Проснулись

Одной из приоритетных задач РКН на 2025 год является переход на отечественное ПО.

Об этом сообщил вице-президент по эксплуатации и инфраструктуре ПАО «Ростелеком». По его словам, на внешние ИТ-решения крупнейший провайдер потратил 80% бюджета, выделенного для ПО.

Оградиться от иностранных технологий на 100% они планируют к концу текущего года. Но, исходя из опыта прошлых лет, такое смелое заявление вызывает много вопросов.

Напомним, ещё три года назад Президент РФ подписал указ, согласно которому с 1 января 2025 года отечественным организациям запрещается использовать средства защиты из недружественных стран.

Только эпопея с импортозамещением сильно затянулась, так как качественного аналога просто не оказалось.

Получается, что несмотря на вступивший в силу указ президента РФ, крупнейший провайдер страны на сегодняшний день лишь ставит какие-то эфемерные цели, хотя полностью выполнить требования нужно было ещё 2 месяца назад 🤷🏻‍♂️

НеКасперский

У них всё стабильно

Иранская Cyber Toufan продолжает донимать израильтян. На этот раз она взяла на себя ответственность за атаку на крупную строительную компанию Edri Ltd.

В своих социальных сетях участники группировки заявили, что им удалось получить доступ к БД, серверам и системам электронной почты пострадавшей организации.

По словам атакующих, скомпрометированные файлы включают в себя ПДн сотрудников, поставщиков и клиентов, их учётные данные, электронную почту, архив сообщений, а также информацию о проектах. В качестве доказательств хакеры приложили к посту скриншоты с фрагментами БД.

Cyber Toufan заявили, что пострадавшая компания в течение 35 лет строила множество «инфраструктурных проектов для оккупационного государства и муниципалитетов».

В прошлый раз участники этой группировки взламывали израильскую компанию по управлению автопарками Safety car.

НеКасперский

Развод по-черному

Мошенник из Нигерии развёл налоговую систему на $1,3 миллиона.

Сделать это удалось с помощью ПДн, скомпрометированных в результате фишинговых атак на компьютеры налоговых компаний Массачусетса в 2020 году.

Хакер распространял Warzone RAT, отправляя организациям фейковые письма якобы от лица клиентов. Так преступник получал доступ к удалённому управлению заражёнными устройствами, а также извлекал из них личные данные и налоговые сведения жертв.

Вместе с подельниками в течение пяти лет он использовал украденную информацию для подачи более тысячи липовых деклараций от чужих имён. Соучастники получали деньги на свои банковские счета, часть средств переводили в Мексику, а остальное снимали наличными в США.

Теперь нигерийцу грозит до 37 лет лишения свободы за мошенничество, несанкционированный доступ к защищённым компьютерам, кражу государственных средств и личных данных. Окончательный вердикт по поводу дальнейшей судьбы хакера будет вынесен судом.

Чел буквально решил собрать налоги с налоговой 🤪

НеКасперский

Треш-контент

По даркнету продолжают гулять конфиденциальные сведения сотрудников ТЦК, ранее взломанного пророссийскими украинскими хакерами из Берегини.

В этот раз на аукцион выставили БД объёмом 4 ГБ, содержащую более 8 тысяч файлов. По словам автора публикации, скомпрометированный архив включает в себя:

• Документы
• Фотографии
• Голосовые записи
• Состав штата ТЦК
• Списки насильно мобилизованных граждан
• Материалы из кабинетов полковников и майоров

В качестве доказательств к посту были приложены образцы украденной информации. Цена такого неординарного лота составила $3 тысячи.

Делимся с вами кринжовым роликом, который хакеры склепали на коленке. На видео есть фрагмент записи приватного разговора начальника управления ТЦК Умань с некой «секретаршей».

