Сингапурская Group-IB сообщает о новой кампании MuddyWater (Earth Vetala, Mango Sandstorm и MUDDYCOAST) под названием Operation Olalampo, нацеленной на ряд организаций и частных лиц, в основном расположенных в регионе MENA (Ближний Восток и Северная Африка).
Новая активность была впервые замечена 26 января 2026 года и включала новые штаммы вредоносных ПО, имеющих общие образцы, ранее атрибутированные к MuddyWater.
В частности, засветились загрузчики GhostFetch и HTTP_VIP, а также бэкдор на Rust под названием CHAR и продвинутый имплантат GhostBackDoor, распространяемый через GhostFetch. Если подробнее:
- GhostFetch - это загрузчик первого этапа, который профилирует систему, проверяет движения мыши и разрешение экрана, проверяет наличие отладчиков, артефактов виртуальных машин и антивирусного ПО, а также загружает и выполняет вторичные полезные нагрузки непосредственно в памяти.
- GhostBackDoor - это бэкдор второго этапа, реализуемый GhostFetch, который поддерживает интерактивную оболочку, чтение/запись файлов и повторный запуск GhostFetch.
- HTTP_VIP, встроенный загрузчик, осуществляет системную разведку, подключается к внешнему серверу (codefusiontech[.]org) для аутентификации и развертывания AnyDesk с сервера С2.
Новый вариант вредоносного ПО также добавляет возможность получения информации о жертве и инструкций для запуска интерактивной оболочки, загрузки/выгрузки файлов, захвата содержимого буфера обмена и обновления интервала ожидания/передачи сигналов.
- CHAR - это бэкдор на Rust, управляемый ботом в Telegram (чье имя - Olalampo, а имя пользователя - stager_51_bot), который позволяет сменить каталог и выполнить команду cmd.exe или PowerShell.
Наблюдаемые атаки соответствуют ранее наблюдавшимся цепочкам, включая фишинговые письма с документом Microsoft Office и вредоносным макрокодом, который расшифровывает встроенную полезную нагрузку и выполняет в системе, предоставляя APT полный удаленный контроль.
Одна из таких цепочек с вредоносным Microsoft Excel побуждает пользователя включить макросы для активации заражения и, в конечном итоге, доставки CHAR. Другой вариант, как выяснилось, приводит к развертыванию GhostFetch, который затем загружает GhostBackDoor.
Третий вариант атаки предполагает тематику авиабилетов и отчетов (в отличие от приманок, имитирующих энергетическую компанию на Ближнем Востоке) и распространение загрузчика HTTP_VIP, который впоследствии развертывает AnyDesk.
Возвращаясь к CHAR, выполнение PowerShell подразумевает запуск обратного прокси-сервера SOCKS5 или другого бэкдора под названием Kalim, эксфильтрацию данных из браузеров, а также приводит к запуску неизвестных исполняемых файлов sh.exe и gshdoc_release_X64_GUI.exe.
Анализ исходного кода CHAR позволил выявить признаки разработки с использованием ИИ, в виду наличия эмодзи в отладочных строках, что вполне согласуется с прошлогодними прогнозами Google по поводу внедрения инструментария ИИ в разработку вредоносного ПО.
Еще один примечательный аспект заключается в том, что CHAR имеет схожую структуру и среду разработки с вредоносным ПО на основе Rust BlackBeard (Archer RAT и RUSTRIC), которое, по данным CloudSEK и Seqrite Labs, использовалось злоумышленниками для атак на различные организации на Ближнем Востоке.
Кроме того, было замечено - MuddyWater использует недавно обнаруженные уязвимости на общедоступных серверах для получения первоначального доступа к целевым сетям.
В целом, исследователи заключают, что APT MuddyWater остается активной угрозой в регионе META (Ближний Восток, Турция и Африка), тогда как новая операция в первую очередь нацелена на организации в регионе MENA.
Задействование группой технологий ИИ в сочетании с непрерывной разработкой собственного вредоносного ПО и инструментов, а также диверсифицированной инфраструктурой C2 подчеркивает их намерения расширять свою деятельность.
Новая активность была впервые замечена 26 января 2026 года и включала новые штаммы вредоносных ПО, имеющих общие образцы, ранее атрибутированные к MuddyWater.
