39806
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Исследователи Лаборатории Касперского в последнее время буквально бомбят очередями из исследований, одно из которых посвящено поиску работы IT-специалистами в даркнете и фактически является новой итерацией аналогичного, вышедшего в 2022 году.
Как отмечают в ЛК, с тех пор рынок труда конечно же изменился, как и ожидания и требования к специалистам. Тем не менее, рекрутинг и хедхантинг в даркнете по-прежнему активны.
В новом отчёте рассматривается, как функционируют системы занятости и подбора персонала в даркнете, на основе 2225 сообщений о вакансиях, собранных на теневых форумах в период с января 2023 года по июнь 2025 года.
Анализ показывает, что даркнет продолжает выступать неким параллельным рынком труда со своими собственными правилами, практикой подбора и ожиданиями по зарплате, отражая при этом более широкие глобальные экономические изменения.
Примечательно, что соискатели всё чаще рассказывают о своём предыдущем опыте работы в теневой экономике, что говорит о том, что для многих эта среда знакома и устоялась.
Большинство соискателей не указывают профессиональную область, 69% из них готовы взяться за любую доступную работу. При этом представлен широкий спектр вакансий, особенно в сфере ИТ.
Разработчики, тестировщики на проникновение и специалисты по отмыванию денег остаются наиболее востребованными специалистами, а специалисты по реверс-инжинирингу получают самую высокую среднюю зарплату.
Также наблюдается значительный контингент на рынке труда из числа подростков, многие из которых ищут быстрый заработок и зачастую уже знакомы со многими мошенническими схемами.
Безусловно, теневой рынок отличается от легального трудоустройства в таких аспектах, как формальность контрактов и скорость найма, между ними прослеживаются явные параллели
Обе сферы всё больше отдают приоритет практическим навыкам перед формальным образованием, проводят проверку биографических данных и демонстрируют синхронизированные колебания спроса и предложения.
Прогнозируя тренды, исследователи ожидают роста среднего возраста и квалификации соискателей работы в даркнете, отчасти за счёт глобальных увольнений.
В конечном счёте, рынок труда в даркнете не изолирован - он развивается параллельно с легальным рынком труда под влиянием тех же глобальных экономических сил.
Подробности о том, какие предпочтения в работе и зарплаты, лучшие специализации и анализ типичных соискателей, а также корреляции между легальным и теневым рынками труда - в отчете Лаборатории Касперского (можно получить здесь).
Почти месяц потребовался Бюджетному управлению Конгресса США (CBO), чтобы окончательно локализовать киберинцидент, с которым столкнулась служба безопасности агентства в начале месяца.
О победе над особо продвинутыми хакерами неназванной APT отрапортовал сам директор Филипп Свагель, который заявил о полном изгнании злоумышленника из своей сети.
Он ответил, что в настоящее время нет «новых доказательств несанкционированного доступа к электронной почте CBO. Все это время федеральным органам запрещалось коммуницировать с управлением и обмениваться любой информацией.
Тем не менее, расследование продолжается и по мере поступления дополнительной информации, управление информировать законодателей «за закрытыми дверями».
Так что ожидаем очередных ангажированных отчетов с соответствующей атрибуцией. Не зря же целый месяц ковырялись.
Исследователи F6 продолжают отслеживать активности VasyGrek (предыдущий разбор - здесь), связанные с фишинговыми рассылками в адрес российских организаций с целью кражи информации.
VasyGrek (Fluffy Wolf) - русскоязычный злоумышленник, нацеленный на российские компании различных сфер, действует как минимум с 2016 года.
Кибератаки проводились с использованием вредоносного ПО через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.
Обычно VasyGrek применял вредоносные модификации легитимных RMS и TeamViewer, разработанные Mr.Burns и классифицируемые как семейство BurnsRAT, а также стилеры RedLine и META, троян AveMaria и ПО от разработчика PureCoder (PureCrypter, PureHVNC (PureRAT), PureLogs Stealer).
После публикации в июле 2024 года исследования, в том числе о его сотрудничестве с продавцом ВПО Mr.Burns, VasyGrek перестал использовать BurnsRAT, но в целом цепочки заражений злоумышленника с того момента не претерпевали существенных изменений.
Он по-прежнему рассылал фишинговые письма, в которых вредоносный файл доставлялся потенциальной жертве как в виде вложения, так и по ссылкам на репозитории GitHub или на домены, регистрируемые VasyGrek.
Вредоносный файл представлял собой архив с исполняемым файлом внутри или сразу исполняемый файл PureCrypter, которое имеет возможность доставлять на систему жертвы последующие стадии и внедрять полезные нагрузки в нужные процессы.
Стадии могли как загружаться с внешних ресурсов, так и храниться локально в зашифрованном виде. VasyGrek отдавал предпочтение инструментам от разработчика PureCoder, но иногда к ним в дополнение шла нетипичная полезная нагрузка - в ряде случаев Pay2Key.
В новом отчете F6 подробно остановились на инструментах и атаках VasyGrek в августе-ноябре 2025 года.
В частности, замечены некоторые изменения цепочек заражений: в качестве вложений писем вместо архивов с исполняемыми файлами внутри стали использоваться архивы с файлами BAT и VBS.
В цепочке с файлом VBS конечной полезной нагрузкой было вредоносное ПО PureHVNC, но для его доставки вместо привычного PureCrypter использовался другой загрузчик - powershell stego downloader.
Он использовался разными атакующими, в частности, неоднократно был замечен в арсенале группы Sticky Werewolf.
Группа использовала его для доставки полезных нагрузок Ozone RAT и Darktrack и инжектировала их в процесс RegAsm.exe.
За этот период VasyGrek атаковал российские компании из следующих сфер деятельности: промышленность, строительство, энергетика, сельское хозяйство, безопасность, торговля, финансы, информационные технологии, медиа, развлечения.
Злоумышленник продолжал использовать ранее зарегистрированные и регистрировал новые домены для загрузки вредоносного ПО.
В качестве С2 почти год использовал IP-адрес 195[.]26[.]227[.]209 (с декабря 2024), но в конце октября 2025 года сменил его на 195[.]26[.]225[.]113.
Все детали и IOCs из атак VasyGrek за август-ноябрь 2025 года - в отчете.
Исследователи Positive Technologies задетектили фишинговую активность хакерской группы NetMedved, которая атакует российские компании с использованием вредоносной версии NetSupport Manager (NetSupportRAT).
Первые фишинговые рассылки попали в поле зрения Позитивов в середине октября 2025 года. Отправления содержали архивы с набором приманок, имитирующих документооборот российских компаний, а также замаскированным вредоносным LNK.
В системе жертвы он запускал PowerShell в скрытом режиме с командой из тела LNK, в начале которой была вставлена последовательность из наборов букв, визуально похожих на слова. Затем подгружалась сборка System.Windows.Forms для проверок окружения и антианализа.
При этом перенос развернутой антианализ-логики непосредственно в командную строку LNK представляет собой характерную особенность (в типичных фишинговых сценариях все ограничивается командой запуска PowerShell без сложных проверок).
После антиотладочных проверок LNK инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows.
Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском, что обеспечивает закрепление в системе.
