Секретики

Яблочники по всему миру, сами того не подозревая, хранят свои банковские сведения в открытом доступе.

По данным Cybernews, более 156 тысяч приложений в App Store от Apple содержат в своих исходных кодах свыше 815 тысяч секретных сведений, включая платёжные системы, API, а также ключи к облачному хранилищу.

Исследователи обнаружили более 406 ТБ данных просто из-за того, что из 83 тысяч уязвимых конечных точек хранилищ 836 не требуют аутентификации.

Сотни конфиденциальных ключей могли быть использованы хакерами для компрометации личных данных пользователей, осуществления платежей и возвратов. Представители Cybernews обратились к Apple за комментариями, поэтому исход ситуации ещё только предстоит выяснить.

А пока напомним, что в 90% случаев мониторинг обновления приложений у корпорации занимает всего 24 часа. При этом самый крутой и известный бренд смартфонов не проверяет присутствие зашитых секретов в приложениях.

Где-то тихо улыбаются ведрофонеры 🤪

НеКасперский

Няши

Специалисты из Лаборатории Касперского обнаружили очередных хакеров, ненавидящих геймеров и анимешников.

Они придумали изощрённый способ распространения своего бэкдора DCRat с помощью YouTube. На платформе публикуются видео с рекламой читов, игровых ботов, кряков и др.

Авторы роликов призывают мамкиных геймеров перейти в описание и скачать обозреваемые продукты. Только вместо обещанного к видео, очевидно, прикреплён код и ссылка на легитимный файлообменник, содержащий запароленный архив.

Когда недочитер пытается установить игровое ПО, на его устройство скачивается вредонос, дающий возможность удалённо управлять компьютером жертвы, скачивать дополнительные модули и расширять функциональность DCRat.

При этом в качестве маскировки атакующие называли домены командных серверов словечками по типу nyashka, nyashkoon, nyashtyan и т. д.

Бекдор вымогатель ❌
Няняняняня ✅

НеКасперский

Морская охота

Проиндийская APT обновила инструментарий и активно атакует морскую и ядерную отрасли в Азии и Африке.

В конце 2024 года эксперты зафиксировали существенный рост активности группы SideWinder, включая перевооружение и создание новой инфраструктуры. Целевые отрасли те же, однако заметно увеличилось число атак на морские объекты и логистические компании. Новинка года — явный интерес к атомным электростанциям и объектам ядерной энергетики в Южной Азии.

География атак расширилась на новые страны Африки, при этом злоумышленники продолжают тщательно отслеживать обнаружение своих инструментов и оперативно создают обновлённые версии вредоносного ПО.

Схема заражения остаётся неизменной и основывается на рассылке фишинговых писем с документами, эксплуатация уязвимости MS Office и многоступенчатое внедрение всевозможных карманных стилеров.

НеКасперский

Удар ниже merged-а

Десятки тысяч репозиториев GitHub пострадали из-за компрометации официального CI/CD-шаблона GitHub Actions.

Популярный процесс tj-actions/changed-files, используемый в более чем 23 тыс. репозиториев, 14 марта был заражён вредоносным кодом. Хакер не только модифицировали кодовую базу, но и обновили все версионные ярлыки. Вредонос маскировался под функцию updateFeatures, которая запускала скрипт для поиска в памяти Runner Worker секретов, например токены AWS, Azure, GCP, GitHub PAT, NPM, учётные данные БД, RSA-ключи. Найденное шифровалось двойным base64 и записывалось в журналы сборки.

Хотя GitHub восстановил changed-files через сутки, для всех, кто использовал процесс во время атаки, рекомендуется проверить журналы за 14-15 марта, сменить все секреты и очистить публичные логи. CVE затрагивает любые репозитории с этим процессом, а наибольшему риску подвержены проекты с публичными журналами.

Вот вам и DevOps — одна строчка кода в CI/CD и ваши секреты уже не секреты 🥲

НеКасперский

Незримые дыры в стенах корпоративной безопасности?

