39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Спустя несколько дней после того, как многие начали сообщать о взломе своих полностью обновленных межсетевых экранов, Fortinet наконец-то подтвердила эти сообщения.
Отметив также, что продолжающиеся атаки CVE-2025-59718 соответствуют вредоносной активности декабря, и в настоящее время она работает над полным устранением уязвимости.
Заявление последовало после волны сообщений от клиентов Fortinet о том, что злоумышленники используют обходной путь для реализации уязвимости CVE-2025-59718, чтобы скомпрометировать полностью обновленные межсетевые экраны.
Ранее в среду, Arctic Wolf сообщала, что наблюдаемая кампания началась 15 января, когда злоумышленники создали учетные записи с доступом к VPN и за считанные секунды украли конфигурации брандмауэра, что, по всей видимости, является автоматизированной атакой.
Компания также добавила, что эти атаки очень схожи с инцидентами, задокументированными ее специалистами в декабре после обнаружения критической CVE-2025-59718 в продуктах Fortinet.
В свою очередь, в Fortinet отмечают, что недавно небольшое количество клиентов сообщили о неожиданной активности при входе в систему на своих устройствах, которая была очень похожа на предыдущую проблему.
Однако за последние 24 часа были выявлены ряд случаев, когда уязвимость была обнаружена на полностью обновленном до последней версии устройстве, что указывает на новый путь атаки.
Fortinet заявляет, что выявила проблему и работает над ее устранением, соответствующе уведомление будет выпущено по мере того, как станут известны объем и сроки исправления.
Важно отметить, что хотя на данный момент наблюдается только эксплуатация уязвимости FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO.
До тех пор, пока Fortinet полностью не устранит уязвимость CVE-2025-59718, Windsor рекомендует ограничить административный доступ к периферийным сетевым устройствам через Интернет, применив локальную политику для ограничения IP, имеющих доступ к административным интерфейсам устройств.
Администраторам также следует отключить функцию единого входа FortiCloud на своих устройствах Fortinet.
Клиентам Fortinet, обнаружившим какие-либо IOC при проверке устройств на наличие доказательств взлома, следует считать систему и конфигурацию скомпрометированными, сменить учетные данные (включая любые учетные записи LDAP/AD) и восстановить конфигурацию с помощью заведомо чистой версии.
Исследователи Resecurity сообщают о новом штамме вредоносного ПО под названием PDFSider, который использовался для доставки вредоносных программ в системы Windows неназванную компанию из списка Fortune 100 в финансовом секторе.
Полагаясь на методы социальной инженерии для получения удаленного доступа, злоумышленники выдавали себя за сотрудников техподдержки и обманом заставили сотрудников компании установить инструмент Microsoft Quick Assist.
Задетектить PDFSider исследователи Resecurity смогли в ходе реагирования на инцидент, описав его как скрытый бэкдор для долгосрочного доступа, и отмечая, что он демонстрирует «характеристики, обычно ассоциируемые с методами APT-атак».
PDFSider был замечен в атаках с использованием программы-вымогателя Qilin. Однако Resecurity полагает, что этот бэкдор уже активно задействуется сразу несколькими злоумышленниками, связанными с ransomware, для запуска своих вредоносных ПО.
Бэкдор распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом с цифровой подписью для инструмента PDF24 Creator от Miron Geek Software GmbH.
Однако пакет также включает вредоносную версию DLL-файла (cryptbase.dll), необходимого для корректной работы приложения.
При запуске исполняемый файл загружает DLL-файл злоумышленника (этот метод известен как «загрузка DLL-файлов с сторонних ресурсов») и обеспечивает выполнение кода в системе.
В других случаях злоумышленник пытается обманом заставить получателей электронных писем запустить вредоносный файл, используя фейковые документы, скомпилированные специально для этих целей.
В одном из примеров в качестве автора была указана китайская госкомпания.
После запуска DLL-файл работает с правами исполняемого файла, который его загрузил. EXE-файл имеет легитимную цифровую подпись, однако PDF24 имеет уязвимости, которые злоумышленники смогли использовать для загрузки этого вредоносного ПО и эффективного обхода систем EDR.
По словам исследователей, благодаря развитию программирования с использованием ИИ, киберпреступникам становится проще находить уязвимое ПО, которое можно использовать в своих целях.
PDFSider загружается непосредственно в память, оставляя минимальные следы на диске, и использует анонимные каналы для запуска команд через командную строку.
Заражённым хостам присваивается уникальный идентификатор, а информация о системе собирается и передаётся на VPS-сервер злоумышленника через DNS (порт 53).
PDFSider защищает свой канал C2, используя криптографическую библиотеку Botan 3.0.0 и AES-256-GCM, расшифровывая входящие данные в памяти, минимизируя их влияние на хост.
Кроме того, данные проходят аутентификацию с использованием соответствующего шифрования с ассоциированными данными (AEAD) в режиме GCM.
Как отмечают в Resecurity, этот тип криптографической реализации типичен для вредоносных ПО с удаленной оболочкой, используемых в целевых атаках, где поддержание целостности и конфиденциальности коммуникаций имеет решающее значение.
Вредоносная ПО также включает в себя несколько механизмов защиты от анализа, включая проверку размера оперативной памяти и обнаружение отладчика, позволяющих ей преждевременно завершать работу при детектировании изолированной среды.
По оценке Resecurity, PDFSider ближе к «шпионским методам, нежели к вредоносному ПО для извлечения финансовой выгоды» и представляет собой бэкдор, способный поддерживать долгосрочный скрытый доступ, адаптивное удаленное выполнение команд и зашифрованную связь.
Глобальная технологическая сегментация приобретает новые контуры и ускоренную динамику.
Помимо ограничений по типу заявленного запрета ЕС на использование китайского оборудования (прежде всего, Huawei и ZTE) в телекоммуникационных сетях, системах энергетики и решениях безопасности, наметился раскол в сфере кибервзаимодействия спецслужб.
В частности, немецкие законодатели приступили к работе над новым законом, который предоставит разведывательному ведомству страны новые более широкие полномочия в области кибершпионажа.
Основной нарратив - искоренить зависимость Федеральной разведслужбы Германии (BND) от АНБ США (NSA) по вопросам получения информации об угрозах и привести ее функционал в соответствие с возможностями других европейских стран, таких как Франция, Италия, Нидерланды и Великобритания.
Согласно проекту нового закона, BND получит право перехватывать интернет-коммуникации целиком, не ограничиваясь метаданными, как это было ранее. Агентству также будет разрешено хранить, индексировать и обрабатывать данные до шести месяцев.
Закон также расширит полномочия BND по проведению хакерских атак, позволяя взламывать иностранные интернет-провайдеры и получать информацию об объектах заинтересованности, если интересующая компания откажется предоставлять запрашиваемые данные.
Согласно сообщениям немецких СМИ, это положение будет применяться, в том числе и к крупным американским технологическим компаниям и операторам инфраструктуры, включая Google, Twitter и экстремистскую Meta, которые не всегда охотно реагировали на запросы ведомства.
Кроме того, BND получит право вести слежку за любым иностранцем, находящимся в Германии. Это прежде всего, относится к журналистам зарубежных государственных СМИ, которые, по мнению немецких законодателей, действуют как «агенты» иностранного государства.
Наконец, сотрудникам BND также будет разрешено беспрепятственно проникать в жилые помещения для установки своего шпионского софта на устройство цели.
Как сообщается, проект нового закона насчитывает 139 страниц и почти вдвое масштабирует оперативные возможности спецслужбы по сравнению с предыдущими редакциями.
Таким образом, можно констатировать, что дальнейшая более глубокая сегментация киберпространства, по всей видимости, будет сопровождаться возрастанием обоюдных угроз наступательных кибервоздействий для фрагментируемых кластеров. В общем, будем посмотреть.
Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.
Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.
Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.
Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.
Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.
Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.
Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.
Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.
Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.
DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.
Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.
Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.
RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.
По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.
ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).
Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.
В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.
Исследователи сообщают об обнаружении еще одного набора из 17 вредоносных расширений для Chrome, Firefox и Edge, связанных с кампанией GhostPoster, которые в общей сложности были установлены 840 000 раз.
Впервые задетектить GhostPoster удалось Koi Security в декабре. Тогда расширения со скрытым вредоносным JavaScript-кодом в изображениях своих логотипов отслеживали активность браузера и внедряли бэкдор.
Он загружал сильно обфусцированную полезную нагрузку из внешнего ресурса, которая следила за активностью жертвы в интернете, перехватывая партнерские ссылки на крупных платформах электронной коммерции и внедряя невидимые iframe для мошенничества с рекламой и кликами.
В свою очередь, исследователи LayerX в новом отчете указывают на то, что кампания продолжается несмотря на раскрытие и включает следующие популярные расширения:
- Google Translate in Right Click (522 398 установок),
- Translate Selected Text with Google (159 645),
- Ads Block Ultimate (48 078),
- Floating Player – PiP Mode (40 824),
- Convert Everything (17 171),
- Youtube Download (11 458),
- One Key Translate (10 785),
- AdBlocker (10 155),
- Save Image to Pinterest on Right Click (6517),
- Instagram Downloader (3807) и другие.
По словам исследователей, кампания изначально охватывала Microsoft Edge, а затем уже распространилась на Firefox и Chrome.
Причем, согласно наблюдениям LayerX, некоторые из вышеупомянутых присутствуют в магазинах расширений для браузеров еще с 2020 года, что свидетельствует об их успешной и долгосрочной работе.
Несмотря на то, что возможности обхода защиты и алгоритм действий после активации в основном остались такими же, как и ранее описанные компанией Koi, LayerX выявила более продвинутый вариант в расширении Instagram Downloader.
Разница заключается в перемещении логики подготовки вредоносного кода в фоновый скрипт расширения и использовании в качестве скрытого контейнера для полезной нагрузки файла изображения, а не только значка.
Во время выполнения фоновый скрипт сканирует исходные байты изображения на наличие определенного разделителя (>>>>), извлекает и сохраняет скрытые данные в локальном хранилище расширения, а затем декодирует их в Base64 и выполняет как JavaScript.
Анализируя новейший вариант GhostPoster, LayerX констатирует: этот поэтапный процесс выполнения демонстрирует явную эволюцию в сторону более длительного периода бездействия, модульности и устойчивости как к статическим, так и к поведенческим механизмам обнаружения.
К настоящему времени вредоносные расширения были удалены из магазинов расширений Mozilla и Microsoft, Google тоже из пофиксила в Chrome Web Store.
Однако пользователи, успевшие установить их в свои браузеры до этого, по-прежнему подвергаются риску компрометации.
Исследователи немецкого Центра информационной безопасности им. Гельмгольца CISPA выкатили технические подробности новой атаки на процессоры AMD, которая позволяет удаленно выполнять код внутри виртуальных машин.
Выявленная проблема, получившая название StackWarp, затрагивает процессоры AMD Zen 1–Zen 5 и позволяет злоумышленнику взламывать виртуальные машины CVM.
Исследователи описали StackWarp как программную архитектурную атаку, в основе которой используется сбой синхронизации в механизме стека, управляющем обновлениями указателей стека на стороне ЦП.
Реализация этой CVE-2025-29943 позволяет злонамеренному хосту виртуальной машины манипулировать указателем стека гостевой виртуальной машины для перехвата потоков управления и данных, что обеспечивает RCE и EoP внутри виртуальных машин.
Исследователи CISPA продемонстрировали влияние атаки в нескольких сценариях, включая восстановление закрытого ключа RSA-2048, обход аутентификации по паролю OpenSSH, обход запроса пароля Sudo и выполнение кода в режиме ядра в виртуальной машине.
Для проведения подобных атак обычно требуется привилегированный контроль над хост-сервером, на котором работают CVM.
Вместе с тем, атаки могут быть инициированы недобросовестными сотрудниками облачного провайдера или опытными злоумышленниками, получившими доступ к системам провайдера.
Правда, вероятность проведения подобной атаки в реальных условиях невелика, но StackWarp показывает, что алгоритм шифрования памяти виртуальных машин AMD SEV-SNP, предназначенный для защиты CVM даже от облачного провайдера, может быть взломан.
Конфиденциальные ключи и пароли могут быть украдены, злоумышленники могут выдавать себя за законных пользователей или получать постоянный контроль над системой, а изоляция между гостевыми виртуальными машинами и хостом или другими виртуальными машинами больше не может быть гарантирована.
AMD была проинформирована об уязвимости и опубликовала свое уведомление, присвоив этой уязвимости низкий уровень серьезности.
Исправления для затронутых серверных продуктов EPYC будут доступны с июля 2025 года.
В свою очередь, исследователи разработали специализированный сайт для StackWarp, а также опубликовали отчет с полными техническими подробностями. Доступны также и видеоролики с демонстрацией атаки в действии.
Исследователи Лёвенского университета обнаружили критическую уязвимость в протоколе Google Fast Pair, которая позволяет злоумышленникам захватывать Bluetooth-аудиоустройства, отслеживать пользователей и прослушивать их разговоры.
CVE-2025-36911 получила название WhisperPair и затрагивает сотни миллионов беспроводных аудиоустройств от разных производителей, поддерживающих функцию Fast Pair от Google.
Она влияет независимо от операционной системы смартфона, поскольку уязвимость находится в самих аксессуарах, а это значит, что пользователи iPhone с уязвимыми устройствами Bluetooth находятся в равной степени под угрозой.
Исследователи, обнаружившие эту уязвимость, объясняют, что она вызвана некорректной реализацией протокола Fast Pair во многих флагманских аудиоаксессуарах.
В соответствии со спецификацией Fast Pair, что устройства Bluetooth должны игнорировать запросы на сопряжение, когда они не находятся в режиме сопряжения, многие производители не внедрили такую проверку.
Для запуска процедуры быстрого сопряжения устройство Seeker (телефон) отправляет сообщение устройству Provider (аксессуару), указывая на выполнение сопряжения.
И если устройство не находится в режиме сопряжения, оно должно игнорировать такие сообщения.
Однако на практике многие устройства не обеспечивают эту проверку, что позволяет неавторизованным устройствам начать процесс сопряжения без согласия или ведома пользователя.
После получения ответа от уязвимого устройства злоумышленник может завершить процедуру быстрого сопряжения, установив обычное Bluetooth-сопряжение.
Злоумышленники могут реализовать WhisperPair, применяя любое устройство с поддержкой Bluetooth (например, ноутбук, Raspberry Pi или даже телефон), чтобы принудительно подключиться к уязвимым аксессуарам от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi на расстоянии до 14 метров за считанные секунды и без участия пользователя или физического доступа.
После сопряжения они могут получить полный контроль над аудиоустройством, что позволяет им воспроизводить звук на высокой громкости или подслушивать разговоры пользователей через микрофон устройства.
CVE-2025-36911 также позволяет злоумышленникам отслеживать местоположение своих жертв с помощью сети Google Find Hub, если устройство никогда не было сопряжено с устройством Android, добавив его в свою учетную запись Google.
Жертва может увидеть нежелательное уведомление о слежке через несколько часов или дней, но это уведомление будет отображать данные с её собственного устройства. Так что скорее всего проигнорируют предупреждение как ошибку.
Google выплатила исследователям максимально возможное вознаграждение в размере 15 000 долларов и совместно с производителями выпустила обновления безопасности в течение 150-дневного периода раскрытия информации.
Однако они отметили, что обновления безопасности, устраняющие эту уязвимость, могут быть еще недоступны для всех уязвимых устройств.
