Кадры

В ФБР заявили, что северокорейские фрилансеры всё чаще занимаются вымогательством.

Под видом перспективных IT-специалистов они устраиваются на работу в американские организации, получают доступ к их инфраструктуре и копируют код репозиториев компаний с GitHub в свои облачные хранилища.

Эти горе-сотрудники занимаются сбором конфиденциальных сведений, получают доступ к учётным данным и файлам cookie, чтобы запускать рабочие сеансы с личных устройств. Это помогает шантажировать руководителей и вымогать у них деньги.

Об одном из таких случаев мы уже рассказывали, похожий инцидент произошел во Флориде. Тогда северокорейский сотрудник с ИИ-портфолио в первый же рабочий день заразил малварью свой корпоративный ноутбук.

НеКасперский

«Базис» и ИСП РАН обнаружили уязвимости в открытом коде для виртуализации

Они протестировали open source элементы, применяемых в решениях по виртуализации, в том числе от самого Базиса. В результате партнеры нашли почти две сотни дефектов в коде, некоторые из которых можно охарактеризовать как уязвимости.

Исследование проходило при помощи фаззинг-тестирования – за счет него выявлено 5 дефектов в Apache Directory LDAP API и 8 в библиотеке libvirt, которой уделили особое внимание libvirt. Библиотека предоставляет API для управления виртуальными машинами, поэтому сбой в ее работе может нанести ущерб инфраструктуре и привести к утечке конфиденциальной информации. Большая часть дефектов приводили к переполнению буфера.

Специальное разработанные фаззинг-тесты для наиболее критичных компонентов открытого ПО доступны в соответствующих проектах на GitLab-портале Центра исследований безопасности системного ПО.

Применили и статический анализ. С его помощью выявлены еще 178 дефектов в коде, после чего создано 86 исправлений, преимущественно для популярного брокера сообщений ActiveMQ Artemis и сервера каталогов Apache Directory.

Если исправления примут в основные ветки и учтут при следующих обновляениях, то OS-продукты, используемые Базисом, станут безопаснее и качественнее. Хочется надеяться, что подобные усилия станут распространенной практикой в российской ИТ-индустрии.

НеКасперский

Трио

Мы уже привыкли слышать новости о том, что Китай следит за гражданами других стран с помощью кибератак. Однако, не всегда для слежки требуются подготовленные хакеры. Иногда хватает примитивных подходов.

Власти Филиппин арестовали трёх преступников, подозреваемых в шпионаже на местных объектах КИИ. Двое задержанных оказались местными, один из пособников является гражданином Китая. Под видом разработчиков беспилотного транспорта они помогали КНР наблюдать за действиями сил национальной обороны.

Участники этого трио установили на своём автомобиле оборудование для слежки. В течение месяца они разъезжали по Маниле и острову Лусон, чтобы собрать сведения о военных и полицейских лагерях, местных правительственных учреждениях, электростанциях и даже торговых центрах.

В результате ареста у них изъяли ИКТ-оборудование, на котором хранились топографические кадры, изображения объектов критически важной инфраструктуры и другие конфиденциальные данные.

Причиной инцидента могло стать обострение взаимоотношений Филиппин и КНР на фоне споров из-за стратегического водного пути в Южно-Китайском море. Не исключено, что незаконно полученные данные могут быть использованы в военных целях.

Тем не менее представители посольства КНР заявили, что обвинения гражданина Китая в шпионской деятельности на Филиппинах являются беспочвенной спекуляцией.

Google Maps отдыхает 😎

НеКасперский

Восстание мертвецов

Мы обычно про фишинг не пишем, но в Innostage заметили что-то уж очень уникальное.

Сотрудников компании закидали фишинговыми письмами с легитимного домена реальной компании. Если банально прогуглить Торгсервис, то в подлинности убедишься, эти домены размещены на официальном сайте.

Вся суть в том, что хоть компания и реальная, но была ликвидирована ещё в начале 2010-х. Её зомби-домен злоумышленники использовали для рассылки RDP-файлов, но почему-то от имени министерства цифрового развития.

НеКасперский

Очепятка

В Mastercard при настройке DNS сети своего подрядчика Akamai, из-за чего несколько лет открывали плацдарм для хакеров.

Они пропустили одну букву и вместо «akam.net» в одном из серверов написали «akam.ne». С июня 2020-го этот ляп спокойно оставался незамеченным, пока один ИБ специалист не выкупил одноимённый домен Нигер за $300. Он поднял там свой DNS-сервер и обнаружил аномально большой поток запросов из разных стран.

Благодаря опечатки злоумышленники могли проворачивать MITM — перехватывать почту, выдавать SSL/TLS-сертификаты и подменять трафик. Ошибка на одном из пяти DNS-серверов Mastercard, но риск немалый. Минимум 20% всех запросов к основным серверам компании могли оказаться в чужих руках.