В частности, засветились загрузчики GhostFetch и HTTP_VIP, а также бэкдор на Rust под названием CHAR и продвинутый имплантат GhostBackDoor, распространяемый через GhostFetch. Если подробнее:
- GhostFetch - это загрузчик первого этапа, который профилирует систему, проверяет движения мыши и разрешение экрана, проверяет наличие отладчиков, артефактов виртуальных машин и антивирусного ПО, а также загружает и выполняет вторичные полезные нагрузки непосредственно в памяти.
- GhostBackDoor - это бэкдор второго этапа, реализуемый GhostFetch, который поддерживает интерактивную оболочку, чтение/запись файлов и повторный запуск GhostFetch.
- HTTP_VIP, встроенный загрузчик, осуществляет системную разведку, подключается к внешнему серверу (codefusiontech[.]org) для аутентификации и развертывания AnyDesk с сервера С2.
Новый вариант вредоносного ПО также добавляет возможность получения информации о жертве и инструкций для запуска интерактивной оболочки, загрузки/выгрузки файлов, захвата содержимого буфера обмена и обновления интервала ожидания/передачи сигналов.
- CHAR - это бэкдор на Rust, управляемый ботом в Telegram (чье имя - Olalampo, а имя пользователя - stager_51_bot), который позволяет сменить каталог и выполнить команду cmd.exe или PowerShell.
Наблюдаемые атаки соответствуют ранее наблюдавшимся цепочкам, включая фишинговые письма с документом Microsoft Office и вредоносным макрокодом, который расшифровывает встроенную полезную нагрузку и выполняет в системе, предоставляя APT полный удаленный контроль.
Одна из таких цепочек с вредоносным Microsoft Excel побуждает пользователя включить макросы для активации заражения и, в конечном итоге, доставки CHAR. Другой вариант, как выяснилось, приводит к развертыванию GhostFetch, который затем загружает GhostBackDoor.
Третий вариант атаки предполагает тематику авиабилетов и отчетов (в отличие от приманок, имитирующих энергетическую компанию на Ближнем Востоке) и распространение загрузчика HTTP_VIP, который впоследствии развертывает AnyDesk.
Возвращаясь к CHAR, выполнение PowerShell подразумевает запуск обратного прокси-сервера SOCKS5 или другого бэкдора под названием Kalim, эксфильтрацию данных из браузеров, а также приводит к запуску неизвестных исполняемых файлов sh.exe и gshdoc_release_X64_GUI.exe.
Анализ исходного кода CHAR позволил выявить признаки разработки с использованием ИИ, в виду наличия эмодзи в отладочных строках, что вполне согласуется с прошлогодними прогнозами Google по поводу внедрения инструментария ИИ в разработку вредоносного ПО.
Еще один примечательный аспект заключается в том, что CHAR имеет схожую структуру и среду разработки с вредоносным ПО на основе Rust BlackBeard (Archer RAT и RUSTRIC), которое, по данным CloudSEK и Seqrite Labs, использовалось злоумышленниками для атак на различные организации на Ближнем Востоке.
Кроме того, было замечено - MuddyWater использует недавно обнаруженные уязвимости на общедоступных серверах для получения первоначального доступа к целевым сетям.
В целом, исследователи заключают, что APT MuddyWater остается активной угрозой в регионе META (Ближний Восток, Турция и Африка), тогда как новая операция в первую очередь нацелена на организации в регионе MENA.
Задействование группой технологий ИИ в сочетании с непрерывной разработкой собственного вредоносного ПО и инструментов, а также диверсифицированной инфраструктурой C2 подчеркивает их намерения расширять свою деятельность.
Group-IB
Operation Olalampo: Inside MuddyWater’s Latest Campaign
MuddyWater APT has launched a new cyber offensive operation, dubbed Operation Olalampo, deploying new malware variants and leveraging Telegram bots for command-and-control. Analysis of the campaign provides a glimpse into the group’s post-exploitation tactics…
Критическая CVE-2026-2329 в телефонных системах Grandstream может быть использована без аутентификации для удаленного выполнения кода с правами root на целевом устройстве.
Как сообищает Rapid7, критическая уязвимость описывается как переполнение буфера в стеке и затрагивает телефоны серии GXP1600 от Grandstream, фактически позволяя злоумышленникам перехватывать звонки.
GXP1600 представляет собой линейку базовых настольных VoIP-телефонов, используемых в основном малыми и средними предприятиями.
