39805
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Продолжаем знакомить с наиболее трендовыми уязвимостями и связанными с ними угрозами:
1. Исследователи Cisco обнаружили «сквозные» уязвимости в восьми моделях с открытым кодом LLM, доступных на рынке от таких компаний, как OpenAI, Alibaba, Mistral, Google и др. Неудвительно, ведь после публикации исходного кода эти модели редко обновляются.
2. Cyderes обнаружила уязвимость в Advanced Installer, фреймворке для создания установщиков Windows, которая позволяет злоумышленникам перехватывать механизмы обновления приложений и запускать вредоносный внешний код, если пакеты обновлений не имеют цифровой подписи.
Advanced Installers используется некоторыми крупнейшими мировыми компаниями, такими как Apple, Microsoft, Google и IBM.
3. Исследователи Tenable выявили семь уязвимостей и методов атаки на пользователей ChatGPT. Недостатки позволяют злоумышленникам похищать конфиденциальную информацию из памяти и истории чатов пользователей.
4. Исследователи Zscaler обнаружили уязвимость произвольного доступа к файлам и SSRF (CVE-2025-12058) в платформе искусственного интеллекта Keras.
5. Группа исследователей, связанная с Массачусетским технологическим институтом (MIT), представила достаточно спорный отчет, который вызвал широкие осуждения в инфосеке.
Публика усомнилась в тезисе о том, что ИИ лежит в основе 80% всех современных атак программ-вымогателей.
Известные исследователи и эксперты в области ИБ раскритиковали выводы исследования, назвав их технически необоснованными и вовсе - не более чем попыткой хайпа.
6. В свою очередь, Google выкатила свой отчёт в отношении штаммов вредоносного ПО, задействующих ИИ.
Их всего пять, и все они - фактически «шлак». При этом один из пяти в конечном итоге оказался в реальности проектом ученых.
Так что по мнению Google, эра полноценного вредоносного ПО на базе ИИ ещё не наступила, однако разработчики вредоносного ПО все же создают собственные инструменты LLM для весьма специфических целей.
7. В отчёте «Threat Labs: Производство 2025» от Netskope подробно описываются новейшие угрозы в сфере ИБ, затрагивающие организации производственной отрасли.
В частности, выделены такие тенденции, как растущая зависимость от облачной инфраструктуры и сложные методы компрометации цепочек поставок, приводящие к сбоям в производственных процессах.
8. По данным Palo Alto Networks, злоумышленники использовали уязвимость CVE-2025-21042 для доставки пользователям на Ближнем Востоке шпионского ПО Landfall для Android с помощью специально созданные DNG-изображения и WhatsApp.
Атаки, по всей видимости, были направлены на телефоны Samsung Galaxy, и злоумышленник мог реализовать Landfall с помощью ZeroClick-эксплойта.
Samsung исправила CVE-2025-21042 в апреле, но в сообщении технологического гиганта не упоминается эксплуатация уязвимости в реальных условиях.
В Palo Alto заявили, что атаки Landfall проводились как минимум с июля 2024 года, а CVE-2025-21042 эксплуатировалась как 0-day ещё до выпуска Samsung патчей.
CVE-2025-21042 похожа на CVE-2025-21043, другую уязвимость нулевого дня, недавно исправленную Samsung в той же библиотеке изображений.
За несколько недель до раскрытия информации о CVE-2025-21043 Apple исправила CVE-2025-43300 - похожую уязвимость, которая, как считается, была связана с 0-day WhatsApp (CVE-2025-55177), для доставки шпионского ПО клиентам Apple.
Palo Alto Networks не смогла подтвердить, что цепочка эксплойтов CVE-2025-43300/CVE-2025-55177 использовалась для доставки шпионского ПО Landfall пользователям iOS.
Злоумышленник не атрибутирован и теперь отслеживается как CL-UNK-1054.
Исследователи из Dr.Web в своем новом отчете сообщают расчехлили арсенал Cavalry Werewolf, который удалось задетектить в ходе расследования целевой атаки в отношении неназванного российского госучреждения.
Одной из целей выявленной кампании, проводимой APT, был сбор конфиденциальной информации и данных о конфигурации сети.
Для получения первоначального доступа злоумышленники использовали распространенный вектор проникновения - фишинговые электронные письма с прикрепленным к ним вредоносным ПО, замаскированным под документы.
В данном случае сообщения содержали неизвестный на момент атаки бэкдор BackDoor.ShellNET.1, который основан на ПО с открытым кодом Reverse-Shell-CS.
Он позволяет дистанционно подключаться к зараженным компьютерам через обратный шелл и выполнять различные команды. Эта вредоносная ПО располагалась в защищенном паролем архиве и, в зависимости от рассылки, имела различные имена.
Используя бэкдор, злоумышленники продолжили закрепление в целевой системе, загрузив несколько вредоносных ПО через стандартный для ОС Windows Bitsadmin, предназначенный для управления заданиями по передаче файлов.
Приложение запускалось с набором определенных ключей командной строки и от имени текущего администратора системы.
В целом, вредоносные программы в фишинговых письмах могут быть представлены разным типом вредоносного ПО.
В Dr.Web выделили следующие: скрипты (BAT.DownLoader.1138) и исполняемые файлы (Trojan.Packed2.49708, Trojan.Siggen31.54011, BackDoor.Siggen2.5463, BackDoor.RShell.169, BackDoor.ReverseShell.10).
Первой из ранее неизвестных, загруженных через BackDoor.ShellNET.1, был стилер Trojan.FileSpyNET.5.
С его помощью киберпреступники скачали хранившиеся на компьютере документы в форматах .doc, .docx, .xlsx и .pdf, текстовые файлы (.txt), а также изображения (.jpg, .png).
Затем атакующие установили бэкдор BackDoor.Tunnel.41 (представляет собой ПО с открытым исходным кодом ReverseSocks5) с целью создания SOCKS5-туннелей и дальнейшего выполнения на нем команд, в том числе - с возможностью установки другого вредоносного ПО.
При этом расследование инцидента позволило выявить не только указанные вредоносные приложения, но и множество других инструментов, которые Cavalry Werewolf используют для проведения таргетированных атак.
В частности, были обнаружены следующие вредоносные Пяо, которые могут в дальнейшем устанавливаться на зараженные устройства после компрометации: Trojan.Inject5.57968, BackDoor.ShellNET.2, BackDoor.ReverseProxy.1 и Trojan.Packed2.49862.
Последняя представляет собой набор троянизированных версий легитимных ПО, в которые злоумышленники внедрили вредоносный код.
В зависимости от целей киберпреступников в этих модификациях могут скрываться самые разные вредоносные программы.
Среди них: BackDoor.ReverseProxy.1 (ReverseSocks5), BackDoor.Shell.275 (AdaptixC2), BackDoor.AdaptixC2.11 (AdaptixC2), BackDoor.Havoc.16 (Havoc), BackDoor.Meterpreter.227 (CobaltStrike), Trojan.Siggen9.56514 (AsyncRAT) и Trojan.Clipper.808.
Причем, разрабы из Cavalry Werewolf не ограничиваются единым набором вредоносных ПО и постоянно пополняют свой арсенал.
Поэтому инструменты для проникновения в целевые системы и в последующей в цепочке заражения могут отличаться в зависимости от жертвы.
В целом, исследователи Dr.Web отмечают, что Cavalry Werewolf предпочитают использовать ПО с открытым кодом — как в исходном виде, так и в качестве основы для собственных разработок.
Основными инструментами являются различные бэкдоры с функциональностью обратного шелла, позволяющие дистанционно выполнять команды в зараженных системах.
Хакеры часто применяют Telegram API для управления зараженными компьютерами, а для распространения первой ступени заражения проводят фишинговые рассылки якобы от имени госструктур, используя скомпрометированные email-адреса.
Технические особенности выявленных инструментов Cavalry Werewolf и ссылки на IOCs - в отчете.
📦 Container security.
• Нашел очень полезный ресурс, который содержит информацию по обеспечению безопасности контейнеров. Есть информация как для Red Team, так и для Blue Team. Рекомендую к изучению:
➡ https://www.container-security.site
➡API Security;
➡Attacker Manifests;
➡Attackers - Compromised Container Checklist;
➡Attackers - Compromised User Credential Checklist;
➡Attackers - External Checklist;
➡Container & Kubernetes Security Tools;
➡Container Breakout Vulnerabilities;
➡Container CVE List;
➡Container Security Site;
➡Container Security Standards;
➡Container Terms for Security People;
➡Defenders - Container Image Hardening;
➡Kubernetes Security Architecture Considerations;
➡Kubernetes persistence checklist;
➡Node/Proxy in Kubernetes RBAC;
➡PCI Container Orchestration Guidance for Kubernetes;
➡Reading List;
➡Security Research;
➡Security Terms For Container People;
➡Support Lifecycles for container software and services.