Более того, существует предположение, что домен итак использовался в качестве атак, потому что таковой был зарегистрирован в Нигере с 2015 по 2018.

Mastercard хоть и не сразу, но поправила проблему. Всё, что компенсировали исследователю — $300, потраченные на покупку домена. 🙂

НеКасперский

Ведро с дыркой

Настройка path-style запросов к S3 через nginx преподносит сюрприз.

Если в нормализованном пути обнаружится символ переноса строки — %0A, то правило rewrite может пропустить этот фрагмент и отдать управление чужому бакету. Ведь S3 не воспринимает %0A как нечто незаконное, позволяя загрузить объект с именем foo%0Abar и весёлой XSS-вставкой внутри.

Пикантность возрастает, когда в конфиге используется location /static/ с rewrite и proxy_pass без указания пути. Комбинация ../ и %0A оставляет лазейку для эксплуатации. Если объектное хранилище ещё и публичное, злоумышленник легко создаст собственный бакет и внедрит скрипт.

НеКасперский

Нездоровый расклад

Выяснилось, что мартовская атака на Change Healthcare задела целых 190 миллионов человек. Это почти вдвое больше первоначальных чисел!

Из Change утащили не только стандартные ФИО и номера соцстрахования, как заявлялось. Вместе с ними ушли целые горы диагнозов, результатов анализов, страховок и даже финансовых сведений.

Киберпреступники начали шантаж ещё весной. Компания сначала выплатила выкуп, но глава группировки «пропал», и вымогатели потребовали ещё больше денег. В итоге Change пришлось платить повторно, чтобы предотвратить дальнейшую публикацию.

Инцидент оказался не только крупнейшим, но и самым дорогостоящим среди всех утечек США.

НеКасперский

Яблочный штрудель

Исследователи из Технологического института Джорджии и Рурского университета опубликовали детали сразу двух новых атак — FLOP и SLAP. Их целью являются спекулятивные механизмы современных чипов Apple, включая поколения M2/A15 и выше.

Атаки используют JavaScript или WebAssembly в браузере и позволяют перехватывать личные данные. Под удар попали макбуки, выпущенные с 2022 года, настольные Маки — с 2023-го и iPhone, вышедшие после 2021 года.

Авторы находок сообщают, что неверные прогнозы памяти во время спекулятивного исполнения помогают выйти за границы безопасной области, чтобы прочесть или изменить чужие сведения. Компания уже признала проблему и готовит обновление безопасности. Пока же единственное средство снижения угрозы — отключить JavaScript, но, само собой, многие сайты перестанут работать.

Исследователи сообщили о уязвимостях ещё в прошлом году, Apple согласилась с выводами и пообещала патч в ближайших апдейтах.

НеКасперский

ДрипСик

Нейросеть, которая ещё вчера крутилась во всех лентах, вдруг выдала сюрприз.

Исследователи из Wiz наскочили на открытую ClickHouse-базу у DeepSeek, доступную без пароля и логина. Внутри – секретные ключи, логи чатов и прочие внутренние материалы, которые в идеале должны сидеть за семью замками.

После новости DeepSeek оперативно закрыли базу, а команда безопасности уже занялась расследованием. Но кому хочется, чтобы личная переписка и конфиденциальные данные оказались на всеобщее обозрение?

НеКасперский

Латинская драма

На BreachForums выложили базу Universidad Peruana de Ciencias Aplicadas. Это одно из самых престижных учебных заведений Перу, но статус не уберег его от серьёзного взлома.

В общий доступ попало свыше 25 ГБ с именами, контактами и фотографиями. Теперь любой может получить целый спектр личных сведений под спам и фишинг.

Руководство учреждения, разумеется, никаких действий не предприняло. Они в целом проигнорировали факт утечки. Ни подтверждений, ни опровержений от них не последовало.

НеКасперский

Колючий

Мы уже упоминали старую дыру в Cacti. Теперь обнаружены новые сюрпризы.

Первый связан с многострочным анализом SNMP, где вредоносные OID проникают в системный вызов. Если пользователь с правами управления устройством добавит некорректную строку, Cacti обработает её и запустит чужой код. Всё происходит через функции ss_net_snmp_disk_io и ss_net_snmp_disk_bytes, которые используют часть OID как ключ массива для команды.

Вторая уязвимость опирается на пробелы в экранировании rrdtool. Злоумышленник формирует несколько переходов на новую строку, чтобы оторваться от исходной команды и записать произвольный PHP-файл в корень приложения.

В версии 1.2.29 эти проблемы закрыты.

НеКасперский

Бог любит троицу

Наш старый «друг» на коде Mirai появился уже в третьей итерации.

