Новая версия Android-трояна DeliveryRAT может использоваться для DDoS-атак

✏️ Специалисты F6 изучили обновленную версию DeliveryRAT. Троян маскируется под популярные приложения для доставки еды, маркетплейсы, банковские сервисы и трекинг посылок. Новая версия получила ряд новых функций, включая выполнение DDoS-атак и запуск различных визуальных активностей для кражи дополнительных данных.

🔥 Обновленная версия DeliveryRAT, появившаяся во второй половине 2025 года, получила три ключевых дополнения к базовой функциональности.

🔖 Первое — модуль для проведения DDoS-атак. Троян получает с командного сервера целевой URL, количество и параметры запросов, после чего зараженное устройство атакует цель. После завершения атаки малварь отчитывается операторам о количестве успешных и провальных запросов. Это превращает DeliveryRAT из стилера в инструмент для DDoS-атак.

0-day в Windows используется для взлома европейских дипломатов

💎 Связанная с Китаем хак-группа UNC6384 (она же Mustang Panda) проводит масштабную кибершпионскую кампанию, направленную на европейские дипломатические и правительственные структуры. По данным Arctic Wolf и StrikeReady, хакеры используют неисправленную уязвимость в Windows, связанную с ярлыками LNK.

🟢 Атаки были зафиксированы в Венгрии, Бельгии, Италии, Нидерландах и Сербии в период с сентября по октябрь 2025 года.

➕ По словам исследователей, атаки начинаются с таргетированных фишинговых писем, содержащих URL-ссылки на вредоносные файлы LNK. Темы таких писем обычно связаны с воркшопами НАТО по оборонным закупкам, встречами Еврокомиссии по упрощению пограничного контроля и другими многосторонними дипломатическими мероприятиями.

Amazon будет блокировать пиратские приложения на устройствах Fire TV Stick

🔥 Компания Amazon намерена блокировать неавторизованные приложения на ТВ-приставках Fire TV Stick с целью борьбы с пиратством. Новые меры призваны положить конец эпохе использования Fire Stick, модифицированных для бесплатного просмотра фильмов, сериалов и спортивных трансляций.

🔖 Много лет пользователи устройств Amazon практикуют sideloading — установку приложений из сторонних источников, в обход официального Amazon Appstore. Зачастую такие приложения позволяют получить доступ к пиратским сервисам для нелегального просмотра платного контента. Хотя Amazon всегда тщательно следила за приложениями в своем магазине, теперь компания решила пойти еще дальше и блокировать работу пиратских приложений непосредственно на устройствах.

✏️ Новая система блокировок разработана в партнерстве с глобальной антипиратской коалицией Alliance for Creativity and Entertainment (ACE). Блокировки затронут все устройства Fire TV, включая старые модели: после обновления прошивки пиратские приложения на них перестанут запускаться.

За год вредоносные приложения для Android скачали из Google Play более 40 млн раз

👺 Аналитики ИБ-компании Zscaler подсчитали, что за период с июня 2024 по май 2025 года в Google Play было обнаружено 239 вредоносных приложений, которые в сумме загрузили более 42 млн раз.

🖥 Согласно отчету исследователей, в целом за год количество атак на мобильные устройства выросло на 67%. Основными угрозами стали банковские трояны, шпионские программы и рекламная малварь.

💳 Главным драйвером такого заметного роста стали атаки на мобильные платежи. Хакеры отходят от традиционных схем с поддельными банковскими картами и переходят к социальной инженерии: фишингу, смишингу, подмене SIM-карт и другим формам мошенничества с оплатой.

Группировка Cavalry Werewolf атакует российские госучреждения

⚡️ В июле 2025 года специалисты «Доктор Веб» расследовали инцидент в государственном учреждении РФ, где была зафиксирована рассылка нежелательных сообщений с корпоративного почтового ящика. Анализ показал, что организация стала жертвой целевой атаки хакерской группы Cavalry Werewolf, целью которой был сбор конфиденциальной информации и данных о конфигурации сети.

💣 Атака началась с классической фишинговой рассылки. Злоумышленники рассылали письма якобы от имени государственных структур с использованием скомпрометированных email-адресов. Такие послания содержали архивы, защищенные паролем, внутри которых находился ранее неизвестный бэкдор BackDoor.ShellNET.1 (основанный на опенсорсном Reverse-Shell-CS), замаскированный под документы с названиями вроде «Служебная записка от 16.06.2025» или «О проведении личного приема граждан список участников».