S.E. ▪️ infosec.work ▪️ VT
Расследование SonicWall в отношении сентябрьского инцидента, в результате которого были раскрыты файлы резервных копий конфигураций брандмауэров клиентов, завершилось и главный вывод - атака со стороны APT-актора.
Компания утверждает, что специалисты по реагированию на инциденты из Mandiant подтвердили, что вредоносная активность не оказала влияния на продукты, прошивки, системы, инструменты, исходный код или клиентские сети SonicWall.
Как заверяют в Mandiant, результаты исследования подтверждают, что вредоносная активность заключалась в несанкционированном доступе к файлам резервных копий в облаке из определённой облачной среды с помощью вызова API.
Напомним, 17 сентября американская компания сообщила об «инциденте, в результате которого были раскрыты файлы резервных копий настроек брандмауэра, хранящиеся в некоторых учетных записях MySonicWall».
Злоумышленник потенциально мог извлечь из этих файлов конфиденциальную информацию, включая учетные данные доступа и токены, что «значительно упрощает» для него отработку межсетевых экранов клиента.
Компания немедленно посоветовала клиентам сбросить учетные данные MySonicWall, временные коды доступа, пароли для серверов LDAP, RADIUS или TACACS+, пароли для интерфейсов L2TP/PPPoE/PPTP WAN и общие секреты в политиках IPSec site-to-site и GroupVPN.
В обновлении от 9 октября SonicWall признала, что нарушение затронуло всех клиентов, которые использовали облачный сервис резервного копирования компании для хранения файлов конфигурации брандмауэра. Хотя изначально масштаб инцидента замачивался.
Верить в новые результаты расследования с утверждениями об ограниченном влиянии (прежде всего, утверждать относительно полной безопасности его продуктов) после переобуваний достаточно сложно, как показывает практика.
Как и в заявления SonicWall по части отсутствия связи с атаками банды вымогателей Akira, которые в конце сентября были нацелены на защищенные MFA учетные записи SonicWall VPN.
Кроме того, совсем недавно, 13 октября, Huntress также сообщала о возросшей вредоносной активности, направленной на учетные записи SonicWall SSLVPN, и успешной компрометации более сотни из них с использованием действительных учетных данных.
Конечно, дказательств, связывающих эти атаки с утечкой файлов конфигурации брандмауэра в сентябре, опять же не нашли.
Но будем посмотреть.
🐈⬛ Эксперты Sygnia и DigitalMint обвиняются в атаках с использованием программы-вымогателя ALPHV BlackCat
Два американских специалиста по кибербезопасности и их сообщник обвиняются [1,2,3] в организации серии атак с использованием программы-вымогателя ALPHV/BlackCat, при этом они занимали ключевые посты в компаниях, специализирующихся на защите от подобных угроз.
Согласно обвинительному заключению, Райан Клиффорд Голдберг (Sygnia) и Кевин Тайлер Мартин (DigitalMint) использовали свои глубокие познания в процедурах реагирования на инциденты для вымогательства средств у американских компаний.
На основании всех предоставленных данных, включая официальное обвинительное заключение, Голдберг, Мартин и их сообщник вели полноценную преступную деятельность в качестве аффилиатов (партнеров) киберпреступной группировки ALPHV/BlackCat, которые атаковали американские компании.
Вышеупомянутые злоумышленники получали несанкционированный доступ к сетям жертв, похищали конфиденциальные данные, а затем шифровали системы для вымогательства денежных средств.
Голдберг занимался реагированием на инциденты, поэтому знал, как компании защищаются и какие у них есть слабые места. Мартин в качестве переговорщика по выкупам отлично понимал психологию жертв, их болевые точки и как эффективно вести торг для получения максимальной оплаты.
Целями стали по меньшей мере 5 организаций, включая медицинскую компанию во Флориде, фармацевтическую фирму в Мэриленде, инженерную компанию и врачебный кабинет в Калифорнии, а также производителя дронов в Вирджинии.
Перед шифрованием они целенаправленно похищали конфиденциальные и коммерчески важные данные с серверов жертв.
Упоминается, что в мае 2023 года группа получила около $1.27 миллиона в криптовалюте от производителя медицинского оборудования из Флориды.
Полученные криптовалютные средства они немедленно дробили и пропускали через цепочку множества различных кошельков, чтобы максимально запутать следы и затруднить отслеживание правоохранительными органами перед тем, как обналичить их в фиатные деньги.
Sygnia немедленно уволила Голдберга, а DigitalMint заявила, что предполагаемые действия сотрудников "выходят за рамки их служебных полномочий". Обе компании сотрудничают со 🇺🇸следствием.
✋ @Russian_OSINT
Подкатили обновления для основных мобильных операционных системах: в Android исправлены 2 уязвимости в системном компоненте платформы, включая критическую RCE, а в iOS и iPadOS - 56 ошибок, в том числе 19 проблем, затрагивающих движок браузера WebKit.
Стоит отметить, что ноябрьский патч для Android вновь напоминает об уходе от ежемесячных обновлений, которые выпускались с 2015 года, теперь он в себя единый уровень исправлений безопасности - уровень исправлений 2025-11-01.
Впервые подобная тенденция была замечена в июле этого года, когда для пользователей Android не было выпущено никаких исправлений, как и затем в октябре.
Но в зато в августе и сентябре Google устранила более 100 уязвимостей, включая три эксплуатируемые.
На этот раз речь идет о двух проблемах, наиболее серьезная из которых - CVE-2025-48593. Это недостаточная проверка данных, вводимых пользователем, что которая приводит к RCE и затрагивает версии Android 13, 14, 15 и 16.
Как отмечает Google в своем бюллетене, для ее эксплуатации взаимодействие с пользователем и каких-либо дополнительных прав на выполнение не требуется.
Другая, CVE-2025-48581, связана с тем, что в VerifyNoOverlapInSessions файла apexd.cpp существует потенциальный способ заблокировать обновления безопасности через основную установку из-за логической ошибки в коде.
Это может привести к локальному повышению привилегий без необходимости дополнительных прав на выполнение.
Для эксплуатации уязвимости не требуется участие пользователя. Она затрагивает Android 16.
Свежие обновления iOS и iPadOS содержат исправления ошибок, затрагивающих более двух десятков компонентов, которые могли быть использованы для выхода из песочницы, повреждения памяти или утечки данных.
Как отмечает Apple, Big Sleep от Google помог выявить пять различных уязвимостей в компоненте WebKit, используемом в браузере Safari, успешная эксплуатация которых может привести к сбою браузера или повреждению памяти.
Помимо мобильных платформ компания выпустила macOS Tahoe 26.1 с исправлениями для 105 дефектов, включая 45, исправленных в iOS 26.1 и iPadOS 26.1 (18 из них были исправлены в WebKit).
Уязвимости могут быть использованы для повреждения памяти ядра, завершения работы системы, утечки данных, выхода из «песочницы», DoS, подмены файлов, EoP и обхода защиты безопасности.
Apple также выпустила macOS Sequoia 15.7.2 и macOS Sonoma 14.8.2 с исправлениями десятков уязвимостей в каждой из версий.
Кроме того, анонсированы исправления для tvOS, watchOS, visionOS и Xcode, а Safari 26.1 исправляет почти два десятка уязвимостей для пользователей macOS Sonoma и macOS Sequoia.
К настоящему времени, как и Google, компания не располагает данными о том, что какая-либо из двух исправленных уязвимостей эксплуатируется в реальных условиях.
AMD подтвердила наличие серьёзной ошибки безопасности в генераторе RDSEED в составе процессоров на архитектуре Zen 5.
Как выяснили исследователи, в виду некорректной работы генератор случайных чисел в системах Linux может выдавать предсказуемые значения, ставя под угрозу кибербезопасность пользователей.
RDSEED - одна из двух систем генерации случайных чисел, доступных на современных процессорах, в том числе на продукции Intel. Он собирает непредсказуемые данные из окружающей среды и записывает в регистре процессора случайные последовательности битов.
При этом система RDRAND работает быстрее, но результаты её работы более предсказуемы.
CVE-2025-62626 проходит в номенклатуре производителя как AMD-SB-7055 и имеет рейтинг серьезности CVSS 7,2 из 10.
Проблема связана с инструкциями RDSEED на чипах Zen 5. Ее впервые обнаружил инженер Meta (признана экстремистской), который также нашёл способ стабильно её воспроизводить.
На машине запускаются два потока процессора: один постоянно обращается к RDSEED, а второй создаёт нагрузку и поглощает около 90 % памяти - в результате генератор случайных чисел начинает выдавать нули и продолжает сообщать об успешном выполнении задач.
AMD намерена исправить ошибку программными средствами и планирует выпустить исправления для всех затронутых моделей процессоров до ноября.
