Материнские платы таких крупных производителей, как ASRock, Asus, Gigabyte и MSI подвержены уязвимости, которая позволяет злоумышленнику проводить атаки с использованием DMA на этапе ранней загрузки системы.
Согласно сообщению, CERT/CC Университета Карнеги-Меллона, злоумышленник может использовать эту уязвимость для доступа к данным в памяти или влияния на начальное состояние системы.
Несмотря на всю критичность проблемы, подрывающей казалось бы целостность процесса загрузки и позволяющей проводить атаки до загрузки средств защиты ОС, для ее эксплуатации необходим физический доступ к целевому устройству.
В частности, локальному злоумышленнику необходимо иметь возможность подключить вредоносное устройство PCI Express (PCIe) к компьютеру с уязвимой материнской платой.
Уязвимость, описываемая как сбой механизма защиты, связана с реализациями UEFI и блоком управления памятью ввода-вывода (IOMMU), который предназначен для предотвращения несанкционированного доступа к памяти со стороны периферийных устройств.
Проблема заключается в том, что во время загрузки микропрограмма указывает на включение защиты от прямого доступа к памяти (DMA), тогда как в действительности IOMMU не настраивается и не активируется должным образом до момента, непосредственно предшествующего передаче управления операционной системе.
А это позволяет злоумышленнику, имеющему физический доступ к целевой системе, использовать вредоносное устройство PCIe для проведения атаки с прямым доступом к памяти (DMA).
Проблема отслеживается как: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
В свою очередь, ASRock, Asus, Gigabyte и MSI подтвердили (1, 2, 3, 4 соответственно), что некоторые из их материнских плат затронуты этой проблемой. Каждая выпустила собственное уведомление, информирующее клиентов об уязвимости и доступности обновлений прошивки.
Согласно рекомендациям CERT/CC, продукция AMD, AMI, Insyde, Intel, Phoenix Technologies и Supermicro не затронута. Более десятка производителей в настоящее время имеют статус «неизвестный».
Согласно сообщению, CERT/CC Университета Карнеги-Меллона, злоумышленник может использовать эту уязвимость для доступа к данным в памяти или влияния на начальное состояние системы.
Несмотря на всю критичность проблемы, подрывающей казалось бы целостность процесса загрузки и позволяющей проводить атаки до загрузки средств защиты ОС, для ее эксплуатации необходим физический доступ к целевому устройству.
В частности, локальному злоумышленнику необходимо иметь возможность подключить вредоносное устройство PCI Express (PCIe) к компьютеру с уязвимой материнской платой.
Уязвимость, описываемая как сбой механизма защиты, связана с реализациями UEFI и блоком управления памятью ввода-вывода (IOMMU), который предназначен для предотвращения несанкционированного доступа к памяти со стороны периферийных устройств.
Проблема заключается в том, что во время загрузки микропрограмма указывает на включение защиты от прямого доступа к памяти (DMA), тогда как в действительности IOMMU не настраивается и не активируется должным образом до момента, непосредственно предшествующего передаче управления операционной системе.
А это позволяет злоумышленнику, имеющему физический доступ к целевой системе, использовать вредоносное устройство PCIe для проведения атаки с прямым доступом к памяти (DMA).
Проблема отслеживается как: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
В свою очередь, ASRock, Asus, Gigabyte и MSI подтвердили (1, 2, 3, 4 соответственно), что некоторые из их материнских плат затронуты этой проблемой. Каждая выпустила собственное уведомление, информирующее клиентов об уязвимости и доступности обновлений прошивки.
Согласно рекомендациям CERT/CC, продукция AMD, AMI, Insyde, Intel, Phoenix Technologies и Supermicro не затронута. Более десятка производителей в настоящее время имеют статус «неизвестный».
Asus
ASUS Security Advisory | Latest Vulnerability Update
Stay updated with ASUS security advisories, firmware patches, and vulnerability reports. Learn how to protect your devices and report issues.
Более 115 000 устройств WatchGuard Firebox в сети уязвимы для RCE и остаются без обновлений для критической проблемы записи за пределами допустимого диапазона, которая активно используется в атаках.
CVE-2025-14733 межсетевые экраны Firebox под управлением Fireware OS 11.x и более поздних версий (включая 11.12.4_Update1), 12.x и более поздних версий (включая 12.11.5), а также версий 2025.1 и до 2025.1.3 включительно.
Успешная эксплуатация позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код на уязвимых устройствах в атаках низкой сложности, не требующих взаимодействия с пользователем.
Как пояснила WatchGuard в своем бюллетене, CVE-2025-14733 эксплуатируется в реальных условиях, но только в том случае, если необновленные межсетевые экраны Firebox настроены для VPN-подключения IKEv2.
Компания также предупредила, что даже если уязвимые конфигурации будут удалены, межсетевой экран все еще может быть подвержен риску, если по-прежнему настроено VPN-подключение филиала (BOVPN) к статическому шлюзу.
WatchGuard также предоставила соответствующие IOCs для клиентов, позволяющих выявлять скомпрометированные устройства Firebox в сетях.
Компания также предложила временные меры по смягчению последствий, предусматривающие отключение динамических одноранговых BOVPN, добавление новых политик межсетевого экрана и отключение стандартных системных политик, обрабатывающих VPN-трафик.
В свою очередь, Shadowserver обнаружила более 124 658 незащищенных экземпляров Firebox, находящихся в открытом доступе, в воскресенье их число немного уменьшилось до 117 490.
Через день после выпуска WatchGuard патчей CISA добавила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что именно этот тип уязвимости является частым вектором атак для киберпреступников.
Беспокойства WatchGuard можно понять, ведь в она сотрудничает с более чем 17 000 поставщиками услуг в сфере безопасности, обеспечивая защиту сетей для 250 000 малых и средних компаний по всему миру, почти половина из которых сейчас под угрозой атак.
CVE-2025-14733 межсетевые экраны Firebox под управлением Fireware OS 11.x и более поздних версий (включая 11.12.4_Update1), 12.x и более поздних версий (включая 12.11.5), а также версий 2025.1 и до 2025.1.3 включительно.
Успешная эксплуатация позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код на уязвимых устройствах в атаках низкой сложности, не требующих взаимодействия с пользователем.
Как пояснила WatchGuard в своем бюллетене, CVE-2025-14733 эксплуатируется в реальных условиях, но только в том случае, если необновленные межсетевые экраны Firebox настроены для VPN-подключения IKEv2.
Компания также предупредила, что даже если уязвимые конфигурации будут удалены, межсетевой экран все еще может быть подвержен риску, если по-прежнему настроено VPN-подключение филиала (BOVPN) к статическому шлюзу.
WatchGuard также предоставила соответствующие IOCs для клиентов, позволяющих выявлять скомпрометированные устройства Firebox в сетях.
Компания также предложила временные меры по смягчению последствий, предусматривающие отключение динамических одноранговых BOVPN, добавление новых политик межсетевого экрана и отключение стандартных системных политик, обрабатывающих VPN-трафик.
В свою очередь, Shadowserver обнаружила более 124 658 незащищенных экземпляров Firebox, находящихся в открытом доступе, в воскресенье их число немного уменьшилось до 117 490.
Через день после выпуска WatchGuard патчей CISA добавила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что именно этот тип уязвимости является частым вектором атак для киберпреступников.
Беспокойства WatchGuard можно понять, ведь в она сотрудничает с более чем 17 000 поставщиками услуг в сфере безопасности, обеспечивая защиту сетей для 250 000 малых и средних компаний по всему миру, почти половина из которых сейчас под угрозой атак.
Watchguard
WatchGuard Firebox iked Out of Bounds Write Vulnerability
Updated 19 December 2025: Updated to clarify the significance of outbound vs inbound connections involving the IP addresses listed under the Indicators of Attack An Out-of-bounds Write vulnerability in the WatchGuard Fireware OS iked process may allow a remote…
Forwarded from Russian OSINT
Эксперты BI.ZONE подвели итоги 🇷🇺2025 года. Если раньше хакеры требовали выкуп или сливали данные, то теперь всё чаще цель — полное
В 2025 году зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы корпоративной инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
Команда BI.ZONE DFIR не участвовала в реагировании на все зафиксированные инциденты. Но объем проектов, в которых она была задействована, позволяет выделить тенденции и сформировать статистическую картину по атакам и реакции компаний на них.
📊 Ключевые метрики 2025 года:
📊Тенденции атак и новые угрозы 2025 года:
В конечном счете цель не в том, чтобы избежать атаки, — это невозможно. Задача компаний в том, чтобы сократить время обнаружения угроз и минимизировать потенциальный ущерб, обеспечить непрерывность бизнес-процессов и не дать злоумышленнику закрепиться в инфраструктуре. Чем лучше организация понимает свою инфраструктуру, процессы и риски, тем быстрее она реагирует и тем меньше шансов у атакующих.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ботнет для Android под названием Kimwolf, связанный с ботнетом Aisuru IoT и созданный с использованием NDK (Native Development Kit), смог захватить 1,8 миллиона устройств, отправив более 1,7 млрд. команд в рамках DDoS-атак.
Обнаружили новинку исследователи китайской QiAnXin XLab, отмечая широкий функуционал ботнета: реализация прокси-серверов, обратной оболочки и управления файлами.
По данным XLab, Kimwolf в основном специализируется на проксировании трафика, но, как было замечено, в период с 19 по 22 ноября он отдал более 1,7 миллиарда команд для DDoS-атак.
В общей сложности поддерживает 13 методов DDoS-атак по протоколам UDP, TCP и ICMP.
Это позволило его домену С2 14emeliaterracewestroxburyma02132[.]su занять первое место в глобальном рейтинге популярности доменов Cloudflare, обогнав google.com.
По данным компании, вредоносное ПО использует протокол DNS over TLS (DoT) для инкапсуляции DNS-запросов и обхода обнаружения, а также механизм проверки подписи для подтверждения инструкций связи.
Kimwolf в основном нацелен на телевизионные приставки Android TV, используемые в домашних сетях, при этом зараженные устройства распространены более чем в 220 странах.
При этом наибольшая концентрация - в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах.
Среди затронутых моделей устройств - TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10.
Однако точный механизм распространения вредоносного ПО на эти устройства в настоящее время неясен.
Сама вредоносная ПО довольно проста.
После запуска она гарантирует, что на зараженном устройстве будет работать только один экземпляр процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.
Из-за динамических механизмов распределения IP-адресов и глобального распространения зараженных устройств фактический размер ботнета остается неизвестным.
По данным XLab, домены С2, связанные с ботнетом, как минимум трижды выводились из строя третьими лицами, что вынудило разработчиков усилить защиту инфраструктуры, используя домены ENS (Ethereum Name Service).
XLab инциировала расследование в отношении ботнета после того, как 24 октября 2025 года она получила от доверенного партнера из сообщества артефакт «версии 4» Kimwolf.
С тех пор, по состоянию на прошлый месяц, было обнаружено еще восемь образцов.
Предполагается, что злоумышленники использовали код AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf, чтобы избежать обнаружения.
Эти два крупных ботнета распространялись с помощью одних и тех же скриптов заражения в период с сентября по ноябрь, сосуществуя в одной и той же партии устройств.
