39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Спустя месяц после того, как Shai Hulud стал первым самораспространяющимся червем в экосистеме npm, исследователи Koi Security обнаружили первого в мире червя, нацеленного на расширения VS Code в ходе сложной атаки на цепочку поставок через торговую площадку OpenVSX.
Однако GlassWorm, - это не просто очередная атака на цепочку поставок.
Вредоносное ПО использует скрытные методы, которые ранее не встречались.
Koi Security отмечает, что особенностью этого червя является использование невидимых символов Unicode, благодаря которым вредоносный код буквально исчезает из редакторов кода.
Как объясняют исследователи, для разработчика, проводящего проверку кода, все выглядит как пустые строки или пробелы, а для инструментов статанализа подозрительного кода - это вообще ничего не значит.
Но для интерпретатора JavaScript - это исполняемый код.
GlassWorm разработан для кражи конфиденциальной информации с компьютеров жертв, включая учетные данные NPM, GitHub и Git, а также средств из 49 расширений криптовалюты.
Кроме того, он развертывает прокси SOCKS на зараженных машинах, устанавливает скрытые серверы VNC для предоставления злоумышленникам удаленного доступа к системам и распространяется, компрометируя пакеты и расширения через украденные креды.
GlassWorm задействует блокчейн Solana для инфраструктуры С2: он ищет в блокчейне определенные транзакции, содержащие в поле memo инструкции относительно местоположения полезной нагрузки следующего этапа.
Это, в свою очередь, гарантирует сохранность инфраструктуры, поскольку транзакции невозможно изменить или удалить из блокчейна, а также обеспечивает злоумышленникам анонимность.
Более того, злоумышленники могут легко изменить полезную нагрузку или её местоположение, просто опубликовав новую транзакцию для вредоносной ПО.
В целом, это реальная, готовая к использованию инфраструктура С2, которую буквально невозможно обезвредить.
Кроме того, вредоносная ПО использует Google Calendar в качестве резервного сервера С2, из которого она извлекает другую полезную нагрузку для превращения зараженных систем в узлы в инфраструктуре злоумышленника, развертывая прокси-сервер SOCKS, модули WebRTC для одноранговой связи и скрытый VNC для удаленного управления.
По данным Koi Security, кампания стартовала 17 октября: были скомпрометированы семь расширений VS Code для OpenVSX.
Учитывая способность вредоносного ПО к самораспространению, после установки зараженных пакетов пользователями были скомпрометированы и другие расширения.
18 октября, после того как двое изначально скомпрометированных разработчиков опубликовали чистые версии своих пакетов, Koi обнаружила 10 расширений, которые по-прежнему содержали вредоносное ПО.
Ещё одно расширение было обнаружено на следующий день в Microsoft VS Code.
К настоящему времени инфраструктура C2 злоумышленника полностью работоспособна - серверы полезной нагрузки отвечают, а украденные учетные данные используются для компрометации дополнительных пакетов.
По данным Koi, заражённые расширения были установлены более 35 800 раз.
Учитывая, что расширения VS Code обновляются автоматически, скомпрометированные пакеты заразили всех разработчиков, у которых они были установлены, без взаимодействия с пользователем.
Исследователи из Лаборатории Касперского выкатили отчет с описанием инцидента, связанного с AdaptixC2, который демонстрирует растущую тенденцию использования экосистем открытого программного обеспечения, таких как npm, в качестве вектора атак.
В начале 2025 года в открытом доступе была опубликована первая версия фреймворка для постэксплуатации AdaptixC2, который можно назвать альтернативой известному Cobalt Strike.
Весной 2025 года были зафиксированы первые случаи применения этого фреймворка злоумышленниками во вредоносных целях.
В октябре 2025 года ресерчеры ЛК обнаружили вредоносный пакет npm с достаточно убедительным именем https-proxy-utils, который был представлен как инструмент для использования прокси в проектах.
На данный момент этот пакет уже был удален из реестра.
Название пакета напоминает популярные легитимные пакеты: http-proxy-agent с приблизительно 70 млн. загрузок в неделю и https-proxy-agent с 90 млн.
Заявленная функциональность для работы с прокси полностью скопирована из другого популярного легитимного пакета, proxy-from-env, с 50 миллионами загрузок в неделю.
Однако, помимо этого, злоумышленники внедрили в пакет https-proxy-utils постинсталляционный скрипт, который загружает и запускает полезную нагрузку с агентом AdaptixC2.
Причем злоумышленники предусмотрели в скрипте различные способы загрузки полезной нагрузки в зависимости от ОС жертвы: в каждой системе имплант загружается и запускается определенным образом при помощи системных или пользовательских директорий.
Так, на Windows агент AdaptixC2 загружается в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускается в системе при помощи DLL Sideloading.
Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что, в свою очередь, загружает вредоносную библиотеку.
На macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents.
В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist.
Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру - x64 или ARM - и в зависимости от нее скачивает соответствующую полезную нагрузку.
На Linux агент фреймворка загружается во временную директорию /tmp/.fonts-unix.
Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.
Установив агент фреймворка AdaptixC2 на устройстве жертвы, злоумышленники получают возможности удаленного доступа, выполнения команд, управления файлами и процессами, а также различные способы закрепления в системе.
Это позволяет атакующим не только сохранять устойчивый доступ, но и проводить анализ сети и разворачивать последующие стадии атаки.
Рекомендации и IOCs - в отчете.
Новая атака на цепочку мудаков охватывает более 75 000 устройств безопасности WatchGuard Firebox, которые остаются уязвимыми к критической уязвимости (CVE-2025-9242), позволяющей удаленному злоумышленнику выполнить код без аутентификации.
Устройства Firebox выступают в роли центрального защитного узла, который контролирует трафик между внутренними и внешними сетями, обеспечивая защиту посредством политик, служб безопасности, VPN и мониторинга в реальном времени через WatchGuard Cloud.
По данным Shadowserver Foundation, в настоящее время по всему миру обнаружено 75 835 уязвимых устройств Firebox, большинство из которых находится в Европе и Северной Америке.
В частности, США возглавляют список с 24 500 конечными точками, далее следует Германия (7 300), Италия (6 800), Великобритания (5 400), Канада (4 100) и Франция (2 000). В России их тоже имеется, хоть и немного - до 300 единиц.
