило важные обновления. Поддержка доступных устройств теперь включает внутренний мониторинг с инъекцией кадров в диапазонах 2,4 и 5 ГГц. Портирование на Samsung Galaxy S10 дало прошивку для Broadcom, специализированное ядро и стабильную ARM64-версию утилиты Hijacker. К слову, у нас есть объемная серия статей, которые содержат много ценной информации: от установки Kali NetHunter на различные модели смартфонов, до описания различных инструментов и использования полезной нагрузки Metasploit: /channel/Social_engineering/3473
• Более подробное описание обновления доступно тут: https://www.kali.org
• Теперь к полезным ссылкам:
➡Необходимая документация;
➡Форум;
➡Сообщество в discord;
➡Скачать Kali Linux 2025.3;
➡Kali Tools.
➡#kali.
S.E. ▪️ infosec.work ▪️ VT