Они фактически принадлежат одной и той же хакерской группе.
Оценка основана на сходстве APK-пакетов, загруженных на платформу VirusTotal, в некоторых случаях даже с использованием одного и того же сертификата подписи кода (John Dinglebert Dinglenut VIII VanSack Smith).
Дополнительные убедительные доказательства появились 8 декабря 2025 года с обнаружением активного сервера загрузки (93.95.112[.]59), содержащего скрипт, ссылающийся на APK-файлы как Kimwolf, так и AISURU.
По мнению исследователей, ботнет был причастен как минимум к двум крупномасштабным DDoS-атакам, включая инцидент с мощностью почти 30 Тбит/с, о котором сообщалось ранее в этом месяце.
Хотя многочисленные масштабные DDoS-атаки в последнее время были приписаны Aisuru, XLab считает, что именно Kimwolf мог быть ведущим ботнетом в этих инцидентах.
Обнаружили новинку исследователи китайской QiAnXin XLab, отмечая широкий функуционал ботнета: реализация прокси-серверов, обратной оболочки и управления файлами.
По данным XLab, Kimwolf в основном специализируется на проксировании трафика, но, как было замечено, в период с 19 по 22 ноября он отдал более 1,7 миллиарда команд для DDoS-атак.
В общей сложности поддерживает 13 методов DDoS-атак по протоколам UDP, TCP и ICMP.
Это позволило его домену С2 14emeliaterracewestroxburyma02132[.]su занять первое место в глобальном рейтинге популярности доменов Cloudflare, обогнав google.com.
По данным компании, вредоносное ПО использует протокол DNS over TLS (DoT) для инкапсуляции DNS-запросов и обхода обнаружения, а также механизм проверки подписи для подтверждения инструкций связи.
Kimwolf в основном нацелен на телевизионные приставки Android TV, используемые в домашних сетях, при этом зараженные устройства распространены более чем в 220 странах.
При этом наибольшая концентрация - в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах.
Среди затронутых моделей устройств - TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10.
Однако точный механизм распространения вредоносного ПО на эти устройства в настоящее время неясен.
Сама вредоносная ПО довольно проста.
После запуска она гарантирует, что на зараженном устройстве будет работать только один экземпляр процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.
Из-за динамических механизмов распределения IP-адресов и глобального распространения зараженных устройств фактический размер ботнета остается неизвестным.
По данным XLab, домены С2, связанные с ботнетом, как минимум трижды выводились из строя третьими лицами, что вынудило разработчиков усилить защиту инфраструктуры, используя домены ENS (Ethereum Name Service).
XLab инциировала расследование в отношении ботнета после того, как 24 октября 2025 года она получила от доверенного партнера из сообщества артефакт «версии 4» Kimwolf.
С тех пор, по состоянию на прошлый месяц, было обнаружено еще восемь образцов.
Предполагается, что злоумышленники использовали код AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf, чтобы избежать обнаружения.
Эти два крупных ботнета распространялись с помощью одних и тех же скриптов заражения в период с сентября по ноябрь, сосуществуя в одной и той же партии устройств.
Они фактически принадлежат одной и той же хакерской группе.
Оценка основана на сходстве APK-пакетов, загруженных на платформу VirusTotal, в некоторых случаях даже с использованием одного и того же сертификата подписи кода (John Dinglebert Dinglenut VIII VanSack Smith).
Дополнительные убедительные доказательства появились 8 декабря 2025 года с обнаружением активного сервера загрузки (93.95.112[.]59), содержащего скрипт, ссылающийся на APK-файлы как Kimwolf, так и AISURU.
По мнению исследователей, ботнет был причастен как минимум к двум крупномасштабным DDoS-атакам, включая инцидент с мощностью почти 30 Тбит/с, о котором сообщалось ранее в этом месяце.
Хотя многочисленные масштабные DDoS-атаки в последнее время были приписаны Aisuru, XLab считает, что именно Kimwolf мог быть ведущим ботнетом в этих инцидентах.
奇安信 X 实验室
Kimwolf Exposed: The Massive Android Botnet with 1.8 Million Infected Devices
Background
On October 24, 2025, a trusted partner in the security community provided us with a brand-new botnet sample. The most distinctive feature of this sample was its C2 domain, 14emeliaterracewestroxburyma02132[.]su, which at the time ranked 2nd in…
On October 24, 2025, a trusted partner in the security community provided us with a brand-new botnet sample. The most distinctive feature of this sample was its C2 domain, 14emeliaterracewestroxburyma02132[.]su, which at the time ranked 2nd in…
Исследователи из Лаборатории Касперского рассказали о том, как им удалось препарировать модем в головном устройстве автомобиля в режиме God Mode.
Просто представьте: вы едете на своем новеньком электромобиле, а на огромном мультимедийном дисплее вместо навигации запускается культовый Doom и начинает рубиться в него удаленно.
Такой сценарии, на первый взгляд, кажется невероятной - но в ЛК наглядно доказали, что в современных условиях это более чем реально.
Дело в том, что Интернет используют не только гаджеты, но и заводы, автомобили и даже поезда.
Как правило, они подключаются к мобильным сетям (3G/4G/5G) с помощью модемов, которые зачастую интегрированы в систему на кристалле SoC.
Она выполняет одновременно несколько функций, используя модемный процессор Communication Processor для одних и процессор приложений Application Processor для других.
Операционная система общего назначения, такая как Android, вполне может работать на AP, в то время как CP, предназначенный для взаимодействия с мобильной сетью, обычно реализуется на базе специализированных ОС.
При этом взаимосвязь между AP, CP и RAM на этом кристалле на уровне микроархитектуры представляет собой «черный ящик» и известна только производителю, хотя напрямую влияет на безопасность всей SoC.
При этом считается, что обход механизмов безопасности 3G/LTE - это чисто академическая задача.
Ведь при подключении пользовательского устройства User Equipment к базовой станции сотовой связи Evolved Node B создается безопасный канал связи.
Даже если кто-то сможет обойти его защитные механизмы, обнаружить уязвимость в модеме и выполнить на нем свой код, это, скорее всего, не затронет бизнес-логику устройства.
Эта логика (например, пользовательские приложения, история браузера, звонки и SMS на смартфоне) находится на АР и, как предполагается, не может быть доступна с модема.
Чтобы выяснить, так ли это, исследователи ЛК оценили безопасность современной SoC Unisoc UIS7862A со встроенным 2G/3G/4G-модемом.
Такие чипы встречаются в китайских и отечественных мобильных устройствах, а также в головных устройствах современных китайских автомобилей, количество которых на дорогах растет.
Головное устройство - один из ключевых объектов автомобиля, и его компрометация угрожает не только сохранности пользовательских данных, но и безопасности дорожного движения.
В ходе этого исследования ЛК смогла выявить критические уязвимости на разных уровнях стека сотовых протоколов модема Unisoc UIS7862A.
В частности, уязвимость переполнения стека в реализации протокола 3G RLC (CVE-2024-39432), которая позволяет удаленно выполнять код на ранних этапах подключения, до активации каких-либо защитных механизмов.
Однако получение возможности выполнения своего кода на модеме - лишь точка входа для полной удаленной компрометации всей SoC.
Но исследователям удалось найти несколько способов получения доступа к AP, в том числе с использованием аппаратной уязвимости в виде скрытого DMA-устройства для выполнения горизонтального перемещения внутри SoC.
В конечном итоге, это позволило установить собственный патч к работающему ядру Android и выполнить произвольный код на AP с наивысшими привилегиями.
Технический разбор - в отчете, а полная версия материала с подробным описанием разработки эксплойта для АР и демонстрацией DOOM на головном устройстве автомобиля также доступен на сайте ICS CERT.
Просто представьте: вы едете на своем новеньком электромобиле, а на огромном мультимедийном дисплее вместо навигации запускается культовый Doom и начинает рубиться в него удаленно.
Такой сценарии, на первый взгляд, кажется невероятной - но в ЛК наглядно доказали, что в современных условиях это более чем реально.
Дело в том, что Интернет используют не только гаджеты, но и заводы, автомобили и даже поезда.
Как правило, они подключаются к мобильным сетям (3G/4G/5G) с помощью модемов, которые зачастую интегрированы в систему на кристалле SoC.
Она выполняет одновременно несколько функций, используя модемный процессор Communication Processor для одних и процессор приложений Application Processor для других.
Операционная система общего назначения, такая как Android, вполне может работать на AP, в то время как CP, предназначенный для взаимодействия с мобильной сетью, обычно реализуется на базе специализированных ОС.
При этом взаимосвязь между AP, CP и RAM на этом кристалле на уровне микроархитектуры представляет собой «черный ящик» и известна только производителю, хотя напрямую влияет на безопасность всей SoC.
При этом считается, что обход механизмов безопасности 3G/LTE - это чисто академическая задача.
Ведь при подключении пользовательского устройства User Equipment к базовой станции сотовой связи Evolved Node B создается безопасный канал связи.
Даже если кто-то сможет обойти его защитные механизмы, обнаружить уязвимость в модеме и выполнить на нем свой код, это, скорее всего, не затронет бизнес-логику устройства.
Эта логика (например, пользовательские приложения, история браузера, звонки и SMS на смартфоне) находится на АР и, как предполагается, не может быть доступна с модема.
Чтобы выяснить, так ли это, исследователи ЛК оценили безопасность современной SoC Unisoc UIS7862A со встроенным 2G/3G/4G-модемом.
Такие чипы встречаются в китайских и отечественных мобильных устройствах, а также в головных устройствах современных китайских автомобилей, количество которых на дорогах растет.
Головное устройство - один из ключевых объектов автомобиля, и его компрометация угрожает не только сохранности пользовательских данных, но и безопасности дорожного движения.
В ходе этого исследования ЛК смогла выявить критические уязвимости на разных уровнях стека сотовых протоколов модема Unisoc UIS7862A.
В частности, уязвимость переполнения стека в реализации протокола 3G RLC (CVE-2024-39432), которая позволяет удаленно выполнять код на ранних этапах подключения, до активации каких-либо защитных механизмов.
Однако получение возможности выполнения своего кода на модеме - лишь точка входа для полной удаленной компрометации всей SoC.
Но исследователям удалось найти несколько способов получения доступа к AP, в том числе с использованием аппаратной уязвимости в виде скрытого DMA-устройства для выполнения горизонтального перемещения внутри SoC.
В конечном итоге, это позволило установить собственный патч к работающему ядру Android и выполнить произвольный код на AP с наивысшими привилегиями.
Технический разбор - в отчете, а полная версия материала с подробным описанием разработки эксплойта для АР и демонстрацией DOOM на головном устройстве автомобиля также доступен на сайте ICS CERT.
Securelist
Взлом головного устройства автомобиля через модем
Рассказываем, как с помощью одной уязвимости в модеме можно получить доступ к головному устройству автомобиля.
Исследователи сингапурской Group-IB задетектили вредоносные дропперы, мимикрирующие под приложения, для распространения SMS-стилера для Android под названием Wonderland в атаках, нацеленнных на Узбекистан.