RCE-уязвимость в ImunifyAV угрожает миллионам сайтов

🧬 В сканере ImunifyAV для Linux-серверов, который используют десятки миллионов сайтов, обнаружили уязвимость удаленного выполнения кода. Проблема позволяет скомпрометировать окружение хоста.

🧬 ImunifyAV является частью защитного решения Imunify360, которое широко используют хостинг-провайдеры и shared-хостинги под управлением Linux. Продукт обычно устанавливается на уровне хостинговой платформы, а не конечными пользователями.

👺 Владельцы сайтов редко взаимодействуют с ImunifyAV напрямую, но согласно официальной статистике от октября 2024 года, это решение защищает более 56 млн сайтов, а Imunify360 насчитывает свыше 645 000 установок.

Голландская полиция конфисковала 250 серверов у «пуленепробиваемого» хостинга

🔖 Полиция Нидерландов сообщает, что провела масштабную операцию против неназванного «пуленепробиваемого» хостинга, конфисковав около 250 физических серверов в дата-центрах Гааги и Зутермера. После этого в офлайн ушли тысячи виртуальных серверов. СМИ полагают, что речь идет о хостинге CrazyRDP.

✏️ Название сервиса правоохранители не раскрывают, однако сообщается, что он работал с 2022 года и фигурировал более чем в 80 расследованиях киберпреступлений — как в Нидерландах, так и за рубежом.

🔥 По данным следствия, хостинг предлагал своим клиентам анонимность и гарантировал отсутствие сотрудничества с полицией. На его мощностях работали шифровальщики, ботнеты, фишинговые кампании и даже хранился контент, связанный с сексуальным насилием над детьми.

Криптографы отменили результаты выборов руководства, так как потеряли ключ дешифрования

💣 Международная ассоциация криптологических исследований (IACR) — одна из ведущих мировых организаций в области криптографии — отменила результаты ежегодных выборов руководства. Дело в том, что был потерян ключ, необходимый для расшифровки результатов голосования.

👺 IACR (International Association of Cryptologic Research) — некоммерческая научная организация, проводящая исследования в криптологии и смежных областях. Криптология — это наука о разработке вычислительных и коммуникационных систем, занимающаяся изучением методов шифрования и дешифровки.

💳 Голосование проводилось через опенсорсную систему Helios, использующую рецензируемую криптографию. Helios обеспечивает проверяемость, конфиденциальность и сохранение приватности: каждый голос шифруется таким образом, чтобы тайна бюллетеня сохранялась, но каждый избиратель может подтвердить, что его голос подсчитан честно.

В даркнете в среднем появляется 225 предложений о «пробиве» в месяц

🔖 Эксперты BI ZONE изучили свыше 3500 объявлений на теневых площадках, где предлагают услуги по сбору информации о людях — так называемый «пробив». Каждое пятое предложение (21%) обещает полное досье на конкретного человека.

‼️ По информации исследователей, цены на «пробив» колеблются от нескольких сотен до десятков тысяч рублей. На рынке выделяется три ценовых сегмента. Самый дешевый (100–500 рублей) — базовая проверка по одному-двум параметрам: например, узнать ФИО и дату рождения по номеру телефона или email.

📌 Однако большая часть предложений (75%) относится к среднему сегменту — от 1000 до 1500 рублей. За эту сумму обещают не только установить личность по контактным данным, но и собрать досье из различных баз и реестров, включая закрытые. Основной источник информации — утечки данных, как публичные, так и платные.

Tomiris атакует дипломатические службы и госучреждения в России и СНГ

🔵 Исследователи из «Лаборатории Касперского» обнаружили свежую активность APT-группы Tomiris, которая атакует госсектор в России и странах СНГ с начала 2025 года. Основные жертвы группировки — МИДы и другие дипломатические структуры. За год с активностью Tomiris столкнулись больше 1000 пользователей.

🧬 Впервые активность Tomiris была описана еще в 2021 году. Ранее группа атаковала государственные учреждения в СНГ, а основной целью была кража внутренних документов.

🧬 Обычно атаки хакеров начинаются с фишинговых писем с запароленными архивами. Внутри вложений находится исполняемый файл, замаскированный под документ: либо с двойным расширением типа .doc<пробелы>.exe, либо с длинным именем, скрывающим настоящее расширение при просмотре архива. Один из примеров приманки — письмо с просьбой дать отзыв по проектам, якобы направленным на развитие российских регионов. Если запустить файл из архива, это приведет к заражению.

Android-малварь Albiriox атакует более 400 приложений

🟩 Специалисты Cleafy обнаружили на хакерских форумах новый банковский троян для Android под названием Albiriox, который распространяется русскоязычными хакерами по модели MaaS («вредонос как услуга»).