Единственная защита от злоумышленников, пытающихся взломать уязвимые Bluetooth-устройства с поддержкой Fast Pair, заключается в установке обновлений прошивки от производителей устройств.
При этом отключение Fast Pair на телефонах Android не предотвращает атаку, поскольку эту функцию нельзя отключить на самих устройствах.
Cisco наконец-то устранила 0-day в AsyncOS максимальной степени серьезности, которая задействовалась в реальных атаках на устройства Secure Email Gateway (SEG) и Secure Email and Web Manager (SEWM), как минимум с ноября 2025 года.
Как пояснила Cisco еще в декабре в ходе раскрытия CVE-2025-20393, она затрагивает только устройства Cisco SEG и Cisco SEWM с нестандартными конфигурациями, когда функция карантина спама включена и доступна в интернете.
Уязвимость некорректной проверки входных данных в устройствах Cisco Secure Email Gateway, Secure Email, AsyncOS Software и Web Manager позволяет выполнять произвольные команды с правами root в базовой операционной системе затронутого устройства.
Исследовательская группа Cisco Talos полагает, что за атаками, использующими уязвимость для выполнения произвольных команд с правами root, вероятно, стоит китайская хакерская группа UAT-9686.
В ходе расследования Cisco Talos обнаружила, что злоумышленники использовали бэкдоры AquaShell, вредоносные ПО для создания обратных SSH-туннелей AquaTunnel и Chisel, а также инструмент очистки журналов AquaPurge для сокрытия следов своей деятельности.
AquaTunnel и другие вредоносные инструменты, используемые в наблюдаемой кампании, ранее также фигурировали в работе других APT, включая APT41 и UNC5174.
Как заявили в Cisco Talos, с умеренной степенью уверенности актор, которого удалось отследить как UAT-9686, является китайской APT, чьи используемые инструменты и инфраструктура коррелируют с другими китайскими группами, занимающимися кибершпионажем.
Подробные инструкции по обновлению уязвимых устройств до исправленной версии ПО доступны в уведомлении по безопасности.
😈 phishing.
• У bleepingcomputer есть статья, в которой описана интересная фишинговая кампания. В схеме используется символ Unicode «ん» (японский символ хираганы ん (Unicode U+3093). При беглом взгляде на некоторые шрифты символ очень похож на последовательность латинских букв «/n» или «/~». Это визуальное сходство позволяет мошенникам создавать URL-адреса, которые выглядят как реальные, но перенаправляют пользователей на вредоносный сайт.
• По ссылке ниже можно найти пример фишингового письма: адрес в письме выглядит как «admin[.]booking[.]com...», но гиперссылка ведёт на «account.booking.comんdetailんrestric-access.www-account-booking[.]com/en/». На самом деле зарегистрированный домен — «www-account-booking[.]com».
• Если рассматривать именно эту кампанию, то после перехода по ссылке на ПК загружается MSI-файл. Если установить данный файл, то система будет заражена различным вредоносным ПО (троянами, майнерами и т.д.).
➡ https://www.bleepingcomputer.com/bookingcom-phishing
• Схема классическая (с подменой символов), но это хороший повод напомнить, что сомнительные ссылки всегда нужно проверять и анализировать. Даже ИБ специалисты совершают ошибки и переходят на фишинговые ресурсы, не говоря уже людях, которые совершенно не знают основ информационной безопасности. Так что используйте специальные сервисы для проверки ссылок, будьте внимательны и не дайте себя обмануть.
S.E. ▪️ infosec.work ▪️ VT
Новое исследование по Predator показывает, что шпионское ПО оказалось гораздо сложнее и опаснее, чем считалось ранее.
Predator, первоначально разработанный компанией Cytrox, - как известно, сложное коммерческое spyware.
В 2018 году Cytrox приобрел Таль Дилян, бывший офицер израильской военной разведки, а через год основал Intellexa с прицелом на разработку и продвижение различных инструментов кибершпионажа, включая Predator, ставший флагманским продуктом компании.
В настоящее время многие исследователи считают его более продвинутым и опциональным, нежели распиаренный продукт NSO Group - Pegasus. Не зря, и Cytrox, и Intellexa получили одобрение правительства США.
В декабре 2024 года исследователи Google Threat Intelligence Group выкатили исследование кода Predator, а вслед за ними свое исследование представила Jamf, в котором подробно описала ранее не задокументированные механизмы, демонстрирующие сложность Predator.
Отчет показывает, что Predator - это не просто шпионское ПО, а также и инструмент самодиагностики, предоставляющий разработчикам информацию о причинах провала той или иной атаки.
Он способен учиться на ошибках, улучшая будущие версий и повышая их скрытность.
Как отмечают в Jamf, примечательность архитектуры CSWatcherSpawner заключается не только в широком спектре проверок, но и в механизме отчетности, который предоставляет операторам точную диагностическую информацию в случае сбоя развертывания.
Исследователи обнаружили таксономию кодов ошибок, активируемых элементом защиты от анализа шпионского ПО.
Они обеспечивают отправку информации о причине прерывания атаки (например, запущенные инструменты безопасности/анализа, настроенный HTTP-прокси и т.д.) в инфраструктуру C2 до того, как вредоносное ПО завершит работу и покинет систему.
При этом коды ошибок отображаются последовательно, однако в нумерации были выявлены пробелы.
Это навело на предположение о том, что отсутствующие коды могут быть зарезервированы для будущих версий Predator, могут быть специфичными для конкретной версии или функциями, удаленными из более ранних версий, или же являться частью центральной таксономии, используемой в нескольких инструментах Intellexa.
Какова бы ни была реальная причина, использование таксономии и пробелы в ней демонстрируют адаптивный характер продукта.
Тем не менее, не все обнаруженные ошибки остались неизвестными.
Например, Google отмечала, что Predator обнаруживает режим разработчика Apple, но Jamf более подробно объяснила, как работает это обнаружение.
Режим разработчика был представлен в iOS 16 специально для исследователей и разработчиков.
Обнаруживая его, Predator фактически интерпретирует это как: «если вы включили функции разработчика, вы, вероятно, не являетесь обычной целью».
Google также отметила, что Predator избегает запуска в США и Израиле. В свою очередь, Jamf объясняет, как это делается.
Исключение из списка сайтов, распространяемых в США, вероятно, связано с американскими санкциями и желанием избежать более тщательной проверки со стороны американских спецслужб.
А исключение Израиля объяснить сложнее, но это может быть связано с осведомленностью Диляна по части возможностей израильских спецслужб в киберсфере.
В ходе анализа Jamf нашлось и новое направление противодействия криминалистическому анализу, связанное с отчетами о сбоях.
Когда происходит сбой, который может выявить присутствие Predator, вредоносная ПО обрабатывает или удаляет журнал сбоев цели до того, как его можно будет синхронизировать или изучить.
В целом, аналитика Jamf указывает на то, что Predator, и особенно его возможности противодействия анализу, гораздо сложнее, чем считалось ранее.
Node.js выпустила исправления критической CVE-2025-59466 (CVSS: 7,5), затрагивающей «практически каждое» работающее приложение Node.js, которая в случае успешной эксплуатации может привести к DoS.
Недостаток обусловлен тем, что Node.js завершает работу с кодом 7 (обозначающим ошибку обработки внутренних исключений во время выполнения), вместо того чтобы корректно обрабатывать исключение при переполнении стека в пользовательском коде, когда включен async_hooks.
Async_hooks - это низкоуровневый API Node.js, который позволяет разработчикам отслеживать жизненный цикл асинхронных ресурсов, таких как запросы к базе данных, таймеры или HTTP-запросы.
По словам разработчиков Node.js, проблема затрагивает несколько фреймворков и инструментов мониторинга производительности приложений (APM), включая React Server Components, Next.js, Datadog, New Relic, Dynatrace, Elastic APM и OpenTelemetry.