Если ранее пользователи получали «чистые» троянские APK, которые сразу после установки действовали как вредоносное ПО, то теперь злоумышленники все чаще задействуют дропперы, замаскированные под легитимные приложения.
Он выглядит безобидным, на первый взгляд, но содержит встроенную вредоносную полезную нагрузку, которая развертывается локально после установки - даже без активного подключения к интернету.
Wonderland (WretchedCat) обеспечивает двустороннюю связь C2 для выполнения команд в режиме реального времени, что позволяет отправлять произвольные USSD и совершать кражу SMS.
При этом маскируется под Google Play или файлы других форматов, включая видео, фото и свадебные приглашения.
Финансово мотивированный злоумышленник TrickyWonders, стоящий за этим вредоносным ПО, использует Telegram в качестве основной платформы для координации различных аспектов своей деятельности.
Впервые Wonderland был обнаружен в ноябре 2023 года и относится к двум семействам вредоносных программ-дропперов, предназначенных для сокрытия основной зашифрованной полезной нагрузки: MidnightDat (замечен 27 августа 2025) и RoundRift (замечен 15 октября 2025).
Wonderland распространяется в основном с помощью фейковых веб-страниц Google Play Store, рекламных кампаний в соцсетях, а также аккаунтов в приложениях для знакомств и мессенджерах.
Злоумышленники применяют для этого украденные сессии Telegram узбекских пользователей, которые продаются в даркнете, распространяя APK-файлы среди контактов и через чаты жертв.
После установки вредоносная ПО получает доступ к SMS и перехватывает OTP, которые затем используются для вывода средств с банковских карт жертв.
Среди других возможностей - излучение телефонных номеров, кража списка контактов, скрытие push-уведомлений, а также отправка SMS-сообщений с зараженных устройств для горизонтального перемещения.
Однако для установки приложения из неизвестных источников пользователям необходимо сначала включить параметр, разрешающий установку из неизвестных источников, что достигается путем отображения экрана обновления и «установки обновлений».
В момент устанавки APK и получения необходимых разрешений, злоумышленники перехватывают номер телефона и пытаются войти в учетную запись Telegram, зарегистрированную на этот номер. После авторизации процесс распространения повторяется, создавая циклическую цепочку заражения.
Wonderland знаменует собой вершину эволюцию мобильного вредоносного ПО в Узбекистане: от примитивных вредоносных ПО, типа Ajina.Banker для масштабных спам-кампаний к более серьезным, таким как Qwizzserial, маскирующимся под безобидные медиафайлы.
Как отмечают исследователи, дропперы представляют собой стратегический сдвиг, поскольку это позволяет обходить проверки безопасности. Кроме того, как дропперы, так и SMS-стилеры сильно обфусцированы и поддерживают защиту от анализа.
Более того, использование двусторонней связи C2 превращает вредоносную ПО из пассивного похитителя SMS-сообщений в активного удаленно управляемого агента, способного выполнять произвольные USSD, отправляемые сервером.
Вспомогательная инфраструктура также стала более динамичной и устойчивой. Разработчики полагаются на быстро меняющиеся домены, каждый из которых используется только для ограниченного набора сборок.
Вредоносные APK создаются с помощью Telegram-бота, которые затем распространяется привлеченными операторами в обмен на долю украденных средств.
В рамках этой операции каждый файл связан со своим собственным доменом C2 так, чтобы любая блокировка не привела к сбою всей инфраструктуры.
В преступный синдикат также входят владельцы групп, разработчики и вбиверы.
Подобная иерархическая структура подчеркивает новый этап в реализации финансового мошенничества и изощренном подходе киберподполья к взлому современных Android.
Если ранее пользователи получали «чистые» троянские APK, которые сразу после установки действовали как вредоносное ПО, то теперь злоумышленники все чаще задействуют дропперы, замаскированные под легитимные приложения.
Он выглядит безобидным, на первый взгляд, но содержит встроенную вредоносную полезную нагрузку, которая развертывается локально после установки - даже без активного подключения к интернету.
Wonderland (WretchedCat) обеспечивает двустороннюю связь C2 для выполнения команд в режиме реального времени, что позволяет отправлять произвольные USSD и совершать кражу SMS.
При этом маскируется под Google Play или файлы других форматов, включая видео, фото и свадебные приглашения.
Финансово мотивированный злоумышленник TrickyWonders, стоящий за этим вредоносным ПО, использует Telegram в качестве основной платформы для координации различных аспектов своей деятельности.
Впервые Wonderland был обнаружен в ноябре 2023 года и относится к двум семействам вредоносных программ-дропперов, предназначенных для сокрытия основной зашифрованной полезной нагрузки: MidnightDat (замечен 27 августа 2025) и RoundRift (замечен 15 октября 2025).
Wonderland распространяется в основном с помощью фейковых веб-страниц Google Play Store, рекламных кампаний в соцсетях, а также аккаунтов в приложениях для знакомств и мессенджерах.
Злоумышленники применяют для этого украденные сессии Telegram узбекских пользователей, которые продаются в даркнете, распространяя APK-файлы среди контактов и через чаты жертв.
После установки вредоносная ПО получает доступ к SMS и перехватывает OTP, которые затем используются для вывода средств с банковских карт жертв.
Среди других возможностей - излучение телефонных номеров, кража списка контактов, скрытие push-уведомлений, а также отправка SMS-сообщений с зараженных устройств для горизонтального перемещения.
Однако для установки приложения из неизвестных источников пользователям необходимо сначала включить параметр, разрешающий установку из неизвестных источников, что достигается путем отображения экрана обновления и «установки обновлений».
В момент устанавки APK и получения необходимых разрешений, злоумышленники перехватывают номер телефона и пытаются войти в учетную запись Telegram, зарегистрированную на этот номер. После авторизации процесс распространения повторяется, создавая циклическую цепочку заражения.
Wonderland знаменует собой вершину эволюцию мобильного вредоносного ПО в Узбекистане: от примитивных вредоносных ПО, типа Ajina.Banker для масштабных спам-кампаний к более серьезным, таким как Qwizzserial, маскирующимся под безобидные медиафайлы.
Как отмечают исследователи, дропперы представляют собой стратегический сдвиг, поскольку это позволяет обходить проверки безопасности. Кроме того, как дропперы, так и SMS-стилеры сильно обфусцированы и поддерживают защиту от анализа.
Более того, использование двусторонней связи C2 превращает вредоносную ПО из пассивного похитителя SMS-сообщений в активного удаленно управляемого агента, способного выполнять произвольные USSD, отправляемые сервером.
Вспомогательная инфраструктура также стала более динамичной и устойчивой. Разработчики полагаются на быстро меняющиеся домены, каждый из которых используется только для ограниченного набора сборок.
Вредоносные APK создаются с помощью Telegram-бота, которые затем распространяется привлеченными операторами в обмен на долю украденных средств.
В рамках этой операции каждый файл связан со своим собственным доменом C2 так, чтобы любая блокировка не привела к сбою всей инфраструктуры.
В преступный синдикат также входят владельцы групп, разработчики и вбиверы.
Подобная иерархическая структура подчеркивает новый этап в реализации финансового мошенничества и изощренном подходе киберподполья к взлому современных Android.
Group-IB
Choose Your Fighter: A New Stage in the Evolution of Android SMS Stealers in Uzbekistan
Group-IB analyzes the evolution of Android malware in Uzbekistan, revealing advanced droppers, encrypted payload delivery, anti-analysis techniques, and Wonderland’s bidirectional SMS-stealing capabilities driving large-scale financial fraud.
Критическая уязвимость в платформе автоматизации рабочих процессов n8n, которая в случае успешной эксплуатации может привести к выполнению произвольного кода, затрагивая тысячи экземпляров.
Уязвимость отслеживается как CVE-2025-68613, имеет оценку CVSS 9,9 из 10 возможных.
Согласно статистике npm, пакет еженедельно скачивается около 57 000 раз.
Как заявили сопровождающие пакета, при определенных условиях выражения, предоставленные авторизованными пользователями во время настройки рабочего процесса, могут быть оценены в контексте выполнения, который недостаточно изолирован от базовой среды выполнения.
Аутентифицированный злоумышленник может использовать это поведение для выполнения произвольного кода с привилегиями процесса n8n.
Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций системного уровня.
Проблема затрагивает все версии, включая 0.211.0 и ниже 1.120.4, и была исправлена в версиях 1.120.4, 1.121.1 и 1.122.0.
По данным Censys, по состоянию на 22 декабря 2025 года насчитывается 103 476 потенциально уязвимых экземпляров, большинство из которых располагаются в США, Германии, Франции, Бразилии и Сингапуре, а также немалое число - и в России.
Ввиду критичности уязвимости пользователям рекомендуется как можно скорее установить обновления.
В противном случае рекомендуется ограничить права на создание и редактирование рабочих процессов только доверенными пользователями и развернуть n8n в защищенной среде с ограниченными правами доступа к операционной системе и сети для снижения риска.
Уязвимость отслеживается как CVE-2025-68613, имеет оценку CVSS 9,9 из 10 возможных.
Согласно статистике npm, пакет еженедельно скачивается около 57 000 раз.
Как заявили сопровождающие пакета, при определенных условиях выражения, предоставленные авторизованными пользователями во время настройки рабочего процесса, могут быть оценены в контексте выполнения, который недостаточно изолирован от базовой среды выполнения.
Аутентифицированный злоумышленник может использовать это поведение для выполнения произвольного кода с привилегиями процесса n8n.
Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций системного уровня.
Проблема затрагивает все версии, включая 0.211.0 и ниже 1.120.4, и была исправлена в версиях 1.120.4, 1.121.1 и 1.122.0.
По данным Censys, по состоянию на 22 декабря 2025 года насчитывается 103 476 потенциально уязвимых экземпляров, большинство из которых располагаются в США, Германии, Франции, Бразилии и Сингапуре, а также немалое число - и в России.
Ввиду критичности уязвимости пользователям рекомендуется как можно скорее установить обновления.
В противном случае рекомендуется ограничить права на создание и редактирование рабочих процессов только доверенными пользователями и развернуть n8n в защищенной среде с ограниченными правами доступа к операционной системе и сети для снижения риска.
GitHub
Remote Code Execution via Expression Injection
### Impact
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
Новый вредоносный дроппер для инфокрада MacSync обходит проверки Gatekeeper в macOS, о чем предупреждают исследователи Jamf.
Последняя версия инфокрада MacSync, нацеленная на системы macOS, реализуется через https://zkcall[.]net/download посредством приложения Swift с цифровой подписью и нотариальным заверением, располагаясь в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg.
Такой метод распространения представляет собой серьезную эволюцию по сравнению с предыдущими версиями, в которых использовались менее сложные методы, включая «перетаскивание в терминал» или ClickFix, устраняя необходимость во взаимодействии с терминалом.
На момент проведения анализа Jamf заявила, что последняя версия MacSync имела действительную цифровую подпись и могла обходить проверки Gatekeeper, системы безопасности macOS.
После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, исследователи подтвердили, что он имеет цифровую подпись и нотариальное заверение.
При этом подпись была связана с идентификатором команды разработчиков GNJLS3UYZ4.