Обновление прошивки для процессоров EPYC 9005 уже вышло, обновления для потребительских Ryzen 9000, AI Max 300, Threadripper 9000 и Ryzen Z2 выйдут 25 ноября.
В свою очередь, команда разработчиков ядра Linux выпустила патч в прошлом месяце после первых сообщений, который отключает RDSEED на всех чипах Zen 5, чтобы устранить уязвимость.
Пока не выйдут обновления микрокода AGESA для процессоров на архитектуре Zen 5, в AMD рекомендовали перейти на 64-битную версию RDSEED, которая работает корректно.
Исследователи BI.ZONE сообщают о выявленной активности ранее неизвестного актора, который в период с октября 2024 года по октябрь 2025 нападал на российские компании в сфере финансов, энергетики, инженерии, обрабатывающей промышленности, транспорта, наука и госуправления.
Цепочка заражений традиционно начиналась с таргетированных фишинговых рассылок, обеспечивающих атакующим возможности получения первоначального доступа.
Причем атакующие могут распространять вредоносное ПО во вложениях письма в виде архивов по двум сценариям.
В первом случае, он содержит легитимный EXE‑файл и вредоносную DLL с атрибутом «скрытый», являющуюся загрузчиком, который подгружается в момент запуска легитимного EXE‑файла с помощью техники DLL side-loading.
Иногда в архиве также мог находиться отвлекающий PDF‑документ, в котором отсутствует ссылка для загрузки с сетевого ресурса атакующих архива с вредоносной ПО.
Во втором варианте архив содержит вредоносный LNK‑файл и скрытые файлы: легитимный EXE, загрузчик в виде вредоносной DLL, отвлекающий PDF‑документ.
Кроме того, были обнаружены атаки с использованием отвлекающих PDF‑документов, замаскированных под руководства по установке программы видео-конференц-связи или веб-клиента мессенджера. В PDF содержалась ссылка на сетевой ресурс атакующих для загрузки архива.
В одном из случаев атакующие скомпрометировали легитимный сетевой ресурс крупной российской инвестиционной компании, с сайта которой они распространяли архив с вредоносной ПО.
Хакеры использовали многоступенчатый загрузчик собственной разработки, который разворачивал в системе сложные, не документированные ранее TunnelRAT и EmojiRAT - вместе с модифицированным клиентом Secure Socket Funneling (SSF).
Также была обнаружена другая версия этого загрузчика, которая расшифровывала и запускала вредоносное .NET‑приложение httptun, защищенное VMProtect.
На момент исследования данную ПО не удалось точно классифицировать и полностью проанализировать.
Первая стадия загрузчика реализована в виде DLL, которая запускается с помощью техники DLL side-loading легитимным исполняемым EXE‑файлом.
Вторая - в виде DLL, которая расшифровывается первой стадией и извлекается на диск. Она запускается с помощью техники COM hijacking в адресном пространстве легитимного процесса getmac.exe.
TunnelRAT представляет собой обфусцированное вредоносное ПО с многопоточной архитектурой (каждая новая задача, поступающая от C2‑сервера, запускается в отдельном потоке).
TunnelRAT позволяет выполнять различные команды, поступающие от C2‑сервера, на скомпрометированном хосте и способен использовать для коммуникации с C2‑сервером как DNS‑туннель, так и HTTP.
В свою очередь, EmojiRAT задействует пять телеграм-ботов, причем один из них используется для приема команд, а остальные - для отправки результатов их выполнения.
Что примечательно, в EmojiRAT передача данных кодируется набором специальных эмодзи.
Бизоны отмечают одну интересную особенность атакующих - они в основном используют домены в зоне .team.
Похожее наблюдалось у Prosperous Werewolf (Team46, TaxOff).
В октябре 2025 года атакующие стали использовать GitHub вместо специально подготовленных сетевых ресурсов для размещения ZIP‑архивов с вредоносным ПО.
При этом атакующие размещают ZIP‑архивы в разделе Issues, а не в самом репозитории в виде файлов.
Технические подробности и IOCs - в отчете.
Однажды летом мы сообщали об одной из самых масштабных в современной истории Соединенного Королевства утечек, которая произошла по вине представителей британских спецслужб.
Тогда через отдельный судебный акт обстоятельства инцидента засекретили.
Однако журналистам вскоре стало известно, что в сеть слили базу данных с более 33 000 афганских граждан, которые оказывали содействие британским войскам во время войны в Афганистане.
Кроме того, там также содержались личные данные почти 19 000 афганцев, подавших заявки на переселение в Великобританию после того, как Талибан восстановил контроль над страной в 2021 году.
Помимо этого были раскрыты личности более сотни сотрудников британской разведки MI-6, военнослужащих засекреченных подразедлений специального назначения SAS и SBS.
Сама утечка произошла в феврале 2022 года, когда сотрудник штаб-квартиры британских сил специального назначения в Лондоне случайно отправил по электронной почте базу данных за пределы правительственного учреждения, а затем она ушла в тиражи Интернет-ресурсов.
Далее был инициирован особый протокол и втайне от общественности власти пытались локализовать последствия инцидента, потратив на это более 2 млрд. фунтов стерлингов и переселив более 20 тысяч афганцев в Великобританию.
Однако этого оказалось недостаточно.
Как сообщает Arab News, в результате утечки 49 афганцев стали жертвами нападений и лишились жизни.
При этом 40% из числа фигурирующих в слитой базе также заявили о получении угроз расправы от Талибана, представители которого смогли идентифицировать их после публикации личных данных, а некоторые подверглись избиениям и даже пыткам.
В общем, это наглядное свидетельство трансформации, казалось бы, виртуальных угроз во вполне реальные последствия. И, безусловно, - показатель уровня работы британской спецуры.
По всей видимости не обошлось без агента 00,7 (и по ходу 00,5 тоже приложился).
Основанную в 1960 году и финансируемую немецким правительством международную телерадиокомпанию Deutsche Welle взломали.
По цене в 2500 долл. в крипте на просторах киберподполья реализуется дамп SQL базы данных с 15 поддоменов новостной компании (пруфы прилагаются).
По словам селлера, слитые данные включают: адреса электронной почты пользователей, полные имена пользователей, учетные данные (в том числе, пароли почтового сервера и FTP), а также данные и параметры конфигурации ресурсов DW.
Исследователи F6 препарировали обновленную версию вредоносного ПО DeliveryRAT, который распространялся злоумышленниками во второй половине 2025 года.
Впервые Android-троян DeliveryRAT исследователи упоминали еще в годовом отчете F6 за 2024 год, а в апреле 2025 года удалось задетектить обновленную версию, дополненную различным новым функционалом.
Способы распространения трояна F6 детально описывала в недавнем исследовании.
Тогда сообщалось, что F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT.
Кроме того, был разобран Telegram-бот Bonvi Team, посредтсвом которого генерировались либо ссылки на фейковые страницы, мимикрирующие под сервис загрузки приложений, либо генерировался непосредственно образец вредоносного ПО.
В новом отчете F6 раскрывает технические подробности в отношении обновленной версии DeliveryRAT.
В некоторых случаях злоумышленники использовали приложение-загрузчик для распространения трояна.
Все обнаруженные загрузчики имеют имя пакета com.harry.loader. DeliveryRAT расположен внутри секции ресурсов загрузчика в директории raw.
После того как пользователь нажмет на кнопку, приложение запросит права установки сторонних приложений на устройство.
После выдачи пользователем запрашиваемых прав будет установлен DeliveryRAT.
Кроме того, в ходе исследования удалось найти множество образцов DeliveryRAT, мимикрирующих под различные сервисы, доступные в России.
В обновленную версию были добавлены дополнительные функциональные возможности (помимо тех, что были реализованы в первой обнаруженной версии), в том числе:
- запуск по команде различных видов активностей для пользователя, в контексте ввода информации о банковской карте, выбора фотографии, сканирование QR-кода и так далее;
- выполнение DDOS-атак путем осуществления одновременных запросов к переданной командой URL-ссылке;
- эксфильтрация списка контактов;
- рассылка SMS всем контактам;
- возможность обмениваться сообщениями с жертвой под видом поддержки.
Исследователи отмечают, что DeliveryRAT продолжает атаковать цели в России, активизировавшись с середины 2024 года.
Троян обновляется и пополняет набор своих функциональных возможностей, несущих новые риски для пользователей Android-устройств.
Подробнейший технический разбор DeliveryRAT и обновленный перечень IOCs - в отчете.
Исследователи Zimperium предупреждают о крайне негативной тенденции, связанной с широким распространением вредоносного ПО для ретрансляции данных на основе технологии NFC (Near-Field Communication), которое приобрело огромную популярность в Восточной Европе.