Сейчас почти все бегут к подрядчикам — экономят, ищут уникальную экспертизу, закрывают кадровые дыры. Но мало кто задумывается, что именно здесь бизнес может утонуть при штиле — когда доступ к данным компании получают внешние спецы с непонятными устройствами. Да и к удалёнщикам это, кстати, тоже относится.

На эту тему мне попался материал с рассылкой от команды корпоративного Яндекс Браузера. Судя по исследованию ГК «Солар», каждая пятая компания уже словила утечку через внешних спецов. Средний чек такого развлечения — 5,5 миллиона рублей за инцидент, если не считать репутационного ущерба и регуляторных штрафов.

Советую посмотреть док целиком, но если вкратце:

Основная проблема до безобразия проста. Корпоративные системы сейчас часто живут в вебе — не нужно ставить софт, просто логин-пароль и вперёд. Красота для бизнеса, кошмар для безопасников.

Технически проблему решают созданием контролируемой среды для доступа подрядчиков. Проверка устройства на соответствие требованиям безопасности, блокировка утечек через копирование, перетаскивание, скриншоты, интеграция с мониторингом. Ну и форсинг, с ним можно быть уверенным, что к корпоративному ресурсу подключаться будет именно защищенный контролируемый браузер.

НеКасперский

Учебная гигиена

Хакер выложил на BreachForums базу Министерства образования ОАЭ.

В утечке фигурируют две таблицы. Файл побольше содержит 300 тысяч строчек с данными данными учащихся, а в той, что поменьше — паспортные данные.

Скомпрометированные данные включают имена, электронные адреса, информацию об учебных заведениях, уровнях обучения, а также местные ID. В дампе поменьше содержатся паспортные данные, номера телефонов, и даже данные охранников учеников.

По словам автора утечки, оба набора данных актуальны на март 2025 года. Официальных комментариев от властей ОАЭ пока не поступало.

НеКасперский

Подождали и хватит

Игровая блокчейн платформа WEMIX потеряла $6,1 млн в результате хакерской атаки, о которой руководство сообщило лишь спустя неделю после инцидента.

Взлом произошёл 28 февраля, когда злоумышленники похитили 8,6 млн токенов WEMIX через скомпрометированные ключи аутентификации NFT-платформы NILE. По версии компании, хакеры завладели ключами из общего репозитория, куда их загрузил разработчик для удобства работы. После двухмесячной подготовки они выполнили 13 успешных транзакций, мгновенно обналичив украденное через криптобиржи.

CEO объяснил задержку с оповещением опасениями вызвать панику на рынке и риском дополнительных атак. Сейчас WEMIX находится офлайн — команда мигрирует всю инфраструктуру в новую, более защищённую среду.

Развлекаются с фантиками? 😇

НеКасперский

PUT мне привилегий

В Apache Tomcat обнаружена критическая уязвимость, позволяющая удалённо выполнять код через обычный PUT-запрос.

Суть проблемы в том, что Tomcat создаёт временные файлы на основе пользовательского пути, заменяя разделители директорий на точку. Это нарушает изоляцию данных и злоумышленник может обращаться к папкам выше по иерархии, просто подставив точки в свой запрос. В результате он может внедрить вредоносный код или похитить чувствительные данные, если у вас включен режим записи для DefaultServlet и активна поддержка partial PUT.

В самом опасном сценарии, когда Томкат использует файловое хранение сессий, атакующий может загрузить сериализованный объект прямо в хранилище и выполнить произвольный код при десериализации.

Эксплойты уже гуляют по сети, а количество уязвимых серверов исчисляется миллионами. Если ваша инфраструктура на Томкате — срочно обновляйтесь.

НеКасперский

Шорткат разведка

11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами.

Уязвимость кроется в отображении содержимого поля target у .LNK файлов. злоумышленники маскируют опасный код с помощью символов перевода строки «\x0A» и возврата каретки «\x0D». Когда пользователь проверяет свойства такого ярлыка, Windows не показывает спрятанные команды в поле «Объект». Среди активных эксплуататоров этой техники группировки из Северной Кореи, Ирана, России и Китая.