Однако после прямого обращения в отношении сертификате в Apple, он был оперативно аннулирован.
Вредоносная ПО распространяется в системе через закодированный дроппер.
После расшифровки полезной нагрузки исследователи обнаружили типичные признаки MacSync Stealer.
Она использует ряд механизмов обхода защиты, включая увеличение размера файла DMG до 25,5 МБ путем внедрения фейковых PDF, удаление скриптов, используемых в цепочке выполнения, и проверку подключения к интернету перед выполнением для обхода изолированных сред.
Инфокрад для macOS появился в апреле 2025 года под названием Mac.C и был создан злоумышленником Mentalpositive.
Но уже к июлю он набрал обороты, присоединившись к менее многочисленному, но все еще прибыльному сегменту программ-стилеров для macOS наряду с AMOS и Odyssey.
Согласно анализу Mac.C от MacPaw Moonlock, установлено, что эта программа способна красть учетные данные связки ключей iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптокошельков и файлы из системы.
Причем в своем интервью для g0njxa в сентябре Mentalpositive, автор вредоносного ПО заявил, что введение более жесткой политики нотаризации приложений в macOS 10.14.5 и более поздних оказало наибольшее влияние на разработку и, как показывает практика, находит отражение в последних обнаруженных версиях.
Последняя версия инфокрада MacSync, нацеленная на системы macOS, реализуется через https://zkcall[.]net/download посредством приложения Swift с цифровой подписью и нотариальным заверением, располагаясь в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg.
Такой метод распространения представляет собой серьезную эволюцию по сравнению с предыдущими версиями, в которых использовались менее сложные методы, включая «перетаскивание в терминал» или ClickFix, устраняя необходимость во взаимодействии с терминалом.
На момент проведения анализа Jamf заявила, что последняя версия MacSync имела действительную цифровую подпись и могла обходить проверки Gatekeeper, системы безопасности macOS.
После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, исследователи подтвердили, что он имеет цифровую подпись и нотариальное заверение.
При этом подпись была связана с идентификатором команды разработчиков GNJLS3UYZ4.
Однако после прямого обращения в отношении сертификате в Apple, он был оперативно аннулирован.
Вредоносная ПО распространяется в системе через закодированный дроппер.
После расшифровки полезной нагрузки исследователи обнаружили типичные признаки MacSync Stealer.
Она использует ряд механизмов обхода защиты, включая увеличение размера файла DMG до 25,5 МБ путем внедрения фейковых PDF, удаление скриптов, используемых в цепочке выполнения, и проверку подключения к интернету перед выполнением для обхода изолированных сред.
Инфокрад для macOS появился в апреле 2025 года под названием Mac.C и был создан злоумышленником Mentalpositive.
Но уже к июлю он набрал обороты, присоединившись к менее многочисленному, но все еще прибыльному сегменту программ-стилеров для macOS наряду с AMOS и Odyssey.
Согласно анализу Mac.C от MacPaw Moonlock, установлено, что эта программа способна красть учетные данные связки ключей iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптокошельков и файлы из системы.
Причем в своем интервью для g0njxa в сентябре Mentalpositive, автор вредоносного ПО заявил, что введение более жесткой политики нотаризации приложений в macOS 10.14.5 и более поздних оказало наибольшее влияние на разработку и, как показывает практика, находит отражение в последних обнаруженных версиях.
Jamf
MacSync Stealer Evolves: From ClickFix to Code-Signed Swift Malware — Jamf Threat Labs
Jamf Threat Labs discovers MacSync Stealer's evolution to code-signed, notarized Swift applications that silently download and execute payloads, bypassing traditional macOS security measures.
Исследователи из Лаборатории Касперского продолжают отслеживать активность Cloud Atlas, представив отчет по результатам расследования новых похождений группы в в первой половине 2025 года.
Основной фокус Cloud Atlas, известной с 2014 года, сосредоточен на странах Восточной Европы и Центральной Азии.
Заражение, как правило, реализуется через фишинговые письма с вредоносными вложениями и эксплуатации давно известной уязвимости в процессе компонента Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
В новом отчете исследователи ЛК подробно анализируют цепочку заражения и инструментарии, которые группа применяла в первой половине 2025 года, с особым акцентом на ранее недокументированных имплантах.
По данным телеметрии, выявленные цели вновь задокументированных активностей группы располагаются в России и Беларуси, причем активность наблюдается с начала 2025 года.
Атаки затронули различные отрасли, включая телекоммуникации, строительство, государственные учреждения, производственные компании и другие предприятия.
Отправной точкой атак выступает фишинговое письмо с вредоносным вложением в формате DOC(X).
При открытии с удаленного сервера доставляется вредоносный шаблон в формате RTF с эксплойтом для редактора формул, который загружает и выполняет HTML-приложение (HTA).
При этом, по всей видимости, после успешного заражения жертвы ссылка на RTF-файл шаблона становится недоступной, а возможность их загрузки ограничена как по времени доступности, так и по IP-адресам жертв.
Вредоносный HTA извлекает несколько VBS-файлов, которые в совокупности образуют бэкдор VBShower, сохраняя их на диск.
Затем VBShower загружает и устанавливает другие полнофункциональные бэкдоры: PowerShower, VBCloud и CloudAtlas.
Большинство возможностей этих бэкдоров дублируется, однако отдельные полезные нагрузки имеют специализированные функции. Управление бэкдорами осуществляется через облачные сервисы, что является характерной чертой группы.
Сама цепочка заражения в значительной степени повторяет ту, что наблюдалась ранее в атаках Cloud Atlas в 2024 году, а некоторые ранее замеченные импланты претерпели лишь незначительные изменения.
Вместе с тем, исследователям ЛК удалось задетектить как новые, так и внимательно изучить обновленные компоненты. Учитывая внушительный объем по технике, подробно останавливаться не будем, а порекомендуем обратиться к оригиналу, где и IOCs имеются.
Основной фокус Cloud Atlas, известной с 2014 года, сосредоточен на странах Восточной Европы и Центральной Азии.
Заражение, как правило, реализуется через фишинговые письма с вредоносными вложениями и эксплуатации давно известной уязвимости в процессе компонента Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
В новом отчете исследователи ЛК подробно анализируют цепочку заражения и инструментарии, которые группа применяла в первой половине 2025 года, с особым акцентом на ранее недокументированных имплантах.
По данным телеметрии, выявленные цели вновь задокументированных активностей группы располагаются в России и Беларуси, причем активность наблюдается с начала 2025 года.
Атаки затронули различные отрасли, включая телекоммуникации, строительство, государственные учреждения, производственные компании и другие предприятия.
Отправной точкой атак выступает фишинговое письмо с вредоносным вложением в формате DOC(X).
При открытии с удаленного сервера доставляется вредоносный шаблон в формате RTF с эксплойтом для редактора формул, который загружает и выполняет HTML-приложение (HTA).
При этом, по всей видимости, после успешного заражения жертвы ссылка на RTF-файл шаблона становится недоступной, а возможность их загрузки ограничена как по времени доступности, так и по IP-адресам жертв.
Вредоносный HTA извлекает несколько VBS-файлов, которые в совокупности образуют бэкдор VBShower, сохраняя их на диск.
Затем VBShower загружает и устанавливает другие полнофункциональные бэкдоры: PowerShower, VBCloud и CloudAtlas.
Большинство возможностей этих бэкдоров дублируется, однако отдельные полезные нагрузки имеют специализированные функции. Управление бэкдорами осуществляется через облачные сервисы, что является характерной чертой группы.
Сама цепочка заражения в значительной степени повторяет ту, что наблюдалась ранее в атаках Cloud Atlas в 2024 году, а некоторые ранее замеченные импланты претерпели лишь незначительные изменения.
Вместе с тем, исследователям ЛК удалось задетектить как новые, так и внимательно изучить обновленные компоненты. Учитывая внушительный объем по технике, подробно останавливаться не будем, а порекомендуем обратиться к оригиналу, где и IOCs имеются.
Securelist
Новая кампания APT-группы Cloud Atlas
Эксперт «Лаборатории Касперского» описывает новые вредоносные инструменты, применяемые APT-группой Cloud Atlas, включая импланты бэкдоров VBShower, VBCloud, PowerShower и CloudAtlas.
Накануне новогодних праздников подкатили подарочки от киберподполья, больше всего привалило румынам и французам.
В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.
Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.
Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.
При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.
Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.
По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.
Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.
Теперь с подачи хакеров эту досадную ошибку решили исправить.
В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.
Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.
La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.
Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.
Во многих почтовых отделениях наблюдались перебои.
В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.
Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.
В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.
В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.
В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.
Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.
Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.
При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.
Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.
По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.
Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.
Теперь с подачи хакеров эту досадную ошибку решили исправить.
В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.
Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.
La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.
Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.
Во многих почтовых отделениях наблюдались перебои.
В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.
Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.
В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.
В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.
Facebook
La Poste
Un incident réseau majeur perturbe actuellement l’ensemble de nos systèmes d’information.
Nos services en ligne : La Banque Postale en ligne et l'app mobile, laposte.fr, Digiposte, Identité...
Nos services en ligne : La Banque Postale en ligne et l'app mobile, laposte.fr, Digiposte, Identité...
Известный расовый румынский инфосек журналист Каталин Чимпану 19 декабря написал, что c 20 числа (🫡) уходит на зимние каникулы аккурат до 12 января.
Спалился гэбешник кровавый!
Спалился гэбешник кровавый!
Risky.Biz
Risky Bulletin: Belarus deploys spyware on journalists' phones
Suspect arrested for installing malware on ferry boat; France arrests Interior Ministry hacker; and new Cisco and SonicWall zero-days.
Исследователи из Лаборатории Касперского сообщает о новой кампании, связанной с распространением вредоносной ПО WebRAT через репозитории GitHub, которые, как утверждается, содержат PoC-эксплойты для недавно обнаруженных уязвимостей.
Ранее распространявшийся через пиратское ПО и читы для таких игр, как Roblox, Counter Strike и Rust, WebRAT представляет собой бэкдор с возможностями кражи информации, появившийся в начале уходящего года.
Согласно майскому отчету Solar 4RAYS, WebRAT способен красть учетные данные для аккаунтов Steam, Discord и Telegram, а также данные криптокошельков, а также шпионить за жертвами через веб-камеры и делать скрины.
По меньшей мере с сентября операторы начали распространять вредоносное ПО через тщательно созданные репозитории, которые якобы включали эксплойты для ряда уязвимостей.
Среди заявленных следующие:
- CVE-2025-59295: уязвимость переполнения буфера в куче в компоненте Windows MSHTML/Internet Explorer, позволяющая выполнять произвольный код с помощью специально сформированных данных, передаваемых по сети.
- CVE-2025-10294: критическая уязвимость, позволяющая обойти систему аутентификации в плагине OwnID Passwordless Login для WordPress и входить в систему под любыми учетными данными, включая администраторов.
- CVE-2025-59230: уязвимость в службе диспетчера подключений удаленного доступа Windows (RasMan), которая позволяет прошедшему локальную аутентификацию злоумышленнику повысить свои привилегии до уровня SYSTEM в затронутых установках Windows.