Состав архива помимо NetSupportRAT и приманки включает исполняемый набор библиотек для корректной работы вредоносного ПО и конфигурационный client32.ini с жёстко заданными доменами в качестве С2 и точек подключения клиента.
Характерной деталью является то, что используемая сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой.
Аналогичные экземпляры уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября атаки расширились за счёт использования домена metrics-strange[.]com (помимо уже засвеченного cdn-reserved[.]com) и структурно повторяли общую схему.
Одновременно с этим в первых числах ноября злоумышленники модифицировали цепочку, отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней.
Однако LNK стал работать иначе: в нем также присутствовала длинная последовательность символов, однако вместо скачивания PowerShell запускалась командная строка Windows, в которой выполнялся запрос finger к узлу api.metrics-strange[.]com.
Ключевой приём заключается в том, что вывод запроса целиком перенаправляется в cmd для исполнения, в результате чего код второй стадии динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Внутри кода реализуется проверка, после чего создаётся случайный путь в LocalAppData и с использованием копии curl под случайным именем для загрузки zip с домена metrics-strange[.]com, замаскированного под PDF.
Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, открывается документ-приманка, а через rundll32 запускается NetSupportRAT.
В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters.
Ретроспективный анализ связей между файлами конфигурации NetSupport RAT и архивами, позволил выявить фишинговую активность середины августа - начала сентября с доменом real-fishburger[.]com и вредоносными HTA.
Кроме того, были выявлены инфраструктурные пересечения кампании с ранее зафиксированными атаками Lumma Stealer и NetSupportRAT, где использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения приманок и вредоносного ПО.
На основе указанных пересечений этот кластер был обозначен Позитивами как TA NetMedved: Net отражает использование NetSupportRAT, а Medved - отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Shai-Hulud вернулся с новой волной атакой на цепочку поставок, заразив 640 пакетов NPM.
Причем обновленная самовоспроизводящаяся версия червя обладает разрушительными возможностями: стирает содержимое домашнего каталога, если не может распространиться на другие репозитории.
Первая итерация Shai-Hulud произошла еще в середине сентября, тогда под раздачу попало более 180 пакетов, что привело к раскрытию учетных данных GitHub, NPM, AWS и Google Cloud, ключей Atlassian и ключей API Datadog.
После запуска на системе жертвы вредоносная ПО искала токены NPM, обобщала пакеты, к которым у жертвы есть доступ, внедряла в них скрипт после установки для своего распространения, переупаковывала их, а затем публиковала версии вредоносных пакетов в репозитории.
В течение нескольких дней Shai-Hulud скомпрометировала десятки учётных записей разработчиков, опубликовав более 700 версий вредоносных пакетов.
Собранная конфиденциальная информация жертв публиковалась в публичных репозиториях, также данные из приватных репозиториев переносились в публичные.
Исследователи предупреждают, что в новой версии атаки на цепочку поставок, запущенной на выходных, червь Shai-Hulud стал еще более агрессивным и обновился, получив разрушительные возможности.
Как отмечают в Wiz, в отличие от предыдущей версии, новые образцы Shai-Hulud используют для распространения предустановленные скрипты пакетов NPM, что значительно расширяет горизонт поражения на машинах разработки и конвейерах CI/CD.
Червь распространяет два файла: setup_bun.js и bun_environment.js, которые содержат загрузчик и полезную нагрузку соответственно.
Он также добавляет несколько рабочих процессов GitHub Actions, включая бэкдор, поддерживающий выполнение команд, инициированных через обсуждения в репозитории GitHub.
В свою очередь, JFrog заметила, что после заражения DNS-сервер системы перехватывается.
Если червь не находит токены GitHub или NPM для злоупотребления, он выполняет функцию очистки, удаляя все пользовательские данные в Windows, а также стерая все файлы и пустые каталоги в системах на базе Unix.
В Upwind обнаружили, что вредоносная ПО также запускает привилегированные контейнеры Docker и изменяет файлы sudoers, чтобы получить права root для повышения привилегий.
Wiz и Upwind заявили, что идентифицировали более 25 000 вредоносных репозиториев, опубликованных вредоносным ПО.
Wiz предупредила, что каждые 30 минут публикуется около 1000 новых пакетов.
Как и в сентябре, Shai-Hulud стремится собрать секреты разработчиков, включая токены, файлы cookie и данные локального рабочего пространства, которые он загружает в репозитории GitHub под контролем злоумышленников.
Как поясняет ReversingLabs, репозитории, связанные с утечкой данных и связанные с атакой, имеют случайные названия и описание Sha1-Hulud: Second Coming.
Компания выявила 27 000 таких репозиториев.
В отличие от предыдущей версии, новая версия Shai-Hulud может заразить до 100 пакетов NPM, поддерживаемых любой из жертв.
При этом первым троянизированным пакетом, распространяющим червя, мог быть asyncapi/specs, количество загрузок которого в неделю составляет около 1,4 млн.
Aikido сообщает, что обнаружила 36 пакетов AsyncAPI, которые были троянизированы.
Злоумышленники внедрили вредоносный код в сотни пакетов NPM, включая крупные пакеты Zapier, ENS, AsyncAPI, PostHog, Browserbase, Postman и др.
Если разработчик устанавливает один из этих вредоносных пакетов, вредоносное ПО незаметно запускается во время установки, ещё до того, как что-либо будет установлено. Общее количество ежемесячных загрузок скомпрометированных пакетов превышает 130 миллионов.
Как отмечает Upwind, серьезную угрозу новой атаке на цепочку поставок представляют скорость и автоматизация, превращающие каждого зараженного в точку усиления.
Украденные токены мгновенно используются для повторной публикации вредоносных пакетов и внедрения мошеннических рабочих процессов, превращая Shai Hulud 2.0 в червя всей экосистемы, а не в изолированный инцидент в цепочке поставок.
Positive Technologies представила обширный отчет в отношении связанной с Китаем APT31, которая отметилась целевыми атаками на российский ИТ (прежде всего подрядчики и интеграторы для госсектора) в 2024-2025 гг.
Уникальность этой кампании заключалась в продуманной тактике злоумышленников, которая позволяла им долгое время оставаться необнаруженными.
Группа также известна как Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres и Violet Typhoon (ранее Zirconium) и, предположительно, действует как минимум с 2010 года.
За это время хакеры атаковали широкий спектр целей, включая правительственные учреждения, аэрокосмическую и оборонную промышленность, высокие технологии, строительство, машиностроение, телекоммуникации, СМИ, финансы и страхование.
Основная мотивация APT31 - кибершпионаж, в части сбора перспективной развединформации политического, экономического и военного характера в соответствии со стратегическими интересами Поднебесной.
Атаки на российском направлении характеризуются использованием легитимных облачных сервисов, предпочтительных в стране (таких как Yandex Cloud), для инфраструктуры C2 и маркированием эксфильтрации под обычный трафик для уклонения от обнаружения.
Подчеркивая особую изощренность злоумышленника, Позитивы отмечают, что хакеры размещали зашифрованные команды и полезную нагрузку в профилях соцсетей, а также практиковали атаки в выходные и праздничные дни.
Как минимум в одной атаке на IT-компанию, APT31 взломала её сеть ещё в конце 2022 года, а затем активизировала свою деятельность в период новогодних праздников 2023 года.