Злоумышленник может использовать эту уязвимость для извлечения секретной информации из уязвимых телефонов, включая локальные и SIP-учетные данные, что позволит перехватывать звонки и прослушивать разговоры.
Получив root-доступ, злоумышленник может перенастроить параметры SIP устройства, чтобы они указывали на инфраструктуру, которую он контролирует - вредоносный SIP-прокси.
Звонки по-прежнему будут поступать, а дисплей - загораться. Пользователь услышит гудок, однако каждый звонок перед этим будет проходить через «чужие руки».
Для реализации замысла злоумышленнику не потребуется устанавливать прослушивающие устройства, подгонять технику с антеннами. Вся операция будет тихим, незаметным перехватом трафика.
Все разговоры о контрактах, переговорах, юридические аспекты, возможно, даже деликатные личные вопросы - все будет передаваться в режиме реального времени. Вместе с тем, эксплуатация потребует продвинутых знаний и навыков.
Дело в том, что механизм эксплуатации не подразумевает какого-либо ZeroClick-эксплойта, лежащая в основе уязвимости проблема просто снижает барьер для вредоносных действий, если целевые устройства базируются в открытых или слабо сегментированных средах.
Вероятно, желающие попробовать CVE-2026-2329 в деле, все же найдутся, ведь ранее киберподполье уже нацеливалось на уязвимости в продуктах Grandstream, в том числе для включения в ботнеты.
Grandstream уведомили об уязвимости в январе, исправленная версия прошивки (1.0.7.81) была выпущена чуть более чем через неделю. Rapid7 представила технические подробности, Grandstream опубликовала собственное уведомление по этой проблеме.
Как сообищает Rapid7, критическая уязвимость описывается как переполнение буфера в стеке и затрагивает телефоны серии GXP1600 от Grandstream, фактически позволяя злоумышленникам перехватывать звонки.
GXP1600 представляет собой линейку базовых настольных VoIP-телефонов, используемых в основном малыми и средними предприятиями.
Злоумышленник может использовать эту уязвимость для извлечения секретной информации из уязвимых телефонов, включая локальные и SIP-учетные данные, что позволит перехватывать звонки и прослушивать разговоры.
Получив root-доступ, злоумышленник может перенастроить параметры SIP устройства, чтобы они указывали на инфраструктуру, которую он контролирует - вредоносный SIP-прокси.
Звонки по-прежнему будут поступать, а дисплей - загораться. Пользователь услышит гудок, однако каждый звонок перед этим будет проходить через «чужие руки».
Для реализации замысла злоумышленнику не потребуется устанавливать прослушивающие устройства, подгонять технику с антеннами. Вся операция будет тихим, незаметным перехватом трафика.
Все разговоры о контрактах, переговорах, юридические аспекты, возможно, даже деликатные личные вопросы - все будет передаваться в режиме реального времени. Вместе с тем, эксплуатация потребует продвинутых знаний и навыков.
Дело в том, что механизм эксплуатации не подразумевает какого-либо ZeroClick-эксплойта, лежащая в основе уязвимости проблема просто снижает барьер для вредоносных действий, если целевые устройства базируются в открытых или слабо сегментированных средах.
Вероятно, желающие попробовать CVE-2026-2329 в деле, все же найдутся, ведь ранее киберподполье уже нацеливалось на уязвимости в продуктах Grandstream, в том числе для включения в ботнеты.
Grandstream уведомили об уязвимости в январе, исправленная версия прошивки (1.0.7.81) была выпущена чуть более чем через неделю. Rapid7 представила технические подробности, Grandstream опубликовала собственное уведомление по этой проблеме.
Rapid7
CVE-2026-2329: Critical Unauthenticated Stack Buffer Overflow in Grandstream GXP1600 VoIP Phones (FIXED)
Исследователи Oversecured выкатили «тревожную» аналитику по мобильным приложениям в тематике психического здоровья с 14,7 млн. загрузок на Google Play, которые оказались критически дырявыми и могут привести к раскрытию конфиденциальной медицинской информации пользователей.
Только в одном из них было обнаружено более 85 уязвимостей средней и высокой степени серьезности, которые могут быть использованы для компрометации данных по части проводимой терапии.
Некоторые из этих приложений представляют собой ИИ-помощников, разработанных для помощи людям, страдающим от клинической депрессии, различных форм тревожности, панических атак, стресса и биполярного расстройства.