WatchGuard сообщила о CVE-2025-9242 в бюллетене безопасности от 17 сентября и присвоила ей критический уровень серьёзности 9,3.
Она связана с записью данных за пределами допустимого диапазона в процессе Fireware OS iked, который отвечает за согласование VPN по протоколу IKEv2.
Уязвимость можно эксплуатировать без аутентификации, отправляя специально созданные пакеты IKEv2 на уязвимые конечные точки Firebox, заставляя его записывать данные в непреднамеренные области памяти.
CVE-2025-9242 влияет только на устройства Firebox, использующие IKEv2 VPN с динамическими шлюзами, в версиях с 11.10.2 по 11.12.4_Update1, с 12.0 по 12.11.3 и 2025.1.
Поставщик рекомендует обновиться до одной из следующих версий: 2025.1.1, 12.11.4, 12.5.13 или 12.3.1_update3 (B722811). При этом поддержка версии 11.x прекращена и для нее обновлений не планируется.
Для устройств, настроенных только с использованием VPN к статическим одноранговым шлюзам, поставщик указывает на документацию по защите соединения с использованием протоколов IPSec и IKEv2 в качестве временного решения.
Несмотря на то, что сообщений об активной эксплуатации CVE-2025-9242 пока не фиксировалось, это определенно случится в самой ближайшей перспективе, если принимать во внимание столь широкий и доступный для отработки горизонт потенциальных жертв.
За последние две недели специалисты Trend Micro обнаружили SORVEPOTEL, червя WhatsApp, массово распространяющегося по всей Бразилии через ZIP-файлы, содержащие вредоносный LNK-файл, который не блокируется на платформе обмена сообщениями.
В свою очередь, исследователи из Лаборатории Касперского, в своем отчете отмечают, что этот червь в настоящее время используется для распространения нового банковского трояна Maverick.
Согласно телеметрии ЛК, все жертвы находились в Бразилии, но троян потенциально может распространяться и на другие страны.
Тем не менее, вредоносная ПО в настоящее время нацелена только на бразильцев.
Чтобы избежать обнаружения, C2 проверяет каждую загрузку, чтобы убедиться, что она исходит от самого вредоносного ПО.
Выявленная цепочка заражения полностью бесфайловая и представляет собой одну из самых сложных цепочек заражения, когда-либо обнаруженных ЛК, предназначенная для загрузки банковского трояна.
Конечная полезная нагрузка имеет множество совпадений и сходств кода с банковским трояном Coyote, который исследователи ЛК задокументировали в 2024 году.
Весьма вероятно, что Maverick - это новый банковский троян, использующий общий код Coyote, что может указывать на то, что разработчики последнего полностью рефакторили и переписали значительную часть своих компонентов.
После установки троян использует проект с открытым исходным кодом WPPConnect для автоматизации отправки сообщений в взломанные аккаунты через WhatsApp Web, используя этот доступ для отправки вредоносного сообщения контактам.
Maverick проверяет часовой пояс, язык, регион, а также формат даты и времени на зараженных компьютерах, чтобы убедиться, что жертва находится в Бразилии, в противном случае вредоносное ПО не будет установлено.
Банковский троян способен полностью контролировать зараженный компьютер, делая снимки экрана, следя за браузерами и сайтами, устанавливая кейлоггер, управляя мышью, блокируя экран при посещении банковского сайта, завершая процессы и открывая фишинговые страницы в оверлее.
Его цель - перехват банковских учётных данных.
После активации Maverick отслеживает доступ жертв к 26 сайтам бразильских банков, 6 сайтам обмена криптовалют и 1 платежной платформе.
Все заражения являются модульными и выполняются в памяти с минимальной дисковой активностью, с использованием PowerShell, .NET и шелл-кода, зашифрованного с помощью Donut.
Новый троян задействует ИИ в процессе написания кода, особенно при расшифровке сертификатов и общей разработке кода.
Исследователи отмечают, что Maverick работает как любой другой банковский троян, но при этом выделяют весьма тревожные факторы: червеобразная природа позволяет ему распространяться экспоненциально и, соответственно, оказывать значительное воздействие.
Только за первые 10 дней октября на территории одной Бразилии решения Лаборатории Касперского обеспечили блокировку 62 тысяч попыток заражений с использованием вредоносного LNK-файла.
Все технические подробности - как всегда, в отчете.
Microsoft не стала изменять своим стандартам и вновь приступила к разработке очередного экстренного патча для устранения проблем предыдущего патча.
Компания подтвердила, что октябрьское обновление для Windows 11 (версии 25H2 и 24H2) привело к нарушениям в работе протокола HTTP/2 и фактически полной неработоспособности локального доменного имени localhost (127.0.0.1).
Кроме того, некоторые из пользователей столкнулись с другой не менее серьезной проблемой - USB-клавиатура и мышь перестают работать в среде восстановления Windows (WinRE), делая невозможным восстановление системы без PS/2-устройств.
Это означает, что если система не загружается и вы попадаете в режим восстановления, клавиатура и мышь не будут работать, и вы не сможете выбрать ни один из пунктов меню.
Примечательно, что новое голосовое управление Hey Copilot!, которое в будущем должно заменить клавиатуру и мышь, здесь тоже не поможет - оно не работает вне ОС.
Так что сначала Microsoft пришлось экстренно выпустить обходное решение после того, как обновление нарушило работу аутентификации через localhost.
Теперь Microsoft обещает исправить и другую ошибку с восстановлением системы.
Наблюдая за недавними многочисленными утечками в отношении «враждебных» западным странам APT и банд вымогателей, мы неоднократно упоминали о причастности к этим сливам спецслужб, которые подобным образом легализовывали свои оперативные материалы.
И, наконец-то, подкатили пруфы, причем с первых полос ведущих европейских изданий.
Журналисты Le Monde и Zeit выкатили свой компромат, но не по хакерам, а в отношении деятельности секретной оперативной группы ФБР США под названием Группа 78.
Как сообщается, основной целью подразделения является создание «невыносимых» условий для жизни российских киберпреступников, используя абсолютно незаконные формы и методы.
По мнению их европейских коллег, критиковавших этот откровенный беспредел, это должно было побудить хакеров покинуть пределы российской юрисдикции, что делало их уязвимыми для экстрадиционных процедур.
В противном случае - просто парализовать их работу в России через дискредитацию.