В рамках другого взлома в декабре 2024 года злоумышленники отправили фишинговое письмо с RAR-архивом, который, в свою очередь, включал LNK, отвечающий за запуск загрузчика Cobalt Strike, названного CloudyLoader, посредством загрузки DLL-библиотеки.
Подробности этой активности ранее были задокументированы исследователями Лаборатории Касперского в июле 2025 года, которые также выявили некоторые совпадения с кластером угроз, известным как EastWind.
Кроме того, исследователи обнаружили приманку в виде ZIP-архива, замаскированного под отчет МИД Перу, с целью в конечном итоге - запустить CloudyLoader.
Персистентность достигалась за счёт настройки запланированных задач, имитирующих работу легитимных приложений, таких как Яндекс.Диск и Google Chrome.
Для реализации последующих этапов атаки APT31 задействовала внушительный набор как сторонних (для перемещения по сети и разведки), так и собственных инструменты. При этом маскируя их под легитимное ПО.
Среди детектированных утилит и штаммов вредоносных ПО отмечены следующие: SharpADUserIP, SharpChrome.exe, SharpDir, StickyNotesExtract.exe, Tailscale VPN, Owawa, AufTime, COFFProxy, VtChatter, OneDriveDoor, LocalPlugX, CloudSorcerer и YaLeak.
В Positive Technologies отмечают, что APT31 постоянно пополняет свой арсенал, однако не отказывается от использования некоторых из своих старых инструментов, многие из которых настроены на работу в режиме сервера, ожидая подключения злоумышленников к зараженному хосту.
Группировка APT31 остается активной и по сей день. Их атаки остаются такими же продуманными - от времени атаки и до сценария команд.
Технические подробности и IOCs - в отчете.
Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
D-Link под конец недели предупреждает пользователей о трех RCE-уязвимостях, которые затрагивают все модели и аппаратные версии ее одного из самых популярных маршрутизаторов DIR-878, который уже снят с производства, но все еще продается по всему миру.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
Исследователи Google GTIG сообщают об обнаружении ранее незадокументированной вредоносной ПО BadAudio, которая задействовалась связанной с Китаем APT24 в ходе трехлетней шпионской кампании с весьма сложными вариантами атак.
Вредоносное ПО доставлялось жертвам различными способами, включая фишинг, взлом цепочки поставок и в атаках «на водопой».
С ноября 2022 по сентябрь 2025 года APT24 взломала более 20 легитимных сайтов из различных доменов, внедрив вредоносный JavaScript, который выбирал посетителей, представляющих для них интерес. Основное внимание уделялось системам Windows.
Как выяснили исследователи, скрипт собирал фингерпринты, подпадающие под критерии атаки, загружал фейковое всплывающее окно с предложением обновить ПО, побуждая пользователя загрузить BadAudio.
Начиная с июля 2024 года группа несколько раз взломала компанию в сфере цифрового маркетинга на Тайване, которая реализует библиотеки JavaScript для клиентских веб-сайтов.
Это позволило им внедрить вредоносный JavaScript в широко распространённую библиотеку компании.
Зарегистрировав доменное имя, выдававшее себя за легитимную сеть CDN, злоумышленники скомпрометировали более 1000 доменов.
С конца 2024 года по июль 2025 года хакеры неоднократно атаковала одну и ту же маркетинговую компанию, внедряя вредоносный, запутанный JavaScript-код в модифицированный JSON-файл, который загружался отдельным JavaScript-файлом от того же поставщика.
После запуска он сканировал каждого посетителя сайта и отправлял на сервер злоумышленников отчет в кодировке base64, что позволяло выборочно направлять ответ с URL-адресом следующего этапа.
Параллельно с этим, начиная с августа 2024 года, группировка начала практиковать фишинговые атаки, в ходе которых вредоносное ПО BadAudio распространялось с использованием в качестве приманки электронных писем якобы от зоозащитных организаций.
В некоторых вариантах таких атак APT24 использовала легитимные облачные сервисы Google Drive и OneDrive, для доставки вредоносного ПО вместо собственных серверов.
При этом многие попытки детектировались и сообщения улетали в спам. Однако в ряде случаях электронные письма содержали пиксели для отслеживания, позволяющие подтвердить открытие получателем письма.
Вредоносная ПО BadAudio сильно запутана для защиты от обнаружения и анализа.
Выполнение осуществляется посредством перехвата порядка поиска DLL - метода, который позволяет легитимному приложению загружать вредоносную полезную нагрузку.
При разработке BadAudio применялся метод сглаживания потока управления - сложная техника обфускации, которая систематически запутывает естественную структурированную логику программы.
Он заменяет линейный код серией разрозненных блоков, управляемых центральным «диспетчером» и переменной состояния, что вынуждает аналитиков вручную отслеживать каждый путь выполнения и существенно затрудняет и автоматизированную, и ручную реверс-разработку.
После запуска на целевом устройстве BadAudio собирает сведения о системе (имя хоста, имя пользователя, архитектуру), шифрует информацию с помощью жестко запрограммированного ключа AES и отправляет ее на жестко запрограммированный адрес C2.
Затем загружает зашифрованную с помощью AES полезную нагрузку с C2, расшифровывает ее и запускает в памяти с помощью загрузки DLL.
В одном случае исследователи Google наблюдали развертывание Cobalt Strike Beacon через BadAudio, но подтвердить наличие маяка во всех инцидентах не удалось.
Следует отметить, что, несмотря на использование BadAudio в течение длительного времени, тактика APT24 позволяла сохранять его в значительной степени незамеченным.
Из восьми образцов только два были помечены как вредоносные более чем 25 антивирусными решениями на VirusTotal. Остальные, созданные 7 декабря 2022 года, детектировались лишь пятью.
GTIG полагает, что переход APT24 к более скрытным атакам подчеркивает достаточно широкие оперативные возможности злоумышленника и его способностью к постоянному и адаптивному шпионажу.
GreyNoise фиксирует резкую активизацию вредоносного сканирования, нацеленного на порталы входа в систему VPN Palo Alto Networks GlobalProtect - увеличение в 40 раз за 24 часа, что указывает на начало скоординированной кампании.
Наблюдаемая активность, направленная на порталы Palo Alto Networks GlobalProtect, начала возрастать начиная с 14 ноября и в течение недели достигла самого высокого уровня за 90 дней.
Еще в начале октября GreyNoise сообщала о 500% увеличении числа IP, сканирующих профили GlobalProtect и PAN-OS Palo Alto Networks. Тогда 91% из них были классифицированы как «подозрительные», а еще 7% - как явно вредоносные.
Еще ранее, в апреле 2025 года, GreyNoise также наблюдала всплеск сканирований порталов входа в систему GlobalProtect, в котором задействовалось 24 000 IP, большинство из которых были классифицированы как подозрительные, а 154 - как вредоносные.
GreyNoise, с большой долей вероятности, полагает, что последняя активность связана с предыдущими кампаниями, основываясь на повторяющихся отпечатках TCP/JA4t, повторном использовании тех же ASN и согласованном времени всплесков активности в разных кампаниях.