В среднем по меньшей мере шесть из десяти проанализированных приложений заверяют, что переписка или чаты пользователей остаются конфиденциальными и надежно шифруются на серверах поставщика.
Причем в киберподьполье данные о психическом здоровье имеют вполне себе товарный вид и реализуются по цене 1000 долларов и более за запись, что даже намного дороже сведений по кредиткам.
В ходе проверки десяти мобильных приложений было выявлено в общей сложности 1575 уязвимостей: 54 - с высокой степенью серьезности, 538 - со средней и 983 - с низкой.
Хотя на отсутствие критических проблем, многие из них могут быть использованы для компрометации учетных данных для входа в систему, подделки уведомлений, внедрения HTML-кода или определения местоположения пользователя.
По результатам проверки APK-файлов исследователи отмечают, что некоторые из проверенных приложений «анализируют предоставленные пользователем URI без надлежащей проверки».
Одно из приложений, скачанное более миллиона раз, использует метод Intent.parseUri() для строки, управляемой извне, и запускает полученный объект сообщения без проверки целевого компонента.
В свою очередь, это позволяет злоумышленнику принудительно обеспечить раскрытие приложением любой внутренней активности, даже если она не предназначена для внешнего доступа.
Как отмечают в Oversecured, в виду того, что эти внутренние процессы часто обрабатывают токены аутентификации и данные сеансов, использование уязвимости может дать злоумышленнику доступ к записям о терапии пользователя.
Другая обнаруженная проблема - хранение данных локально таким образом, чтобы любое приложение на устройстве имело к ним доступ для чтения.
В зависимости от сохранённой информации, это может привести к раскрытию деталей терапии, включая записи о сеансах терапии, заметки о сеансах когнитивно-поведенческой терапии (КПТ) и различные оценки.
В Oversecured также обнаружили в APK-файлах данные конфигурации в открытом виде, включая конечные точки API бэкэнда и жестко закодированный URL-адрес базы данных Firebase.
Кроме того, некоторые уязвимые приложения используют криптографически небезопасный класс java.util.Random для генерации токенов сессии или ключей шифрования.
По словам исследователей, большинство из проанализированных приложений не имеют никакой функции обнаружения root-прав. На устройстве с root-правами (джейлбрейком) любое приложение с root-доступом имеет доступ ко всем локально хранящимся данным о состоянии здоровья.
По данным Oversecured, шесть из десяти проанализированных приложений «не выявили ни одного серьезного нарушения, но при этом имели проблемы средней степени серьезности, которые ослабляют их общую безопасность».
Они собирают и хранят одни из самых конфиденциальных персональных данных на мобильных устройствах: стенограммы сеансов терапии, журналы настроения, графики приема лекарств, признаки самоповреждения, а в некоторых случаях и информацию, защищенную в соответствии с HIPAA.
Перечень уязвимых приложений не разглашается, поскольку процесс раскрытия не окончен и лишь четыре из них в недавнем времени получили обновление. Другие не обновлялись год и более, при том, что сканирование Oversecured проводилось с 22 по 23 января.
Только в одном из них было обнаружено более 85 уязвимостей средней и высокой степени серьезности, которые могут быть использованы для компрометации данных по части проводимой терапии.
Некоторые из этих приложений представляют собой ИИ-помощников, разработанных для помощи людям, страдающим от клинической депрессии, различных форм тревожности, панических атак, стресса и биполярного расстройства.
В среднем по меньшей мере шесть из десяти проанализированных приложений заверяют, что переписка или чаты пользователей остаются конфиденциальными и надежно шифруются на серверах поставщика.
Причем в киберподьполье данные о психическом здоровье имеют вполне себе товарный вид и реализуются по цене 1000 долларов и более за запись, что даже намного дороже сведений по кредиткам.
В ходе проверки десяти мобильных приложений было выявлено в общей сложности 1575 уязвимостей: 54 - с высокой степенью серьезности, 538 - со средней и 983 - с низкой.
Хотя на отсутствие критических проблем, многие из них могут быть использованы для компрометации учетных данных для входа в систему, подделки уведомлений, внедрения HTML-кода или определения местоположения пользователя.
По результатам проверки APK-файлов исследователи отмечают, что некоторые из проверенных приложений «анализируют предоставленные пользователем URI без надлежащей проверки».