Причина в использовании AsyncLocalStorage - компонента на основе модуля async_hooks, который позволяет хранить данные на протяжении всего времени выполнения асинхронной операции.
Проблема была решена в следующих версиях: Node.js 20.20.0 (LTS), 22.22.0 (LTS), 24.13.0 (LTS) и 25.3.0 (текущая версия), затрагивает все версии Node.js, начиная с 8.x, первой версии с async_hooks, и заканчивая 18.x.
При этом EoL-версии останутся без исправлений.
Реализованное исправление обнаруживает ошибки переполнения стека и повторно генерирует исключение в пользовательском коде вместо того, чтобы рассматривать их как фатальные.
Несмотря на значительное практическое влияние, Node.js заявила, что рассматривает исправление лишь как меру по смягчению последствий по нескольким причинам.
Дело в том, что исчерпание пространства стека не является частью спецификации ECMAScript. Движок JavaScript V8 не рассматривает это как проблему безопасности.
И, наконец, следует также учитывать ограничения обработчика uncaughtException, который предназначен для использования в качестве механизма обработки исключений в крайнем случае.
Ввиду серьезности уязвимости пользователям рекомендуется как можно скорее обновиться, а разработчикам - применять более надежные меры защиты для предотвращения исчерпания пространства стека и обеспечения доступности сервиса.
Помимо CVE-2025-59466, Node.js выпустила исправления для других серьезных CVE-2025-55131, CVE-2025-55130 и CVE-2025-59465, которые могли быть использованы для утечки или повреждения данных, чтения конфиденциальных файлов с использованием специально созданных относительных символических ссылок (symlink) и запуска удаленной атаки типа DoS соответственно.
В прошлом году мы упоминали про майскую прошлогоднюю операцию спецслужб Финляндии, Нидерландов и США, которым удалось нейтрализовать инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.
Сервис функционировал более десяти лет и позволял разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Тогда под арест попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck.
В своем ТГ-канале администраторы AVCheck заявляли, что сервисы были отключены «из-за непредвиденных обстоятельств», а голландской полиции незадолго до операции удалось запустить фейковую страницу авторизации AVCheck.
Как оказалось, их усилия оказались не напрасными.
На днях силовики Нидерландов арестовали администратора AVCheck, которым оказался 33-летний гражданин Нидерландов, который выехал из страны после названных событий и осел в Объединенных Арабских Эмиратах.
Однако по приезду на родину ему скрутили ласты.
Согласно официальному заявлению THTC, расследование деятельности AVCheck продолжается и, вероятно, будет нацелено на клиентов и других пособников сервиса.
Почти 60 000 экземпляров n8n в сети остаются незащищенными от уязвимости максимальной степени серьезности, получившей название Ni8mare.
n8n представляет собой платформу автоматизации рабочих процессов с открытым исходным кодом, которая позволяет подключать различные приложения и сервисы с помощью готовых коннекторов и визуального интерфейса на основе узлов без написания кода.
Платформа широко используется в разработке ИИ для автоматизации сбора данных, создания ИИ-агентов и конвейеров RAG, имеет более 100 млн. загрузок на Docker Hub и более 50 000 еженедельных скачиваний на npm.
Поскольку n8n служит центральным узлом автоматизации, она часто хранит ключи API, токены OAuth, учетные данные баз данных, доступ к облачному хранилищу, секреты CI/CD и бизнес-данные, что делает его привлекательной целью для злоумышленников.
Упомянутая уязвимость отслеживается как CVE-2026-21858 и связана с некорректной проверкой входных данных, позволяя удаленным неаутентифицированным злоумышленникам получить контроль над локально развернутыми экземплярами n8n после получения доступа к файлам на базовом сервере.
Уязвимый рабочий процесс может предоставить доступ неавторизованному удаленному злоумышленнику, что потенциально может привести к утечке информации в системе и способствовать дальнейшей компрометации в зависимости от конфигурации развертывания и использования рабочего процесса.
Экземпляр n8n потенциально уязвим, если в нем активен рабочий процесс с триггером отправки формы, принимающим элемент файла, и узлом завершения формы, возвращающим бинарный файл.
Обнаружившие Ni8mare в начале ноября исследователи Cyera отмечают, что уязвимость заключается в путанице типов содержимого при анализе данных в n8n, что может быть использовано для раскрытия секретов, хранящихся на экземпляре, подделки сессионных cookie для обхода аутентификации, внедрения конфиденциальных файлов в рабочие процессы или даже выполнения произвольных команд.
В свою очередь, Shadowserver задетектировала 105 753 незащищенных экземпляра в открытом доступе, при этом 59 558 оставались незащищенными по состоянию на воскресенье. Из них более 28 000 IP относились к США и более 21 000 располагались в Европе.
Для предотвращения потенциальных атак администраторам рекомендуется как можно скорее обновить свои экземпляры n8n до версии 1.121.0 или более поздней.
Несмотря на то, что разработчики n8n заявляют об отсутствии обходного пути для Ni8mare, администраторы могут блокировать потенциальные атаки, ограничивая или отключая общедоступные конечные точки веб-перехватчиков и форм.
Разработчики n8n также представили шаблон для сканирования экземпляров на наличие потенциально уязвимых рабочих процессов.
Подкатил первый в этом году Patch Tuesday от Microsoft с исправлениями для 114 уязвимостей, в том числе одной активно используемой и двух публично раскрытых 0-day.
Patch Tuesday устраняет восемь критических уязвимостей, 6 из которых представляют собой RCE, а 2 - EoP.
Общее распределение по категориям выглядит следующим образом: 57 - EoP, 3 - обоход функции безопасности, 22 - RCE, 22 - раскрытие информации, 2 - DoS, 5 - подмена данных.
Активно эксплуатируемая 0-day, исправленная в январском Patch Tuesday, отслеживается как CVE-2026-20805 и затрагивает диспетчер окон рабочего стола, приводя к раскрытию информации.
Как поясняет Microsoft, раскрытие конфиденциальной информации неавторизованному пользователю в Desktop Windows Manager позволяет авторизованному злоумышленнику получить доступ к информации локально.
Компания заявляет, что успешная эксплуатация этой уязвимости позволяет злоумышленникам считывать адреса памяти, связанные с удаленным портом ALPC.
В случае успешной реализации этой уязвимости злоумышленником может быть раскрыта информация, представляющая собой адрес участка удаленного порта ALPC, то есть памяти пользовательского режима.
Она была выявлена Центром анализа угроз Microsoft (MSTIC) и Центром реагирования на угрозы безопасности Microsoft (MSRC), однако подробности ее исправления в реальных условиях не сообщаются.
Среди публично раскрытых 0-day - CVE-2026-21265 и CVE-2023-31096.
Первая представляет собой уязвимость обхода функции безопасности, связанной с истечением срока действия сертификата безопасной загрузки.
Microsoft предупреждает, что срок действия сертификатов Windows Secure Boot, выданных в 2011 году, подходит к концу, и системы, которые не были обновлены, подвержены повышенному риску обхода безопасной загрузки злоумышленниками.
Исправления обновляют затронутые сертификаты для сохранения цепочки доверия безопасной загрузки и позволяют продолжать проверку компонентов загрузки.
Компания ранее сообщала об этой уязвимости в июньском уведомлении по сертификатам Windows Secure Boot и обновлениям центра сертификации.
Другая 0-day (CVE-2023-31096) связана с повышением привилегий в драйвере программного модема Windows Agere.
Ранее в октябрьском патче пользователей предупреждали об активно используемых уязвимостях в стороннем драйвере модема Agere, поставляемом с поддерживаемыми версиями Windows, и отмечалось, что они будут устранены в будущем обновлении.