Что ж, хорошими делами прославиться нельзя 🤦🏻‍♂️

НеКасперский

Бэкап для СХД

К новостям технологических партнерств на российском ИТ-рынке – разработчик инфраструктурного ПО «Базис» и компания YADRO сообщили о новом этапе интеграции платформы на базе динамической инфраструктуры Basis Dynamix Enterprise и системы хранения данных TATLIN.UNIFIED.

Сотрудничество началось еще в 2022 году – тогда в решении «Базиса» была выполнена поддержка СХД первого поколения TATLIN.UNIFIED Gen1. Например, в релизе Dynamix Enterprise 3.8.4 пользователи получили возможность создавать дисковые ресурсы на TATLIN и назначать их виртуальным машинам.

Кроме того, за это время добавились инструменты клонирования для ускорения создания виртуальных машин из образов и существенно расширились возможности API.

Сейчас компании объявили о первой в России реализации возможности управления основными функциями хранилища второго поколения TATLIN.UNIFIED Gen2. Список новых возможностей для администраторов ИТ-инфраструктур:

• Управление репликацией данных между системами TATLIN.UNIFIED.
• Возможность гибкого переключения между репликами для повышения отказоустойчивости.
• Создание и управление моментальными снимками виртуальных машин.
• Восстановление предыдущих состояний виртуальных машин с помощью системы моментальных снимков.
• Прямой доступ к СХД (режим driver mode) для достижения высокой производительности.

Профит для пользователей, таким образом, заключается в сведении к минимуму простоев критичных систем в случае аварии площадки. Все знают о необходимости делать бэкап – тем более важно заниматься этим на уровне хранилищ данных. Особенно, если урон измеряется в возможных финансовых и репутационных расходах у компании, а также в нервных клетках администраторов.

НеКасперский

God Mode?

В самом популярном на планете микроконтроллере нашли 29 скрытых Bluetooth-команд, позволяющих атакующим получить неограниченный контроль над чипом.

Под капотом ESP32 остался тайный набор инструкций, дающих доступ к флеш-памяти и её запись, а также манипуляциям с MAC-адресом. При этом удалённо эти команды не срабатывают.

Хакер сначала должен проникнуть внутрь системы любым способом и только потом применить скрытое меню. Зато, когда это случается, он обходит все стандартные ограничения и может тайно прошить вредоносный код, замаскироваться в окружении или даже сломать криптографические ключи. Так модуль ESP32 легко превращается в невидимый троян – он сохраняется после перезагрузки и способен действовать автономно.

Производитель пока не представил исправления, а пользователям остаётся лишь ждать.

НеКасперский

Botосинтез

Четыре крупных иранских ботнета объединились и наводят ужас на сети, заставляя игровые платформы, камеры и роутеры повсюду трещать под терабитными DDoS-ударами.

Сначала хакеры взломал популярную у интернет-провайдеров линейку роутеров cnPilot от Cambium Networks, заразив десятки тысяч IoT-устройств. Кроме маршрутизаторов, хакерам подыграла и старая брешь в IP-камерах от Edimax, дешевого тайваньского бренда массового сегмента, которая открыла доступ к бесконтрольным атакам. Патч к камерам, кстати, производитель так и не выпустил.

В итоге ботнет Eleven11bot разросся до 86 тысяч IoT-устройств по всему миру. Всё это привело к стремительному росту мощных атак, когда гигабитный поток умножается тысячами уязвимых IP-камер, DVR и маршрутизаторов. Вектор атаки шагает по планете, ломая игровые платформы и телеком-узлы.

Ситуация обретает критический масштаб. Мы уже не раз писали, что защиту от ботнет-трафика поставить сложно и далеко не все крупные компании на это способны. Вместе с тем, в мире в активном пользовании остаются десятки миллионов неподдерживаемых маршрутизаторов, которые хакеры уже просто-напросто облюбовали. Что уж говорить, когда частью ботнетов уже становятся даже лампочки и стиралки.

В РФ же, например, атакам ботнетов подвергались крупные банки. Успокаивает только то, что большая часть их обладателей имеет русские, китайские или иранские корни.

