Накануне новогодних праздников подкатили подарочки от киберподполья, больше всего привалило румынам и французам.

В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.

Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.

Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.

При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.

Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.

По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.

Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.

Теперь с подачи хакеров эту досадную ошибку решили исправить.

В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.

Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.

La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.

Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.

Во многих почтовых отделениях наблюдались перебои.

В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.

Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.

В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.

В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.

Исследователи из Лаборатории Касперского под конец года не на шутку разошлись и, пожалуй, активнее всех делятся новыми исследованиями.

Среди последних отчетов специалистам по тестированию будет интересно взглянуть на разбор ранее не описанного DCOM-объекта, который может использоваться как для выполнения команд, так и для потенциального закрепления в системе.

Ведь горизонтальное перемещение в сети становится все более трудной задачей, особенно в хорошо защищенных средах, а одна из распространенных техник перемещения полагается на DCOM-объекты.

За прошедшие годы было обнаружено множество разных DCOM-объектов. Некоторые опираются на системные компоненты Windows, другие зависят от стороннего ПО, например Microsoft Office, а некоторые объекты и вовсе являются недокументированными.

Новая задокументированная ЛК техника обращается к известным методам получения первоначального доступа и закрепления в системе через элементы панели управления.

Изменение значений реестра для регистрации вредоносных CPL-файлов - плохая практика с точки зрения этики red teaming.

Однако апплеты панели управления могут быть зарегистрированы в разных ключах реестра, что оставляет потенциальные возможности для эксплуатации.

Другое исследование позволяет комплексно понять, что происходит с украденными данными после фишинговой атаки.

Обычно фишинговая атака заключается в том, что пользователь переходит по мошеннической ссылке и вводит свои учетные данные на мошенническом ресурсе.

Но кража информации - это только начало.

В тот момент, когда конфиденциальные сведения попадают в руки злоумышленников, они превращаются в товар и отправляются на конвейер теневого рынка.

Собственно, в ЛК проследили путь украденных данных, начиная от их сбора через различные инструменты, такие как Telegram-боты и продвинутые панели управления, и заканчивая продажей и последующим многоразовым использованием в новых атаках.

Кроме того, исследователи обратили внимание на то, как однажды утекшие логин и пароль становятся частью объемного цифрового досье и почему злоумышленники могут использовать даже старые утечки для целевых атак спустя годы после компрометации данных.

И, наконец, оценка эффективности использования SIEM.

Как многим известно, SIEM - довольно сложная система, предоставляющая широкие и гибкие возможности по детектированию угроз.

В силу сложности эффективность ее работы сильно зависит от того, как она настроена и какие источники к ней подключены.

Однократной настройки SIEM при внедрении недостаточно: с течением времени меняется как инфраструктура организации, так и методы злоумышленников. Для эффективной работы, SIEM-система должна учитывать актуальное положение дел.

Ресерчеры ЛК в своей статье рассматривают типичные ошибки при эксплуатации SIEM, одновременно указавая, как их можно исправить. Для каждого случая также приводят способы самостоятельной проверки.

Материал основан на оценке эффективности Kaspersky Unified Monitoring and Analysis Platform (KUMA), соответственно, все конкретные примеры, команды и названия полей взяты из этого решения.

Однако, как отмечает в ЛК, методику проверки, выявленные проблемы и способы повышения эффективности системы несложно экстраполировать на любые другие SIEM.

Под конец года подкатили не очень утешительные новости: cерьезная уязвимость MongoDB под названием MongoBleed (CVE-2025-14847) активно эксплуатируется и затрагивает более 80 000 потенциально уязвимых серверов в открытом доступе в сети Интернет.

Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.

MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.

Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.

Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.

Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.

Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.

При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.

В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.

Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.

Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.

В России - почти 2000.

Влияние на всю облачную среду оценивается как значительное.

В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.

При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.

Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.

MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).

Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.

Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.

В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.

Обходного пути для этой уязвимости нет.

Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.

К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).

Ресерчеров Лаборатории Касперского остановит только Новый год (но это неточно): число исследований в последние дни просто впечатляет.