Уязвимости были использованы для получения административных привилегий в скомпрометированных системах. В рамках январских обновлений Microsoft удалила уязвимые драйверы agrsm64.sys и agrsm.sys из Windows.
Полное описание каждой уязвимости и затронутых систем - здесь.
📲 В Х появилось видео уязвимости 1-click в Telegram, которая позволяет раскрыть IP через специально замаскированный username.
Злоумышленник отправляет сообщение с текстом, который визуально выглядит как обычное упоминание username (синяя подсветка, как у настоящего профиля). Под этим текстом скрыта гиперссылка на специальный адрес вида t.me/proxy?server=...&port=...&secret=... (MTProxy-ссылка).
🚠При нажатии на username устройство жертвы вместо открытия профиля автоматически инициируется соединение с контролируемым хакером прокси-сервером. Вектор атаки приводит к компрометации реального IP-адреса цели.
Критики смеются над тем, что "хакер" на видео взломал себя сам внутри LAN. Для них это выглядит как дилетантство, но они не учитывают, что это лишь демонстрация PoC в безопасной среде, а в реальности злоумышленник использует внешний IP.
Примечательно, что некоторые комментаторы пишут: архитектурная особенность Telegram известна специалистам минимум с 2023 года и не является новой уязвимостью, а скорее «фичей», которую разработчики не спешат исправлять.
♋️Не кликайте на 👺usernames в сообщениях от неизвестных пользователей. Для защиты от подобных атак с целью раскрытия IP могут использоваться "технологии туннелирования с шифрованием".
✋ @Russian_OSINT
Исследователи Dr.Web изучили новое семейство троянов для Android, ориентированных на мошенничество с кликами и использующих модели машинного обучения TensorFlow для автоматического обнаружения и взаимодействия с определенными рекламными элементами.
Механизм основан на визуальном анализе с использованием машинного обучения, а не на заранее определенных алгоритмах кликов на JavaScript. При том также не включает в себя взаимодействие на уровне DOM с помощью скриптов, как классические трояны.
Злоумышленник использует TensorFlow.js, библиотеку с открытым исходным кодом, разработанную Google для обучения и развертывания моделей машинного обучения на JavaScript. Она позволяет запускать модели ИИ в браузерах или на серверах с использованием Node.js.
Как отмечают исследователи Dr.Web, новое семейство троянов для Android распространяется через GetApps, официальный магазин приложений для устройств Xiaomi.
Они обнаружили, что вредоносная ПО может работать в режиме, называемом «фантомным», который использует скрытый встроенный браузер на основе WebView для загрузки целевой страницы для мошенничества с кликами и файла JavaScript.
При этом основное предназначение скрипта - автоматизировать действия с рекламой, отображаемой на загруженном сайте.
После загрузки обученной модели с удаленного сервера скрытый браузер размещается на виртуальном экране, производятся снимки экрана для анализа и идентификации соответствующих элементов с помощью TensorFlow.js.
Нажав на нужный элемент пользовательского интерфейса, вредоносная ПО воспроизводит обычную активность пользователя.
Такой метод более эффективен и устойчив к изменчивости современной рекламы, поскольку большинство таких объявлений являются динамическими, часто меняют свою структуру и нередко используют iframe или видео.
Второй режим, называемый «сигнализацией», использует WebRTC для потоковой передачи видеопотока с виртуального экрана браузера злоумышленникам, позволяя им выполнять действия в реальном времени, такие как касания, прокрутка и ввод текста.
Злоумышленник распространяет вредоносное ПО через игры в каталоге ПО Xiaomi GetApps. Первоначально приложения загружаются без вредоносной функциональности, а вредоносные компоненты добавляются в последующих обновлениях.
Среди некоторых из зараженных игр, выявленных Dr.Web: Theft Auto Mafia (61 000 загрузок), Cute Pet House (34 000), Creation Magic World (32 000), Amazing Unicorn Party (13 000), Open World Gangsters (11,000), Sakura Dream Academy (4,000) и др.
Помимо приложений на серверах Xiaomi трояны также распространяются через сторонние сайты с APK-файлами (например, Apkmody и Moddroid, моды оригинальных приложений Spotify, YouTube, Deezer и Netflix).
Примечательно, что большинство приложений на странице «выбор редакции» сайта Moddroid оказались заражены. Кроме того, в ход идут Telegram-каналы, распространяя, например, такие приложения, как Spotify Pro, Spotify Plus - Official, Moddroid.com и Apkmody Chat.
Dr.Web также обнаружила сервер Discord с 24 000 подписчиков, на котором распространялось зараженное приложение Spotify X.
Исследователи отмечают, что по крайней мере некоторые из этих приложений «действительно работают», что снижает подозрения пользователей.
В сочетании с тем фактом, что мошенничество с кликами осуществляется скрытно в скрытом WebView, отображающем контент на виртуальном экране, это означает, что жертвы не увидят никаких признаков вредоносной активности.
Технические подробности и IOCs - в отчете.
🌐 Безобидное приглашение в календарь стало оружием против Google Gemini
Исследовательская группа Лиада Элияху обнаружила критическую уязвимость в экосистеме Google, превращающую стандартное приглашение в календарь в ❗️вектор скрытой атаки. Если пользователь активировал Gemini и предоставил ему доступ к Google Calendar, то злоумышленник может отправить жертве стандартное приглашение на встречу.
В поле «Описание» он прячет текст, который выглядит правдоподобно как просьба пользователя, но по смыслу является вредоносной инструкцией для ИИ-помощника. В отчёте Miggo это описано как «спящая нагрузка», спрятанная в обычном приглашении, позволяющая обойти настройки приватности Google Calendar. Это не исполняемый код и не ссылка, а именно вредоносная текст-инструкция, рассчитанная на то, что ИИ-модель обработает её как указание к действию.
Никаких «кликов» не требуется. Достаточно, чтобы пользователь позже задал Gemini рутинный вопрос о расписании, например: «Свободен ли я в субботу?». Тогда Gemini, стремясь корректно ответить, подтягивает контекст событий календаря (в том числе их описания) и «натыкается» на заложенную инструкцию.
Gemini создаёт новое событие в календаре и помещает туда всю сводку, например, корпоративных встреч пользователя (названия, время, участники и прочие детали). Пользователь получает от Gemini безобидный ответ (например, «это свободный слот»), маскирующий фоновое создание события с выгрузкой чувствительной информации.
🎩 Таким образом хакеры потенциально могут узнать информацию о проектах, клиентах, переговорах, составе различных команд, руководстве.
🛡 Специалисты по безопасности Google подтвердили наличие уязвимости и устранили её после ответственного раскрытия информации исследователями.
✋ @Russian_OSINT
Анонсирована новая мощная атака по побочным каналам MEMORY DISORDER, которая вызывать утечки информации из современных процессоров и видеокарт Intel, Apple и AMD.
В основе распространенные микроархитектурные особенности, в частности, перестановка операций в памяти, которые могут быть использованы в качестве бесвременного сигнала между процессами.
Эти перестановки являются функцией оптимизации в современных процессорах, где операции с памятью выполняются вне порядка для повышения производительности, что являются частью аппаратных моделей согласованности памяти (MCM) большинства современных ЦП и ГП.
Используя перестановки памяти, исследователи продемонстрировали, что один процесс может определять активность другого, даже за пределами виртуальных машин в таких средах, как KVM.
Это достигается с помощью небольших параллельных программ, называемых «лакмусовыми тестами», которые отслеживают подсистему памяти на предмет признаков перестановки, вызванной одновременной активностью в других частях системы.
К числу затронутых процессоров относятся процессоры самых разных архитектур, включая Apple M1 и M3, Intel i7 (x86), Arm A78, NVIDIA RTX 4070 и AMD Radeon RX 7900 XT.
Несмотря на то, что архитектура графических процессоров AMD не позволяет параллельно запускать ядра из разных процессов, исследователи обнаружили, что сигналы, подобные DISORDER, всё же можно наблюдать из-за сохраняющихся эффектов памяти при выполнении ядер.