Основная ASN, использованная в этих атаках, идентифицирована как AS200373 (3xK Tech GmbH), при этом 62% IP-адресов геолоцированы в Германии, а 15% - в Канаде. Вторая задействованная ASN - AS208885 (Noyobzoda Faridduni Saidilhom).
В период с 14 по 19 ноября GreyNoise зафиксировал 2,3 миллиона сеансов, направленных на URI */global-protect/login.esp на Palo Alto PAN-OS и GlobalProtect.
URI соответствует конечной точке веб-сайта, предоставляемой брандмауэром Palo Alto Networks, на котором работает GlobalProtect, и показывает страницу, на которой пользователи VPN могут пройти аутентификацию.
Попытки входа в систему в основном ориентированы на США, Мексику и Пакистан, при этом объемы попыток во всех этих странах схожи.
GreyNoise ранее подчеркивала важность реагирования на подобные манипуляции, ведь как показывает статистика, подобные всплески обычно предшествуют обнаружению новых уязвимостей в 80% случаев, причем для продуктов Palo Alto Networks эта корреляция оказалась еще сильнее.
Так что клиентам приготовиться, а мы продолжаем следить.
SolarWinds решила отметить пятилетний юбилей прославившей ее на весь мир атаки на Orion новыми критическими RCE, которые затрагивают ее корпоративное решение для передачи файлов Serv-U.
На этой неделе компания объявила о выпуске исправлений для трех критических уязвимостей.
Одна из них - CVE-2025-40549, связана с обходом ограничения пути и может быть использована злоумышленником с правами администратора для выполнения произвольного кода в каталоге.
Поставщик отметил, что в системах Windows уязвимость имеет «средний уровень серьезности» из-за «различий в обработке путей и домашних каталогов».
Вторая уязвимость, CVE-2025-40548, - это проблема с контролем доступа, которую может использовать злоумышленник с правами администратора для выполнения произвольного кода.
И, наконец, третья CVE-2025-40547 представляет собой логическую ошибку, позволяющую реализовать RCE злоумышленнику с правами администратора.
SolarWinds отметила, что для обеих уязвимостей CVE-2025-40547 и CVE-2025-40548 их уровень серьезности в Windows - «средний», поскольку службы часто запускаются по умолчанию под учетными записями с меньшими привилегиями.
Три уязвимости безопасности затрагивают SolarWinds Serv-U 15.5.2.2.102 и были исправлены с выпуском версии 15.5.3.
Помимо этого компания также выкатила исправления для уязвимостей средней степени серьезности открытого перенаправления и XSS в Observability Self-Hosted.
В общем, юбилей отметили скромно, никого из «старых друзей» не позвали. Но они и без приглашения могут, раз уж такой праздник - без подарков точно не оставят.
Но будем посмотреть.
Британское агентство NHS England в сфере здравоохранения выпустило предупреждение об активной эксплуатации недавно исправленной уязвимости 7-Zip в реальных атаках, которая приводит к удаленному выполнению кода (RCE) в контексте учётной записи службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
Исследователи Positive Technologies в своем новом отчете подвели итоги работы по расследованию инцидентов за период с 4 квартала 2024 года по 3 квартал 2025 года (за предыдущий период - здесь и самая первая аналитика за 2021-2023 годы - здесь).
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
Fortinet выпустила обновления для второй обнаруженной в этом месяце 0-day в FortiWeb, которую злоумышленники активно используют в реальных атаках.
Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034.
Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI.
В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях.
В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости.
Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня.
Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации.
По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.
В Cloudflare заявили, что сбой в работе сервиса, который привел к значительным сбоям в работе клиентов во вторник, не был результатом хакерской атаки.
Напоминать о том, что произошло не будем, последствия инцидента затронули миллионы пользователей: Cloudflare обслуживает около 19% всех активных сайтов, а также Интернет-ресурсы 35% всех компаний из списка Fortune 500.
Сбои в работе ощутили сайты и других цифровых сервисов, связанных с критически важными организациями, в частности, New Jersey Transit, New York City Emergency Management, французскую ж/д компанию SNCF и многие др.
Не до конца разобравшись в сути проблемы, Cloudflare изначально отметила «всплеск необычного трафика», что навело на мысль, что сбой может быть результатом кибератаки.
Однако технический директор Cloudflare Дэн Кнехт во вторник утром опроверг эту версию.
В реальности оказалось, что была допущена ошибка в управлении сервисом в функции противодействия ботам после планового изменения конфигурации, которая распространилась на все другие системы.
Согласно хронометражу, Cloudflare приступила к расследованию инцидента в 11:48 UTC, а исправление было реализовано к 14:42 UTC, однако некоторые баги все еще наблюдались два часа спустя.
Похвально то, что в компании признали даже не саму ошибку, а согласились с тем, что реагирование не было должным образом оперативно реализовано.
Так что в Cloudflare пообещали причесать должным образом все инструкции на этот счет, дабы не допустить подобное в будущем.
По итогу, Мэтью Принс, соучредитель и генеральный директор Cloudflare, принес извинения и представил дополнительные подробности инцидента, который назвал самым масштабным сбоем в работе компании с 2019 года.
Не CrowdStrike Falcon, но все равно неприятно. Теперь последствия покататься от клиентов в обратную сторону.
Но будем посмотреть.
Солары представили результаты своего исследования, отмечая увеличение числа атакующих в 2025 году российские компании хакерских группировок более чем в 2 раза.
По данным исследователей, к ноябрю доля присутствия профессиональных хакерских групп в инфраструктурах российских компаний выросла до 35%, что на 10 п.п. больше, чем по итогам 2 квартала.
Анализ срабатываний сенсоров показал, что число заражений вредоносным ПО в 3-ем квартале 2025 года снизилось почти на 50% в сравнении со 2-ым, до 1,4 млн. Вместе с этим уменьшилось и число атакуемых организаций (на 19%, до 13,8 тыс.).
Тем не менее, интенсивность атак в целом продолжает расти - для сравнения, еще в 4-ом квартале 2024 года каждая компания сталкивалась с 40 заражениями вредоносным ПО против 99 за октябрь 2025 года.
В 3-ем квартале хакеры чаще пытались атаковать организации из сфер промышленности (27% сработок сенсоров, -5 п.п. в сравнении со 2‑ым кварталом), ТЭК (17%, + 6 п.п.), здравоохранения (17%, -1 п.п.) и госструктур (13%, + 6 п.п.).
Чуть меньше заражений было зафиксировано в IT-компаниях (11%), образовательных организациях (10%), кредитно-финансовой отрасли (4%) и телекоме (1%).
При этом за октябрь доля заражений ВПО в ТЭК и вовсе выросла до 30%, на здравоохранение - до 29%, а на госструктуры - до 26%. Остальные заражения пришлись на промышленность (6%), образование (4%) и другие отрасли.
Эксперты связывают рост интереса злоумышленников к ТЭК с их важностью для экономики и безопасности страны - они интересны как прогосударственным атакующим, так и киберпреступникам, которые хотят заработать на вымогательстве.
Большая часть сработок сенсоров пришлась на индикаторы присутствия APT (32% в 3-ем квартале, +7 п.п. в сравнении со 2-ым кварталом), стилеры (30%, -8 п.п.) и RAT (24%,+ 5 п.п.).