В связи с быстрым ростом числа транзакций Tap-to-Pay технология NFC становится всё более привлекательной целью для киберпреступников.
Вредоносные приложения используют разрешение Android на NFC для кражи платёжных данных непосредственно с устройств жертв, подчёркивая, насколько быстро злоумышленники развивают свои методы монетизации систем бесконтактной
оплаты.
В отличие от традиционных банковских троянов, использующих оверлеи или перехват SMS, эти вредоносные приложения используют возможности эмуляции хост-карт (HCE) Android, выдавая себя за легитимные платёжные приложения и передавая конфиденциальные данные о транзакциях в режиме реального времени.
Реализуя захват поля EMV, злоумышленники реализуют подконтрольный ответ на команды APDU от POS-терминала или пересылают запросы терминала на удаленный сервер, формирующий соответствующие ответы APDU для совершения платежей на терминале без физического присутствия держателя карты.
К настоящему времени злоумышленники реализуют множество методов, основанных на разных практических подходах, в том числе:
- сборщики данных, которые переносят поля EMV в Telegram или другие конечные точки;
- наборы инструментов для ретрансляции, которые пересылают APDU на удаленные сопряженные устройства;
- платежи с использованием «фантомного касания», при которых ответы HCE обрабатываются для авторизации POS-транзакций в режиме реального времени;
- PWA или поддельные банковские приложения, которые установлены в качестве обработчика платежей по умолчанию на Android.
В результате возникает новый класс угроз, сочетающий финансовое мошенничество с несанкционированным использованием NFC на уровне устройства, что часто игнорируется традиционными средствами защиты.
По данным Zimperium, за последние несколько месяцев исследователи обнаружили более 760 вредоносных приложений для Android, использующих эту технологию для кражи данных платежных карт пользователей.
Впервые эта техника была замечена в 2023 году в Польше, заза ней последовали кампании в Чехии, а позднее более масштабные волны атак накрыли Россию, Словакию и др.
Компания выявила более 70 серверов C2 и центров распространения приложений, поддерживающих подобные кампании, а также десятки ботов Telegram и частных каналов, используемых для кражи украденных данных или координации мошеннических операций.
При этом приложения, которые задействуются для распространения вредоносного ПО, выдают себя за Google Pay или такие финансовые учреждения, как Santander Bank, ВТБ Банк, Тинькофф Банк, ING Bank, Bradesco Bank, Промсвязьбанк (ПСБ) и ряд других.
Полный список APK, обнаруженных Zimperium в дикой природе, доступен здесь.
Исследователи из Лаборатории Касперского выкатили подробнейший и весьма богатый по технической части отчет с результатами исследования двух кампаний северокорейской APT в рамках операции SnatchCrypto, которые получили названия GhostCall и GhostHire.
Активность приписывается подкластеру Lazarus Group - BlueNoroff, которая также известна как APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (Copernicium) и Stardust Chollima.
С момента своего появления группа была ориентирована на финансовую выгоду и активно нацеливается на разработчиков блокчейнов, руководителей высшего звена и менеджеров в индустрии Web3/блокчейна в рамках операции SnatchCrypto, начиная с 2017 года.
Жертвами кампании GhostCall стали несколько зараженных хостов macOS, расположенных в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге, тогда как Япония и Австралия были названы основными локациями активности для GhostHire.
GhostCall активно атакует устройства macOS руководителей технологических компаний и инвестиционные фирмы, взаимодействуя напрямую с жертвами через Telegram под предлогом приглашений на встречи, связанные с фишинговыми сайтами, мимикрирующими под Zoom.
Жертва присоединяется к фейковому звонку с подлинными записями разговоров других жертв (не к дипфейкам). Звонок проходит согласно плану, но затем пользователю неожиданно предлагается обновить клиент Zoom с помощью скрипта.
В конечном итоге скрипт загружает ZIP-файлы, которые приводят к цепочкам заражения, развёртываемым на заражённом хосте.
В свою очередь, GhostHire предполагает нацеливание на разработчиков Web3 с использованием репозитория GitHub, содержащего вредоносное ПО, под легендой оценки навыков в процессе найма.
После первоначального контакта и краткой проверки рекрутер добавляет пользователя в Telegram-бот, который отправляет либо ZIP-файл, либо ссылку на GitHub, а также ограниченное 30 минутами на выполнение задание с требованием как можно скорее запустить вредоносный проект.
После запуска проекта в систему пользователя загружается вредоносная полезная нагрузка, состав которой определяется в соответствии с пользовательским агентом, который идентифицирует операционную систему жертвы.
Исследователи ЛК отслеживают обе кампании с апреля 2025 года, хотя, по оценкам, GhostCall активен с середины 2023 года, вероятно, после кампании RustBucket.
Причем последний ознаменовал собой основной поворотный момент в атаке на системы macOS, после чего в других кампаниях задействовались такие семейства вредоносных ПО, как KANDYKORN, ObjCShellz и TodoSwift.
Различные аспекты GhostCall также были подробно задокументированы за последний год Microsoft, Huntress, Field Effect, Huntabil.IT, Validin и SentinelOne.
Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall, Кроме того, в обеих кампаниях было обнаружено идентичное вредоносное ПО.
Как отмечают в ЛК, исследование свидетельствует о постоянных усилиях BlueNoroff по разработке вредоносного ПО, нацеленного как на Windows, так и на macOS, через единую инфраструктуру С2.
При этом использование генеративного ИИ в различных аспектах атак значительно ускорило этот процесс, обеспечив более эффективную разработку ПО при снижении операционных издержек, а также позволило повысить производительность и серьезно усовершенствовать атаки.
Подробный разбор двух кампании - дадим в отдельном материале.
Канадский центр кибербезопасности сообщает о возросшей хакерской активности, нацеленной на промышленные системы управления (ICS), доступные через Интернет.
Как отмечают специалисты, хакеры неоднократно взламывали критически важные инфраструктурные системы по всей стране, что позволяло им вносить коррективы в параметры управления ICS, что потенциально могло привести к возникновению опасных ситуаций.
В частности, в своем бюллетене, регулятор упоминает о трех недавних инцидентах, в ходе которых хактивисты вмешались в работу критически важных систем водоочистных сооружений, в нефтегазовой компании и на сельскохозяйственном предприятии.
Названные инциденты привели к сбоям в работе, ложным срабатываниям и риску возникновения аварийных ситуаций.
В результате атаки на водопроводную станцию были изменены показатели давления воды, что не привело поденную качества оказания услуг для населения.
Другой случай произошел в канадской нефтегазовой компании, где были выявлены нарушения в работе автоматизированного уровнемера резервуаров (ATG), что привело к срабатыванию ложной тревоги.
Третий случай произошел в зерносушилке на канадской ферме, где регулировались температура и влажность, что могло привести к чрезвычайно опасной ситуации, если бы проблема своевременно не была устранена.
При этом, как полагают власти Канады, все эти атаки не были спланированными или как-то сложно организаованны, скорее носили оппортунистический характер и были направлены, прежде всего, на ажиотаж в СМИ, подрыв доверия к властям и нанесение ущерба имиджу страны.
Несмотря на то, что ни одна из атакованных организаций в Канаде не понесла катастрофических последствий, атаки указывают на серьезные риски, возникающие вследствие низкой защищенности компонентов ICS, включая ПЛК, SCADA, HMI и промышленные IoT-устройства, что на практике характерно не только для Канады.
Тем временем, под легендой якобы хакерской группы KittenBusters продолжается публикация на GitHub новых документов, связанных с деятельностью иранской Charming Kitten (APT35).
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
Исследователи Socket Security обнаружили вредоносные пакеты NuGet, которые были загружены в 2023 и 2024 годах и предназначены для запуска вредоносного кода после определённых дат в 2027 и 2028 годах, способного вызвать DoS в работе баз данных и ICS.
Найденный набор включает в себя девять вредоносных пакетов NuGet, автором которых выступил пользователь под ником shanhai666.
В общей сложности пакеты были загружены 9488 раз.
Среди них: MyDbRepository, MCDbRepository, Sharp7Extend, SqlDbRepository, SqlRepository, SqlUnicornCoreTest, SqlUnicornCore, SqlUnicorn.Core и SqlLiteRepository.
По данным Socket, все девять вредоносных пакетов работают так, как заявлено, что вызывая доверие у разработчиков, которые в конечном итоге могут загрузить их, не осознавая, что внутри них встроена логическая бомба, которая должна сработать в будущем.
Злоумышленник опубликовал в общей сложности 12 пакетов, при этом оставшиеся три работают по назначению без каких-либо вредоносных функций.
К настоящему времени все они удалены из NuGet.
Socket Security также отмечает, что Sharp7Extend предназначен для пользователей легитимной библиотеки Sharp7 - реализации .NET для взаимодействия с ПЛК Siemens S7.