НеКасперский

Всё ещё тонет

Власти США до сих пор разгребают последствия утечки данных сервиса управления паролями LastPass.

На этот раз местной полиции удалось конфисковать более $23 миллионов в криптовалюте, похищенной в результате атаки на кошелёк Ripple в 2024 году.

В ходе расследования выяснилось, что эта кража связана с тем же дампом 2022 года. В обоих случаях нападение совершила одна и та же группировка. На это указывает схожесть схем, которых придерживались атакующие.

В Министерстве юстиции США сообщили, что взлом осуществлён с использованием расшифрованных учётных данных из LastPass. Это позволило хакерам получить доступ к кошелькам и другим конфиденциальным сведениям пользователей.

С июня 2024 года по февраль 2025 года они прогоняли украденные средства через биржи WhiteBIT, SwapSpace, FixedFloat, OKX, AscendEX, CoinRabbit и Kraken.

Ранее в «самом надёжном и безопасном» LastPass утверждали, что связь сервиса с пропажей криптовалюты следствием не доказана.

Практика показала, что ожидания снова не оправдались 🤷🏻‍♂️

НеКасперский

Попались

В приложениях Google Play орудовало корейское шпионское ПО.

Об этом сообщили специалисты из Lookout. По их словам, KoSpy использует двухэтапную инфраструктуру управления командами C2, которая получает первоначальные конфигурации из облачной БД Firebase.

С помощью ПО атакующие могут получить доступ к сведениям о Wi-Fi, сообщениям, журналам вызовов, геолокации, файлам, аудиозаписям, фотографиям и скриншотам.

В списке заражённых оказались Phone Manager, File Manager, Smart Manager, Kakao Security и Software Update Utility.

Исследователи полагают, что несколько версий KoSpy для Android применены хакерами, связанными с группировками APT43 и APT37, так как в ходе нападений использовались уже знакомые домены и IP-адреса.

Судя по тому, что интерфейсы приложений поддерживали только английский и корейский языки, атака могла быть направлена на юзеров из Южной Кореи.

НеКасперский

Коллекция

Иранская Cyber Toufan пополнила копилку своих трофеев. После израильского автопарка и строительной компании они взялись за международную архитектурную фирму Mann-Shinar.

Участники группировки заявляют, что им удалось получить доступ к информации о проектах организации, а также выгрузить личные данные клиентов, поставщиков и партнёров. Скомпрометированные сведения включают в себя:

• Имя
• Номер телефона
• Электронную почту
• Адрес
• Список компаний
• Внутренние проекты

В качестве доказательств они опубликовали 5 ГБ данных, содержащих более 800 файлов. Cyber Toufan утверждают, что это лишь часть украденной информации.

Пострадавшая организация ведёт свою деятельность в Израиле и США. В своём посте атакующие заявили, что Mann-Shinar работает с израильским флотом. Компания построила множество транспортных узлов и зданий на «оккупированных территориях», включая Международный аэропорт Рамон, Посольство США в Иерусалиме, министерство юстиции и др.

НеКасперский

Переполненный

Уязвимость в движке WebKit от Apple позволяет «разработчикам» негодяям выйти за песочницу и запустить любой код на ваших айфончиках.

Эта брешь была связана с некорректной записью в память при обработке веб-контента. Опытные хакеры могли с помощью хитрых DOM-элементов или скриптов переписать нужные участки памяти и захватить управление.

Подобная атака даёт им не только возможность проникнуть в процесс Web Content, но и вырваться на волю, обойдя встроенные защиты iOS или macOS. Исследователи уверены, что возникновение RCE тут реально, а злоумышленники уже не упустили шанса воспользоваться ситуацией.

Apple закрыла уязвимость в iOS 18.3.2, macOS Sequoia 15.3.2, visionOS 2.3.2 и Safari 18.3.1. Бегом обновляться!

НеКасперский

Бойкий дизайн

Запрещённый и экстремистский Facebook предупреждает о критической уязвимости в FreeType, позволяющей выполнять произвольный код при обработке шрифтов TrueType GX и переменных шрифтов.

