Исследователи Palo Alto Networks сообщают об обнаружении новой APT, действующей из Азии, которая за последний год взломала сети как минимум 70 правительственных организаций и объектов КИИ в 37 странах.

Причем в период с ноября по декабрь 2025 года группа проводила активную разведку правительственной инфраструктуры более 155 стран.

Среди организаций, которые были взломаны, - пять национальных правоохранительных органов и пограничных служб, три министерства финансов и другие правительственные учреждения и ведомства, связанные с экономикой, торговлей, природными ресурсами и дипслужбой.

Деятельность этой группы отслеживается компанией как TGR-STA-1030. Имеющиеся данные свидетельствуют о том, что она активная как минимум с января 2024 года.

Хотя страна происхождения хакеров остается неясной, предполагается, что они азиатского происхождения, учитывая использование региональных инструментов и сервисов, предпочтения в выборе языка, целевую аудиторию, соответствующую событиям и разведывательным данным, представляющим интерес для региона, а также часы работы по Гринвичу (GMT+8).

Как отмечают в Palo Alto Networks, злоумышленник успешно получил доступ к почтовым серверам жертв и похитил оттуда конфиденциальные данные, которые среди прочего включали финансовую переписку, данные по контрактам, банковские и учетные данные, а также важные оперативные сводки, касающиеся военных операций.

Цепочка заражения начинается с фишингового письма, посредством которого получателей побуждают перейти по ссылке на новозеландский файловый хостинг MEGA, где размещается ZIP-архив с исполняемым файлом Diaoyu Loader, а также файл pic1.png размером в 0 байт.

Вредоносная ПО использует двухступенчатую систему защиты от автоматического анализа в песочнице. Помимо аппаратных требований к горизонтальному разрешению экрана, равному или превышающему 1440, образец выполняет проверку зависимостей среды для конкретного файла (pic1.png) в каталоге выполнения.

Изображение в формате PNG служит для проверки целостности файла, что приводит к завершению работы вредоносной ПО перед началом ее активности в случае, если оно отсутствует в том же месте.

Только после выполнения этого условия вредоносная ПО проверяет наличие определенных защитных решений от Avira (SentryEye.exe), Bitdefender (EPSecurityService.exe), Kaspersky (Avp.exe), Sentinel One (SentinelUI.exe) и Symantec (NortonSecurity.exe). При этом непонятно, почему только эти.

Конечная цель загрузчика - доставка трех изображений (admin-bar-sprite.png, Linux.jpg и Windows.jpg) из репозитория GitHub под названием WordPress, которые служат каналом для развертывания полезной нагрузки Cobalt Strike.

Кроме того, TGR-STA-1030 пыталась использовать различные 0-day, затрагивающие большое количество программных решений Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault и Eyou Email System, чтобы получить первоначальный доступ к целевым сетям. Однако доказательств разработки или задействования каких-либо эксплойтов не получено.

Среди инструментария злоумышленников: C2-фреймворки (Cobalt Strike. VShell, Havoc, Sliver, SparkRAT), веб-оболочки (Behinder, neo-reGeorg, Godzilla), средства тунелирования (GO Simple Tunnel (GOST), Fast Reverse Proxy Server (FRPS) и IOX).

Стоит отметить, что использование упомянутых веб-оболочек часто связывают с китайскими хакерскими группами.

Еще один примечательный инструмент - руткит ядра Linux под кодовым названием ShadowGuard, который использует Extended Berkeley Packet Filter (eBPF) для перехвата критически важных системных вызовов с целью скрытия определенных процессов от инструментов анализа, таких как ps, а также для сокрытия каталогов и файлов с именем swsecret.

Группа регулярно арендует и настраивает свои серверы С2 на инфраструктуре, принадлежащей различным легитимным и широко известным провайдерам VPS. Для подключения к С2 арендует дополнительную инфраструктуру VPS, которую использует для ретрансляции трафика.

Технические подробности и IOCs - в отчете.

Способы обмена данными между приложением и драйвером. Бесплатный вебинар — 19 февраля в OTUS

Обмен данными между пользовательским приложением и драйвером — ключевая тема как для разработки, так и для реверс-инжиниринга драйверов Windows. Без понимания этих механизмов невозможно корректно анализировать поведение низкоуровневого ПО.

— На открытом уроке разберём основные способы взаимодействия user-mode и kernel-mode.
— Поговорим про IRP-пакеты, IOCTL и различные типы ввода-вывода — буферизованный, прямой и небуферизованный.
— На практике покажем, как реализовать обмен данными между приложением и драйвером разными способами.

Урок подойдёт системным программистам и вирусным аналитикам, работающим с драйверами и внутренним устройством Windows.
👉 Записаться: https://otus.pw/V1MF/

Этот вебинар проходит в формате открытого урока в прямом эфире курса «Reverse Engineering».

Реклама. ООО «Отус онлайн‑образование», ОГРН 1177746618576

В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.

Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.

Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.

Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.

Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.

На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.

В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.

Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.

Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.

Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.

Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.

Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.

В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.

Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.

Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.

Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.

Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.

Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.

В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.

Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.

Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.

Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.

Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.

Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.

Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.

При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.

При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.

Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.

После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.

Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.