В новом отчете они изучают обновленный образец бэкдора ToneShell, типичный для китайского кибершпионажа, который был доставлен через загрузчик в режиме ядра в ходе атак на правительственные организации.

Активность приписывается Mustang Panda (HoneyMyte или Bronze President), которая традиционно нацелена на правительственные учреждения, НПО, аналитические центры и другие организации по всему миру.

Проанализировав обнаруженный вредоносный файловый драйвер, в ЛК выяснили, что он использовался в кампаниях как минимум с февраля 2025 в отношении госучреждений в Мьянме, Таиланде и др. азиатских странах.

При этом скомпрометированные устройства ранее были заражены более старыми вариантами ToneShell, вредоносным ПО PlugX или USB-червем ToneDisk.

По данным ЛК, новый бэкдор ToneShell был развернут с помощью мини-фильтра ProjectConfiguration.sys и подписан украденным или скомпрометированным сертификатом (действительным в период с 2012 по 2015 год) и выданным Guangzhou Kingteller Technology Co., Ltd.

Мини-фильтры - это драйверы режима ядра, которые подключаются к стеку ввода-вывода файловой системы Windows и могут проверять, изменять или блокировать операции с файлами.

Обычно их используют ПО безопасности, средства шифрования и утилиты резервного копирования.

В разделе data файла ProjectConfiguration.sys содержатся два шеллкода для пользовательского режима, каждый из которых выполняется как отдельный поток пользовательского режима и внедряется в процессы.

Для уклонения от статического анализа, драйвер разрешает необходимые API ядра во время выполнения, перечисляя загруженные модули ядра и сопоставляя хеши функций, вместо того чтобы импортировать функции напрямую.

Он регистрируется как драйвер мини-фильтра и перехватывает операции файловой системы, связанные с удалением и переименованием.

Когда такие операции нацелены на сам драйвер, они блокируются путем принудительного завершения запроса.

Драйвер также защищает ключи реестра, связанные со службами, регистрируя функцию обратного вызова реестра и блокируя попытки их создания или открытия.

Для обеспечения приоритета над средствами безопасности он выбирает уровень мини-фильтра выше диапазона, зарезервированного антивирусом.

Кроме того, руткит противодействует Microsoft Defender, изменяя конфигурацию драйвера WdFilter таким образом, что он не загружается в стек ввода-вывода.

Для защиты внедряемых в пользовательский режим полезных нагрузок драйвер поддерживает список защищенных идентификаторов процессов, запрещает доступ к их дескрипторам во время выполнения полезных нагрузок и снимает защиту после выполнения.

Как отмечают исследователи, это первый случай, когда ToneShell распространяется через загрузчик в режиме ядра, что обеспечивает защиту от мониторинга в пользовательском режиме и позволяет использовать возможности драйвера по обнаружению руткитов, скрывая его активность от средств безопасности.

Возвращаясь к новому ToneShell, теперь в него внесены изменения и улучшена скрытность.

Вредоносная ПО использует новую схему идентификации хоста, основанную на 4-байтовом идентификаторе хоста, вместо ранее использовавшегося 16-байтового GUID, а также применяет обфускацию трафика с помощью фейковых заголовков TLS.

Исследователи Лаборатории Касперского резюмировали, что в ходе операций HoneyMyte в 2025 году была отмечена заметная эволюция в сторону использования инжекторов в режиме ядра для развертывания ToneShell, что повысило как скрытность, так и отказоустойчивость.

Новый вариант ToneShell переносит и внедряет бэкдор непосредственно из встроенной полезной нагрузки.

Для сокрытия активности драйвер сначала развертывает небольшой компонент в пользовательском режиме, который обрабатывает заключительный этап внедрения.

Поскольку шеллкод выполняется в оперативной памяти, ее анализ становится крайне важным для обнаружения вторжения, а его выявление является индикатором присутствия ToneShell.

IOCs и технические подробности - в отчете.

Community alert: Ledger had another data breach via payment processor Global-e leaking the personal data of customers (name & contact information).

Earlier today customers received the email below.