В октябре 2025 года доля присутствия профессиональных хакеров вовсе выросла до 36%, доля стилеров - до 32%, а RAT осталась примерно на том же уровне и составила 23%.
Изучение сложных кибератак профессиональных хакеров позволил выявить за 10 месяцев этого года 18 кластеров и APT-группировок - в прошлом году их было 8.
При этом фиксируется снижение активности проукраинских групп - например, инструментарий Shedding Zmiy был обнаружен лишь в 2% атак, а в прошлом году их доля присутствия составляла 37%.
В целом доля инцидентов с проукраинскими хакерами снизилась до 20%.
Главной целью продвинутых хакеров в этом году по-прежнему остается шпионаж (61%, + 7 п.п. год к году). Доля финансово-мотивированных атак снизилась на 3 п.п. год к году, до 17%, а хактивистских - на 11 п.п., до 11%.
Чаще всего группировки атаковали организации из госсектора (33%, -3 п.п. год к году) и промышленности (20%, +3 п.п. год к году). Также значительно выросло число расследований сложных атак в IT-отрасли - на 10 п.п. год к году, до 16%.
Кроме того, фиксируется всплеск атак профессиональных хакеров и в отрасли энергетики (9%).
При этом 27% сложных атак начинались через доверительные отношения - это в 3,3 раза больше, чем в прошлом году. Чуть чаще хакеры проникают в инфраструктуры через уязвимости (31%), скомпрометированные учетные данные (28%), а реже - через фишинг (14%).
Вместе с этим хакеры стали дольше сидеть в инфраструктурах жертв: доля сложных атак сроком от шести месяцев до года выросла на 12 п.п. год к году - до 19%, а от года до двух лет - на 8 п.п., до 14%.
Исследователи из Лаборатории Касперского выкатили новую квартальную аналитику в отношении развития информационных угроз в 3 квартале 2025 года (статистика по ПК - здесь, мобильная статистика - здесь).
Статистика по ПК в третьем квартале 2025 года выглядит следующим образом:
- решения ЛК отразили более 389 миллионов атак с различных интернет-ресурсов;
- веб-антивирус среагировал на 52 млн. уникальных ссылок;
- файловый антивирус заблокировал более 21 млн. вредоносных и потенциально нежелательных объектов;
- было обнаружено 2,2 тысячи новых модификаций шифровальщиков;
- почти 85 тысяч пользователей столкнулись с атаками шифровальщиков;
- 15% всех жертв шифровальщиков, данные которых опубликованы на DLS-сайтах группировок, пострадали от Qilin;
- более 254 тысяч пользователей столкнулись с майнерами.
Из главных тенденций и события квартала отмечены следующие:
1. Успехи правоохранителей:
- NCA в рамках расследования атаки шифровальщика во многих европейских аэропортах в сентябре 2025 арестовало первого подозреваемого.
- Минюст США предъявил обвинения администратору банд вымогателей LockerGoga, MegaCortex и Nefilim.
- Власти США изъяли активы и люксовый автомобиль у оператора Zeppelin.
- В ходе международной операции под флагом ФБР США ликвидирована инфраструктура BlackSuit.
2. Уязвимости и атаки:
- Исследователи фиксируют рост числа атак Akira на межсетевые экраны SonicWall с поддержкой SSL VPN. Компания связывает инциденты с уже исправленной CVE-2024-40766.
- Scattered Spider (UNC3944) атакует виртуальные среды VMware, выдавая себя за сотрудников компании.
- Замечены атаки на SharePoint-серверы с использованием цепочки уязвимостей ToolShell, затронувшие более 140 организаций по всему миру,
обнаружен вымогатель 4L4MD4R, основанный на коде Mauri870.
- Британский злоумышленник с помощью Claude создал и запустил платформу RaaS.
- Исследователи обнаружили шифровальщик, использующий LLM-модель непосредственно в ходе атаки, и дали ему название PromptLock (позже выяснилось, что PromptLock, вероятно, основан на их учебном проекте).
3. Наиболее активные группировки:
- Как и в прошлом квартале, самой продуктивной оказалась группа Qilin, чья доля выросла на 1,89 п. п. и составила 14,96%.
- Шифровальщик Clop снизил свою активность, а доля Akira (10,02%) незначительно выросла.
- На третье место поднялась группа INC Ransom (8,15%), действующая с 2023 года.
Что важно, на этот раз в ЛК в части мобильной статистики был модифицирован подход в подсчете статистических показателей на основе Kaspersky Security Network. Изменения коснулись всех разделов отчета, кроме статистики по установочным пакетам, на которую они не повлияли.
Для демонстрации динамики между отчетными периодами также были пересчитаны данные за предыдущие кварталы, поэтому они могут значительно отличаться от опубликованных ранее.
Основные показатели третьего квартала 2025 года:
- предотвращено 3,47 млн атак с использованием вредоносного, рекламного или нежелательного мобильного ПО;
- среди вредоносного ПО для мобильных устройств самой распространенной угрозой стали троянцы - с ними столкнулись 15,78% от всех атакованных пользователей решений Лаборатории Касперского;
- было обнаружено более 197 тысяч вредоносных установочных пакетов, из которых: 52 723 - относились к мобильным банковским троянцам, 1564 пакета - к мобильным троянцам-вымогателям.
Подробная инфографика, разбор наиболее актуальных трендов и много полезной инфы - в отчетах по ПК и мобильным устройствам (1 и 2 соответственно).
В США хакеры положили систему оповещения о чрезвычайных ситуациях, взломав платформу OnSolve CodeRED, что подтвердил ее разработчик - Crisis24.
Платформа CodeRED задействуется в работе федеральных и местных властей, полицейскими и пожарными по всей стране, позволяя оперативно информировать жителей о чрезвычайных ситуациях, погодных катаклизмах и доставки других важных сообщений.
В результате инцидента Crisis24 была вынуждена вывести из эксплуатации среду CodeRED, что привело к масштабным сбоям в работе всех ее пользователей.
Компания отметила, что атака ограничилась средой CodeRED и не затронула ни одну из других систем компании.
Тем не менее, в результате предварительного расследования также был установлен факт кражи данных с платформы.
Среди них - имена, адреса, адреса электронной почты, номера телефонов и пароли, используемые для пользователей CodeRED.
На текущий момент в Crisis24 заявляют, что пока не видели никаких признаков того, что украденные данные были публично опубликованы.
Поставщик активно восстанавливает работу, используя резервные копии от 31 марта 2025 года, так что отлаживать упущенное придется уже в ручном режиме, что определенно затянет процесс.
Официально Crisis24 упоминает о причастности к инциденту «организованной киберпреступной группы».
Однако в киберподполье ответственность за атаку уже взяла на себя банда вымогателей INC.
Хакеры уже отметили OnSolve на своем сайте DLS и опубликовали скрины, на которых, по всей видимости, фигурируют данные клиентов, включая адреса электронной почты и связанные с ними пароли в открытом виде.
Сами злоумышленники утверждают, что взломали системы OnSolve еще 1 ноября 2025 года и зашифровали файлы немного позже - 10 ноября.
После того, как переговоры по выкупу не удались, злоумышленники теперь намерены распродать данные в молотка.