При этом включение Sharp7 в пакет NuGet создает ложное ощущение безопасности, скрывая тот факт, что библиотека скрытно внедряет вредоносный код, когда приложение выполняет запрос к базе данных или операцию ПЛК, используя методы расширения C#.
Методы расширения позволяют разработчикам добавлять новые методы к существующим типам данных без изменения исходного кода - мощная функция C#, которую злоумышленники используют для перехвата.
Каждый раз, когда приложение выполняет запрос к базе данных или операцию ПЛК, эти методы расширения автоматически выполняются, сверяя текущую дату с датами срабатывания (жёстко заданными в большинстве пакетов, зашифрованной конфигурацией в Sharp7Extend).
Восемь пакетов нацелены на системы баз данных и завершат процесс базы данных с вероятностью 20% после даты срабатывания.
В случае Sharp7Extend вредоносная логика активируется сразу после установки и действует до 6 июня 2028 года, после чего механизм завершения работы останавливается автоматически.
Он нацелен на ПЛК с двойным механизмом саботажа: немедленное случайное завершение процесса и скрытые сбои записи по истечение 30–90 минут после установки. После 6 июня 2028 года пакет не позволит ПЛК записывать новые данные, фактически уничтожая устройство.
Некоторые реализации SQL Server, PostgreSQL и SQLite, связанные с другими пакетами, должны запуститься 8 августа 2027 года (MCDbRepository) и 29 ноября 2028 года (SqlUnicornCoreTest и SqlUnicornCore).
Такой поэтапный подход дает злоумышленнику больше времени для охвата жертв до того, как сработает вредоносное ПО с отложенной активацией, при этом немедленно нарушая системы ICS.
На данный момент неизвестно, кто стоит за атакой на цепочку поставок, однако, по мнению Socket, анализ исходного кода и выбор имени shanhai666 позволяют предположить, что это может быть делом рук злоумышленника, возможно, китайского происхождения.
Разработчики, установившие пакеты в 2024 году, к 2027–2028 годам, когда сработает вредоносное ПО для баз данных, скорее всего перейдут на другие проекты или в другие компании, а 20%-ная вероятность выполнения замаскирует атаки под случайные сбои или отказы оборудования.
Что, в свою очередь, сделает реагирование на инциденты и проведение криминалистического расследования труднореализуемым, в виду невозможности отследить вредоносное ПО до точки его внедрения, определения, кто установил скомпрометированную зависимость, или установления четкой хронологий взлома, фактически стирая следы атаки.
Пока конгрессмены бьются за принятие бюджета в полном шатдауне выяснилось, что киберподполье в это время опустошало системы Бюджетного управления Конгресса США (CBO).
CBO подтвердило, что столкнулось с инцидентом кибербезопасности после того, как предполагаемый иностранный злоумышленник взломал его сеть, что потенциально привело к раскрытию конфиденциальных данных.
CBO - это внепартийное агентство, предоставляющее законодателям экономический анализ и оценки затрат на предлагаемые законопроекты.
Взлом данных агентства потенциально может привести к раскрытию проектов отчетов, экономических прогнозов и внутренней переписки.
Представитель CBO Кейтлин Эмма в своем заявлении отметила, что Бюджетное управление Конгресса оперативно выявило инцидент и приняло немедленные меры по его локализации, а также внедрило новые меры для дальнейшей защиты систем агентства.
Несмотря на то, что официально лица вторжение было обнаружено на ранней стадии, некоторые офисы Конгресса, предположительно, прекратили электронную переписку с Бюджетным управлением по соображениям безопасности.
Как отмечается, атака на CBO стала последней в серии киберинцидентов, направленных против государственных учреждений за последний год.
В декабре 2024 года распаковали Минфин США через стороннюю платформу удаленной поддержки BeyondTrust.
Затем был взломан Комитет по иностранным инвестициям в США (CFIUS), который также подвергся атаке со стороны тех же злоумышленников, предположительно, Silk Typhoon.
Первыми о взломе сообщили журналисты The Washington Post, отмечая, что официальные лица обнаружили взлом несколько дней назад и теперь обеспокоены тем, что электронная переписка между офисами Конгресса и аналитиками Бюджетного управления Конгресса могли быть слиты.
Правда, и само издание The Washington Post стало жертвой атаки, но уже со стороны банды вымогателей Clop, которая недавно объявила о взломе престижной американской ежедневной газеты в рамках кампании, связанной с Oracle EBS.
Банда создала страницу университета на своём сайте утечки данных Tor и объявила о скором опубликовании украденных данных, заявляя о пренебрежении компанией безопасностью своих клиентов.
В официальном заявлении вашингтонская газета, принадлежащая основателю Amazon Джеффу Безосу, подтвердила, что присоединилась к длинному списку жертв, пострадавших от «взлома платформы Oracle E-Business Suite».
The Washington Post пока не раскрыла, какой объем данных могли похитить операторы и какие конкретно системы могли быть взломаны. Так что будем следить.
Не можем не отметить новинки из разряда вредоносного ПО, о которых сообщили исследователи Microsoft Incident Response и Secure Annex.
В первом случае речь идет о новом бэкдоре SesameOp, в работе которого задействуется API OpenAI Assistants для связи по линии C2. Последняя позволяет разработчикам интегрировать агентов на базе ИИ непосредственно в свои приложения и рабочие процессы.
Microsoft обнаружила имплант в июле 2025 года в рамках расследования сложного инцидента, в ходе которого неизвестным злоумышленникам удалось сохранять присутствие в целевой среде в течение нескольких месяцев.
Имя жертвы не называется.
Оно привело исследователей к обнаружению «сложной системы» внутренних веб-оболочек, предназначенных для выполнения команд, передаваемых «постоянными, стратегически размещёнными» вредоносными процессами.
Они, в свою очередь, используют утилиты Microsoft Visual Studio, скомпрометированные вредоносными библиотеками, с использованием Hijack Execution Flow через AppDomainManager.
SesameOp - это специальный бэкдор, разработанный для поддержания устойчивости и позволяющий злоумышленнику скрытно управлять взломанными устройствами, что указывает на то, что главной целью атаки было обеспечение долгосрочного доступа для шпионской деятельности.
Цепочка заражения включает в себя компонент-загрузчик Netapi64.dll и бэкдор на базе .NET OpenAIAgent.Netapi64, который использует API OpenAI в качестве канала C2 для получения зашифрованных команд, которые затем декодируются и выполняются локально.
Результаты выполнения отправляются обратно в OpenAI в виде сообщения.
При этом DLL тщательно замаскирована с помощью Eazfuscator.NET и разработана для скрытности, сохранения и безопасного взаимодействия с использованием API OpenAI Assistants.
Netapi64.dll загружается во время выполнения в исполняемый файл хоста посредством внедрения .NET AppDomainManager, как указано в специально созданном файле .config, прилагаемом к исполняемому файлу хоста.
В настоящее время неясно, кто стоит за этим вредоносным ПО, но его разработка демонстрирует умелое злоупотребление легитимными инструментами в вредоносных целях, позволяющее слиться с обычной сетевой активностью и обойти систему обнаружения.
Исследователи Secure Annex, в свою очередь, задетектили новое вредоносное расширение в реестре Open VSX, в котором скрывается троян удаленного доступа под названием SleepyDuck.
Расширение juan-bianco.solidity-vlang (версия 0.0.7) было впервые опубликовано 31 октября как совершенно безвредная библиотека, которая впоследствии, 1 ноября, была обновлена до версии 0.0.8 с включением в нее вредоносных возможностей после того, как ее скачали 14 000 раз.
Вредоносное ПО использует методы обхода «песочницы» и контракт Ethereum для обновления своего адреса С2 на случай, если исходный адрес будет заблокирован. Она активировалась при открытии нового окна редактора кода или выборе файла .sol.
SleepyDuck настроен на поиск самого быстрого RPC Ethereum для подключения с целью получения доступа к блокчейну, инициализации контакта с удаленным сервером по адресу «sleepyduck[.]xyz» через адрес контракта 0xDAfb81732db454DA238e9cFC9A9Fe5fb8e34c465 и запускает цикл опроса, который проверяет наличие новых команд для выполнения на хосте каждые 30 секунд.
В случае захвата или отключения домена вредоносная ПО имеет встроенные резервные средства управления, позволяющие обратиться к заранее определённому списку RPC-адресов Ethereum для извлечения информации о контракте, которая может содержать данные сервера.
Более того, расширение позволяет получить новую конфигурацию из адреса контракта для настройки нового сервера, а также выполнить экстренную команду для всех конечных точек в случае непредвиденных обстоятельств.
Контракт был создан 31 октября 2025 года, злоумышленник обновил данные сервера с «localhost:8080» на «sleepyduck[.]xyz» в рамках четырёх транзакций.