В общей сложности исследователям ЛК удалось выявить 15 репозиториев, распространяющих WebRAT.
Во всех содержится общая ориентирующая информация об ошибке и доступных способах её устранения.
Судя по структуре изложения, в Лаборатории Касперского полагают, что текст был сгенерирован с помощью модели искусственного интеллекта.
Вредоносная ПО задействует несколько методов для обеспечения своего постоянного присутствия, включая модификацию реестра Windows, использование планировщика задач и внедрение в случайные системные каталоги.
Исследователи утверждают, что фейковые эксплойты распространяются в виде защищенного паролем ZIP-архива с пустым файлом, в имени которого содержится пароль, поврежденным DLL-файлом, выступающим в роли приманки, а также включает пакетный файл, используемый в цепочке выполнения, и основной дроппер под названием rasmanesc.exe.
По данным аналитиков, вредоносная ПО повышает привилегии, отключает Windows Defender, а затем загружает и запускает WebRAT по жестко закодированному URL-адресу.
При этом вариант WebRAT, использованный в этой кампании, ничем не отличается от ранее задокументированных образцов и обладает теми же возможностями, что были описаны в предыдущих отчетах.
Использование фейковых эксплойтов на GitHub для - уже не новая тактика, поскольку она широко использовалась в прошлом. Совсем недавно злоумышленники продвигали фейковый эксплойт LDAPNightmare на GitHub для распространения инфокрада.
Все вредоносные репозитории GitHub, связанные с WebRAT, по наводке ЛК были удалены.
Однако разработчикам и ИБ-специалистам следует быть осторожными, поскольку злоумышленники, вероятно, будут размещать новые приманки под разными именами издателей.
Ранее распространявшийся через пиратское ПО и читы для таких игр, как Roblox, Counter Strike и Rust, WebRAT представляет собой бэкдор с возможностями кражи информации, появившийся в начале уходящего года.
Согласно майскому отчету Solar 4RAYS, WebRAT способен красть учетные данные для аккаунтов Steam, Discord и Telegram, а также данные криптокошельков, а также шпионить за жертвами через веб-камеры и делать скрины.
По меньшей мере с сентября операторы начали распространять вредоносное ПО через тщательно созданные репозитории, которые якобы включали эксплойты для ряда уязвимостей.
Среди заявленных следующие:
- CVE-2025-59295: уязвимость переполнения буфера в куче в компоненте Windows MSHTML/Internet Explorer, позволяющая выполнять произвольный код с помощью специально сформированных данных, передаваемых по сети.
- CVE-2025-10294: критическая уязвимость, позволяющая обойти систему аутентификации в плагине OwnID Passwordless Login для WordPress и входить в систему под любыми учетными данными, включая администраторов.
- CVE-2025-59230: уязвимость в службе диспетчера подключений удаленного доступа Windows (RasMan), которая позволяет прошедшему локальную аутентификацию злоумышленнику повысить свои привилегии до уровня SYSTEM в затронутых установках Windows.
В общей сложности исследователям ЛК удалось выявить 15 репозиториев, распространяющих WebRAT.
Во всех содержится общая ориентирующая информация об ошибке и доступных способах её устранения.
Судя по структуре изложения, в Лаборатории Касперского полагают, что текст был сгенерирован с помощью модели искусственного интеллекта.
Вредоносная ПО задействует несколько методов для обеспечения своего постоянного присутствия, включая модификацию реестра Windows, использование планировщика задач и внедрение в случайные системные каталоги.
Исследователи утверждают, что фейковые эксплойты распространяются в виде защищенного паролем ZIP-архива с пустым файлом, в имени которого содержится пароль, поврежденным DLL-файлом, выступающим в роли приманки, а также включает пакетный файл, используемый в цепочке выполнения, и основной дроппер под названием rasmanesc.exe.
По данным аналитиков, вредоносная ПО повышает привилегии, отключает Windows Defender, а затем загружает и запускает WebRAT по жестко закодированному URL-адресу.
При этом вариант WebRAT, использованный в этой кампании, ничем не отличается от ранее задокументированных образцов и обладает теми же возможностями, что были описаны в предыдущих отчетах.
Использование фейковых эксплойтов на GitHub для - уже не новая тактика, поскольку она широко использовалась в прошлом. Совсем недавно злоумышленники продвигали фейковый эксплойт LDAPNightmare на GitHub для распространения инфокрада.
Все вредоносные репозитории GitHub, связанные с WebRAT, по наводке ЛК были удалены.
Однако разработчикам и ИБ-специалистам следует быть осторожными, поскольку злоумышленники, вероятно, будут размещать новые приманки под разными именами издателей.
Securelist
Webrat, disguised as exploits, is spreading via GitHub repositories
We dissect the new Webrat campaign where the Trojan spreads via GitHub repositories, masquerading as critical vulnerability exploits to target cybersecurity researchers.
Исследователи BI.ZONE DFIR и BI.ZONE Compromise Assessment подвели итоги, рассказав об актуальных тенденциях по части того, как российские компании справлялись с кибератаками в 2025 году.
По данным исследователей, 2025 год подтвердил главную тенденцию последних лет: количество кибератак на российские компании продолжает расти, а инциденты становятся все более сложными и разрушительными.
Кибератаки постоянно эволюционируют, но базовые мотивы и методы злоумышленников остаются прежними: финансовая выгода доминирует, а фишинг - самый распространенный способ проникновения.
Тем не менее каждый год выделяется всплесками активности в отдельных направлениях:
- 2022: Россия столкнулась с заметным ростом дефейсов и хактивистских кампаний.
- 2023: акцент сместился на публикации утечек и массовые сливы данных.
- 2024: злоумышленники активно шифровали инфраструктуры организаций.
- 2025: все чаще использовались вайперы, полностью уничтожающие как данные, так даже и сетевое оборудование.
Современные атаки становятся многоэтапными, злоумышленники присутствуют в инфраструктуре все дольше и используют легитимные инструменты администрирования в комбинации с самописным вредоносным ПО.
В таких условиях ключевым фактором устойчивости становится не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению.
Из ключевых метрик 2025 года (среднее значение):
- Зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
- Срок присутствия злоумышленника в инфраструктуре - 42 дня (12,5 минуты - 181 день), время восстановления основной функциональности бизнес‑процессов - 3 дня, а полной - 14 дней.
- Количество хостов в инфраструктуре, с которой работали команды DFIR и CA - 3484 (в самом крупном инциденте - до 50 000), число пользователей - 18 159 (в крупных - до 200 000), число хостов-точек закрепления атакующих - 5 (максимум - 14).
- Распределение инцидентов по отраслям: ритейл - 31%, IT - 26%, транспорт, госсектор и телеком - по 11%, образование и ТЭК - по 5%.
Из ключевых тенденций атак и новых угроз 2025 года:
- Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры.
- В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты - Babuk, LockBit и Rancoz.
- Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален.
- Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. В Linux безальтернативным вариантом остается gsocket, а в среде Windows - все чаще отдается предпочтение Localtonet.
- Число атак через подрядчиков существенно выросло: в 2025 году около 30% всех инцидентов (ранее - 15%).
По данным исследователей, 2025 год подтвердил главную тенденцию последних лет: количество кибератак на российские компании продолжает расти, а инциденты становятся все более сложными и разрушительными.
Кибератаки постоянно эволюционируют, но базовые мотивы и методы злоумышленников остаются прежними: финансовая выгода доминирует, а фишинг - самый распространенный способ проникновения.
Тем не менее каждый год выделяется всплесками активности в отдельных направлениях:
- 2022: Россия столкнулась с заметным ростом дефейсов и хактивистских кампаний.
- 2023: акцент сместился на публикации утечек и массовые сливы данных.
- 2024: злоумышленники активно шифровали инфраструктуры организаций.
- 2025: все чаще использовались вайперы, полностью уничтожающие как данные, так даже и сетевое оборудование.
Современные атаки становятся многоэтапными, злоумышленники присутствуют в инфраструктуре все дольше и используют легитимные инструменты администрирования в комбинации с самописным вредоносным ПО.
В таких условиях ключевым фактором устойчивости становится не только защита периметра, но и скорость реагирования, глубина анализа и готовность к восстановлению.
Из ключевых метрик 2025 года (среднее значение):
- Зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
- Срок присутствия злоумышленника в инфраструктуре - 42 дня (12,5 минуты - 181 день), время восстановления основной функциональности бизнес‑процессов - 3 дня, а полной - 14 дней.
- Количество хостов в инфраструктуре, с которой работали команды DFIR и CA - 3484 (в самом крупном инциденте - до 50 000), число пользователей - 18 159 (в крупных - до 200 000), число хостов-точек закрепления атакующих - 5 (максимум - 14).
- Распределение инцидентов по отраслям: ритейл - 31%, IT - 26%, транспорт, госсектор и телеком - по 11%, образование и ТЭК - по 5%.
Из ключевых тенденций атак и новых угроз 2025 года:
- Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры.
- В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты - Babuk, LockBit и Rancoz.
- Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален.
- Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. В Linux безальтернативным вариантом остается gsocket, а в среде Windows - все чаще отдается предпочтение Localtonet.
- Число атак через подрядчиков существенно выросло: в 2025 году около 30% всех инцидентов (ранее - 15%).
BI.ZONE
От выявления компрометации до реагирования: как российские компании справлялись с кибератаками в 2025 году
Специалисты BI.ZONE DFIR и BI.ZONE Compromise Assessment рассказали об актуальных тенденциях
Очень странные дела с ASUS Live Update: активно обсуждается уязвимость CVE-2025-59374 (CVSS 9,3), при этом некоторые заголовки в специализированных ИБ-изданиях указывают на недавнюю или продолжающуюся ее эксплуатацию.
При этом в пояснениях к CVE фигурирует задокументирована несколько лет назад атака на цепочку поставок программного продукта, снятого с поддержки (EoL).
В недавних публикациях по CVE-2025-59374 проблема была представлена как новый актуальный риск безопасности после включения в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
Однако при более внимательном изучении этого кейса становится ясно, что в реальности все гораздо сложнее.
Представленная в описании атака на цепочку поставок была обнаружена и задюокументована командой GReAT Лаборатории Касперского в 2018-2019 гг. и получила название Operation ShadowHammer.
Тогда в результате сложной APT-кампании на серверы Live Update в небольшое количество устройств был внедрен вредоносный код, а вредоносные модифицированные бинарные файлы выборочно доставлялись на узкую категорию целевых систем.
В общей сложности затронула более миллиона пользователей, загрузивших утилиту ASUS Live Update на свои компьютеры, в том числе более чем 57 000 пользователей решений ЛК.
Кроме того, исследователи ЛК также нашли взаимосвязи ShadowHammer с атакой на CCleaner и цепочку поставок ПО NetSarang в 2017 году.
Возвращаясь к пояснениям CVE основное уведомление от производителя, на которое дана ссылка в записи CVE, датируется 2019 годом.
Причем уведомление также содержит ссылку на раздел FAQ (этот) с датой последнего обновления: 06.12.2025 20:09.
Однако ссылка с номером 1018727 существовала еще в 2019 году, когда это уведомление было впервые опубликовано.