🟢 Albiriox представляет собой банковский троян для проведения мошеннических операций непосредственно с зараженного устройства жертвы. Вредонос позволяет злоумышленникам полностью перехватывать контроль над зараженным смартфоном и совершать незаконные транзакции через банковские и криптовалютные приложения.

🎮 Малварь была анонсирована в конце сентября 2025 года, а в октябре разработчики перешли к коммерческой модели распространения. Стоимость месячной подписки на Albiriox составляет 720 долларов США.

Microsoft незаметно исправила 0-day-уязвимость, связанную с файлами LNK

🖥 Эксперты обнаружили, что летом 2025 года компания Microsoft закрыла опасную уязвимость в Windows, которую активно эксплуатировали как минимум 11 хакерских группировок — среди них северокорейские APT и крупные группы вроде Evil Corp. CVE-2025-9491 позволяла злоумышленникам скрывать вредоносные команды внутри файлов LNK и незаметно запускать малварь на скомпрометированном устройстве.

🔵 Корень проблемы заключался в том, как Windows обрабатывает LNK-ярлыки. Злоумышленники заполняли поле Target в файле LNK пробелами, чтобы скрыть вредоносные аргументы командной строки. Дело в том, что свойства файла отображают только первые 260 символов Target-поля, а остальное остается «за кадром». В результате пользователь видит безобидную команду, а при двойном клике на ярлык запускается малварь.

🧬 Хакерские группировки активно пользовались этим трюком. Как выяснили аналитики компании Trend Micro, CVE-2025-9491 эксплуатировали не менее 11 группировок, среди которых: северокорейские APT37, APT43 (она же Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni и киберпреступники из Evil Corp и Bitter.

ЕС оштрафовал социальную сеть X на 140 000 000 долларов

👺 Еврокомиссия оштрафовала социальную сеть X на 120 млн евро (около 140 млн долларов США) за нарушение требований прозрачности по Digital Services Act (DSA). В частности, в ЕС сочли, что платформа Илона Маска вводит пользователей в заблуждение галочками верификации, имеет непрозрачную рекламную базу и затрудняет исследователям доступ к данным.

⚡️ DSA — свод правил, принятых в 2022 году. Он обязывает онлайн-платформы удалять вредоносный контент и защищать пользователей в странах ЕС.

💣 Расследование работы X длилось два года. За это время комиссия проверила, как соцсеть справляется с манипуляциями информацией и распространением нелегального контента. Предварительные выводы были переданы представителям платформы еще в июле 2024 года.

Неисправленная уязвимость в Gogs привела к компрометации 700 серверов

🔥 Уязвимость нулевого дня в популярном сервисе для самостоятельного хостинга Git-репозиториев Gogs позволяет злоумышленникам удаленно выполнять произвольный код, что привело к взлому сотен серверов по всему миру.

🔖 Gogs написан на Go и позиционируется как альтернатива GitLab или GitHub Enterprise. Многие разработчики и компании держат их доступным через интернет для удаленной совместной работы над проектами. Однако это делает такие серверы легкой мишенью для атак, а теперь исследователи зафиксировали масштабную кампанию, эксплуатирующую критическую уязвимость.

⚡️ Проблема получила идентификатор CVE-2025-8110 и связана с path traversal уязвимостью в API PutContents сервиса. Баг позволяет обойти защиту, внедренную для другой RCE-проблемы (CVE-2024-55947), которую разработчики исправили ранее. Как обнаружили специалисты, хакеры научились использовать символические ссылки для перезаписи файлов за пределами репозитория.

В 2026 году Минцифры планирует создать базу IMEI

🖥 Минцифры планирует в 2026 году запустить единую платформу для учета IMEI-номеров всех мобильных устройств в России. Об этом на заседании Общественного совета при ведомстве заявил замминистра Дмитрий Угнивенко.

💬 «Интерфакс» сообщает, что главная цель — борьба с использованием SIM-карт в БПЛА. По замыслу чиновников, привязка IMEI к конкретным номерам позволит точно определять, находится ли SIM-карта в дроне, что в перспективе может помочь ослабить действующий режим блокировок мобильного интернета в приграничных регионах.

🖥 IMEI (International Mobile Equipment Identity) — уникальный 15-значный код, который присваивают каждому устройству с SIM-слотом. В нем зашифрованы данные о производителе, стране, модели и серийном номере девайса. Операторы связи используют этот идентификатор, чтобы определить, какой именно аппарат работает в их сети, и при необходимости отследить его местоположение.