AMD подтвердила результаты исследования в своем бюллетене, однако не присвоила проблеме рейтинг, назвав его информационным, тем не менее выпустив новые рекомендации по смягчению последствий.
В частности, AMD представила дополнительный режим работы (обозначенный как AMD-SB-6010), который способен ограничивать одновременное выполнение процессов на графических процессорах и обеспечивать очистку состояния регистров графического процессора между процессами.
Он отключен по умолчанию и должен быть активирован вручную системными администраторами.
AMD также подтверждает общие рекомендации по безопасной разработке, советуя разработчикам использовать алгоритмы с постоянным временем выполнения и избегать доступа к памяти или потоков управления, зависящих от секретной информации для снижения рисков, связанных с побочными каналами.
Как отмечают исследователи, последствия применения техники MEMORY DISORDER значительны для облачных сред, использующих виртуализированные рабочие нагрузки на общем оборудовании, сервисов машинного обучения, работающих на графических процессорах, и многопользовательских серверов, полагающихся на аппаратную изоляцию.
В статье четко показано, что даже при минимальных привилегиях, двух потоках и общей памяти злоумышленник может допустить утечку информации.
Например, на графическом процессоре Apple M3 исследователи достигли 95% точности скрытой связи при скорости 16 бит в секунду.
Более совершенная настройка на процессорах x86 позволила увеличить пропускную способность почти до 30 000 бит в секунду.
Эксперименты по идентификации моделей на основе анализа фингерпринтов также оказались успешными.
Исследователи обучили классификаторы различать модели глубоких нейронных сетей (например, ResNet50, MobileNetV3, AlexNet) на основе данных об изменении порядка хранения информации в памяти.
Кроме того, продемонстрировали, что запуск Google Chrome можно обнаружить с помощью этого метода на чипе Apple M1.
На данный момент ни Intel, ни Apple не отразили своих выводов по части MEMORY DISORDER в своих бюллетенях по безопасности, при том, что в отчете указана подтвержденная утечка данных на их платформах.
Gootloader претерпел серьезные изменения и теперь задействует некорректно сформированный ZIP-архив для обхода обнаружения путем объединения до 1000 архивов.
При этом вредоносная ПО, представляющая собой архивированный файл JScript, приводит к сбоям при попытке ее анализа многими инструментами.
По данным исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, не справляются с этой задачей.
Для достижения этой цели злоумышленник, стоящий за вредоносным ПО, объединяет от 500 до 1000 ZIP-архивов, а также использует другие уловки, дабы затруднить их анализ с помощью инструментов обнаружения.
Загрузчик активен с 2020 года и взят на вооружение различными хакерскими группировками, включая банд вымогателей.
После семимесячного перерыва Gootloader вернулся к жизни в ноябре прошлого года, о чем рапортовали исследователи из Huntress Labs и DFIR Report.
Хотя в те времена существовали и некорректно сформированные ZIP-архивы, они содержали минимальные изменения, и при попытке извлечения данных возникали несоответствия в именах файлов.
По данным исследователей Expel, в руки которых попали самые свежие образцы, для дальнейшего усиления защиты от анализа операторы Gootloader внедрили гораздо более серьезные механизмы обфускации.
В частности:
- Объединение до тысячи ZIP-архивов с учетом того, что парсеры читают с конца файла.
- Использование усеченного конца центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что приводит к сбою анализа большинством инструментов.
- Случайная инициализация в полях с номерами дисков, из-за чего инструменты ожидают наличия несуществующих многодисковых архивов.
- Добавление несоответствия метаданных между заголовками локальных файлов и записями центрального каталога.
- Создание для каждого загружаемого файла уникальных ZIP-архивов и JScript-файлов для ухода от обнаружения статических объектов.
- Доставка ZIP-архива в виде закодированного с помощью XOR объекта, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения сетевыми средствами.
После запуска на хосте скрипт JScript вредоносной ПО активируется через Windows Script Host (WScript) из временного каталога и обеспечивает постоянное присутствие в системе, добавляя в папку автозагрузки файлы ярлыков (.LNK), указывающие на второй файл JScript.
Эта полезная нагрузка выполняется при первом запуске и при каждой загрузке системы, запуская CScript с короткими именами NTFS, после чего запускается PowerShell.
Безусловно, разработчикам Gootloader удалось реализовать множество методов искажения данных для уклонения обнаружения без нарушения функциональности.
Однако исследователям Expel удалось выявить структурные аномалии, которые позволяют эффективно детектить угрозу.
По результатам выкатили правила YARA, позволяющие последовательно идентифицировать ZIP-архивы.
Обнаружение основано на выявлении определенной комбинации характеристик заголовка ZIP-архива, сотен повторяющихся заголовков локальных файлов и записей EOCD.
Кроме того, для защиты от угрозы исследователи рекомендуют изменять приложение по умолчанию для открытия файлов JScript с Windows Script Host на Блокнот, предотвращая их выполнение.
Для уменьшения поверхности атаки, Expel также советуют блокировать выполнение загруженного контента с помощью wscript.exe и cscript.exe, если файлы JScript не требуются.
Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.
StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.
Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.
С того времени разработчики StealC внесли множество улучшений в работу сервиса.
С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.
Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.
Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.
Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.
В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.
В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).
Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.
Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.
При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.
CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.
Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.
Но, как обычно, будем посмотреть.
Недавно упоминали про критическую CVE-2025-64155 в Fortinet FortiSIEM с общедоступным PoC, который в совокупности с техническим описанием выкатили исследователи Horizon3.
И на днях Defused сообщила, что злоумышленники приступили к активной целенаправленной эксплуатации уязвимости в реальных условиях, которую им удалось задетектить в своих ловушках.
Напомним, что CVE-2025-64155 - это комбинация двух проблем, позволяющих произвольно записывать данные с правами администратора и повышать привилегии до уровня root посредством специально сформированных TCP-запросов.
Horizon3 также выкатила IoC, которые могут помочь в выявлении уже скомпрометированных систем.
Администраторы также могут найти артефакты злонамеренных действий, проверив журналы сообщений phMonitor по адресу /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.
В свою очередь, Fortinet еще не обновила свой бюллетень по безопасности и не указала об использовании CVE-2025-64155 в атаках, и вообще пока никак не комментирует ситуацию.
Так что, будем следить.
Киберподполье взяло на вооружение уязвимость максимальной степени серьезности в плагине Modular DS для WordPress с более чем 40 000 установок, которая позволяет удаленно обходить аутентификацию и получать доступ к уязвимым сайтам с правами администратора.
Плагин позволяет владельцам, разработчикам или хостинг-провайдерам удаленно отслеживать сайты, выполнять обновления, управлять пользователями, получать доступ к информации о сервере, запускать задачи по техническому обслуживанию и входить в систему.
Уязвимость отслеживается как CVE-2026-23550 и затрагивает версии 2.5.1 и более ранние версии Modular DS, плагина управления, позволяющего фактически управлять несколькими сайтами WordPress из единого интерфейса.
По данным исследователей Patchstack, CVE-2026-23550 в настоящее время активно используется злоумышленниками, первые атаки были зафиксированы 13 января около 02:00 UTC.
Patchstack подтвердила наличие уязвимости и связалась с поставщиком на следующий день.
В свою очередь, Modular DS выпустила исправление в рамках версии 2.5.2 всего через несколько часов.
Уязвимость вызвана рядом недостатков в проектировании и реализации, включая принятие запросов как доверенных при активации режима «прямого запроса» без криптографической проверки их происхождения.
Такое поведение раскрывает доступ к нескольким конфиденциальным маршрутам и активирует механизм автоматического резервного входа в систему администратора.