Суть проблемы — в некорректном приведении типов при выделении памяти. Знаковое short преобразуется в беззнаковый long с последующим добавлением статического значения. Это приводит к выделению недостаточного буфера и запись за его пределы, что открывает путь к выполнению стороннего кода.

Учитывая, что FreeType встроена в миллионы систем, разработчикам стоит срочно обновиться до FreeType 2.13.3. Несмотря на то, что уязвимая версия выпущена два года назад, в проектах часто застревают устаревшие библиотеки.

Теперь ещё и шрифтов бояться? 🥹

НеКасперский

Парад Медсестёр

Кибербезопасник обнаружил открытую базу Американской медицинской платформы ESHYFT с личными данными 86 тысяч её работников.

Утечка включала свыше 100 ГБ данных, включая всё от фотографий медсестёр и рабочих графиков до личных медицинских заключений, которые загружались в качестве оправданий пропуска смен.

В одной таблице хранилось более 800 тыс. записей с идентификаторами, названиями учреждений, отработанными часами и прочей информацией. Многие документы содержали персональные данные, потенциально подпадающие под регулирование HIPAA.

Исследователь уведомил компанию, но база оставалась доступной больше месяца. Платформа, работающая в 29 штатах, не разделяла данные по уровню чувствительности — профили и медицинские документы хранились вперемешку.

Выпустили подышать медсестёр на просторы даркнета 😇

НеКасперский

Эмодзи против Минфина

Раскрылись подробности недавнего взлома Минфина США. За атакой стояла не просто какая-то кража ключа доступа, а изящная эксплуатация Unicode в PostgreSQL.

Банальная SQL-инъекция? Не совсем. Специалисты выяснили, что атака строилась на двух байтах «c0 27», которые при обработке функцией pg_utf_mblen интерпретировались как двухбайтный Unicode-символ. Проблема в том, что PostgreSQL не проверял валидность символа, а второй байт соответствовал кавычке, которую система пропускала без экранирования.

Инструмент BeyondTrust передавал неэкранированные данные напрямую в psql-консоль, что позволило злоумышленникам не только получить контроль над базой, но и выполнять произвольные системные команды через синтаксис ! <команда>.

Удивительно, что такая уязвимость таилась незамеченной почти десятилетие в одной из самых используемых СУБД мира. Патч уже выпущен, обновляемся 😉

НеКасперский

Тёмные времена

Китайская Volt Typhoon в течение года сидела в системе коммунальной компании Littleton Electric Light & Water Department, снабжающей энергией и водой американского Массачусетса.

Первыми об этом узнали сотрудники ФБР. В ходе расследования выяснилось, что с помощью уязвимости в межсетевом экране FortiGate 300D преступники проникли в сети организации в феврале 2023 года.

Причём о проблеме известно аж с декабря 2022 года, тогда же вышел новый патч для устранения бреши, однако работники пострадавшей компании не обновили ПО вовремя, что и стало причиной катастрофы.

Представители организации утверждают, что ПДн клиентов не были скомпрометированы, однако всё это время участники группировки имели возможность перемещаться внутри сети и выгружать конфиденциальные сведения.

По классике жанра, власти КНР отрицают свою причастность к случившемуся. Они всё ещё придерживаются легенды о том, что Volt Typhoon создана спецслужбами США и странами альянса Five Eyes в коммерческих интересах 👲🏻🇨🇳📈

НеКасперский

Сколько их развелось

Более 300 объектов критически важной инфраструктуры США оказались под угрозой из-за вируса-вымогателя Medusa.

По данным представителей ФБР и CISA, к февралю 2025 года преступники совершили атаку на организации, работающие в области здравоохранения, юриспруденции, страхования, производства и образования.

Под наименованием Medusa действует несколько разных группировок. Эти нападения не имеют отношения ни к MedusaLocker, ни к мобильному вредоносному ПО Medusa.