Северокорейские хакеры особенно изобретательны, создавая непривычно огромные .LNK файлы для обхода детекта, они используют файлы со средним размером 3 МБ, а максимум доходит до 70 МБ.

Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет.

НеКасперский

Время пошло

Нарушить права человека хотят в Минцифры, чтобы попытаться как-то остановить деятельность мошенников.

Ассоциация разработчиков программных продуктов «Отечественный бизнес» бьёт тревогу из-за проекта по созданию государственных информационных систем для противодействия правонарушителям, принятого Госдумой вчера в первом чтении.

Изменения коснулись десятков действующих законов и нормативно-правовых актов. Нововведения предусматривают возможность прослушивать и записывать разговоры граждан РФ. А собранные данные же планируют хранить на единой антифрод‑платформе неких векторов голосов мошенников. Базу будут использовать операторы связи для блокировки сомнительных звонков.

В АРПП заявили, что такие поправки являются прямым нарушением Конституции и закона «О персональных данных». По их словам, маркировать мошенников должны не технические системы, а суды или правоохранительные органы.

Отдельно упомянули и риск попадания в базу сгенерированных записей, голоса из которых могут принадлежать невинным людям. В новом проекте не предусмотрен механизм оспаривания ложной маркировки. Если голос невинного пользователя попадёт в эту базу по ошибке, он не сможет звонить и будет считаться мошенником. Минус социальный рейтинг 🇨🇳📉

В общем, недочётов много. Учитывая, что второе чтение назначено на 25 марта, на внесение поправок у ведомства остаётся всего неделя.

НеКасперский

Брутед

Сектору бизнес-услуг угрожает новая система для автоматического проведения брутфорс-атак BRUTED.

Об этом стало известно, когда в сеть просочился дамп с внутренней перепиской участников Black Basta. В утечке содержались сведения о методах нападений, которые применялись группировкой с сентября 2023 по 2024 год.

В EclecticIQ выяснили, что преступники использовали BRUTED для взлома периферийных сетевых устройств, включая брандмауэры и VPN в корпоративных сетях. Эта система позволяла хакерам эксплуатировать повторно используемые или слабые учётные данные, чтобы упростить первоначальный доступ к сетям компаний-жертв.

Платформа использовала большой список прокси-серверов SOCKS5 с незаурядным, как вы видите, доменом. Она способна сканировать Интернет и генерировать дополнительные варианты учётных данных.

Фреймфорк был нацелен на Microsoft RDWeb, SonicWall NetExtender, Palo Alto GlobalProtect, Fortinet SSL VPN, WatchGuard SSL, Citrix NetScaler и другие технологии, популярные на западе.

НеКасперский

Headache

В lua-nginx-module обнаружена уязвимость, позволяющая обойти защиту прокси и красть ответы других пользователей.

Суть проблемы в том, что модуль неправильно обрабатывает HEAD-запросы с телом, интерпретируя их как два отдельных запроса вместо одного. Когда такой запрос проходит через цепочку прокси, возникает расхождение в их интерпретации.

Уязвимость затрагивает не только сам OpenResty, но и популярные решения на его основе — Kong Gateway и Apache APISIX. Исследователь продемонстрировал, как с помощью этой бреши можно провести XSS-атаки, обойти защиту Cloudflare и перехватывать чужие ответы.

Разработчики уже выпустили патч, но учитывая распространенность OpenResty в высоконагруженных системах, многие сервисы все еще могут быть уязвимы.

НеКасперский

Чебурнулись

По всей Сибири РКН умудрился заблокировать Cloudflare и Amazon, что привело к параличу множества сайтов и приложений.

В редакцию массово поступают сообщения от пользователей, которые не могут получить доступ к привычным сервисам. Технический анализ показывает типичный паттерн DPI-блокировок — пакеты, отправленные на узлы Cloudflare и AWS, уходят в чёрную дыру. Большинство современных веб-ресурсов использует эти платформы для CDN, проксирования и хостинга, а значит миллионы россиян лишились доступа к значительной части интернета.