Теперь он атакует SIP-телефоны Mitel и умудряется шепнуть операторам, если кто-то пытается его прикончить. Такой фокус редко встретишь у обычных ботнетов, но тут, видимо, полный контроль во главе угла.

Протекает всё через уязвимые эндпоинты вроде 8021xsupport.html. Вредонос скачивает исполняемые файлы, меняет права на 777 и успевает замести следы. Дальше ботнет пробует зацепиться за другие баги. Кроме того, стандартный брутфорс SSH и Telnet.

В общем, новая армия IoT-устройств под командой для DDoS.

НеКасперский

Блефуют?

От атаки злоумышленников пострадала ведущая аэрокосмическая и оборонная фирма со штаб-квартирой в Миссисипи Stark Aerospace.

Участники группировки INC Ransom заявили, что в их арсенале файлы объёмом 4 ТБ, украденные у подрядчика Минобороны США.

По их словам, в списке скомпрометированных данных содержатся ПДн сотрудников, проектная документация, научные разработки, информация о контрактах с другими военными ведомствами, исходные коды ПО, в том числе прошивки для всех типов БПЛА. В качестве доказательств преступники предоставили около 40 образцов файлов.

Также им удалось получить доступ к спутникам, производственным программам и документации материнской компании IAI North America, связанной с израильской фирмой по разработке технологий в области аэрокосмической и оборонной промышленности Israel Aerospace Industries Ltd.

Теперь вымогатели требуют у пострадавшей компании выкуп, сумма и сроки уплаты которого не разглашаются. В противном случае, они сольют все эти данные «заинтересованным» лицам.

НеКасперский

Рука на пульсе

Специалисты из CISA сообщили о серьёзной уязвимости в медицинских мониторах для пациентов Contec CMS8000 и Epsimed MN-120.

Бэкдор использовался для загрузки и выполнения вредоносных файлов, он позволял злоумышленникам управлять устройствами, отключать их, а также собирать сведения, по которым можно идентифицировать пациента. Имя врача и личная информация лечащегося отправлялись на удалённый IP-адрес предположительно в Китае.

Эксперты считают, что брешь возникла не из-за автоматического обновления. По их мнению, брешь была встроена в прошивку мониторов с самого начала.

После предупреждения об опасности, компания выпустила обновления. Однако избавиться от проблемы не удалось, потому что каждая версия содержала уязвимость.

В итоге медицинские организации вынуждены отключить эти устройства от сети или вовсе отказаться от их использования.

НеКасперский

Роутерс

Злоумышленники всё чаще используют уязвимости в роутерах для проведения атак на IoT-устройства. Одна из таких кампаний связана с ботнетом Raptor Train, созданным на основе SOHO.

Специалисты обнаружили его в ещё мае 2020 года, он быстро разросся и успел затронуть сотни тысяч гаджетов по всему миру, в том числе IP-камеры, сетевые хранилища и маршрутизаторы.

Армия позволяла злоумышленникам передавать файлы, выполнять команды, совершать DDoS-атаки и маскировать свой трафик. По мнению исследователей, она была создана китайской APT-группировкой Flax Typhoon.

В результате атак на уязвимые роутеры преступники могут получить доступ к множеству IoT-устройств. Мы неоднократно рассказывали о последствиях взломов маршрутизаторов таких производителей, как ASUS, Synology, DrayTek, TP-Link и др.

В США даже приняли решение создать проект ROUTERS, в рамках которого будет проведена проверка сетевого оборудования, созданного компаниями из Северной Кореи, России, Ирана, Китая, Венесуэлы и Кубы на предмет наличия бекдора и неисправленных уязвимостей.

НеКасперский

Total Security

Телефонные мошенники кинули топ-менеджера Лаборатории Касперского на 10 миллионов рублей.

Советнику гендира по образовательным проектам позвонили парни из Днепра. Они представились руководителями службы безопасности, сотрудниками Росфинмониторинга и силовых структур.

Скамеры сообщили мужчине, что кто-то его взломал и пытается отправить все деньги на помощь Украине. Мошенники сыграли свои роли так убедительно, что высокопоставленный эксперт перепугался и тут же принялся спасать свои средства. Он снял с банковского счёта 10 миллионов рублей, а затем передал их курьерам в Санкт-Петербурге и Москве.

Лаборатория Касперского входит в четвёрку мировых производителей программных решений для обеспечения информационной безопасности. Компания систематически раздаёт пользователям советы о том, как защитить себя в Интернете.

Видно, сотрудники сами эти лекции не слушают 🤭

НеКасперский

Клин клином

Мы ещё не отошли от предыдущего сюрприза как инфополе снова загудело от новостей, связанных с DeepSeek.

В Positive Technologies сообщили, что злоумышленники используют зловред под видом нашумевшего китайского чат-бота.

Юзер, создавший учётную запись bvk в июне 2023 года, впервые проявил активность в сети 29 января 2025 года. В этот день он зарегистрировал вредоносные пакеты deepseeek и deepseekai в репозитории Python Package Index.