На самой странице FAQ отсутствует метаданные о времени первой публикации. Вместо этого, она просто была обновлена и отображает упомянутую выше дату 6 декабря.
Собственно, это временная страница ASUS, периодически обновляемая для предоставления информации о пути обновления, включая последнюю версию, которую пользователям следует использовать для утилиты Live Update от производителя.
Но на странице по-прежнему отображаются (более старые) инструкции по устранению неполадок со скриншотами, на которых указаны даты 2019 года.
Но странно еще и другое.
Согласно записи CVE, поддержка затронутого ASUS Live Update прекратилась в октябре 2021 года, и «ни одно из поддерживаемых в настоящее время устройств или продуктов не затронуто этой проблемой».
Однако обновленная страница часто задаваемых вопросов ASUS за этот месяц противоречит этой формулировке, подразумевая, что поддержка окончательно прекратилась 4 декабря 2025 года и последняя версия - 3.6.15.
В более ранних вариациях (2019-2022 гг.) этого раздела FAQ рекомендовалось обновиться до версии 3.6.8 (последней на тот момент).
Теперь же 3.6.15 теперь указана как «последняя версия». И, судя по всему, она существовала еще в марте 2024 года, если не раньше.
В общем, в совокупности все имеющиеся данные свидетельствуют о том, что присвоение статуса CVE отражает ретроспективную попытку классификации, формально документирующую известную атаку, которая произошла до присвоения статуса CVE, а не для устранения новой.
Но кто знает, может с того времени, что-то и продолжалось?
А кто знает - молчат: в ASUS и CISA по поводу всего этого от комментариев отказались.
При этом в пояснениях к CVE фигурирует задокументирована несколько лет назад атака на цепочку поставок программного продукта, снятого с поддержки (EoL).
В недавних публикациях по CVE-2025-59374 проблема была представлена как новый актуальный риск безопасности после включения в каталог известных эксплуатируемых уязвимостей (KEV) CISA.
Однако при более внимательном изучении этого кейса становится ясно, что в реальности все гораздо сложнее.
Представленная в описании атака на цепочку поставок была обнаружена и задюокументована командой GReAT Лаборатории Касперского в 2018-2019 гг. и получила название Operation ShadowHammer.
Тогда в результате сложной APT-кампании на серверы Live Update в небольшое количество устройств был внедрен вредоносный код, а вредоносные модифицированные бинарные файлы выборочно доставлялись на узкую категорию целевых систем.
В общей сложности затронула более миллиона пользователей, загрузивших утилиту ASUS Live Update на свои компьютеры, в том числе более чем 57 000 пользователей решений ЛК.
Кроме того, исследователи ЛК также нашли взаимосвязи ShadowHammer с атакой на CCleaner и цепочку поставок ПО NetSarang в 2017 году.
Возвращаясь к пояснениям CVE основное уведомление от производителя, на которое дана ссылка в записи CVE, датируется 2019 годом.
Причем уведомление также содержит ссылку на раздел FAQ (этот) с датой последнего обновления: 06.12.2025 20:09.
Однако ссылка с номером 1018727 существовала еще в 2019 году, когда это уведомление было впервые опубликовано.
На самой странице FAQ отсутствует метаданные о времени первой публикации. Вместо этого, она просто была обновлена и отображает упомянутую выше дату 6 декабря.
Собственно, это временная страница ASUS, периодически обновляемая для предоставления информации о пути обновления, включая последнюю версию, которую пользователям следует использовать для утилиты Live Update от производителя.
Но на странице по-прежнему отображаются (более старые) инструкции по устранению неполадок со скриншотами, на которых указаны даты 2019 года.
Но странно еще и другое.
Согласно записи CVE, поддержка затронутого ASUS Live Update прекратилась в октябре 2021 года, и «ни одно из поддерживаемых в настоящее время устройств или продуктов не затронуто этой проблемой».
Однако обновленная страница часто задаваемых вопросов ASUS за этот месяц противоречит этой формулировке, подразумевая, что поддержка окончательно прекратилась 4 декабря 2025 года и последняя версия - 3.6.15.
В более ранних вариациях (2019-2022 гг.) этого раздела FAQ рекомендовалось обновиться до версии 3.6.8 (последней на тот момент).
Теперь же 3.6.15 теперь указана как «последняя версия». И, судя по всему, она существовала еще в марте 2024 года, если не раньше.
В общем, в совокупности все имеющиеся данные свидетельствуют о том, что присвоение статуса CVE отражает ретроспективную попытку классификации, формально документирующую известную атаку, которая произошла до присвоения статуса CVE, а не для устранения новой.
Но кто знает, может с того времени, что-то и продолжалось?
А кто знает - молчат: в ASUS и CISA по поводу всего этого от комментариев отказались.
Cybersecurity and Infrastructure Security Agency CISA
Known Exploited Vulnerabilities Catalog | CISA
For the benefit of the cybersecurity community and network defenders—and to help every organization better manage vulnerabilities and keep pace with threat activity—CISA maintains the authoritative source of vulnerabilities that have been exploited in the…
Исследователи из Positive Technologies продолжают подводить киберитоги 2025 года и делятся прогнозами на ближайшее будущее.
В новом отчете - решили заглянуть в госучреждения и нормативку. Отметим основное:
1. Киберсреда и мотивация массовых взломщиков изменились
В 2022 году госсектор был объектом почти каждой шестой успешной кибератаки: всего 403 инцидента, а около половины нападений были направлены на официальные веб-ресурсы органов власти.
Затем атаки приобрели яркий хактивистский характер.
Причем помимо политического манифеста в 2025 году хактивисты стали преследовать финансовую выгоду и совершать более дерзкие разрушительные киберпреступления, дестабилизируя работу госучреждений и КИИ.
2. Первые серьезные требования ИБ к работе с подрядчиками и интеграции ИИ
В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации, сформировав новую регуляторную рамку, в которой госструктуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.
3. Безопасность объектов КИИ будет контролироваться жестче
Федеральный закон от 07.04.2025 № 58-ФЗ (вступил в силу 1 сентября 2025 года) вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах, но и о компьютерных атаках.
В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования.
4. Отраслевые центры ГосСОПКА на подходе
Стало известно, что готовится нормативно-правовой акт об аккредитации центров ГосСОПКА.
Кроме того, прорабатываются концепции создания отраслевых центров компетенций по кибербезу, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.
5. Две стороны одной медали: почти полное импортозамещение СЗИ и нехватка экспертов
Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98% (под данным ФСТЭК).
Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров под высокотехнологичное ПО.
6. Интерес злоумышленников к отечественному софту не угасает
Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих, причем эта тенденция сохраняется с 2022 года и останется актуальной в 2026.
7. Острые проблемы регионов и пути их решения
На рынке не хватает около 50 тысяч специалистов в области ИБ, тогда как образовательная система ежегодно готовит лишь 8-10 тысяч профильных выпускников, и до 46% вакансий в госсекторе остаются незакрытыми месяцами, что сказывается прежде всего, на регионах.
8. Старт непрерывного обучения
Программы обучения сотрудников госучреждений станут регулярными: повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты.
9. Оценка устойчивости госсектора на практике, с наглядным результатом
В новом отчете - решили заглянуть в госучреждения и нормативку. Отметим основное:
1. Киберсреда и мотивация массовых взломщиков изменились
В 2022 году госсектор был объектом почти каждой шестой успешной кибератаки: всего 403 инцидента, а около половины нападений были направлены на официальные веб-ресурсы органов власти.
Затем атаки приобрели яркий хактивистский характер.
Причем помимо политического манифеста в 2025 году хактивисты стали преследовать финансовую выгоду и совершать более дерзкие разрушительные киберпреступления, дестабилизируя работу госучреждений и КИИ.
2. Первые серьезные требования ИБ к работе с подрядчиками и интеграции ИИ
В 2025 году приказ ФСТЭК от 11.04.2025 № 117 значительно расширил меры по защите информации, сформировав новую регуляторную рамку, в которой госструктуры должны использовать ИИ осознанно, прозрачно и под управлением, исключая риски искажения решений, утечки данных и неконтролируемого влияния алгоритмов на критически важные функции.
3. Безопасность объектов КИИ будет контролироваться жестче
Федеральный закон от 07.04.2025 № 58-ФЗ (вступил в силу 1 сентября 2025 года) вводит новую обязанность для субъектов КИИ: теперь они должны информировать НКЦКИ не только о зафиксированных инцидентах, но и о компьютерных атаках.
В ближайшее время также будут определены и утверждены перечни типовых отраслевых объектов КИИ с подробным описанием их инфраструктуры и особенностей ее категорирования.
4. Отраслевые центры ГосСОПКА на подходе
Стало известно, что готовится нормативно-правовой акт об аккредитации центров ГосСОПКА.
Кроме того, прорабатываются концепции создания отраслевых центров компетенций по кибербезу, которые одновременно будут являться и отраслевыми центрами ГосСОПКА.
5. Две стороны одной медали: почти полное импортозамещение СЗИ и нехватка экспертов
Уровень импортозамещения решений для кибербезопасности в госсекторе достиг 95–98% (под данным ФСТЭК).
Однако основной проблемой на объектах КИИ и в госучреждениях остается нехватка квалифицированных кадров под высокотехнологичное ПО.
6. Интерес злоумышленников к отечественному софту не угасает
Госорганы (и, частично, бизнес) следуют курсу импортозамещения, вследствие чего российские ОС и ПО постоянно находятся в фокусе внимания атакующих, причем эта тенденция сохраняется с 2022 года и останется актуальной в 2026.
7. Острые проблемы регионов и пути их решения
На рынке не хватает около 50 тысяч специалистов в области ИБ, тогда как образовательная система ежегодно готовит лишь 8-10 тысяч профильных выпускников, и до 46% вакансий в госсекторе остаются незакрытыми месяцами, что сказывается прежде всего, на регионах.
8. Старт непрерывного обучения
Программы обучения сотрудников госучреждений станут регулярными: повышать уровень киберграмотности будут не только рядовые госслужащие, но и ИТ-специалисты.
9. Оценка устойчивости госсектора на практике, с наглядным результатом
Хабр
Киберустойчивость госсектора: ужесточение законов и еще больше ИИ
На дворе конец 2025 года, и мы продолжаем украшать нашу киберёлку подводить киберитоги и делиться киберпрогнозами. Мы уже вглядывались в кибершторм, оценили ландшафт киберугроз , направленных на...
Forwarded from Social Engineering
• На сайте hacktricks есть очень объемная Wiki по безопасной настройке Docker. Крайне много информации по Socket, Capabilities, Escape from Containers и т.д. Рекомендую к изучению:
• Basic Docker Engine Security:
• Containers Security Features:
• К слову, в канале есть еще тонна дополнительного материала по Docker:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
MongoDB предупреждает о необходимости немедленного устранения серьезной уязвимости, которая может быть использована для атак с удаленным выполнением кода, направленных на уязвимые серверы.
MongoDB - популярная нереляционная система управления базами данных, которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
Программное обеспечение для работы с базами данных используется более чем 62 500 клиентами по всему миру, включая десятки компаний из списка Fortune 500.