Официальные лица, как обычно, заявляют о «неработоспособности иностранной серверной инфраструктуры» и рекомендуют переходить на отечественные хостинги. Знакомая песня — так же «сами сломалися» и YouTube, и многие другие сервисы из недружественных стран. Удивительно, как они работают во всём мире, но почему-то «выходят из строя» именно в российском сегменте сети.

А у вас работает львиная доля интернета, или тоже пришлось срочно поднимать VPN? 👍 / 👎

НеКасперский

Укрпатруль

Проукраинские хакеры из Head Mare и Twelve объединили усилия для атак на российские организации.

Лаборатория Касперского обнаружила признаки сотрудничества двух хактивистских группировок. Так, в недавних инцидентах относительно молодая Head Mare использовала инструменты, ранее замеченные только у Twelve, включая бэкдор CobInt. Обе группы эксплуатируют общие C2-серверы с доменами вроде 360nvidia.com.

Преступники расширили арсенал проникновения, и теперь они не только используют фишинг с эксплойтами, но и компрометируют подрядчиков с доступом к бизнес-автоматизации. Для скрытия активности они маскируют вредоносные файлы под стандартные компоненты системы, например rclone под системный wusa.exe.
После проникновения хакеры шифруют данные с помощью LockBit 3.0 и Babuk без требования выкупа, ведь их цели политические и они стремятся полностью уничтожить данные и инфраструктуру своих жертв.

НеКасперский

ПиПиАй

Обычно не пишем о фейковых репозиториях, но эти умудрились собрать более 14000 загрузок, прежде чем их удалили из PyPI.

Злоумышленники залили 20 поддельных библиотек, маскируя их под утилиты для работы со временем и клиентские SDK для облачных сервисов. Самыми популярными оказались acloud-client с 5496 загрузками, snapshot-photo с 2448 и enumer-iam с 1254.

Особенно неприятно, что эти пакеты были включены в зависимости GitHub-проекта accesskey_tools с 519 звёздами, что увеличило радиус поражения.

Вредоносный код позволял красть чувствительные данные, включая облачные токены доступа. Все найденные библиотеки уже удалены из PyPI, но осадочек остался.

НеКасперский

На сухом пайке

Хакерская группа LabDookhtegan отключила системы связи 116 иранских судов, оставив их практически в информационной изоляции.

Атака парализовала коммуникационные сети 50 танкеров Национальной иранской нефтяной компании и 66 судов Исламской Республики Иран Шиппинг. По словам хактивистов, большинство из этих кораблей находится под международными санкциями, а их восстановление займёт несколько недель. В этот период суда смогут использовать только ограниченные методы связи, что серьёзно осложняет их навигацию и координацию.

LabDookhtegan заявляет, что целью операции было «ослепить режим» в разгар атак США на позиции хуситов в Йемене, которых Иран якобы снабжает боеприпасами через эти же суда.

Технические детали взлома морских коммуникационных систем остаются неизвестными. Предполагаем, что это могли быть это могли быть как и компрометация спутниковой VSAT-связи, так и атака на береговую инфраструктуру управления флотом.

НеКасперский

Врезали

Исследователь взломал шифрование вымогателя Akira и опубликовал исходники своей утилиты для брутфорса.

Как бы это странно не звучало, но уязвимость вируса оказалась в механизме генерации ключей. Вредонос использует текущее время как сид для шифрования. Изучив бинарник, автор обнаружил, что для каждого файла создаётся уникальный ключ на основе четырёх временных меток, а затем применяется 1500 раундов SHA-256.

Для перебора возможных значений времени он задействовал батарею GPU, достигнув скорости около 1,5 миллиарда вариантов в секунду. Это позволило расшифровать VMDK-файлы с виртуалками ESXi без единого рубля выкупа.

Весь инструментарий выложен на GitHub. Ожидаемо, авторы вымогателя уже готовят обновлённую версию.