Собственно, инициированные через журналистский корпус или же под легендой групп-конкурентов утечки служат отличным инструментов для подрыва репутации киберпреступников перед окружением и в среде российских правоохранителей.
В материале отмечается, что наиболее возмущение у представителей парижской прокуратуры вызвала масштабная утечка в Telegram, жертвой которой стала банда вымогателей BlackBasta, чья переписка стала достоянием широкой общественности.
Вместе с тем, точных доказательств причастности к этому Группы 78, кончено же, нет.
Тем не менее, европейцы считают, что именно Группа 78 по самые уши вмешалась в официальное расследование в отношении BlackBasta, чем фактически нивелировали эффективность судебных мер.
В общем, ЧТД.
Исследователи Symantec сообщают об атаке китайской группы Jewelbug на российского поставщика ИТ-услуг, в результате которой хакеры проникли в сеть и находились с января по май 2025 года.
Jewelbug также пересекается с кластерами угроз, известными как CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
По данным исследователей, группа активна по крайней мере с 2023 года и, в первую очередь, нацелена на правительственные учреждения, технологий, логистику, производства, телеком, ИТ и ритейл в Азиатско-Тихоокеанском региона и Латинской Америке.
В арсенале задействуется вредоносное ПО VARGEIT и COBEACON (Cobalt Strike Beacon). Кроме того, хакеры распространяли продвинутый бэкдор FINALDRAFT (Squidoor), способный заражать как Windows-, так и Linux-системы.
Сообщает, что в ходе названного инцидента злоумышленники имели доступ к репозиториям кода и системам сборки ПО, которые они потенциально могли использовать для проведения атак на цепочки поставок, нацеленных на клиентов компании в России.
Примечательно, что для эксфильтрации хакеры применяли Яндекс iCloud.
Помимо этого Jewelbug использовала модифицированный Microsoft Console Debugger («cdb.exe»), который можно использовать для запуска шелл-кода и обхода белого списка приложений, а также исполняемых файлов, DLL-библиотек и завершения работы решений по безопасности.
Злоумышленник также сбросывал учетные данные, обеспечивал устойчивость с помощью запланированных задач и попытках скрыть следы своей деятельности путем очистки журналов событий Windows.
Исследователи также обращают внимание и на другой инцидент, связанный со взломом крупной южноамериканской правительственной организации в июле 2025 года.
В атаке задействовался ранее недокументированный бэкдор, который, как сообщается, находится в стадии разработки. Вредоносная ПО использует API Microsoft Graph и OneDrive для C2 и способна собирать системную информацию, файлы и загружать эту информацию в OneDrive.
Использование API Microsoft Graph позволяет злоумышленникам скрываться среди обычного сетевого трафика и оставлять минимум криминалистических артефактов, что затрудняет анализ после инцидента и увеличивает время обнаружения злоумышленников.
Среди других жертв Jewelbug отмечены: поставщик ИТ-услуг из Южной Азии и тайваньская компания(в октябре и ноябре 2024 года), при этом в атаке на последнюю хакеры использовали DLL Hijacking для внедрения полезных нагрузок, включая традиционный ShadowPad.
Цепочка заражения также характеризуется использованием инструмента KillAV для отключения ПО безопасности и общедоступного EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи ядра в античит-драйвере ECHOAC в рамках, по-видимому, атаки BYOVD.
Также использовались LSASS и Mimikatz для сброса учетных данных, свободно распространяемые PrintNotifyPotato, Coerced Potato и Sweet Potato для обнаружения и повышения привилегий, а также утилита SOCKS-туннелирования EarthWorm, которая использовалась такими китайскими группами, как Gelsemium, Lucky Mouse и Velvet Ant.
При этом Symantec так и не удалось не установить начальный вектор заражения, который использовался для взлома организаций во всех отмеченных инцидентах.
Безусловно, новые артефакты указывают на расширение географического таргета группы, однако ничего нового с точки зрения практики российского инфосека по части активности китайцев Symantec особо не открыли.
Буквально вчера дали обзор в отношении F5 (ранее F5 Networks), одной из из крупнейших американских технологических компаний и членом индекса S&P 500, которая на этой неделе сообщила об инциденте, который претендует на звание крупнейшего взлома года.
Подробности утечки постоянно менялись с момента ее раскрытия, но больше всего запомнилась масса успокоительных сообщений:
- среди «украденных» дефектов не было критических уязвимостей и RCE,
- несанкционированных модификаций исходного кода не обнаружено,
- нет признаков доступа к исходным кодам NGINX,
- нет признаков эксплуатации украденных дефектов.
Однако вместо успокоительных сообщений клиентам F5, по всей видимости, в пору начинать пить успокоительные в таблетированной форме, ведь как сообщают в GreyNoise, уже наблюдается всплеск сканирований устройств BIG-IP вскоре после того, как был раскрыт взлом.
Продолжаем следить.
Сделаем небольшой обзор по наиболее актуальным масштабным атакам, в том числе с использованием недавно раскрытых уязвимостей:
1. Злоумышленники задействуют исправленную в конце сентября 0-day (CVE-2025-20352, CVSS 7,7) в в протоколе сетевого управления (SNMP) устройств Cisco IOS и IOS XE для развертывания руткита.
Ошибка позволяет злоумышленникам с низким уровнем привилегий вызывать DoS, также может быть использована с высокими привилегиями для RCE.
Новую кампанию Operation ZeroDisco раскрыли исследователи Trend Micro, обнаружив злоумышленника, использующего уязвимость для развертывания Linux-руткита на старых уязвимых устройствах, включая устройства Cisco 9400, 9300 и устаревшие серии 3750G.
Помимо CVE-2025-20352, хакеры использовали модифицированный эксплойт для CVE-2017-3881 - уязвимости Telnet, приводящей к RCE, которая позволяла выполнять чтение и запись в память.
По данным Trend Micro, руткит отслеживает UDP-пакеты, отправляемые на любой порт устройства, даже закрытый, что позволяет злоумышленникам настраивать или активировать функции бэкдора. Он также модифицирует память iOSd для установки универсального пароля.
Руткит также скрывает элементы текущей конфигурации в памяти, позволяет обходить списки контроля доступа (ACL), применяемые к VTY, отключает историю журнала и сбрасывает временные метки записи текущей конфигурации, чтобы скрыть изменения.