При этом пока точно неясно, были ли показатели загрузок искусственно завышены злоумышленниками для повышения релевантности расширения в результатах поиска по Cursor/Open VSX.
Завершаем обзор объемного отчета Лаборатории Касперского в отношении двух кампаний северокорейской APT BlueNoroff, в рамках операции SnatchCrypto, которые получили названия GhostCall и GhostHire.
В рамках GhostHire хакеры нацелились на разработчиков Web3, которых обманным путём побуждают загрузить и запустить репозиторий GitHub, содержащий вредоносное ПО, под видом оценки навыков в процессе найма.
Сама кампания началась в середине 2023 года.
Злоумышленники связывались с жертвами напрямую в Telegram, делились подробностями относительно предложений по работе, в том числе ссылками на LinkedIn, выдавая себя за рекрутеров финансовых компаний из США и пытаясь придать разговорам видимость правдоподобия.
После первоначального общения злоумышленник добавляет цель в список пользователей бота Telegram, который отображает логотип вымышленной компании и предполагает реализацию процедуры оценки навыков кандидатов.
Бот отправляет жертве ZIP-файл с тестовым заданием, на решение которого кандидату отводится строгий период времени (обычно около 30 минут), побуждая жертву к ускоренному прохождению испытания.
Такая срочность увеличивает вероятность того, что жертва выполнит вредоносный контент, что приведёт к первоначальному взлому системы.
Сам проект безобиден, но включает вредоносную зависимость в виде вредоносного модуля Go, размещённого на GitHub (например, uniroute), что приводит к запуску цепочки заражения после запуска проекта.
Она включает в себя определение операционной системы компьютера жертвы и доставку соответствующей полезной нагрузки следующего этапа (например, DownTroy), написанной на PowerShell (Windows), bash-скрипте (Linux) или AppleScript (macOS).
Также через DownTroy в атаках, нацеленных на Windows, используются RooTroy, RealTimeTroy, версия CosmicDoor на Go и загрузчик на базе Rust под названием Bof, который используется для декодирования и запуска зашифрованной полезной нагрузки шелл-кода, хранящейся в папке «C:\Windows\system32\».
Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall: в обеих кампаниях было обнаружено идентичное вредоносное ПО.
Как отмечают в ЛК, стратегия группировки вышла за рамки банальной кражи крипты и данных из браузера.
Хакеры проводят комплексный сбор данных из различных ресурсов, включая инфраструктуру, инструменты для совместной работы, приложения для ведения заметок, среды разработки и коммуникационные платформы.
Все технические подробности и обширный перечень IOCs - в отчете.
31 октября вышло два отчета: один от индийской Seqrite Labs (здесь), а другой от американской Cyble (здесь).
Обе компании анализировали фишинговую кампанию, получившую наименование SkyCloak, в которой задействуется бэкдор OpenSSH в сочетании со скрытой службой Tor и obfs4 для сокрытия трафика.
Проведя анализ исполненных на русском языке приманок и других артефактов, исследователи Seqrite Labs четко определили, что основными целями SkyCloak являлись российские ВДВ и белорусский спецназ.
В то время, как в Cyble успели «оперативно» атрибутировать угрозу и приписали активность пророссийской APT44 (Sandworm), сославшись на некие схожести в TTPs.
Правда, после упоминания неких разведданных от CERT-UA и SSSCIP в конце отчета Cyble все встало на свои места.
Тут даже, не углубляясь в детали анализа образцов, очевидно, что исполненная на русском языке приманка точно не могла применяться в атаках на ВСУ или военнослужащих каких-либо иных стран.
Но у Cyble другое мнение, там со всей серьезностью заявляют (цитата): «учитывая источник и формулировки, на данном этапе неясно и маловероятно, что эта атака направлена против России или Беларуси».
Суть Operation SkyCloak сводится к побуждению получателей фишинговых писем открыть ZIP-файл, содержащий скрытую папку со вторым архивным файлом, а также LNK, запуск которого реализует многоступенчатую цепочку заражения.
Они запускают команды PowerShell, которые действуют как начальный этап дроппера, где помимо LNK используется другой архивный файл для настройки всей цепочки.
Одним из промежуточных модулей является стейджер PowerShell, который отвечает за выполнение проверок на антианализ для обхода песочниц, а также за запись адреса Tor в файл с именем hostname в папке C:\Users\<Имя пользователя>\AppData\Roaming\logicpro\socketExecutingLoggingIncrementalCompiler\.
В ходе аналитических проверок вредоносная ПО подтверждает, что количество последних LNK-файлов в системе больше или равно 10, а также проверяет, что текущее количество процессов больше или равно 50. В противном случае PowerShell внезапно прекращает выполнение.
После этого скрипт приступает к отображению фейкового PDF, сохраненного в папке logicpro, одновременно настраивая сохранение на машине с помощью запланированной задачи под именем githubdesktopMaintenance, которая запускается автоматически и выполняется с регулярными интервалами каждый день в 10:21 по Гринвичу.
Она предназначена для запуска logicpro/githubdesktop.exe, который представляет собой переименованную версию sshd.exe, легитимного исполняемого файла, связанного с OpenSSH для Windows, что позволяет установить службу SSH, которая ограничивает связь предварительно развернутыми авторизованными ключами, хранящимися в той же папке logicpro.
Помимо включения возможности передачи файлов по протоколу SFTP, вредоносная ПО также создаёт вторую запланированную задачу, настроенную на запуск logicpro/pinterest.exe - модифицированного двоичного файла Tor для создания скрытой службы, которая взаимодействует с .onion-адресом злоумышленника, маскируя сетевой трафик с помощью obfs4.
Кроме того, она реализует переадресацию портов для нескольких критически важных служб Windows, таких как RDP, SSH и SMB, для облегчения доступа к системным ресурсам через Tor.
После установления соединения вредоносная ПО извлекает системную информацию, а также уникальный URL-адрес хоста .onion, идентифицирующий скомпрометированную систему с помощью команды curl.
В конечном итоге злоумышленник получает возможность удалённого доступа к скомпрометированной системе, получив URL-адрес .onion жертвы по каналу С2.
Как отмечают исследователи Seqrite Labs, для обхода мониторинга сети используются специальные конфигурации подключаемого транспорта и SSHD, а сами атаки однозначно направлены на Россию и Беларусь.
При этом аналогичные атаки были замечены у проукраинских APT-групп - Angry Likho (Sticky Werewolf) и Awaken Likho (Core Werewolf).
Это в очередной раз к вопросу об «атрибуции» в западном инфосеке.
Злоумышленники приступили к эксплуатации критической уязвимости в плагине Post SMTP для получения полного контроля над сайтом путем перехвата учетных записей администраторов.
Post SMTP - популярное решение для реализации электронной почты, позиционируемое как многофункциональная и более надежная замена функции по умолчанию wp_mail().
Плагин установлен на более чем 400 000 сайтах WordPress.
Отчет о проблеме с раскрытием журнала электронной почты и уведомлением о возможности ее задействования для атак был направлен в Wordfence 11 октября исследвователем netranger.
Уязвимости был присвоен CVE-2025-11833 и соответствующий критический уровень серьезности 9,8. Ошибка затрагивает все версии Post SMTP, начиная с 3.6.0 и обусловлена отсутствием проверок авторизации в функции _construct потока плагина PostmanEmailLogs.
Этот конструктор напрямую отображает зарегистрированное содержимое электронной почты по запросу, не выполняя проверки возможностей, что позволяет неаутентифицированным злоумышленникам читать произвольные электронные письма.
В числе них могут оказаться сообщения о сбросе пароля со ссылками, позволяющими изменить пароль администратора, что потенциально может привести к захвату учетной записи и полной компрометации сайта.
Wordfence подтвердила уязвимость исследователя 15 октября и в тот же день полностью раскрыла проблему поставщику Сааду Икбалу. 29 октября вышел патч в составе версии 3.6.1.
Однако, по данным WordPress.org, лишь половина пользователей плагина скачала его с момента выхода патча, в результате чего не менее 210 000 сайтов остались уязвимы для атак.
В свою очередь, Wordfence задетектила первые попытки эксплуатации CVE-2025-11833 в дикой природе уже 1 ноября, заблокировав с тех пор компания более 4500 попыток ее использования.
Учитывая активную эксплуатацию уязвимости, владельцам сайтов с Post SMTP на борту рекомендуется немедленно перейти на исправленную версию 3.6.1 или вовсе отключить плагин, дабы не стать частью начавшейся масштабной атаки на цепочку мудаков.
Как и обещали, продолжаем обзор отчета Лаборатории Касперского в отношении двух кампаний северокорейской APT BlueNoroff, которые получили названия GhostCall и GhostHire.