Исследователи из Лаборатории Касперского в новом отчете анализируют методологию APT ToddyCat по получению доступа к служебной почте целевых компаний.
ToddyCat, действующая с 2020 года, имеет богатый опыт атак на различные организации в Европе и Азии с использованием различных инструментов, включая Samurai и TomBerBil, для обеспечения доступа и кражи файлов.
Ранее в апреле этого года хакерской группе приписывали эксплуатацию уязвимости в сканере командной строки ESET (CVE-2024-11859, CVSS: 6,8) для распространения вредоносного ПО под кодовым названием TCESB.
Помимо изучения самих инцидентов второй половины 2024 - начала 2025 года, в ЛК подробно остановились на том, как злоумышленники смогли реализовать новый вектор атаки с использованием специального инструмента под названием TCSectorCopy.
Вновь выявленная атака позволяет с помощью браузера пользователя получить токены для протокола авторизации OAuth 2.0, которые можно использовать вне периметра скомпрометированной инфраструктуры для доступа к корпоративной почте.
В атаках, наблюдавшихся с мая по июнь 2024 года, задействовалась версия TomBerBil на PowerShell (в отличие от версий C++ и C#, отмеченных ранее), которая позволяет извлекать данные из Mozilla Firefox.
Важной особенностью этой версии является то, что она работает на контроллерах домена от имени привилегированного пользователя и способна получать доступ к файлам браузера через общие сетевые ресурсы по протоколу SMB.
В ЛК отметили, что вредоносная ПО запускалась с помощью запланированной задачи, выполняющей команду PowerShell. В частности, она ищет историю браузера, файлы cookie и сохранённые учётные данные на удалённом хосте по протоколу SMB.
Несмотря на шифрование с помощью API защиты данных Windows (DPAPI) скопированных файлов с этой информацией, TomBerBil может перехватить ключ шифрования, необходимый для их расшифровки.
Предыдущая версия TomBerBil работала на хосте и копировала токен пользователя. В результате DPAPI использовался для расшифровки главного ключа в текущем сеансе пользователя, а затем и самих файлов.
В новой серверной версии TomBerBil копирует файлы, содержащие пользовательские ключи шифрования, используемые DPAPI. Используя эти ключи, а также SID и пароль пользователя, злоумышленники могут расшифровать все скопированные файлы локально.
Кроме того, установлено, что злоумышленники получают доступ к корпоративным электронным письмам в локальном хранилище Microsoft Outlook в виде файлов OST с помощью TCSectorCopy (xCopy.exe), обходя ограничения доступа к таким файлам при работе приложения.
Написанный на C++, TCSectorCopy принимает на вход файл для копирования (в данном случае OST-файлы), а затем открывает диск как устройство только для чтения и последовательно копирует его содержимое посекторно.
После записи OST-файлов в папку, выбранную злоумышленником, содержимое электронной переписки извлекается с помощью XstReader - программы с открытым исходным кодом для просмотра OST- и PST-файлов Outlook.
Другая тактика, применяемая ToddyCat, реализуется через получение токенов доступа непосредственно из памяти в случаях, когда жертва использовала облачный сервис Microsoft 365.
Веб-токены JSON (JWT) достаются с помощью инструмента SharpTokenFinder на C# с открытым исходным кодом, который считывает приложения Microsoft 365 для получения токенов аутентификации в виде простого текста.
Однако, как отмечают исследователи, злоумышленник столкнулся с неудачной попыткой как минимум в одном расследованном инциденте после того, как установленное в системе защитное ПО заблокировало попытку SharpTokenFinder создать дамп процесса Outlook.exe.
Чтобы нивелировать это ограничение, злоумышленник использовал инструмент ProcDump из пакета Sysinternals с определёнными аргументами для создания дампа памяти процесса Outlook.
В ЛК заключили, что APT ToddyCat постоянно совершенствует свои техники, ориентируясь на те, которые бы позволили скрыть следы доступа к корпоративной переписке внутри скомпрометированной инфраструктуры.
В ЛК большинство таких техник успешно детектируются, а IOCs и матчасть - в отчете.
🌐 Уязвимы ли Wi-Fi 6 (802.11ax) и Wi-Fi 7 (802.11be) к беспроводным атакам в 2025?
• Данный материал содержит практические примеры и актуальные методы для анализа безопасности Wi-Fi:
➡Защищён ли Wi-Fi последних стандартов от взлома. Пример взлома новых протоколов Wi-Fi в 2025;
➡Можно ли взломать современный Wi-Fi последних поколений?
➡Перевод беспроводного адаптера с поддержкой Wi-Fi 7 (802.11be) в режим монитора;
➡Захват рукопожатий и взлом паролей;
➡Использование Hashcat и John the Ripper;
➡Как выделить хеши для определённых точек доступа;
➡Возврат беспроводного сетевого интерфейса в управляемый режим;
➡Как противостоять атакам направленных на взлом пароля Wi-Fi.
➡ Читать статью [10 min].
• В дополнение ⬇
➡Пентест Wi-Fi - чек-лист, который содержит полезные советы и хитрости на тему пентеста Wi-Fi сетей;
➡Инструменты для пентеста Wi-Fi - объемный список инструментов для анализа защищенности Wi-Fi;
➡Wi-Fi CheatSheet - руководство, которое поможет вам разобраться в основах работы Wi-Fi;
➡Анализ безопасности Wi-Fi - исследование методологии взлома протоколов WPA2-Personal / Enterprise и WPA3: какие атаки и уязвимости существуют, и какой инструментарий применяется для их эксплуатации.
S.E. ▪️ infosec.work ▪️ VT
Исследователи Лабораторией Касперского обратили внимание на активно расширяющийся с середины 2025 года ботнет Tsundere, нацеленный на пользователей Windows.
В настоящее время подробности о том, как распространяется вредоносное ПО, мало.
Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.
При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.
По всей видимости, цели атак - пользователи пиратских версии игр.
Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.
Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.
Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.
Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.
Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.
Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.
После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.
Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.
Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.
Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.
По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.
Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.
Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.
Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.
Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.
По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.
Google пришлось дать комментарий изданию The Verge касательно статьи Malwarebytes, утверждая, что настройка «Умные функции и персонализация» (Smart features and personalization) отвечает на самом деле за давно существующие алгоритмы: автозаполнение (Smart Compose), выделение важных писем и сортировку по папкам «Промоакции»/«Соцсети».
По словам представителя корпорации, эти функции используют данные пользователей для обучения, чтобы адаптировать работу алгоритмов под конкретного пользователя (персонализация).
The Verge отмечает, что один из сотрудников издания (как и многие из нас) обнаружил, что его настройки smart features, от которых он отказался ранее, вдруг оказались включёнными без каких-либо явных уведомлений.
Отмечается, что опция «Smart features» нужна, чтобы Gemini получил доступ к вашим данным для персонализации сервисов, а также для обучения классических алгоритмов (автозамены, спам-фильтров), при этом Google юридически обязуется не скармливать ваши личные переписки нейросети Gemini для её глобального обучения.
Google прав в узком, юридически выверенном смысле, утверждая, что пользовательский контент в Gmail не используется для обучения общей модели Gemini. Речь идёт об обучении, но для персонализации.