Если в теле запроса не указан конкретный идентификатор пользователя, плагин получает данные существующего администратора или суперадминистратора, а затем автоматически входит в систему под этой учетной записью.
Как поясняет Patchstack, в методе getLogin(SiteRequest $modularRequest) контроллера src/app/Http/Controllers/AuthController.php предпринимается попытка прочитать идентификатор пользователя из тела запроса $modularRequest.
Поскольку этот код может быть доступен неавторизованным пользователям из-за ранее описанной уязвимости, это позволяет быстро повысить привилегии.
В версии Modular DS 2.5.2 реализован патч, удаляющий сопоставление маршрутов на основе URL-адресов.
Теперь полностью внедрена проверенная логика фильтрации, добавлен маршрут 404 по умолчанию, распознаются только значения type для привязки маршрута, и включен безопасный режим обработки нераспознанных запросов.
Пользователям Modular DS рекомендуется как можно скорее обновиться до версии 2.5.2 или более поздней.
В бюллетене поставщик рекомендует проверять журналы доступа к серверу на наличие подозрительных запросов, а также администраторов на наличие несанкционированных дополнений.
Также следует перегенерировать все «соли» WordPress после обновления до последней версии.
Современные системы для защиты голосов пользователей от клонирования, остаются по-прежнему малоэффективными: их можно обойти с помощью специализированных инструментов.
Подобные системы реализуют внесение рандомного шума в голосовые аудиозаписи, предотвращая копирование голоса пользователя технологиями клонирования на основе ИИ.
Атаки с использованием клонирования голоса все еще возможны, но они приводят к получению низкокачественного результата, который легко обнаружить как вручную, так и автоматизированными сервисами.
Однако исследователи из Техасского университета в Сан-Антонио полагают, что такие системы имеют ряд недостатков и могут нивелироваться, если злоумышленники смогут отработать этот дополнительный шум.
Исследовательская группа разработала инструмент под названием VocalBridge, который способен «чистить» треки с добавленным шумом и восстанавливать оригинальные голоса.
Разработанная атака объединяет результаты работы других исследователей по шумоподавлению с помощью определенных алгоритмов и создает модель, способную учитывать различные типы шума и колебаний для повышения эффективности и производительности.
Согласно тестам, проведенным с использованием пяти инструментов для подавления искажений/шума в речи (AntiFake, SafeSpeech, POP, GAN-ADV и Attack-VC), VocalBridge смог восстановить оригинальные голоса в достаточной степени, чтобы обойти средства защиты от клонирования голоса.
Показатель успешности восстановления аутентификации (ARR), определяющий, удалось ли голосу обойти защиту от клонирования голоса, составлял от 23% до 45%.
Результаты исследования подтверждают более ранние предупреждения о нестабильности и скрытой опасности аутентификации по «голосовому отпечатку», которую многие банки и интернет-провайдеры по всему миру.
С бурным развитием ИИ некоторые осознали свою ошибку и отказались от первоначальных внедрений.
Голосовые отпечатки были понижены до второстепенного фактора, но все еще остаются сервисы, где они являются ключевым фактором при взаимодействии с пользователями по телефону, например, каналы технической поддержки и обслуживания клиентов.
Тем не менее, обход голосового отпечатка в качестве второй проверки многофакторной аутентификации по-прежнему остается заветной целью для многих злоумышленников, даже при, казалось бы, низкой вероятности успеха в 20-40%, если конечная цель достаточно привлекательна.
Почему новой критической уязвимости нет в КЕV? Потому что эту уязвимость эксплуатирует NSA.
Когда CISA добавляет эту уязвимость в KEV? Когда NSA перестало ее эксплуатировать в связи с принятием на вооружение более новой критической уязвимости.
Palo Alto Networks устранила серьезную уязвимость, которая позволяет неавторизованным злоумышленникам отключать защиту межсетевого экрана при проведении DoS-атак.
CVE-2026-0227 (CVSS: 7,7) затрагивает NGWV (работающие под управлением PAN-OS 10.1 или более поздней версии) и конфигурации Prisma Access от Palo Alto Networks при включенном шлюзе или портале GlobalProtect, но не затрагивает NGFW в облаке.
При этом большинство облачных экземпляров Prisma Access уже обновлены, а оставшиеся, требующие защиты, запланированы к обновлению.
Как отмечают в Palo Alto Networks, уязвимость PAN-OS’а позволяет неавторизованному злоумышленнику вызвать DoS межсетевого экрана, а многократно используя ее, злоумышленник может принудительно перевести устройство в режим обслуживания.
В свою очередь, Shadowserver сообщает об обнаружении около 6000 межсетевых экранов Palo Alto Networks в открытом доступе в сети, однако точная информация о том, сколько из них имеют уязвимые конфигурации или уже были исправлены, пока нет.
Собственно, как и каких-либо доказательств задействования CVE-2026-0227 в реальных атаках.
Обновления доступны для всех затронутых версий, администраторам рекомендуется накатить их как можно скорее, дабы защитить свои системы от потенциальных атак. Тем более, что PoC-эксплойт для нее уже доступен.
Опубликованы полные технические подробности и PoC для критической уязвимости, затрагивающей Fortinet SIEM, которая может быть использована удаленным неавторизованным злоумышленником для выполнения команд или кода.
Уязвимость отслеживается как CVE-2025-25256 и представляет собой комбинацию двух проблем, позволяющих осуществлять произвольную запись с правами администратора и повышать привилегии до уровня root.
Исследователи Horizon3 сообщили об этой проблеме в середине августа 2025 года, а в начале ноября Fortinet устранила ее в четырех из пяти веток разработки продукта и на этой неделе объявила, что все уязвимые версии были исправлены.
Fortinet описывет CVE-2025-25256 как «неправильную нейтрализацию специальных элементов, используемых в командах ОС FortiSIEM, которая позволяет неавторизованному злоумышленнику выполнить несанкционированный код или команды посредством специально сформированных TCP-запросов.
В свою очередь, Horizon3 опубликовала подробное описание уязвимости, согласно которому ее первопричина заключается в доступности десятков обработчиков команд в сервисе phMonitor, которые можно вызывать удаленно без аутентификации.
Исследователи полагают, что этот сервис на протяжении нескольких лет являлся точкой входа для многочисленных уязвимостей FortiSIEM, включая CVE-2023-34992 и CVE-2024-23108, подчеркивая, что банды вымогателей (в частности, Black Basta) ранее проявляли особый интерес к таким недостаткам.
Наряду с техническими подробностями CVE-2025-25256, исследователи также опубликовали PoC-эксплойт после того, как поставщик выпустил исправления и опубликовал уведомление по безопасности.
Уязвимость затрагивает версии FortiSIEM от 6.7 до 7.5, и исправления были выпущены для: 7.4.1, 7.3.5, 7.2.7 и 7.1.9 (и выше).
Уязвимости CVE-2025-25256 также подвержены FortiSIEM 7.0 и 6.7.0, но их поддержка прекращена, поэтому они не получат исправления.
При этом FortiSIEM 7.5 и FortiSIEM Cloud на не затрагиваются.
Единственное обходное решение, предложенное поставщиком для тех, кто не может немедленно установить обновление безопасности, - это ограничить доступ к порту phMonitor (7900).
Исследователи Horizon3 также поделились индикаторами компрометации, которые могут помочь обнаружить скомпрометированные системы.
При просмотре логов сообщений, полученных phMonitor (/opt/phoenix/log/phoenix.logs), строка с PHL_ERROR должна содержать URL-адрес полезной нагрузки и файл, в который она была записана.
Позитивы завершают подведение киберитогов 2025 года отчетом про уязвимости в железе и программном обеспечении.
Из основного:
- Белый хакинг: ключевые цифры и новые базы уязвимостей:
В прошлом году исследователи Positive Technologies обнаружили около 450 0-day (большая часть устранена) в оборудовании и ПО отечественных и зарубежных поставщиков, включая глобальных мировых лидеров, что вчетверо превышает показатель 2024 года (114 недостатков).