Специалисты утверждают, что в данном случае речь идёт именно о варианте программы-вымогателя, впервые идентифицированном в июне 2021 года. В 2023 году злоумышленники основали платформу Medusa Blog, где публиковались украденные сведения.

Эти же преступники причастны к атаке на Toyota Financial Services. Тогда они залили на сайт требования о выплате выкупа в размере $8 млн.

НеКасперский

Сказочке конец

Президента США призывают проводить кибератаки против Китая.

С этим предложением к Трампу обратилась группа американских сенаторов. Такая инициатива была проявлена на фоне обострения отношений между странами, а также участившихся нападений Salt- и Silk Typhoon на инфраструктуру страны-оппонента.

За примером далеко ходить не надо, достаточно вспомнить январскую атаку китайской группировки на Минфин США. Тогда злоумышленникам удалось проникнуть в электронные системы и получить доступ к компьютерам чиновников.

Многочисленные нападки со стороны КНР вынудили США пойти на крайние меры и ввести ряд санкций. По всей видимости, этого оказалось недостаточно, теперь в США хотят скорректировать методы борьбы с деятельностью китайских хакеров.

Подробности такого решения не разглашаются, однако известно, что в письме сенаторы предлагают Трампу активно использовать наступательные угрозы.

Тем временем сказочники из КНР продолжают обеляться убеждениями о своей невинности 🫠

НеКасперский

Секретики

Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.

По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.

Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.

Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.

А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.

Где-то тихо улыбаются ведрофонеры 🤪

НеКасперский

Няши

Специалисты из Лаборатории Касперского обнаружили очередных хакеров, ненавидящих геймеров и анимешников.

Они придумали изощрённый способ распространения своего бэкдора DCRat с помощью YouTube. На платформе публикуются видео с рекламой читов, игровых ботов, кряков и др.

Авторы роликов призывают мамкиных геймеров перейти в описание и скачать обозреваемые продукты. Только вместо обещанного к видео, очевидно, прикреплён код и ссылка на легитимный файлообменник, содержащий запароленный архив.

Когда недочитер пытается установить игровое ПО, на его устройство скачивается вредонос, дающий возможность удалённо управлять компьютером жертвы, скачивать дополнительные модули и расширять функциональность DCRat.

При этом в качестве маскировки атакующие называли домены командных серверов словечками по типу nyashka, nyashkoon, nyashtyan и т. д.

Бекдор вымогатель ❌
Няняняняня ✅

НеКасперский

Морская охота

Проиндийская APT обновила инструментарий и активно атакует морскую и ядерную отрасли в Азии и Африке.

В конце 2024 года эксперты зафиксировали существенный рост активности группы SideWinder, включая перевооружение и создание новой инфраструктуры. Целевые отрасли те же, однако заметно увеличилось число атак на морские объекты и логистические компании. Новинка года — явный интерес к атомным электростанциям и объектам ядерной энергетики в Южной Азии.

География атак расширилась на новые страны Африки, при этом злоумышленники продолжают тщательно отслеживать обнаружение своих инструментов и оперативно создают обновлённые версии вредоносного ПО.

Схема заражения остаётся неизменной и основывается на рассылке фишинговых писем с документами, эксплуатация уязвимости MS Office и многоступенчатое внедрение всевозможных карманных стилеров.

НеКасперский

Удар ниже merged-а

Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions.

Популярный процесс tj-actions/changed-files, используемый в более чем 23 тыс. репозиториев, 14 марта был заражён вредоносным кодом. Хакер не только модифицировали кодовую базу, но и обновили все версионные ярлыки. Вредонос маскировался под функцию updateFeatures, которая запускала скрипт для поиска в памяти Runner Worker секретов, например токены AWS, Azure, GCP, GitHub PAT, NPM, учётные данные БД, RSA-ключи. Найденное шифровалось двойным base64 и записывалось в журналы сборки.

Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами.

Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲

НеКасперский