Уязвимость отслеживается как CVE-2025-14847 и затрагивает сразу несколько версий MongoDB и MongoDB Server.
Она может быть использована неаутентифицированными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем.
Проблема связана с некорректной обработкой несоответствия параметра длины, что может позволить злоумышленникам выполнить произвольный код и потенциально получить контроль над целевыми устройствами.
Уязвимость на стороне клиента в реализации zlib сервера может привести к возврату неинициализированной памяти кучи без аутентификации на сервере.
Уязвимость затрагивает следующие версии MongoDB: 8.2.0-8.2.3, 8.0.0-8.0.16, 7.0.0-7.0.26, 6.0.0-6.0.26, 5.0.0-5.0.31, 4.4.0-4.4.29, а также все версии MongoDB Server v4.2, v4.0 и v3.6.
Для устранения уязвимости в системе безопасности и блокировки потенциальных атак администраторам рекомендуется немедленно обновить MongoDB до версий 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.
В MongoDB настоятельно рекомендуют немедленно обновить систему.
В противном случае хотя бы отключить сжатие zlib на сервере MongoDB, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors.
MongoDB - популярная нереляционная система управления базами данных, которая, в отличие от реляционных баз данных, таких как PostgreSQL и MySQL, хранит данные в документах BSON (Binary JSON), а не в таблицах.
Программное обеспечение для работы с базами данных используется более чем 62 500 клиентами по всему миру, включая десятки компаний из списка Fortune 500.
Уязвимость отслеживается как CVE-2025-14847 и затрагивает сразу несколько версий MongoDB и MongoDB Server.
Она может быть использована неаутентифицированными злоумышленниками в атаках низкой сложности, не требующих взаимодействия с пользователем.
Проблема связана с некорректной обработкой несоответствия параметра длины, что может позволить злоумышленникам выполнить произвольный код и потенциально получить контроль над целевыми устройствами.
Уязвимость на стороне клиента в реализации zlib сервера может привести к возврату неинициализированной памяти кучи без аутентификации на сервере.
Уязвимость затрагивает следующие версии MongoDB: 8.2.0-8.2.3, 8.0.0-8.0.16, 7.0.0-7.0.26, 6.0.0-6.0.26, 5.0.0-5.0.31, 4.4.0-4.4.29, а также все версии MongoDB Server v4.2, v4.0 и v3.6.
Для устранения уязвимости в системе безопасности и блокировки потенциальных атак администраторам рекомендуется немедленно обновить MongoDB до версий 8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30.
В MongoDB настоятельно рекомендуют немедленно обновить систему.
В противном случае хотя бы отключить сжатие zlib на сервере MongoDB, запустив mongod или mongos с параметром networkMessageCompressors или net.compression.compressors.
Исследователи из Лаборатории Касперского под конец года не на шутку разошлись и, пожалуй, активнее всех делятся новыми исследованиями.
Среди последних отчетов специалистам по тестированию будет интересно взглянуть на разбор ранее не описанного DCOM-объекта, который может использоваться как для выполнения команд, так и для потенциального закрепления в системе.
Ведь горизонтальное перемещение в сети становится все более трудной задачей, особенно в хорошо защищенных средах, а одна из распространенных техник перемещения полагается на DCOM-объекты.
За прошедшие годы было обнаружено множество разных DCOM-объектов. Некоторые опираются на системные компоненты Windows, другие зависят от стороннего ПО, например Microsoft Office, а некоторые объекты и вовсе являются недокументированными.
Новая задокументированная ЛК техника обращается к известным методам получения первоначального доступа и закрепления в системе через элементы панели управления.
Изменение значений реестра для регистрации вредоносных CPL-файлов - плохая практика с точки зрения этики red teaming.
Однако апплеты панели управления могут быть зарегистрированы в разных ключах реестра, что оставляет потенциальные возможности для эксплуатации.
Другое исследование позволяет комплексно понять, что происходит с украденными данными после фишинговой атаки.
Обычно фишинговая атака заключается в том, что пользователь переходит по мошеннической ссылке и вводит свои учетные данные на мошенническом ресурсе.
Но кража информации - это только начало.
В тот момент, когда конфиденциальные сведения попадают в руки злоумышленников, они превращаются в товар и отправляются на конвейер теневого рынка.
Собственно, в ЛК проследили путь украденных данных, начиная от их сбора через различные инструменты, такие как Telegram-боты и продвинутые панели управления, и заканчивая продажей и последующим многоразовым использованием в новых атаках.
Кроме того, исследователи обратили внимание на то, как однажды утекшие логин и пароль становятся частью объемного цифрового досье и почему злоумышленники могут использовать даже старые утечки для целевых атак спустя годы после компрометации данных.
И, наконец, оценка эффективности использования SIEM.
Как многим известно, SIEM - довольно сложная система, предоставляющая широкие и гибкие возможности по детектированию угроз.
В силу сложности эффективность ее работы сильно зависит от того, как она настроена и какие источники к ней подключены.
Однократной настройки SIEM при внедрении недостаточно: с течением времени меняется как инфраструктура организации, так и методы злоумышленников. Для эффективной работы, SIEM-система должна учитывать актуальное положение дел.
Ресерчеры ЛК в своей статье рассматривают типичные ошибки при эксплуатации SIEM, одновременно указавая, как их можно исправить. Для каждого случая также приводят способы самостоятельной проверки.
Материал основан на оценке эффективности Kaspersky Unified Monitoring and Analysis Platform (KUMA), соответственно, все конкретные примеры, команды и названия полей взяты из этого решения.
Однако, как отмечает в ЛК, методику проверки, выявленные проблемы и способы повышения эффективности системы несложно экстраполировать на любые другие SIEM.
Среди последних отчетов специалистам по тестированию будет интересно взглянуть на разбор ранее не описанного DCOM-объекта, который может использоваться как для выполнения команд, так и для потенциального закрепления в системе.
Ведь горизонтальное перемещение в сети становится все более трудной задачей, особенно в хорошо защищенных средах, а одна из распространенных техник перемещения полагается на DCOM-объекты.
За прошедшие годы было обнаружено множество разных DCOM-объектов. Некоторые опираются на системные компоненты Windows, другие зависят от стороннего ПО, например Microsoft Office, а некоторые объекты и вовсе являются недокументированными.
Новая задокументированная ЛК техника обращается к известным методам получения первоначального доступа и закрепления в системе через элементы панели управления.
Изменение значений реестра для регистрации вредоносных CPL-файлов - плохая практика с точки зрения этики red teaming.
Однако апплеты панели управления могут быть зарегистрированы в разных ключах реестра, что оставляет потенциальные возможности для эксплуатации.
Другое исследование позволяет комплексно понять, что происходит с украденными данными после фишинговой атаки.
Обычно фишинговая атака заключается в том, что пользователь переходит по мошеннической ссылке и вводит свои учетные данные на мошенническом ресурсе.
Но кража информации - это только начало.
В тот момент, когда конфиденциальные сведения попадают в руки злоумышленников, они превращаются в товар и отправляются на конвейер теневого рынка.
Собственно, в ЛК проследили путь украденных данных, начиная от их сбора через различные инструменты, такие как Telegram-боты и продвинутые панели управления, и заканчивая продажей и последующим многоразовым использованием в новых атаках.
Кроме того, исследователи обратили внимание на то, как однажды утекшие логин и пароль становятся частью объемного цифрового досье и почему злоумышленники могут использовать даже старые утечки для целевых атак спустя годы после компрометации данных.
И, наконец, оценка эффективности использования SIEM.
Как многим известно, SIEM - довольно сложная система, предоставляющая широкие и гибкие возможности по детектированию угроз.
В силу сложности эффективность ее работы сильно зависит от того, как она настроена и какие источники к ней подключены.
Однократной настройки SIEM при внедрении недостаточно: с течением времени меняется как инфраструктура организации, так и методы злоумышленников. Для эффективной работы, SIEM-система должна учитывать актуальное положение дел.
Ресерчеры ЛК в своей статье рассматривают типичные ошибки при эксплуатации SIEM, одновременно указавая, как их можно исправить. Для каждого случая также приводят способы самостоятельной проверки.
Материал основан на оценке эффективности Kaspersky Unified Monitoring and Analysis Platform (KUMA), соответственно, все конкретные примеры, команды и названия полей взяты из этого решения.
Однако, как отмечает в ЛК, методику проверки, выявленные проблемы и способы повышения эффективности системы несложно экстраполировать на любые другие SIEM.
Securelist
Удаленное выполнение команд с помощью DCOM-объектов
Эксперт «Лаборатории Касперского» описывает, как злоумышленники могут использовать DCOM-интерфейсы для загрузки вредоносных DLL в память с помощью реестра и панели управления Windows.
Fortinet сообщает о новой волне эксплуатации пятилетней уязвимости SSL VPN в FortiOS, которая реализуется при определенных конфигурациях.
Речь идёт о CVE-2020-12812 (CVSS: 5.2), представляющей собой уязвимость некорректной аутентификации в SSL VPN на FortiOS, которая позволяет успешно войти в систему без запроса второго фактора аутентификации, если регистр имени пользователя был изменён.
Как упоминалось в 2020 году, это возможно, если в настройках «локальная аутентификация пользователя» включена 2Fa, а тип аутентификации пользователя установлен на удаленный метод аутентификации (например, LDAP).
Проблема возникает из-за непоследовательного сопоставления данных с учетом регистра между локальной и удаленной аутентификацией.
С тех пор на этой уязвимости различные злоумышленники неплохо набили руку, а в 2021 году она вошла в перечень наиболее эксплуатируемых в атаках на устройства периметра.
В новом вчерашнем уведомлении Fortinet отметила, что для успешного срабатывания CVE-2020-12812 необходима следующая конфигурация:
- Локальные записи пользователей на FortiGate с 2Fa, ссылающиеся на LDAP.
- Эти же пользователи должны состоять в группе на LDAP-сервере.
- На устройстве FortiGate необходимо настроить как минимум одну группу LDAP, в которую входят пользователи 2Fa, и она должна использоваться в политике аутентификации, которая может включать, например, административных пользователей, SSL или IPSEC VPN.
Если условия выполнены, уязвимость приводит к тому, что пользователи LDAP с настроенной 2Fa проходят аутентификацию непосредственно в LDAP, поскольку FortiGate обрабатывает имена пользователей с учетом регистра, в то время как каталог LDAP этого не делает.
В частности, если пользователь входит в систему с именем Jsmith, jSmith, JSmith, jsmiTh или любым другим именем, которое не является точным совпадением с jsmith, FortiGate не будет сопоставлять данные входа с локальным пользователем.
Такая конфигурация заставляет FortiGate рассматривать другие варианты аутентификации. FortiGate будет проверять другие настроенные политики аутентификации брандмауэра.
После неудачной попытки сопоставления с jsmith, FortiGate обнаруживает дополнительную настроенную группу Auth-Group, а оттуда - LDAP-сервер, и при условии корректности учетных данных аутентификация будет успешной независимо от настроек локальной политики пользователя (2Fa и отключенные учетные записи).
В результате уязвимость позволяет авторизовать администраторов или пользователей VPN без 2Fa.