Как отмечает Trend Micro, в настоящее время не существует универсального автоматизированного инструмента, позволяющего надёжно определить, был ли коммутатор Cisco успешно скомпрометирован в рамках ZeroDisco.
2. За последнюю неделю в ходе масштабной кампании было взломано более сотни устройств SonicWall SSLVPN в 16 средах.
Специалисты Huntress утверждают, что злоумышленники использовали действительные учётные данные для аутентификации и захвата устройств.
Все успешные аутентификации проходили с одного и того же IP-адреса (202.155.8[.]73). На некоторых устройствах злоумышленники перемещались по сети жертвы и расширяли свой доступ.
Huntress полагает, что атаки связаны с недавним взломом SonicWall, когда хакеры похитили резервные копии конфигурации устройств из облачного сервиса компании.
3. Gladinet выпустила обновления для бизнес-решения CentreStack (16.10.10408.56683), призванные устранить уязвимость локального включения файлов (CVE-2025-11371), которую злоумышленники использовали в качестве уязвимости нулевого дня с конца сентября.
Исследователи Huntress раскрыли информацию об эксплуатации уязвимости на прошлой неделе, заявив, что она представляла собой обходной путь для смягчения последствий, реализованный Gladinet для уязвимости десериализации, приводящей к RCE - CVE-2025-30406.
Уязвимость локального включения файлов (LFI) позволяла злоумышленникам читать файл Web.config в полностью исправленных развертываниях CentreStack, извлекать машинный ключ, а затем использовать его для эксплуатации уязвимости CVE-2025-30406.
В обновлении к первоначальному сообщению Huntress поделилась более подробной технической информацией в отношении CVE-2025-11371, включающей в себя минимальный прототип эксплойта.
Инцидент F5 обрастает интересными подробностями.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
Ну раз уж зашло тема микромягких, то, конечно же, нельзя пройти мимо октябрьского PatchTuesday с исправлениями для 172 уязвимостей, в том числе 6 0-day.
В общей массе устранено 8 критических уязвимостей, 5 из которых - это RCE, а три - EoP.
Если по всем категориям - то 80 уязвимостей связаны с повышением привилегий, 11 - обходом функций безопасности, 31 - RCE, 28 - раскрытием информации, 11 - DoS и 10 - спуфингом.
Следует также отметить, что это последний PatchTuesday для Windows 10, далее - расширенная поддержка (ESU) за отдельный прайс на год (для предприятий на три).
Среди упомянутых нулей:
- CVE-2025-24990: уязвимость драйвера модема Windows Agere, приводящая к EoP и административным привилегиям. По итогу ltmdm64.sys был удалён, работа соответствующего оборудования факс-модема поддерживаться не будет.
- CVE-2025-59230: уязвимость диспетчера подключений удаленного доступа Windows позволяет авторизованному злоумышленнику локально повышать привилегии.
Как отмечает Microsoft, злоумышленники должны «вложить измеримые усилия в подготовку или реализацию», чтобы успешно воспользоваться уязвимостью. Она была обнаружена Microsoft MSTIC и MSRC.
- CVE-2025-47827: обход безопасной загрузки в ОС IGEL до версии 11, который возможен в виду того, что модуль igel-flash-driver неправильно проверяет криптографическую подпись.
В конечном итоге, из непроверенного образа SquashFS можно смонтировать созданную корневую файловую систему. Ошибка была обнаружена Заком Дидкоттом и публично раскрыта на GitHub. Причем MITRE сама присвоила ей CVE.
Далее следуют публично эксплуатируемые недостатки, в числе которых:
- CVE-2025-0033: уязвимость в процессорах AMD EPYC с SEV-SNP, которая может повлиять на целостность памяти.
Она связана с состоянием гонки во время инициализации RMP и может позволить вредоносному или скомпрометированному гипервизору изменить записи RMP до их блокировки, что потенциально повлияет на целостность гостевой памяти SEV-SNP.
При этом уязвимость не раскрывает данные в открытом виде или секреты, а для её использования требуется привилегированный доступ к гипервизору.
Microsoft заявляет, что обновления безопасности для этой уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD ещё не готовы.
Проблема была публично раскрыта AMD вчера, обнаружение приписывается ученым из Швейцарской высшей технической школы Цюриха.
- CVE-2025-24052: уязвимость драйвера модема Windows Agere, приводящая к EoP и аналогичная CVE-2025-24990, но для ее эксплуатации не обязательно использовать модем. CVE не приписывается ни одному исследователю.
- CVE-2025-2884: уязвимость чтения за пределами допустимого диапазона в эталонной реализации TCG TPM2.0, могла привести к раскрытию информации или отказу в обслуживании TPM.
Проблема затрагивает вспомогательную функцию CryptHmacSign эталонной реализации CG TPM2.0, которая подвержена чтению за пределами буфера из-за отсутствия проверки схемы подписи с помощью алгоритма ключа подписи.
CERT/CC назначила ей CVE от своего имени. Ошибка была приписана Trusted Computing Group (TCG) и анонимному исследователю.
👾 CVE database.
• Оказывается, что у ребят из Wiz есть актуальная и очень объемная база данных, которая содержит перечень уязвимостей с прицелом на облачные инфраструктуры.
• Каждая запись содержит информацию по наличию эксплойтов, технические детали, риски, рекомендацию по исправлению и еще кучу другой информации:
➡ https://www.wiz.io/vulnerability-database
• Однозначно добавляем ресурс в нашу коллекцию:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
➡fedi sec feeds — агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.).
S.E. ▪️ infosec.work ▪️ VT
💚«Лаборатория Касперского» изучила, откуда россияне узнают новости про кибербезопасность и ИТ
1️⃣ Наибольшее доверие у тех, кто интересуется новостями об инфобезе и ИТ, вызывают Telegram-каналы — 39%.
2️⃣На втором месте телевидение (32%).
3️⃣ На третьем — российские новостные сайты (24%).
Эксперты компании отмечают: независимо от того, какие ресурсы предпочитает пользователь, важно проверять информацию, чтобы защититься от фейков и мошенничества.
💻 Узнавать новости о кибербезопасности и ИТ большинство предпочитает в виде коротких постов (66%), а также видео, телевизионных передач и документальных фильмов (56%). Читать статьи и другие длинные тексты любят 27% респондентов, а каждый пятый слушает подкасты, радио- и аудиоматериалы.