Жертвы GhostCall, которые попадают на поддельные страницы Zoom, сначала видят фальшивую страницу, создающую иллюзию живого звонка, но через три-пять секунд выводится сообщение об ошибке с просьбой обновить Zoom (SDK).
«Обновление» приводит к загрузке вредоносного файла AppleScript в систему. Если жертва использует компьютер с Windows - используется ClickFix для копирования и выполнения команды PowerShell.
На каждом этапе взаимодействие с фейковым сайтом регистрируется для отслеживания злоумышленниками действий жертвы.
Хакеры также задействуют Microsoft Teams, используя ту же тактику.
Независимо от приманки, AppleScript предназначен для установки поддельных Zoom или Microsoft Teams.
Он также загружает другой AppleScript, названный DownTroy, который проверяет сохранённые пароли и устанавливает дополнительное вредоносное ПО с правами root.
DownTroy, со своей стороны, разработан для реализации полезных нагрузок в рамках восьми отдельных цепочек атак, обходя TCC от Apple:
1. ZoomClutch или TeamsClutch, который использует Swift-имплант, маскирующийся под Zoom или Teams, но выполняющий функцию запроса системного пароля пользователя для завершения обновления приложения и отправки данных на внешний сервер.
2. DownTroy v1, использующий загрузчик Go для запуска DownTroy на базе AppleScript, которое отвечает за загрузку дополнительных скриптов с сервера до перезагрузки машины.
3. CosmicDoor, использующий двоичный загрузчик C++ GillyInjector (InjectWithDyld) для запуска Mach-O и внедрения в него вредоносной нагрузки во время выполнения. При запуске с флагом --d GillyInjector активирует свои возможности и стирает все файлы в текущем каталоге. Внедрённая полезная нагрузка представляет собой бэкдор CosmicDoor на Nim, способный взаимодействовать с С2. Предполагается, что злоумышленники сначала разработали бэкдор для Windows на Go, а затем перешли на варианты на Rust, Python и Nim. Он также загружает набор для кражи bash-скриптов SilentSiphon.
4. RooTroy, использующий загрузчик Nimcore для запуска GillyInjector, который затем внедряет бэкдор Go под названием RooTroy (Root Troy V4) для сбора информации об устройстве, сканирования запущенных процессов, чтения полезной нагрузки из определенного файла, а также загрузки дополнительных вредоносных ПО (включая RealTimeTroy) и их выполнения.
5. RealTimeTroy и загрузчик Nimcore для запуска GillyInjector, который внедряет бэкдор RealTimeTroy на Go, который взаимодействует с С2 по протоколу WSS, для чтения/записи файлов, получения информации о каталогах и процессах, загрузки/выгрузки файлов, завершения процесса и получения информации об устройстве.
6. SneakMain и Nimcore, запускающих полезную нагрузку Nim под названием SneakMain для получения и выполнения дополнительных команд AppleScript, полученных от внешнего сервера.
7. DownTroy v2, использующим дроппер CoreKitAgent для запуска Nimcore, а через него - DownTroy на базе AppleScript (NimDoor) для загрузки дополнительного вредоносного скрипта с внешнего сервера.
8. SysPhon, использующий облегченную версию RustBucket под названием SysPhon и SUGARLOADER, загрузчик, ранее применявшийся для доставки KANDYKORN. SysPhon, также используемый в кампании Hidden Risk, - это загрузчик, написанный на C++, который может проводить разведку и извлекать двоичные данные с С2.
В свою очередь, SilentSiphon способен собирать данные из Apple Notes, Telegram, расширений веб-браузеров, а также креды из браузеров и менеджеров паролей, а также секреты, хранящиеся в файлах конфигурации, относящихся к большому списку сервисов.
Исследователи также заметили, что видеозаписи демонстрируемых звонков записывались посредством фишинговых страниц Zoom, созданных злоумышленником, а фото профилей участников были взяты с рекрутинговых сайтов или соцсетей (LinkedIn, Crunchbase или X).
Причем, некоторые из этих изображений были обработаны с помощью OpenAI GPT-4o.
👨💻 Анализ логов хоста в контексте контейнерных угроз: как определить точку начала атаки.
• Контейнеры обеспечивают изолированность среды выполнения для приложений, однако уровень этой изоляции часто переоценивают. Хотя контейнеры включают все необходимые зависимости и обеспечивают единообразие среды, они все равно обращаются к ядру системы хоста, что создает определенные риски для безопасности.
• Среды с ограниченной видимостью затрудняют работу специалистов по киберугрозам и реагированию на инциденты, поскольку в них сложно однозначно отличить процессы, запущенные внутри контейнера, от тех, что выполняются непосредственно на хосте. Из-за этой неопределенности трудно установить, откуда на самом деле началась атака — в скомпрометированном контейнере или непосредственно на хосте.
• В этой статье мы разберемся, как восстановить цепочку выполнения процессов внутри работающего контейнера на основе логов хоста. Описанные методы помогут специалистам по киберугрозам и реагированию на инциденты определять первопричину компрометации исключительно на основе логов, собранных на уровне хоста.
➡Риски для контейнеризованных сред;
➡Как создаются контейнеры и как они работают;
➡Как BusyBox и Alpine выполняют команды;
➡Примеры из реальных расследований.
➡ Читать статью [10 min].
S.E. ▪️ infosec.work ▪️ VT
Власти Австралии предупреждает об активной APT-кампании, нацеленной на неисправленные устройства Cisco IOS XE с целью заражения маршрутизаторов веб-шеллом BadCandy на базе Lua.
Задействуемая в атаках CVE-2023-20198 имеет максимальный уровень серьезности и позволяет удаленным злоумышленникам без аутентификации создавать локальную учетную запись администратора через веб-интерфейс пользователя и захватывать устройства.
Cisco устранила уязвимость в октябре 2023 года, после чего она была помечена как активно эксплуатируемая.
Публичный эксплойт появился две недели спустя, что способствовало массовому использованию уязвимости для установки бэкдоров на устройства, подключенные к Интернету.
После установки BadCandy позволяет удаленным злоумышленникам выполнять команды с правами root на скомпрометированных устройствах.
При этом он удаляется с устройств после перезагрузки.
Однако, учитывая отсутствие патча на этих устройствах и предполагая, что веб-интерфейс остаётся доступным, злоумышленники могут легко установить его снова.
По оценкам Австралийского управления радиотехнической обороны, с июля 2025 года более 400 устройств в Австралии были потенциально подвержены атаке BadCandy, к настоящему времени их осталось еще более 150.
Несмотря на то, что число заражений стабильно снижается, ASD обнаружила признаки повторной эксплуатации уязвимости тех же конечных точек, даже несмотря на то, что субъекты, ответственные за нарушение, были должным образом уведомлены.
По данным агентства, злоумышленники способны оперативно отслеживать момент удаления имплантата BadCandy и использовать то же устройство для его повторной установки.
По данным ASD, ранее этой уязвимостью уже пользовались APT-субъекты, включая повсеместно распаренную Salt Typhoon, которая считается ответственной за серию атак в отношении крупных поставщиков телекоммуникационных услуг в США и Канаде.
В настоящее время угроза пока не имеет четкой атрибуции, тем не менее в ASD недавние всплески активности приписывает спонсируемым государством киберпреступникам.
Администраторам систем Cisco IOS XE по всему миру необходимо следовать рекомендациям поставщика по снижению рисков, изложенным в соответствующем бюллетене, а также в руководстве по усилению защиты устройств IOS XE.
Исследователи из Positive Technologies выкатили аналитику с обзором активности APT-групп на российском направлении за третий квартал 2025 года.
Ключевой тенденцией за все 9 месяцев наблюдений остается повсеместное задействование фишинга в качестве первоначального вектора атаки.
Злоумышленники применяют его как в типовых сценариях, так и в атаках с использованием 0-day.
Кроме того, отмечается увеличение числа распространяемых вредоносных файлов и усложнение методов доставки вредоносного ПО.
В сравнении со вторым кварталом 2025 года по итогам третьего Позитивы зафиксировали заметный рост числа уникальных семплов.
Активизировались почти все отслеживаемые группировки.
При этом наиболее выраженной динамикой отметились кибершпионские группы Goffee и IAmTheKing, а также финансово мотивированная Fluffy Wolf.
Цепочка атак рассматриваемых APT-группировок начиналась с фишинговых писем.
Вложения преимущественно включали архивы с замаскированными под официальную переписку вредоносными исполняемыми файлами или скриптами.
Причем представители PhantomCore также использовали фишинговые страницы с поддельной CAPTCHA.
Исследователи Positive Technologies в своем отчете отдельно отметили возросшую активность APT-групп, нацеленных на кибершпионаж.
В их числе Telemancon - группа кибершпионов, атаки которой ориентированы на российскую промышленность, - ранее использовала самописный TMCDropper с отдельными зашифрованными сегментами кода.