Разработчики WhatsApp заявили, что будут бороться за российских пользователей

💎 Представители WhatsApp (принадлежит Meta, признанной экстремистской и запрещенной в России) заявили, что российские власти пытаются лишить более 100 млн россиян доступа к приватным коммуникациям накануне новогодних праздников. Это заявление компания сделала после повторного предупреждения Роскомнадзора о возможной полной блокировке мессенджера в стране.

➕ 22 декабря сервисы мониторинга «Сбой рф» и Downdetector зафиксировали тысячи жалоб на проблемы в работе WhatsApp в России. По информации СМИ, скорость работы мессенджера в этот день упала на 70-80%. Тогда в Роскомнадзоре (РКН) подтвердили, что это связано с тем, что ведомство постепенно вводит ограничения, «позволяя пользователям перейти на использование других мессенджеров».

🟢 В РКН заявляют, что WhatsApp продолжает нарушать российское законодательство. По данным регулятора, мессенджер используется для организации и проведения терактов на территории России, вербовки их исполнителей, а также мошенничества и других преступлений против граждан.

В результате операции Sentinel в странах Африки арестованы 574 киберпреступника

💣 Интерпол провел международную операцию Sentinel, в ходе которой были арестованы 574 человека и возвращено 3 млн долларов США, похищенных в результате BEC-атак, мошенничества и вымогательства.

👺 Операция проходила с 27 октября по 27 ноября 2025 года при участии правоохранителей из 19 стран мира. За это время были ликвидированы более 6000 вредоносных ссылок и взломано шифрование шести вариантов вымогательской малвари.

💳 Сообщается, что в Сенегале удалось предотвратить BEC-атаку на нефтяную компанию — злоумышленники пытались похитить 7,9 млн долларов через банковский перевод. Счета заморозили до того, как деньги успели вывести.

Свежая уязвимость в MongoDB активно применяется в атаках

🟩 Исправленную на прошлой неделе RCE-уязвимость CVE-2025-14847, также получившую имя MongoBleed, уже эксплуатируют хакеры. ИБ-специалисты предупреждают, что в сети по-прежнему доступно более 87 000 уязвимых серверов.

🟢 Напомним, что проблема в MongoDB, получившая идентификатор CVE-2025-14847, позволяет неаутентифицированным удаленным атакующим выполнять произвольный код на незащищенных серверах и извлекать данные из памяти уязвимых инстансов (включая учетные данные и ключи аутентификации).

📌 Уязвимость была связана с некорректной обработкой расхождений в параметре длины (Improper Handling of Length Parameter Inconsistency), что позволяло выполнять произвольный код и потенциально захватывать контроль над целевыми серверами.

Фальшивый домен для активации Windows заражает пользователей малварью Cosmali Loader

✅ Пользователи обнаружили фальшивый домен, маскирующийся под MAS-утилиту (Microsoft Activation Scripts) проекта Massgrave. Домен использовали для распространения вредоносных PowerShell-скриптов, которые заражали Windows-системы загрузчиком малвари Cosmali Loader.

🤮 Как пишет издание Bleeping Computer, на этой неделе пользователи Reddit начали сообщать (1, 2) о странных всплывающих уведомлениях, появившихся на их компьютерах. Эти уведомления сообщали о заражении системы малварью Cosmali Loader и даже объясняли причину — опечатка при вводе команды активации Windows.

🎁 Как выяснил исследователь, известный под ником RussianPanda, эти сообщения связаны с опенсорсным загрузчиком малвари Cosmali Loader. Ранее этот вредонос уже попадал в поле зрения аналитика GDATA Карстена Хана (Karsten Hahn), который тоже писал о похожих всплывающих окнах

Обнаружены новые версии Android-трояна Mamont, которые распространяются через домовые чаты

🧬 Аналитики компании F6 изучили свежую версию трояна Mamont, который стал главной угрозой для российских пользователей Android. По данным компании, 47% всех скомпрометированных устройств в РФ заражены именно этим вредоносом. Только в ноябре 2025 года ущерб от его атак превысил 150 млн рублей.

🧬 Специалисты рассказывают, что по итогам года этот вредонос выходит на первое место по количеству зараженных устройств и размеру ущерба, обогнав даже NFCGate.

🖥 По данным F6, примерно 1,5% всех Android-девайсов в России имеют следы вредоносных приложений. При выборке в 100 млн устройств получается около 1,5 млн скомпрометированных гаджетов. На долю Mamont приходится 47% из них — то есть около 700 000 зараженных устройств.