Подробнее тут.
✋ @Russian_OSINT
Группа ученых из Калифорнийского университета (Беркли), Вашингтонского университета, Калифорнийского университета (Сан-Диего) и Университета Карнеги-Меллона раскрыли подробности новой атаки по побочным каналам, которая затрагивает устройства Android от Google и Samsung.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Как мы и предполагали, продолжился слив от псевдогруппы неуловимых хакеров под лейблом KittenBusters в отношении деятельности иранской APT35, а фактически - вышла новая часть легализованных материалов спецслужб, что, вероятно, по задумке организаторов, должно притормозить работу хакеров.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
Уязвимость высокой степени серьезности в унифицированном декодере Dolby может быть использована для удаленного выполнения кода, в некоторых случаях в ходе ZeroClick-атак.
Созданный на основе стандарта Dolby Digital Plus (DD+), Unified Decoder представляет собой программно-аппаратный компонент, используемый для обработки DD+, Dolby AC-4 и других аудиоформатов, преобразуя их в форматы, которые можно воспроизводить через динамики.
Исследователи Иван Фратрик и Натали Сильванович из Google Project Zero обнаружили, что в процессе обработки медиафайлов на устройствах Android проблема записи за пределами допустимого диапазона.
Декодер записывает информацию в большой, непрерывный буфер, похожий на кучу, содержащийся в более крупной структуре, и расчет длины для одной записи может привести к переполнению из-за целочисленного переноса.
По словам исследователей, это приводит к тому, что выделенный буфер оказывается слишком маленьким, а проверка выхода за пределы последующей записи оказывается неэффективной.
В совокупности это позволяет перезаписывать последующие члены структуры, включая указатель, который записывается при обработке следующего синхрокадра.
Ошибка отслеживается как CVE-2025-54957 (CVSS 7,0) и может быть активирована с помощью вредоносных звуковых сообщений, что приводит к удаленному выполнению кода.
При этом на устройствах Android уязвимость может эксплуатироваться удаленно без взаимодействия с пользователем, поскольку все аудиосообщения и вложения декодируются локально с помощью унифицированного декодера Dolby.
В общем, исследуя возможность эксплуатации этой ошибки на Android, ресерчерам удалось добиться выполнения кода в формате ZeroClick в контексте медиакодека на Pixel 9 под управлением версии 16 BP2A.250605.031.A2.
По итогу исследователи представили прототип PoC, который демонстрирует, как можно задействовать уязвимость для вызова сбоя процесса на устройствах Android (Pixel 9 и Samsung S24), а также на macOS и iOS.
Google Project Zero сообщила об уязвимости компании Dolby Laboratories еще в июне и опубликовала информацию о ней по истечении 90-дневного срока раскрытия.
Microsoft устранила уязвимость в рамках октябрьского PatchTuesday, отметив, что для успешной эксплуатации уязвимости в Windows требуется взаимодействие с пользователем.
В свою очередь, Google на прошлой неделе также заявила, что исправления включены в последние обновления ChromeOS.
Исследователи Seqrite Labs отследили новую кампанию Operation MotorBeacon, которая, вероятно, нацелена на российский автомобильный сектор и сектор электронной коммерции с использованием ранее незадокументированного вредоносного ПО .NET, получившего название CAPI Backdoor.
Цепочка атак включает в себя распространение фишинговых писем с ZIP-архивом (загружен на VirusTotal 3 октября 2025 года) для запуска заражения.
В архиве находится фейковый русскоязычный документ, выдаваемый за уведомление, связанное с налоговым законодательством, с файлом ярлыка Windows (LNK).
В нем подробно описывается повышение НДФЛ с 13% до 15% для доходов свыше 3 млн рублей, объясняется влияние на заработную плату и содержится призыв к сотрудникам планировать бюджеты и консультироваться с отделом кадров.
LNK, имеющий то же имя, что и архив ZIP («Перерасчет заработной платы 01.10.2025»), отвечает за выполнение импланта .NET (adobe.dll) с использованием легитимного двоичного файла Microsoft rundll32.exe, техники LotL, которая, как известно, используется злоумышленниками.
Seqrite отметила, что бэкдор оснащен функциями проверки, запущен ли он с правами администратора, сбора списка установленных антивирусных продуктов и открытия обманного документа в качестве уловки.
Параллельно он скрытно подключается к удаленному серверу (91.223.75[.]96) для получения дальнейших команд и их выполнения.
Они позволяют CAPI Backdoor красть данные из браузеров Google Chrome, Microsoft Edge и Mozilla Firefox, делать снимки экрана, собирать информацию о системе, перечислять содержимое папок и передавать результаты обратно на сервер.
Он также пытается выполнить длинный список проверок, чтобы определить, является ли система законным хостом или виртуальной машиной, и использует два метода для обеспечения устойчивости, включая настройку запланированной задачи и создание LNK-файла в папке автозагрузки Windows для автоматического запуска бэкдор-библиотеки DLL, скопированной в папку Windows Roaming.
Предположение Seqrite о нацеливании именно на российский автомобильный сектор, основана на том факте, что один из доменов, связанных с кампанией, имеет название carprlce[.]ru, что, по-видимому, выдает себя за законный carprice[.]ru.
В целом исследователи обнаружили два сетевых артефакта, связанных с CAPI Backdoor, включая домен, сгенерированный DGA.
Кампания, активизировавшаяся с 3 октября, изначально использовала поддельный домен, который впоследствии был перенаправлен на легитимный сайт.
Вредоносное ПО размещалось на порту 443 и использовалось в фишинговой приманке. Первоначальная инфраструктура имела номер ASN 197695 (AS-REG), а слив данных осуществлялась через ASN 39087 (Pakt LLC).
Вредоносная полезная нагрузка представляет собой .NET DLL-библиотеку, которая выполняет функцию похитителя и обеспечивает устойчивость для будущих вредоносных действий.
Все технические подробности - в отчете.
И несколько интригующих инцидентов в ленту:
1. Хакеры Scattered LAPSUS$ Hunters раскрыли личные данные сотен сотрудников Министерства внутренней безопасности, ICE, ФБР и Министерства юстиции США.
В перечне украденных данных - установочные данные, номера телефонов и даже домашние адреса.