Fortinet выпустила FortiOS 6.0.10, 6.2.4 и 6.4.1 в июле 2020 года для устранения этой проблемы.
Кроме того, для предотвращения проблемы с обходом аутентификации следует отключить чувствительность к регистру имени пользователя (а для FortiOS версий 6.0.13, 6.2.10, 6.4.7, 7.0.1 и более поздних - чувствительность к имени пользователя).
В качестве дополнительной меры защиты стоит рассмотреть возможность удаления вторичной группы LDAP, если она не требуется, поскольку это полностью исключает линию атаки.
При этом в недавно опубликованных рекомендациях не содержится никакой конкретной информации о характере атак, нацеленных эту уязвимость, а также о том, были ли какие-либо из этих инцидентов успешными.
Fortinet также посоветовала пострадавшим клиентам связаться со службой поддержки и сбросить все учетные данные в случае обнаружения признаков аутентификации администраторов или пользователей VPN без 2Fa.
Речь идёт о CVE-2020-12812 (CVSS: 5.2), представляющей собой уязвимость некорректной аутентификации в SSL VPN на FortiOS, которая позволяет успешно войти в систему без запроса второго фактора аутентификации, если регистр имени пользователя был изменён.
Как упоминалось в 2020 году, это возможно, если в настройках «локальная аутентификация пользователя» включена 2Fa, а тип аутентификации пользователя установлен на удаленный метод аутентификации (например, LDAP).
Проблема возникает из-за непоследовательного сопоставления данных с учетом регистра между локальной и удаленной аутентификацией.
С тех пор на этой уязвимости различные злоумышленники неплохо набили руку, а в 2021 году она вошла в перечень наиболее эксплуатируемых в атаках на устройства периметра.
В новом вчерашнем уведомлении Fortinet отметила, что для успешного срабатывания CVE-2020-12812 необходима следующая конфигурация:
- Локальные записи пользователей на FortiGate с 2Fa, ссылающиеся на LDAP.
- Эти же пользователи должны состоять в группе на LDAP-сервере.
- На устройстве FortiGate необходимо настроить как минимум одну группу LDAP, в которую входят пользователи 2Fa, и она должна использоваться в политике аутентификации, которая может включать, например, административных пользователей, SSL или IPSEC VPN.
Если условия выполнены, уязвимость приводит к тому, что пользователи LDAP с настроенной 2Fa проходят аутентификацию непосредственно в LDAP, поскольку FortiGate обрабатывает имена пользователей с учетом регистра, в то время как каталог LDAP этого не делает.
В частности, если пользователь входит в систему с именем Jsmith, jSmith, JSmith, jsmiTh или любым другим именем, которое не является точным совпадением с jsmith, FortiGate не будет сопоставлять данные входа с локальным пользователем.
Такая конфигурация заставляет FortiGate рассматривать другие варианты аутентификации. FortiGate будет проверять другие настроенные политики аутентификации брандмауэра.
После неудачной попытки сопоставления с jsmith, FortiGate обнаруживает дополнительную настроенную группу Auth-Group, а оттуда - LDAP-сервер, и при условии корректности учетных данных аутентификация будет успешной независимо от настроек локальной политики пользователя (2Fa и отключенные учетные записи).
В результате уязвимость позволяет авторизовать администраторов или пользователей VPN без 2Fa.
Fortinet выпустила FortiOS 6.0.10, 6.2.4 и 6.4.1 в июле 2020 года для устранения этой проблемы.
Кроме того, для предотвращения проблемы с обходом аутентификации следует отключить чувствительность к регистру имени пользователя (а для FortiOS версий 6.0.13, 6.2.10, 6.4.7, 7.0.1 и более поздних - чувствительность к имени пользователя).
В качестве дополнительной меры защиты стоит рассмотреть возможность удаления вторичной группы LDAP, если она не требуется, поскольку это полностью исключает линию атаки.
При этом в недавно опубликованных рекомендациях не содержится никакой конкретной информации о характере атак, нацеленных эту уязвимость, а также о том, были ли какие-либо из этих инцидентов успешными.
Fortinet также посоветовала пострадавшим клиентам связаться со службой поддержки и сбросить все учетные данные в случае обнаружения признаков аутентификации администраторов или пользователей VPN без 2Fa.
Fortinet Blog
Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283
This blog analysis describes the observed abuse and provides additional context so that administrators can confirm that they are not impacted and guidance based on Fortinet observations to prevent …
Серьезный инцидент затронул пользователей расширения Trust Wallet для Chrome, некоторые из которых после установки скомпрометированных обновлений лишились своих криптосбережений, а потенциальный ущерб оценивается в более чем 6 миллионов долларов.
Trust Wallet - это широко используемый криптокошелек, позволяющий пользователям хранить, управлять и взаимодействовать с цифровыми активами в различных блокчейнах.
Он доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями (dApps).
Первые сообщения жертв криптоограблений начали поступать 24 декабря.
Пользователи жаловались на то, что деньги исчезают из их расширений для браузера сразу после простой авторизации.
Причем Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря, незадолго до того, как начали появляться сообщения об инцидентах с выводом средств из кошелька.
По мере того, как росло количество жалоб и предупреждений, в Chrome Web Store незаметно была выпущена версия 2.69 расширения Trust Wallet для Chrome.
В общем, спустя несколько часов после инцидента исследователи обнаружили подозрительный код в версии 2.68.0 расширения Trust Wallet для Chrome.
Пользователи мобильных устройств и всех остальных версий расширений для браузеров, как оказалось, остались не затронуты.
По данным Akinator, подозрительная логика содержится в файле JavaScript под названием 4482.js, который содержит плотно упакованный код, предназначенный для передачи конфиденциальных данных кошелька на внешний сервер.
Мимикрируя под аналитику, он отслеживает активность кошелька и срабатывает при импорте сид-фразы. Данные были отправлены на metrics-trustwallet[.]com, сам домен был зарегистрирован несколько дней назад и теперь недоступен.
Наличие недавно зарегистрированной внешней точки доступа к "метрикам" внутри расширения браузерного кошелька является крайне необычным, учитывая привилегированный доступ расширения к операциям кошелька и конфиденциальным данным.
Как впоследствии подтвердили исследователи, именно эта конечная точка и была связана с утечкой секретной информации.
Вчера вечером Trust Wallet, в свою очередь, подтвердила инцидент безопасности, отмечая затронутую версию 2.68.0 расширения для Chrome, посоветовав пользователям немедленно обновиться до версии 2.69 для решения проблемы.
Тем не менее, в Trust Wallet пока не ответили, будут ли пострадавшим пользователям выплачены компенсации или предложены какие-то варианты возмещения ущерба.
Причем в ходе развития этого инцидента параллельно раскручивалась другая фишинговая кампания, подстроенная под кейс с вредоносным расширением Trust Wallet.
Ряд аккаунтв в X [1, 2] перенаправляли обеспокоенных пользователей на веб-сайт: fix-trustwallet[.]com, который очень точно имитировал бренд Trust Wallet и якобы включал исправления для недавней «уязвимости безопасности».
Однако после нажатия кнопки «Обновить» пользователям отображалась всплывающая форма с запросом фразы восстановления кошелька.
Данные WHOIS указывают на то, что домен fix-trustwallet[.]com был зарегистрирован ранее в этом месяце у того же регистратора, что и metrics-trustwallet[.]com.
Веротяно, оба домена могут быть связаны и потенциально управляться одним и тем же злоумышленником или группой, стоящей за более масштабной атакой.
Но будем посмотреть.
Trust Wallet - это широко используемый криптокошелек, позволяющий пользователям хранить, управлять и взаимодействовать с цифровыми активами в различных блокчейнах.
Он доступен в виде мобильного приложения и расширения для браузера Chrome, используемого для взаимодействия с децентрализованными приложениями (dApps).
Первые сообщения жертв криптоограблений начали поступать 24 декабря.
Пользователи жаловались на то, что деньги исчезают из их расширений для браузера сразу после простой авторизации.
Причем Trust Wallet выпустила версию 2.68.0 своего расширения для Chrome 24 декабря, незадолго до того, как начали появляться сообщения об инцидентах с выводом средств из кошелька.
По мере того, как росло количество жалоб и предупреждений, в Chrome Web Store незаметно была выпущена версия 2.69 расширения Trust Wallet для Chrome.
В общем, спустя несколько часов после инцидента исследователи обнаружили подозрительный код в версии 2.68.0 расширения Trust Wallet для Chrome.
Пользователи мобильных устройств и всех остальных версий расширений для браузеров, как оказалось, остались не затронуты.
По данным Akinator, подозрительная логика содержится в файле JavaScript под названием 4482.js, который содержит плотно упакованный код, предназначенный для передачи конфиденциальных данных кошелька на внешний сервер.
Мимикрируя под аналитику, он отслеживает активность кошелька и срабатывает при импорте сид-фразы. Данные были отправлены на metrics-trustwallet[.]com, сам домен был зарегистрирован несколько дней назад и теперь недоступен.
Наличие недавно зарегистрированной внешней точки доступа к "метрикам" внутри расширения браузерного кошелька является крайне необычным, учитывая привилегированный доступ расширения к операциям кошелька и конфиденциальным данным.
Как впоследствии подтвердили исследователи, именно эта конечная точка и была связана с утечкой секретной информации.
Вчера вечером Trust Wallet, в свою очередь, подтвердила инцидент безопасности, отмечая затронутую версию 2.68.0 расширения для Chrome, посоветовав пользователям немедленно обновиться до версии 2.69 для решения проблемы.
Тем не менее, в Trust Wallet пока не ответили, будут ли пострадавшим пользователям выплачены компенсации или предложены какие-то варианты возмещения ущерба.
Причем в ходе развития этого инцидента параллельно раскручивалась другая фишинговая кампания, подстроенная под кейс с вредоносным расширением Trust Wallet.
Ряд аккаунтв в X [1, 2] перенаправляли обеспокоенных пользователей на веб-сайт: fix-trustwallet[.]com, который очень точно имитировал бренд Trust Wallet и якобы включал исправления для недавней «уязвимости безопасности».
Однако после нажатия кнопки «Обновить» пользователям отображалась всплывающая форма с запросом фразы восстановления кошелька.
Данные WHOIS указывают на то, что домен fix-trustwallet[.]com был зарегистрирован ранее в этом месяце у того же регистратора, что и metrics-trustwallet[.]com.
Веротяно, оба домена могут быть связаны и потенциально управляться одним и тем же злоумышленником или группой, стоящей за более масштабной атакой.
Но будем посмотреть.
X (formerly Twitter)
PeckShieldAlert (@PeckShieldAlert) on X
#PeckShieldAlert The @TrustWallet exploit has drained >$6M worth of cryptos from victims.
While ~$2.8M of the stolen funds remain in the hacker's wallets (#Bitcoin/#EVM/#Solana), the bulk - >$4M in cryptos - has been sent to #CEXs: ~$3.3M to @ChangeNOW_io…
While ~$2.8M of the stolen funds remain in the hacker's wallets (#Bitcoin/#EVM/#Solana), the bulk - >$4M in cryptos - has been sent to #CEXs: ~$3.3M to @ChangeNOW_io…