Теперь же хакеры перешли на многослойное шифрование, что сильно затрудняет анализ их программ средствами защиты.
Другой инструмент группировки - бэкдор TMCShell, стал детектировать, запустили ли в его песочнице, а не на реальном компьютере. В таком случае вредонос не активируется и остается незамеченным.
Кроме того, в отчете также подробно описана деятельность таких кибершпионских APT, как PseudoGamaredon, TA Tolik, XDSpy и Rare Werewolf.
Сдвиг тактики отмечен и у финансово мотивированной группировки Fluffy Wolf.
В конце сентября и начале октября хакеры стали прикладывать в фишинговые рассылки не документы, а их значки со встроенным URL.
При переходе по ссылке пользователи скачивали архив с вредоносной нагрузкой. При этом главная страница сайта создавала впечатление легитимного ресурса, что помогало злоумышленникам дольше оставаться незамеченными.
В течение третьего квартала также фиксировалась устойчивая активность DarkGaboon, таргетированная на финансовые подразделения российских компаний.
Под прицелом исследователей также оказался фишинг DarkWatchman с прежней цепочкой атаки.
Кроме того, вновь наблюдалась высокая частота атак хактивистской группировки Black Owl на компании в транспортно-логистической сфере.
Для повышения шансов на успешный запуск ВПО операторы стали чаще вкладывать в один архив сразу несколько идентичных образцов, различающихся только документами-приманками.
Благодаря легитимным инструментам, позволяющим отследить прочтение писем, злоумышленники оценивали вовлеченность адресатов и приоритизировали дальнейшие действия в отношении тех контактов, которые вероятнее всего открыли бы вложение.
Подробный разбор обновленных TTPs, виктимологии и арсенала APT, а также обзор их активности в 3 квартале - в отчете.
Генеральный директор итальянского поставщика spyware Memento Labs (Hacking Team) подтвердил выводы расследования Лаборатория Касперского в отношении кампании Operation ForumTroll, нацеленной на объекты в частном и государственном секторах Белоруссии и России.
Как мы уже упоминали, цепочка атак включала задействование уязвимости нулевого дня Google Chrome (CVE-2025-2783), а также шпионского арсенала платформы Dante, включая инфраструктуру, эксплойты и полезную нагрузку - имплант/агент LeetAgent.
Причем деятельность Memento Labs детектировалась по всей России в том или ином объеме также исследователями других ИБ-компаний.
Dr.Web обнаружила одну из фишинговых операций Memento Labs в сентябре 2024 года.
F6 упоминала атаки Dante APT в своем аналитическом отчете «Киберугрозы в России и СНГ 2024/25».
Positive Technologies изначально отслеживала группу как TaxOff и Team46, а затем связала эти две операции после выхода отчёта ЛК по ForumTroll в марте.
Гендир Паоло Лецци сообщил изданию TechCrunch, что шпионское ПО было установлено одним из его клиентов - государственным заказчиком, который задействовал в операции старую версию Dante, поддержку которого Memento планирует прекратить к концу года.
Соответственно, конкретного клиента Лецци не назвал, вообще удивился, что кто-то использует эту версию Dante, пообещав во всем разобраться и разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.
При этом якобы Memento уже обращалась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows, предупреждая также о том, что представители ЛК обнаружили заражения шпионским ПО Dante ещё в декабре 2024 года.
Руководитель Memento также отметил, что в настоящее время компания разрабатывает шпионское ПО исключительно для мобильных платформ.
Компания также ведет работу по поиску 0-day и разработке соответствующих эксплойтов для их использования в работе своего шпионского софта. Но, как он признался, в основном приобретает эксплойты от сторонних разработчиков.
Безусловно, не можем не согласиться, что с Лецци по поводу теперь уже однозначно «устаревшего» софта, который после отчета ЛК и коллег можно действительно выкидывать в урну.
Судя по активности ForumTroll, по всей видимости, никаких предупреждений могло и не быть (до выхода отчета ЛК).
Ведь вложенные инвестиции в начальную разработку и затем новую иттерацию флагманского софта нужно же отбивать до последнего евро (а еще и заработать).
В США нарисовался новый резонансный инцидент, затронувший крупнейшую национальную телекоммуникационную компанию Ribbon Communications.
Американская компания предоставляет коммуникационные и сетевые решения, а также магистральные технологии для сетей связи. На ее решения полагаются ведущие поставщики услуг, предприятия и объекты критической инфраструктуры.
В числе клиентов Ribbon Communications фигурируют BT, Verizon, Deutsche Telekom, CenturyLink, TalkTalk, Softbank и Tata, а также Министерство обороны США и город Лос-Анджелес.
В квартальном финансовом отчете, предоставленном в Комиссию по ценным бумагам и биржам (SEC), Ribbon сообщила, что в начале сентября текущего года обнаружила несанкционированный доступ к своей ИТ-сети.
Расследование инцидента все еще продолжается, однако предварительные результаты указывают на то, что хакеры могли получить первоначальный доступ еще в декабре 2024 года.
На момент подачи квартального отчета Ribbon, согласно официальной версии, не нашла никаких доказательств того, что хакеры получили доступ или выкрали какую-либо важную информацию.
Однако Ribbon признала, что «несколько файлов клиентов, сохраненных за пределами основной сети на двух ноутбуках, по всей видимости, попали в руки злоумышленников».
Пострадавшую клиентуру соответствующем образом уже уведомили.
В целом, в Ribbon полагают, что обнаруженный взлом не окажет существенного влияния на ее деятельность.
Ribbon не раскрыла каких-либо технических подробностей взлома, но полагает, что к атаке причастна неназванная APT-группировка, предположительно, связанная с китайской стороной.
На фоне последних скандалов вокруг вездесущих китайских хакеров, в особенности кейса с F5, подобная атрибуция формируется уже «по инерции».
Так или иначе расследование еще не закончено и вполне вероятно, что двумя буками это дело не ограничится.
Но будем посмотреть.
Более 50 000 сайтов с установленным плавном Anti-Malware Security and Brute-Force Firewall для Wordfence остаются уязвимыми для CVE-2025-11705, которая позволяет подписчикам считывать любой файл на сервере и ведет к раскрытию конфиденциальной информации.
Имеющий более 100 000 загрузок плагин обеспечивает сканирование на предмет наличия вредоносных ПО, защиту от брута, использования известных уязвимостей и попыток внедрения в базу данных.
Уязвимость была раскрыта Wordfence исследователем Дмитрием Игнатьевым и затрагивает версии плагина 4.23.81 и более ранние.
Проблема возникает из-за отсутствия проверок возможностей в функции GOTMLS_ajax_scan(), которая обрабатывает запросы AJAX с использованием одноразового номера, который могут получить злоумышленники.
Эта ошибка позволяет пользователю с низкими привилегиями, который может вызвать функцию, читать произвольные файлы на сервере, включая конфиденциальные данные, включая файл конфигурации wp-config.php.
Получив доступ к базе данных, злоумышленник может извлечь хэши паролей, адреса электронной почты пользователей, сообщения и другие личные данные (а также ключи и соли для безопасной аутентификации).
Рейтинг критичности уязвимости относится к низкому уровню, поскольку для ее эксплуатации требуется аутентификация, тем не менее многие сайты позволяют пользователям подписываться и расширять свой доступ к различным разделам сайта, например к комментариям.
Сайты с любым видом членства или подписки, позволяющие пользователям создавать учетные записи, соответствуют необходимым требованиям для эксплуатации и уязвимы для атак с использованием CVE-2025-11705.
14 октября Wordfence сообщила об этой проблеме поставщику Eli, предоставив проверенный PoC через службу безопасности WordPress.org.
На следующий день разработчики выпустили версию 4.23.83 плагина с исправлением CVE-2025-11705, добавив надлежащую проверку прав пользователя с помощью новой функции GOTMLS_kill_invalid_user().
Но к настоящему времени, по статистике WordPress.org, лишь половина из всех сайтов с установленным плагином безопасности перешла на последнюю версию, оставшаяся половина рискует словить атаку не цепочку мудаков.
Пока Wordfence не обнаружила признаков эксплуатации уязвимости, но это вовсе не повод недооценивать киберподполье, особенно после публичного раскрытия потенциальных возможностей для реализации названной атаки.
🇷🇺 Полицейские из Астраханской области и сотрудники УБК МВД России задержали создателей вируса «Медуза»
🥷Как сообщает Telegram-канал Ирина Волк, группу хакеров, создавших печально известный вирус 😷 «Медуза», задержали сотрудники 🫡 УБК МВД России совместно с полицейскими из Астраханской области.
Трое молодых IT-специалистов подозреваются в создании, использовании и распространении вредоносных компьютерных программ.
Следователем Следственного управления УМВД России по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного частью 2 статьи 273 УК РФ.
Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.