После установки и запуска регистрируемой консольной команды, они собирают, информацию о пользователе, его компьютере и крадут переменные окружения. В них могут содержаться конфиденциальные сведения по типу API-ключей для S3-хранилища и учётных данных от БД.

Создатель этих пакетов использовал платформу для разработчиков Pipedream в качестве контрольного сервера, в который выгружаются данные. Код создан с помощью ИИ, об этом свидетельствуют комментарии, объясняющие строки кода.

Несмотря на то, что пакеты были оперативно удалены, их уже успели скачать сотни раз.

НеКасперский

Неудачно

Новая хакерская группировка использует уязвимость в DameWare Mini Remote Control и умудряется вырубать антивирус с помощью собственного драйвера.

Их Reverse Shell на Java почти не замаскирован, адрес C2 хранится в открытом виде вместе со ссылкой на GitHub. Аналитики заметили, что злоумышленники эксплуатировали RCE, позволяющую запускать код от имени LocalSystem. В результате, помимо RS, в атаках применяли и QuasarRAT для закрепления доступа, но ошибка при создании задачи «Run only when user is logged on» приводила к остановке активности после перезагрузки системы.

Народное «что-то сломалось — перезагрузи» заиграло другими красками 😉

НеКасперский

Чёрная кошка

Вопреки легендам о защищённости IOS-устройств, специалисты из Лаборатории Касперского обнаружили вредонос, способный сливать ваши фотографии.

SparkCat таится в как минимум двадцати поддельных приложениях. Он сканирует фотографии с помощью оптического распознавания символов. Если находит seed-фразу для криптокошелька, пароли, токены или другие секреты, то отправляет снимок на сервер. Выяснилось, что на iPhone это первый подобный случай. В Google Play, например, это распространённая практика. Там фальшивые программы скачали свыше 242 тысяч раз, а статистика по iOS неизвестна.

Главный признак атаки — внезапный запрос доступа к вашим фотографиям. Никогда не доверяйте подозрительным сервисам.

НеКасперский

Бывает

Google нашли в процессорах AMD уязвимостью, которая позволяет изменять код самих чипов!

Проблема кроется в SEV-SNP и позволяет при наличии прав администратора и определённых условиях подменять микрокод в процессорах. Как итог, гость под SEV-SNP может утратить и конфиденциальность, и целостность.

В основе дыры лежит несовершенная проверка подписи. Злоумышленник способен загрузить вредоносный патч в CPU, обойти защитные рубежи и проникнуть глубже, чем того хотела бы архитектура. AMD уже выпустила обновления микрокода для всех затронутых платформ, например, Naples, Rome, Milan и Genoa.

Специалисты подчеркивают, что дальнейшие детали появятся лишь через месяц, чтобы дать производителям время устранить уязвимость по всей цепочке.

НеКасперский

Что по цифрам?

Эксперты CURATOR (до ноября 2024 — Qrator Labs) выпустили годовой отчет “DDoS-атаки, боты и BGP-инциденты в 2024 году: статистика и тренды”, в котором собрали самые важные факты об угрозах прошедшего года. Внутри много интересного, вот основные цифры📝

📈 Рост DDoS-атак
• Общее число DDoS-атак выросло на 53% по сравнению с 2023 годом
• Рекордная атака достигла 1,14 Тбит/с, на 65% больше прошлогоднего рекорда
• Самая длительная атака продолжалась 19 дней (в 2023 году — 3 дня)
• Крупнейший ботнет года — 227 тыс. устройств (в 2023 году — 136 тыс.)

🏦 Кого атаковали чаще всего
• Наибольшее число L3-L4 атак: Финтех (25,8%), Электронная коммерция (20,5%) и Медиа (13,5%)
• 52% всех L7 атак пришлось на Финтех, на втором и третьем местах — Электронная коммерция (18%) и ИТ и Телеком (9,6%)

🤖 Боты
• Среднемесячная активность ботов выросла на 30%
• Чаще всего атаковали Онлайн-ритейл — 36,2% от всей бот-активности

🌍 Страны-источники DDoS-атак
1. Россия — 32,4%
2. США — 20,6%
3. Бразилия — 5,8% (Китай выпал из топ-3)

🌐 BGP-инциденты
• Рост BGP route leaks — на 10%, BGP hijacks — на 24%
• Глобальные инциденты: +59% route leaks
• Один из успехов: предотвращение глобальной утечки маршрутов с использованием стандарта RFC 9234, разработанного экспертами CURATOR вместе с IETF

Вы можете скачать полный отчет, чтобы узнать все подробности.

А еще недавно ребята создали Telegram-канал CURATOR, чтобы делиться своей экспертизой. Можете подписаться на них и следить за обновлениями💡