Пока, неясно откуда группа получила эти данные. Так что коллектив может отметиться куда более серьезной атакой, нежели в случае с Salesforce.
2. Хакеры взломали закрытую платформу, используемую южнокорейским правительством для обмена документами, а также государственную инфраструктуру открытых ключей (GPKI).
Разведывательное управление страны подтвердило инцидент через два месяца после публикации в специализированном журнале Phrack информации о предполагаемом взломе.
В статье обвинения адресовались Северной Корее, однако новые данные указывают на то, что за взломом могли стоять китайские хакеры.
Власти переживают, что украденные цифровые сертификаты могли быть использованы для компрометации других ведомств. И, вероятно, так оно и есть.
3. Как передают ABC News, Китай обвинил АНБ США во взломе своего Национального центра службы времени (NTSC).
По данным китайской стороны, АНБ проникла в сеть учреждения и шпионило за сотрудниками как минимум с марта 2022 года.
В ходе операции АНБ задействовала новую «платформу кибервойны» с активацией 42 специализированных инструментов для проведения высокоинтенсивных и многоэтапных атак на внутренние сетевые системы NTSC.
Изначально, АНБ воспользовалась уязвимостями SMS-сервиса неназванного иностранного бренда, скрытно взломав мобильные устройства сотрудников NTSC.
Затем с использованием украденных данных хакерам удалось проникнуть в инфраструктуру, где в период с августа 2023 года по июнь 2024 года и было развернуто новейшее кибероружие.
Для маршрутизации вредоносного трафика и сокрытия его происхождения использовались VPS в США, Европе и Азии.
Применялись также такие приемы, как подделка цифровых сертификатов для обхода антивирусного ПО, высоконадежные алгоритмы шифрования для полного удаления следов атак.
Атаки также включали попытки бокового перемещения к высокоточной наземной системе синхронизации времени с предполагаемой конечной целью - созданию условий для вывода системы из строя.
При этом отмечается, что любая кибератака на NTSC способна поставить под угрозу безопасную и стабильную работу Пекинского времени, вызвав серьезные последствия в работе сетей связи, систем финансов, логистики, электроснабжения и космической отрасли.
Как говорят за темной полосой начинается светлая.
Так и в деле NSO Group наступила звездно-полосатая, помимо того, что списали долги, в скором времени компания получит увесистый портфель заказов - целый вагон с маленькой тележкой.
Ведь как мы недавно сообщали, NSO была приобретена группой американских инвесторов во главе с голливудским продюсером Робертом Саймондсом в рамках сделки, стоимость которой, по имеющимся данным, составила несколько десятков миллионов долларов.
В последние годы состав владельцев NSO неоднократно менялся: от основателей к различным частным инвестиционным компаниям.
Однако последнее приобретение выводит контрольный пакет акций за пределы Израиля.
И даже теперь американское правосудие стало на чуточку добрее и трепетнее: как сообщает Reuters, в ходе состоявшейся апелляции судья снизила размер штрафных санкций, которые производитель шпионского ПО должен был уплатить Meta, со 167 млн. долл. до всего лишь 4 млн.
Напомним, что Meta признана в России экстремистской.
В постановлении от 17 октября судья окружного суда США Филлис Гамильтон также вынесла постоянный запрет, запрещающий NSO впредь взламывать WhatsApp.
NSO предписано прекратить обратную разработку WhatsApp и не создавать новые учётные записи.
Кроме того, NSO обязана удалить и уничтожить имеющийся у неё исходный код WhatsApp.
С другой стороны, запрет ограничивается только WhatsApp и не распространяется на другие сервисы, такие как Instagram и Facebook, как того требовалось изначально в жалобе, поданной против NSO в 2019 году.
Так что теперь шпионить с использованием Pegasus можно будет лишь по лицензии или по заданию куратора от дяди Сэма.
Анонимный пользователь с сомнительным ником 🥷«титушко» опубликовал сообщение о якобы утечке 👻 MAX:
Здравствуйте, у меня есть полный дамп max[.]ru, там ровно 46203590 строк, и у меня все еще есть VPN-доступ к их salesforce и другим внутренним инструментам. Похоже, это российский правительственный мессенджер, и все данные на русском языке.
Posted 8:13 pm MSK, Apr 22 2025
В соответствии с действующими санкциями США, Европейского союза и Великобритании предоставление корпоративного ПО физическим или юридическим лицам в России запрещено.
Специалисты Минцифры проверили информацию о якобы случившейся утечке из мессенджера Max, размещённую в анонимных каналах.
Автором информации об утечке был выложен сэмпл, содержащий 15 записей, в которых были указаны якобы ID пользователей Госуслуг. Проверка показала, что ни по одной из опубликованных записей ID Госуслуг не совпадает с ФИО реальных пользователей.
Из чего можно сделать вывод, что публикации о взломе сфабрикованы.
На западе активно раздувают скандал вокруг масштабного взлома систем передачи секретной информации Великобритании, который долгое время скрывался от общественности.
Как сообщает Times, китайские хакеры взломали секретные сети Великобритании и сохраняли к ним доступ более десяти лет, что категорически опровергают в самом правительстве до настоящего времени.
В частности, бывший генеральный директор NCSC Киран Мартин назвал это сообщение «категорически ложным».
Тем не менее, бывший старший советник премьер-министра Великобритании Бориса Джонсона Доминик Каммингс заявил, что кабинет министров скрыл крупный взлом в 2020 году, в результате которого Китай получил доступ к секретной информации.
Каммингс утверждает, что Пекин скомпрометировал правительственную систему, используемую для передачи особо секретных данных в Уайтхолле.
В результате в руки китайской стороны попали «огромные объемы» конфиденциальной информации, включая разведывательные сводки, дипломатическая почта и материалы спецслужб.
По словам экс-советника, о взломе его и Джонсона проинформировал тогдашний секретарь Кабинета министров.
Каммингс отметил, что похищенные данные включали материалы с грифом Strap - правительственная классификация для особо важных сведений, а также документы Секретариата национальной безопасности.
Он заявил, что высокопоставленные чиновники скрыли информацию об инциденте. После брифинга участников предупредили, что разглашение некоторых деталей взлома будет считаться уголовным преступлением.
Несмотря на это, экс-советник выразил готовность поделиться известной ему информацией с членами парламента в случае начала расследования.