Эксперты Malwarebytes правы в оценке рисков, утверждая, что письма и вложения действительно используются для обучения и совершенствования ИИ-алгоритмов, а отказ от участия требует определенных действий. Интерфейс и система уведомлений спроектированы так, что без бутылки крепкого напитка и широкой огласки рядовому пользователю крайне затруднительно во всем этом разобраться.
🤔Учитывая историю штрафов Google за нарушение приватности для максимальной безопасности эксперты советуют полностью отключить «Умные функции».
✒️ Стоить помнить, что окончательный выбор всегда остается за пользователем.
✋ @Russian_OSINT
И, наконец, апофеозом инцидента с 0-day Oracle E-Business Suite (EBS) стал взлом самой Oracle, которая фактически стала жертвой собственной CVE-2025-61882 благодаря банде Cl0p, которая на этом завершила очередную успешную делюгу после MOVEit, Fortra GoAnywhere и Cleo.
В четверг на DLS вымогателей появилась информация о компании из Остина, штат Техас.
При этом сам пост жертвы содержал небольшой объем информации: указан офис Oracle, адрес, номер телефона, веб-сайт, годовой доход в размере 59 млрд. долл. и отрасль промышленности.
Традиционно Cl0p также пометила публикацию своей «фирменной» подписью: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!».
Правда запись по Oracle позже исчезла, остались лишь скрины, которыми делились исследователи в X.
Возможным объяснением исчезновения компании с DLS можно полагать начавшиеся переговоры по выкупу, и вероятно, - успешные для клопов.
В целом, жертвами очередной кампании Cl0p EBS, стартовавшей еще в июле этого года, стали десятки компаний.
Задействованный эксплойт, по данным Google, успешно объединяет сразу несколько уязвимостей, включая 0-day CVE-2025-61882, позволив осуществлять неаутентифицированное RCE в Oracle EBS и похитить огромные объемы данных клиентов.
Впервые об уязвимости компания сообщила 2 октября. Большинство ее клиентов в течение нескольких месяцев фактически даже не знали о ней.
Осознание пришло только в августе, когда жертвы стали получать от банды электронные письма с требованием выкупа.
По началу Oracle пыталась оперативно cреагировать и даже выпустила исправление, но оно оказалось неэффективным. Затем последовал второй критический патч, однако многие из жертв на тот момент уже были на крючке Cl0p.
Среди наиболее известных из них оказались: британская NHS, Humana, Mazda, Mazda USA, Pheonix U, The Washington Post, Гарвардский университет, American Airlines Envoy Air, DXC Technology, Chicago Public Schools и многие др.
По всей видимости, отработав всех жертв из длинного списка, участники Cl0p решили символично подвести итоги кампании Oracle EBS, разместив на его последней строке главного «виновника торжества».
ThreaFabric расчехлила новый банковский троян для Android под названием Sturnus, который способен перехватывать сообщения мессенджеров со сквозным шифрованием, включая Signal, WhatsApp и Telegram, а также получать полный контроль над устройством.
Вредоносное ПО до сих пор находится на стадии разработки, но уже на этом этапе поддерживает функционал для атак в отношении ряда финансовых организациях в Европе.
Как отмечают исследователи, Sturnus - это более продвинутая угроза, нежели текущие штаммы вредоносных ПО для Android, использующая для связи с C2 комбинацию открытого текста, RSA и зашифрованного AES соединения.
Как уже отмечалось, троян может красть сообщения из защищенных приложений для обмена сообщениями после этапа расшифровки, захватывая содержимое с экрана устройства.
Нацеливание на учетные данные банковских счетов реализуется посредством HTML-наложений и включает в себя поддержку полного удаленного управления в режиме реального времени через сеанс VNC.
Заражение обычно начинается с загрузки вредоносных APK-файлов Android, замаскированных под приложения Google Chrome или Preemix Box.
Каналы распространения не установлены, но вероятнее всего это либо вредоносная реклама или рассылки в сообщениях.
После установки вредоносная программа подключается к C2 для регистрации жертвы посредством криптографического обмена.
Sturnus устанавливает зашифрованный канал HTTPS для команд и кражи данных, а также зашифрованный с помощью AES канал WebSocket для операций VNC в реальном времени.
Используя службы специальных возможностей, Sturnus реализует чтение текста на экране, фиксацию вводимых данных, мониторинг структуры пользовательского интерфейса, запуск приложений, нажатие кнопок, прокручивание страниц, ввод текста и управление телефоном.
Для обеспечения полного контроля над устройством, Sturnus получает права администратора устройства Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удаленно блокировать устройство.
При этом до тех пор, пока права администратора не будут отозваны вручную, обычное удаление или с помощью таких инструментов, как ADB, будут блокироваться, обеспечивая вредоносному ПО высокую персистентность.
При открытии WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для контроля содержания сообщений и разговоров, набранного текста и наименований контактов.
Поскольку вредоносная ПО использует журналы Accessibility Service, а не перехват сетевых данных, она способна считывать все, что появляется на экране в режиме реального времени.
Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям - все это, опят же с помощью специальных возможностей.
При необходимости Sturnus активирует черную накладку (например, фейковый процесс обновления) для выполнения скрытых от жертвы вредоносных операции в фоновом режиме, включая переводы, подтверждения, MFa, изменение настроек или установку новых приложений.
Исследователи отмечают, что Sturnus все еще находится на ранней стадии разработки и применяется редко в основном на пользователей в Южной и Центральной Европе, вероятно, для тестирования, избегая полномасштабных кампаний.
Тем не менее, сочетание богатого функционала, свойственного «топовым» вредоносным ПО для Android, и готовой к масштабированию архитектуры делают его весьма опасной угрозой.
Другая американская компания также присоединяется к поздравлениям по случаю юбилея Orion, анонсируя серьезную уязвимость безопасности SonicWall SonicOS SSLVPN, которая позволяет злоумышленникам отравить в DoS уязвимые межсетевые экраны.
Новая уязвимость отслеживается как CVE-2025-40601 и вызвана переполнением буфера в стеке, влияя на межсетевые экраны Gen8 и Gen7 (аппаратные и виртуальные).
Исправлена в версиях 7.3.1-7013 (Gen7) и 8.0.3-8011 (Gen8).
Уязвимость в службе SSLVPN в SonicOS позволяет удаленному неаутентифицированному злоумышленнику вызвать DoS, что может привести к сбою работы уязвимого брандмауэра.
При этом межсетевые экраны Gen6, а также продукты SSL VPN серий SMA 1000 и SMA 100 не подвержены атакам, потенциально нацеленным на эту уязвимость.
К настоящему времени SonicWall PSIRT не располагает информацией об эксплуатации уязвимости, равно как и о наличии общедоступного PoC-эксплойта.
Несмотря на это, SonicWall «настоятельно» призвала следовать рекомендациям, изложенным в бюллетене по безопасности.
Админам, не имеющим возможности оперативно накатить обновления, рекомендуется отключить службу SonicOS SSLVPN или ограничить доступ к брандмауэру SonicWall доверенными источниками.
Дабы не отставать от юбиляра SonicWall также устранила еще две уязвимости, затрагивавшие ее устройства безопасности электронной почты (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V).