Такой разрыв объясняется не только ростом числа уязвимостей, но и смещением исследовательского фокуса на еще более активный поиск уязвимостей. При этом отношение вендоров к вопросам устранения уязвимостей продолжает меняться в лучшую сторону.
Скорость реагирования разработчиков на уведомление об уязвимости увеличилась на 10%, а число уязвимостей, которые были полностью исправлены в течение 30 дней, увеличилось на 15%, а доля тех, для устранения которых требовалось до 60 дней, сократилась на 20%.
Десятая часть (9%) найденных Positive Technologies дефектов защиты имела критически высокий уровень опасности. При этом прослеживается любопытная тенденция: две трети из них (67%) содержались в промышленных системах и устройствах (АСУ ТП).
Количество брешей в российских решениях выросло почти втрое по сравнению с прошлым годом, составив примерно 30% от общей суммы зафиксированных.
На следующий год Позитивы прогнозируют дальнейший рост количества уязвимостей в отечественном ПО, связывая это с тем, что рынок продолжает переходить на российские продукты, а в коммуникации с зарубежными вендорами по‑прежнему есть некоторые трудности.
- 2025–2026: какие уязвимости были и будут в тренде:
В уходящем году эксперты Positive Technologies отнесли к трендовым 63 уязвимости в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.
Для 47 из 63 трендовых уязвимостей были зафиксированы признаки эксплуатации в атаках, для 12 - публичные эксплойты, но без признаков эксплуатации.
Большинство трендовых уязвимостей было связано с выполнением произвольного кода (30) и с повышением привилегий (19).
Microsoft остается стабильным «поставщиком» трендовых уязвимостей. В этом году продукты вендора содержали 30 таких брешей, что составило 47% от общего количества.
В прошлом году Позитивы прогнозировали увеличение количества трендовых уязвимостей в отечественных продуктах. Их оказалось четыре: RCE в CommuniGate Pro (PT-2024-41 036) и цепочка уязвимостей в TrueConf Server (PT-2025-36 231 - PT-2025-36 233).
В 2026 году ожидается увеличение доли трендовых уязвимостей в отечественных продуктах и преобладающего объема таких уязвимостей в продуктах Microsoft.
- Исследование микроэлектроники и встраиваемых систем: итоги года и прогнозы:
Прошлый год показал рост числа подключенных устройств, а также отмечен выпуском нескольких отечественных микроконтроллеров на архитектуре RISC‑V.
В 2026-м, вероятно, появятся как устройства на их основе, так и новые отечественные микроконтроллеры и даже процессоры. Однако ускорение разработки не должно достигаться за счет снижения уровня защищенности продукта.
Единственный вариант избежать этого - при разработке новых чипов сразу применять подход secure by design. Это приведет к тому, что технологии защиты на уровне железа, такие как аппаратные корни доверия, будут распространяться во все более младшие модели чипов.
Trust Wallet полагает, что взлом ее расширения для браузера, в результате которого было украдено около 8,5 млн. долларов из более чем 2500 криптокошельков, вероятно, связан с ноябрской атакой Sha1-Hulud.
Как ранее мы сообщали, в результате инцидента 24 декабря были украдены миллионы долларов в криптовалюте из взломанных кошельков пользователей Trust Wallet.
Это случилось после того, как злоумышленники добавили вредоносный JavaScript-файл в версию 2.68.0 расширения Trust Wallet для Chrome, который позволил злоумышленникам похитить конфиденциальные данные кошелька и совершить несанкционированные транзакции.
В результате атаки были раскрыты секретные данные разработчиков Trust Wallet в GitHub, что дало злоумышленнику доступ к исходному коду расширения для браузера и ключу API Chrome Web Store (CWS).
Злоумышленник получил полный доступ к API CWS через утёкший ключ, что позволило загружать сборки напрямую, минуя стандартный процесс выпуска Trust Wallet, требующий внутреннего утверждения/ручной проверки.
Как пояснили в Trust Wallet, на следующем этапе атаки злоумышленник зарегистрировал домен metrics-trustwallet.com и поддомен api.metrics-trustwallet.com для размещения вредоносного кода, который впоследствии был задействован в троянизированной версии расширения.
Модифицированная версия была создана с использованием исходного кода, полученного через раскрытые секреты разработчиков GitHub, что позволило злоумышленнику внедрить вредоносный код для сбора конфиденциальных данных без использования традиционных методов внедрения кода.
Используя утекший ключ CWS, злоумышленник опубликовал версию 2.68 в Chrome Web Store, которая была автоматически выпущена после прохождения проверки со стороны Trust Wallet.
В ответ на инцидент Trust Wallet отозвала все API для выпуска новых версий для блокировки попыток их распространения, а также сообщила о вредоносных доменах регистратору NiceNIC, который незамедлительно заблокировал их.
Trust Wallet также начала возмещать убытки жертвам инцидента, предупреждая о том, что злоумышленники в настоящее время выдают себя за службу поддержки, распространяя фейковые формы для получения компенсации и реализуют мошеннические схемы через рекламу в телеге.
Стоит напомнить, что Sha1-Hulud (Shai-Hulud 2.0) - это атака на цепочку поставок, нацеленная на реестр программного обеспечения npm, в котором зарегистрировано более 2 миллионов пакетов.
В результате первоначальной вспышки в начале сентября злоумышленники скомпрометировали более 180 пакетов npm, используя самораспространяющуюся полезную нагрузку, применив ее для кражи секретов разработчиков и ключей API с помощью инструмента TruffleHog.
Shai-Hulud 2.0 разросся в геометрической прогрессии и затронул уже более 800 пакетов, добавив в репозиторий npm более 27 000 вредоносных пакетов, которые использовали вредоносный код для сбора секретов разработчиков и CI/CD и публикации их на GitHub.
В общей сложности Sha1-Hulud раскрыл около 400 000 необработанных секретов и опубликовал украденные данные в более чем 30 000 репозиториях GitHub, при этом более 60% утекших токенов NPM оставались действительными по состоянию на 1 декабря.
Как полагают исследователи Wiz, злоумышленники продолжают совершенствовать свои операции по сбору учетных данных, используя экосистему npm и GitHub, а учитывая растущую изощренность и достигнутые успехи, прогнозируется продолжение атак, в том числе с применением накопленного к настоящему моменту массива учетных данных.
Реакция Telegram в X по поводу вчерашней новости.
✋ @Russian_OSINT
На прошлой неделе миллионы мышей Logitech лишились возможности запускать пользовательские скрипты после того, как один из облачных серверов компании вышел из строя, как оказалось, в виду оплошности разработчиков.
Накануне сбоя у компании истёк Apple Developer Certificate и его попросту забыли продлить.
В итоге на macOS по всему миру перестало запускаться приложение Options+ и G HUB, а также перестали работать пользовательские настройки у мышей MX Master и клавиатур.
Новые MX Master 3S и MX Master 4 можно сказать окирпичились.
Основные симптомы у большинства пользователей на Mac проявлялись в бесконечной загрузки приложения Logitech, в некоторых случаях зависшее Options+ оставалось в фоновом режиме, вызывая перегрев ноутбуков и ускоренный разряд аккумулятора.
В Logitech официально подтвердили проблему, заверили подготовить и выпустить исправления в ближайшее время.
Пока юзеры учились управлять компьютером при помощи одной клавиатуры, многие задавались другим вопросом - избыточной функциональности приложения Logi Options+, которое требует постоянного активного Интернет-соединения для реализации расширенного набора возможностей.
При этом без установленного Options+ значительная часть функционала современной премиальной периферии Logitech (в частности, кастомизация кнопок, жестовые команды, продвинутые настройки прокрутки и профили под разные приложения) становится недоступной.