К делу подключилась также Bloomberg и, ссылаясь на слова двух бывших высокопоставленных лиц по вопросам безопасности и других британских чиновников, фактически подтвердила, что китайцы систематически и успешно взламывали секретные компьютерные системы.
Отмечая также, что призывы к расследованию могут быть связаны с давлением на премьер-министра Британии Кира Стармера из-за политики в отношении Пекина на фоне прекращения в суде уголовного дела в отношении двух китайских шпонов за недостаточностью доказательств.
Но, как всегда, будем посмотреть.
Ресерчеры из Лаборатории Касперского продолжают отслеживать активность APT-группы, известной как Mysterious Elephant (APT-K-47, Bitter), которая за последние два года значительно эволюционировала и стала более изощренной в своих атаках.
Основной целью атакующих являются правительственные организации и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Атаки группы сосредоточены преимущественно в Пакистане, Бангладеш и на Шри-Ланке.
Последняя кампания 2025 года демонстрирует существенное изменение в её TTPs с акцентом на обновление арсенала и опенсорс. Группа сконцентрировалась на краже конфиденциальных данных, пересылаемых через WhatsApp, в том числе документов, изображений и архивов.
Для получения первоначального доступа к своим целям злоумышленники теперь используют комбинацию из набора эксплойтов, фишинговых писем и вредоносных документов.
Стоит отметить, что Mysterious Elephant начала применять целевой фишинг, составляя фишинговые письма индивидуально для каждой жертвы и убедительно имитируя легитимную корреспонденцию.
Проникнув в систему, они задействуют ряд специально кастомизированных инструментов и утилит с открытым исходным кодом, в частности BabShell и MemLoader.
Группа также применяет PowerShell-скрипты для выполнения команд, внедрения дополнительных полезных нагрузок и закрепления в системе.
Они загружаются с командных серверов и часто задействуют легитимные инструменты системного администрирования, такие как curl и certutil, для загрузки и запуска вредоносных файлов.
Одним из инструментов, на которые перешла группа, является BabShell. Он написан на C++ и предназначен для создания реверс-шелла, позволяющего подключаться к скомпрометированной системе.
После запуска он собирает системную информацию, включая имя пользователя, имя компьютера и MAC-адрес, чтобы идентифицировать машину, после чего переходит в бесконечный цикл в ожидании команд, для каждой из которой создает отдельный поток.
BabShell выполняет инструкции командной строки и запускает дополнительные полезные нагрузки, получаемые с командного сервера.
Одним из новых модулей, используемых Mysterious Elephant и загружаемых через BabShell, является MemLoader HidenDesk, который представляет собой рефлективный PE-загрузчик, который загружает полезные нагрузки и выполняет их непосредственно в памяти.
Он применяет шифрование и сжатие для обхода механизмов обнаружения.
В последней кампании также применялся MemLoader Edge - еще одна разновидность загрузчика, который содержит встроенный образец VRat и шифрование наряду с иными методами обхода обнаружения.
Перехват коммуникаций в WhatsApp является ключевой особенностью модулей эксфильтрации (среди которых Uplo Exfiltrator, Stom Exfiltrator и ChromeStealer Exfiltrator) группы Mysterious Elephant.
Они предназначены для кражи конфиденциальных данных с систем и специально адаптированы под WhatsApp.
В них реализованы различные техники, такие как рекурсивный обход каталогов, XOR-дешифрование и кодирование по алгоритму Base64, для обхода обнаружения и передачи похищенной информации на С2.
Инфраструктура Mysterious Elephant представляет собой сеть доменов и IP-адресов, поддерживая подстановочные DNS-записи, VPS и облачные сервисы, что позволяет быстро масштабировать и адаптировать операции, снижая вероятность обнаружения.
Как отмечают исследователи, концентрация усилий группы на определенных организациях в сочетании с ее способностью адаптировать атаки под конкретных жертв подчеркивает серьезность этой угрозы, а использование как специально разработанных, так и общедоступных инструментов - высокий уровень технических знаний злоумышленников и готовность вкладываться в создание сложного вредоносного ПО.
Технический разбор нового инструментария и IOCs - в отчете.
Ресерчеры из Лаборатории Касперского анонсировали исследование по результатам анализа публичной активности хакеров в корреляции с их операциями.
Чтобы понять как выглядят кампании хакеров в 2025 году в ЛК проанализировали более 11 000 публикаций более чем 120 групп хакеров как в открытом сегменте, так и в даркнете, уделяя особое внимание тем, кто нацелен на страны Ближнего Востока и Северной Африки.
Основная цель исследования - выявить закономерности в операциях хакеров, включая методы атак, публичные предупреждения и заявленные намерения.
Анализ проводился исключительно с точки зрения кибербезопасности и основан на принципе нейтралитета.
Причем привычный стереотип, что большинство кампаний разворачивается на скрытых форумах в реальности не соответствует действительности: планирование и реализация в массе своей происходят открыто.
При этом Telegram стал своей города командным центром современных хакерских групп, обеспечивая наибольшую эффективность планирования атак и продвижения призывов к действию. На втором месте - X (ранее - Twitter).
Как отмечают Касперы, даже безотносительно хакеров, действующих в странах Ближнего Востока и Северной Африки, атаки рассматриваемых группировок носят глобальный характер и выходят далеко за пределы региона.
Жертвы атак есть по всей Европе и на Ближнем Востоке, а также в Аргентине, США, Индонезии, Индии, Вьетнаме, Таиланде, Камбодже, Турции и других странах.
Одной из примечательных особенностей постов и сообщений хакеров в даркнете является частое использование хэштегов (#слов).
Она часто служат политическими лозунгами, усиливают основной посыл сообщений, обеспечивают координацию действий или позволяют приписывать ответственность за атаки.
Наиболее распространёнными темами являются политические заявления и названия групп хакеров, но в некоторых случаях хэштеги указывают на географические местоположения, например, конкретные страны или города.
Хэштеги также отображают альянсы и динамику.
В 2025 году ЛК выявила 2063 уникальных тега: 1484 из них появились впервые, и многие были напрямую связаны с определёнными группами или совместными кампаниями.
Большинство тегов носят временный характер, около двух месяцев, а «популярные» теги сохраняются дольше, если их поддерживают альянсы; баны каналов способствуют оттоку аудитории.