Ошибки позволяют удаленным злоумышленникам получить возможность постоянного выполнения произвольного кода (CVE-2025-40604) и доступ к закрытой информации (CVE-2025-40605).
SonicWall настоятельно рекомендует пользователям продуктов Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V) немедленно обновиться.
Впрочем, клиентам SonicWall и без обновлений достается.
В сентябре компания раскрыла файлы резервных копий конфигураций брандмауэров клиентов, которые впоследствии узнали об этом после появления нежданных гостей в своей инфраструктуре.
Исследователи STRIKE из SecurityScorecard задетектили глобальную вредоносную кампанию, получившую название Operation WrtHug и нацеленную на устаревшие или вышедшие из эксплуатации маршрутизаторы ASUS WRT с использованием шести уязвимостей.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
Критическая уязвимость плагина W3 Total Cache (W3TC) для WordPress может быть использована для запуска PHP-команд на сервере посредством публикации комментария с вредоносной полезной нагрузкой.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
Исследователи из Венского университета сообщают о серьезных уязвимости в WhatsApp, благодаря которым им удалось без особых сложностей и каких-либо ограничений спарсить более 3,5 млрд. аккаунтов с привязкой к телефонам, аватаркам и даже ключам шифрования.
Признанная в России экстремистской Meta устранила проблему в октябре 2025 года, однако слитые посредством нее данные фактически представляют собой одну из крупнейших потенциальных утечек.
Свои выводы исследователи раскрыли в ходе презентации исследования на конференции NDSS 2026, которое проводилось с декабря 2024 года по апрель 2025 года.
Задействовав собственную инфраструктуру WhatsApp они спарсили данные со скоростью более 100 млн. телефонных номеров в час с помощью реверс-инжиниринга API.
Примечательно, что WhatsApp никак не отреагировала на столь высокую частоту запросов, которые при этом исходили с одного университетского сервера и всего пятя аутентифицированных учётных записей.
По итогу исследователям удалось отпарсить более чем 3,5 млрд. учётных записей пользователей, включая привязанные номера телефонов, фото профилей (если они были публичными), текст «о себе» и даже ключи шифрования, используемые для сквозного шифрования переписки.
Как отмечают исследователи, давно известная своей уязвимостью к атакам методом перебора функция поиска контактов, оставалась неисправленной в течение многих лет, несмотря на предыдущие исследования, проводившихся в 2012 году и повторно в 2021 году.
Отличительными особенностями нового исследования являются его беспрецедентный масштаб и скорость.
Команда разработала инструмент libphonegen, который сгенерировал реалистичный набор из 63 млрд. потенциальных номеров мобильных телефонов из 245 стран.
Затем эти емкости проверялись на предмет регистрации в WhatsApp по протоколу XMPP с помощью модифицированного клиента с открытым исходным кодом whatsmeow.
На пиковой скорости могли верифицировать по 7000 номеров в секунду, не сталкиваясь с блокировками.
По результатам парсинга выяснилось, что 56,7% аккаунтов по всему миру имели общедоступные фото, при этом в некоторых странах Западной Африки региональные различия достигали 80%.
29,3% имели видимые текстовые статусы, некоторые из которых раскрывали политические взгляды, религиозную принадлежность, сексуальную ориентацию или даже ссылки на внешние аккаунты в соцсетях.
Около 9% относились к категории бизнес-аккаунтов, часто из-за того, что из владельцы использовали WhatsApp Business, не понимая последствий раскрытия публичных данных.
Особую тревогу вызвало обнаружение 2,9 млн. случаев повторного использования открытых ключей, включая идентификационные ключи, подписанные предварительные ключи и одноразовые предварительные ключи, что негативно влияло целостность сквозного шифрования.
В одном случае 20 телефонных номеров в США использовали ключ, состоящий исключительно из нулей, что указывает на некорректную или вредоносную криптографическую реализацию, возможно, сторонних клиентов.
Получив уведомление по BugBounty еще в апреле 2025 года, Meta ввела более строгие ограничения лишь, начиная с октября.
Однако компания заявила, что раскрытые данные уже были общедоступны, и особо подчеркнула, что переписка по-прежнему защищена шифрованием.
Тем не менее, исследователи думают иначе и полагают, что принципиальная апробированная возможность создания глобальной базы данных пользователей, включая криптографические ключи, представляет существенный риск для безопасности пользователей.
📦 Диагностика безопасности контейнеров.
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
➡Trivy - эта утилита нацелена на нахождение уязвимостей двух типов – проблемы сборок ОС (поддерживаются Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) и проблемы в зависимостях. Trivy умеет сканировать как образ в репозитории, так и локальный образ, а также проводить сканирование на основании переданного .tar файла с Docker-образом.
➡Dockle - консольная утилита, работающая с образом (или с сохраненным tar-архивом образа), которая проверяет корректность и безопасность конкретного образа как такового, анализируя его слои и конфигурацию – какие пользователи созданы, какие инструкции используются, какие тома подключены, присутствие пустого пароля и т.д.
➡Hadolint - довольно простая консольная утилита, которая помогает в первом приближении оценить корректность и безопасность Dockerfile-ов (например использование только разрешенных реестров образов или использование sudo).
• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
S.E. ▪️ infosec.work ▪️ VT
Пока одна часть Microsoft упражнялась с Aisuru другая спасала пользователей Windows 10, пытаясь отладить установку расширенных обновлений безопасности (ESU) для пользователей, которые с первой же итерации столкнулись с проблемами при установке.
Традиционный патчинг патчинга снова в действий - уже даже после окончания поддержки Windows 10, которая завершилась 14 октября 2025 года.
Теперь Microsoft больше не представляет новые функции и не выпускает бесплатные обновления безопасности.
Для частных и корпоративных пользователей, желающих продолжить использование Windows 10, Microsoft представила расширенные обновления безопасности (ESU).
Но обещанное первое расширенное обновление безопасности для Windows 10, вышедшее в этом ноябре, так и не дошло до пользователей, столкнувшихся при установке с ошибкой 0x800f0922 (CBS_E_INSTALLERS_FAILED).
Так что Microsoft пришлось выпускать экстренное внеочередное обновление для Windows 10.
Теперь только после установки этого подготовительного пакета (KB5072653) пользователи десятки смогут развернуть обновление безопасности за ноябрь 2025 года (KB5068781).
Для установки обновления устройство должно работать под управлением Windows 10 22H2 и иметь установленное накопительное обновление KB5066791 за октябрь 2025 года.
Microsoft утверждает, что после установки обновления KB5072653 и перезапуска системы пользователям следует повторно запустить Центр обновления Windows, чтобы установить ноябрьское расширенное обновление безопасности.
Однако некоторые админы Windows сообщили [1 и 2], что WSUS и SCCM по ошибке указывают, что устройству Windows 10 требуется расширенное обновление безопасности, даже если оно правильно зарегистрировано в программе.
В свою очередь, Microsoft заявила, что выпустит новый Scan Cab с обновленными метаданными для этого обновления, чтобы обеспечить корректную проверку обновлений на соответствие требованиям, о чем немедленно уведомит тех, кто использует CAB-файлы.
В общем, все как обычно, и комментировать нечего.