НеКасперский

Не Lovit

Сотни тысяч жителей домов российского застройщика «Пик» остались без крыши над головой.

Всему виной масштабная DDoS-атака на провайдера Lovit, обслуживающего эти ЖК. Люди жалуются на проблемы подключением к мобильной связи, домашнему интернету и сбой работы домофонов, управление которыми осуществляется через мобильное приложение.

Чтобы попасть домой, жертвам пришлось обращаться за помощью к соседям и вызывать курьеров, у которых были ключи от подъездов.

Нападение на Lovit началось вчера в 12 часов по МСК и закончилось только сегодня в час дня. С трудностями столкнулись жители Москвы, Санкт-Петербурга и Нижегородской области.

В пострадавшей компании подтвердили факт случившегося и заявили, что в результате атаки были затронуты ключевые элементы инфраструктуры. Они пообещали оперативно восстановить работу систем, а затем также незамедлительно удалили опубликованное сообщение.

Отмечайтесь 👍🏼/👎🏼, у вас работает?

НеКасперский

Честное роутерское

Компания по производству сетевого оборудования Keenetic сообщила о взломе своих баз данных.

В марте 2023 года исследователь предупредил организацию о возможной компрометации конфиденциальных сведений из базы мобильного приложения.

Тогда проблему быстро исправили, а образцы украденной информации удалили. По крайней мере, так заверил исследователь.

Однако 28 февраля 2025 года выяснилось, что часть украденных данных попала в руки неназванного СМИ. После чего в Keenetic решили уведомить пользователей о том, что под угрозой находятся все, кто зарегистрировался до 16 марта 2023 года.

Преступники могли получить доступ к именам учётных записей Keenetic, адресам электронной почты, настройкам устройств и ПО, логинам и паролям клиентов VPN и ещё кучу сетевых настроек пользователей.

В организации утверждают, что утечка не коснулась финансовой информации данных RMM, приватных ключей и других сведений.

НеКасперский

Дорога ложка к обеду

Объекты критической инфраструктуры по всему миру страдают от SSRF-уязвимости в популярнейшей обёртке над ChatGPT.

Специалисты из Veriti в течение трёх месяцев фиксируют нападения на корпоративные сети организаций. По их словам, число атак превысило 10 тысяч в неделю.

Брешь позволяет вводить вредоносные URL-адреса во входные параметры, заставляя приложение делать несанкционированные запросы. В ходе атаки хакеры могут получить доступ к конфиденциальным данным и внутренним ресурсам организаций.

Код PoC-эксплойта хранится в открытом доступе, а уязвимость не требует аутентификации. Она представляет угрозу для 35% проверенных компаний из-за недочётов в конфигурации межсетевых экранов, а также неверно настроенных IPS и WAF.

Большая часть таких атак направлена на госсектор США. Помимо этого, нападения зафиксированы в Индонезии, Колумбии, Германии, Таиланде и Великобритании.

Как ни странно, о проблеме известно ещё с сентября 2023 года, но всем было всё равно.

НеКасперский

Классика

Хакеры из Тайваня взломали ресурсы военных объектов, критически важных организаций и компаний частного сектора Китая.

По крайней мере, так говорят в Министерстве государственной безопасности КНР. Во всех бедах они обвиняют группировку PoisonIvy, якобы связанную Центром исследований и анализа сетевой среды при Командовании по информации, коммуникациям и радиоэлектронным силам Тайваня.

В качестве доказательств в МГБ обнародовали имена и фотографии четырёх человек, причастных к деятельности PoisonIvy. Среди них руководитель группировки, двое сотрудников и даже начальник того самого центра.

Власти Тайваня, конечно же, всё отрицают. Они утверждают, что все новости сфабрикованы для того, чтобы посеять хаос и оправдать нападения КНР на соседнюю «страну».

В случае с Китаем взаимные обвинения — это уже традиция. Ранее мы рассказывали о том, как они вынудили правительство США пойти на радикальные меры.

НеКасперский