С оперативной точки зрения, сообщения о завершённых атаках доминируют в хэштегированном контенте (58%), и среди них DDoS - «рабочая лошадка» (61%).
Всплески угрожающей риторики сами по себе не предсказывают новых атак, но время имеет значение: когда публикуются угрозы, они обычно относятся к действиям в ближайшей перспективе, то есть на той же неделе или месяце.
Такая тенденция указывает на то, что раннее выявление и упреждение потенциальных атак посредством помощью мониторинга открытых каналов может быть весьма полезным на практике.
В полной версии отчета подробно изложены следующие выводы относительно того, сколько времени обычно проходит до сообщения об атаке после публикации угрозы, как теги используются для координации атак, а также закономерности в разных кампаниях и регионах.
Группа ученых из Калифорнийского университета в Сан-Диего и Мэрилендского университета в Колледж-Парке выкатили результаты самого полного на сегодняшний день публичного исследования геостационарной спутниковой связи.
Исследователям удалось перехватить и шпионить за спутниковым трафиком с помощью простого устройства стоимостью 800 долларов, установленного на крыше их здания.
За три года работы над проектом стало понятно, что почти половина перехваченного трафика была незашифрованной, в том числе связанного с КИИ, корпоративными и правительственными коммуникациями, голосовыми вызовами и SMS, Wi-Fi-сетями, сетями на борту самолетов.
Все эти данные может пассивно отслеживать любой желающий через обычное оборудование, которое, как показал эксперимент, позволило задетектить 411 транспондеров на 39 геостационарных спутниках и принимать IP-трафик с 14% всех спутников Ku-диапазона в мире.
Как отмечают исследователи, в мире тысячи геостационарных спутниковых ретрансляторов и данные с одного ретранслятора могут покрывать территории размером до 40% поверхности Земли.
Для восстановления сетевых пакетов из необычных стеков протоколов разных поставщиков исследователи разработали и задействовали собственный экстрактор-анализатор IP-пакетов Dontlookup DVB-S2(X) (доступен на GitHub).
В общем, исследователи продемонстрировали возможности перехвата звонков мобильных операторов, текстовых сообщений, а также секретных коммуникаций военных и госструктур.
По мере идентификации поставщиков того или иного перехваченного трафика им направились соответствующие уведомления, пока что после доклада исследовательской группы лишь компания T-Mobile начала шифровать свои спутниковые соединения.
Технические подробности доступны в полной версии отчета (PDF), а также отчасти отражены в статье Энди Гринберга и Мэтта Берджесса на WIRED.
Продолжаются тектонические сдвиги на рынке spyware, на этот раз затронувшие даже гиганта отрасли с 20-ти летним стажем.
Через ведущие международные издания слили заслужившую звания «лаборатории прослушки» компанию First WAP с ее системой Altamides.
Материал под названием Surveillance Secrets - это результат совместного журналистского расследования при координации Lighthouse Reports и в партнерстве с иатльянской IrpiMedia.
В работе приняли участие журналисты Paper Trail Media, The Center for Investigative Reporting, ZDF, Der Spiegel, Tamedia, Der Standard, Haaretz, Tempo, KRIK, Investigace, Le Monde и NRK.
Altamides позиционируется на рынке весьма серьезно в качестве платформы для мониторинга за телефонами, посредством которой отслеживались перемещения более 14 000 целевых телефонных номеров (более 1,5 миллионов пингов).
Если верить утечкам, начиная с 2007 года Altamides задействовалась для негласной слежки за известными политическими деятелями, знаменитостями, журналистами и активистами в 168 странах.
Среди жертв нашли жену бывшего президента Сирии Башара Асада, музыканта Джареда Лето и высокопоставленных представителей бизнеса, в том числе Энн Воджицки, соучредительницу 23andMe и бывшую жену одного из соучредителей Google.
В ряде случае отслеживание предшествовало убийству, похищению или задержанию владельца контролируемой трубки.
Работа системы строится на злоупотреблении протоколом SS7 с применением богатой палитры софта для перехвата телефонных звонков и sms-сообщений, зеркалирования аккаунтов WhatsApp и контроля интернет-трафика.
Соединение по SS7 реализуется через индонезийского оператора связи и национального оператора Лихтенштейна, с которым у компании были давние отношения еще с начала своего пути.
First Wap была основана Йозефом Фуксом, австрийцем, эмигрировавшим в Индонезию в 1990-х годах и ранее работавшим инженером в Siemens.
Изначально она специализировалась на SMS, но впоследствии стала лидером в отслеживании местоположения мобильных телефонов.
Компания зарегистрирована в Индонезии и имеет офис в Дубае, что позволяет ей пользоваться более мягкими правилами экспорта, а её руководство дислоцируется в Европе.
По словам бывшего сотрудника, First Wap никогда не испытывала проблем с клиентами: система успешно продавалась правительствам и спецслужбам в Нигерии, Малайзии, Сингапура, ОАЭ, Индонезии, Узбекистана, Саудовской Аравии и даже Белоруссии.
Altamides также использовали частные детективные агентства, включая британскую Kcs Group, которая, в свою очередь, также подгоняла ей свою клиентуру.
В общем, теперь покатится First Wap по накатанной NSO Group дорожке, а мы будем следить.
Исследователи из Лаборатории Касперского выкатили весьма годный отчет на фоне завершения эпохи Windows 10 с обзором изменений в криминалистических артефактах в новой Windows 11 (24H2), который может пригодиться коллегам по цеху.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Oracle выпустила экстренные обновления безопасности для исправления еще одной уязвимости E-Business Suite (EBS), которая может быть проэксплуатирована удаленно неавторизованными злоумышленниками.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
Ученые из Швейцарской высшей технической школы Цюриха обнаружили уязвимость в управлении памятью процессоров AMD, которая позволила им нарушить целостность конфиденциальных вычислений и получила название RMPocalypse.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Исследователи Zimperium сообщают о масштабной вредоносной операции, нацеленной на на российских пользователей с помощью нового шпионского ПО для Android, распространяемого через Telegram под видом фейковый версий WhatsApp, Google Photos, TikTok и YouTube.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
На протяжении длительного времени отслеживали ситуацию на рынке spyware и, можно полагать, что все прогнозы относительно его трансформации четко претворяются в жизнь.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