Одно из приложений, скачанное более миллиона раз, использует метод Intent.parseUri() для строки, управляемой извне, и запускает полученный объект сообщения без проверки целевого компонента.
В свою очередь, это позволяет злоумышленнику принудительно обеспечить раскрытие приложением любой внутренней активности, даже если она не предназначена для внешнего доступа.
Как отмечают в Oversecured, в виду того, что эти внутренние процессы часто обрабатывают токены аутентификации и данные сеансов, использование уязвимости может дать злоумышленнику доступ к записям о терапии пользователя.
Другая обнаруженная проблема - хранение данных локально таким образом, чтобы любое приложение на устройстве имело к ним доступ для чтения.
В зависимости от сохранённой информации, это может привести к раскрытию деталей терапии, включая записи о сеансах терапии, заметки о сеансах когнитивно-поведенческой терапии (КПТ) и различные оценки.
В Oversecured также обнаружили в APK-файлах данные конфигурации в открытом виде, включая конечные точки API бэкэнда и жестко закодированный URL-адрес базы данных Firebase.
Кроме того, некоторые уязвимые приложения используют криптографически небезопасный класс java.util.Random для генерации токенов сессии или ключей шифрования.
По словам исследователей, большинство из проанализированных приложений не имеют никакой функции обнаружения root-прав. На устройстве с root-правами (джейлбрейком) любое приложение с root-доступом имеет доступ ко всем локально хранящимся данным о состоянии здоровья.
По данным Oversecured, шесть из десяти проанализированных приложений «не выявили ни одного серьезного нарушения, но при этом имели проблемы средней степени серьезности, которые ослабляют их общую безопасность».
Они собирают и хранят одни из самых конфиденциальных персональных данных на мобильных устройствах: стенограммы сеансов терапии, журналы настроения, графики приема лекарств, признаки самоповреждения, а в некоторых случаях и информацию, защищенную в соответствии с HIPAA.
Перечень уязвимых приложений не разглашается, поскольку процесс раскрытия не окончен и лишь четыре из них в недавнем времени получили обновление. Другие не обновлялись год и более, при том, что сканирование Oversecured проводилось с 22 по 23 января.
News, Techniques & Guides
Security Researchers Find Vulnerabilities in Mental Health Apps; One With Millions of Users May Leak Therapy Notes
Oversecured has identified vulnerabilities in several popular mental health apps with tens of millions of downloads. The flaws could turn these apps into unintended data sources for surveillance, including personal conversations with AI therapists.
Forwarded from Russian OSINT
Оглавление:
1. Как полностью удалить приложение Copilot
2. Удалите логотип Copilot из поиска Windows.
3. Удалите действия ИИ из меню Проводника.
4. Как отключить Copilot в браузере Edge
5. Удаление функций Copilot из Блокнота для Windows 11
6. Удалите функции искусственного интеллекта из приложения «Фотографии» в Windows.
7. Как отключить функции искусственного интеллекта в приложении Paint
8. Удалите функции искусственного интеллекта из Outlook.
9. Удалите функции искусственного интеллекта из OneDrive.
10. Отключение Gaming Copilot в Windows 11
11. Отключение эффектов Windows Studio на компьютерах с Copilot+.
12. Как отключить и полностью удалить функцию «Запись событий Windows».
13. Отключите функцию «Click to Do» на компьютерах Copilot+.
--------------------------
▫️ Kaspersky privacy checker — как настроить приватность и безопасность Windows 11, чтобы защитить личные данные в интернете. Алгоритм действий для безопасных настроек.
▫️ Privacy.sexy — тонкая настройка безопасности и конфиденциальности для Windows.
▫️ Harden Windows Security — продвинутые рекомендации по настройке безопасности Windows.
▫️ Win11Debloat — удаление лишних функций и телеметрии на Windows 11.
▫️ O&O ShutUp10++ — отключение телеметрии и улучшение приватности в Windows.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского продолжают отслеживать Librarian Likho (Librarian Ghouls), активность которой нацеленную на российские организации выявили еще в ноябре 2025 года.
Новая продолжающаяся кампания на основании собранных данных, артефактов, инструментария и сетевой инфраструктуры, была также атрибутирована Librarian Likho.
В рамках новой волны атакам подвергся широкий круг российских организаций из различных отраслей экономики, в том числе из госсектора, строительства и промышленности.
Как и ранее, атаки начинаются с фишинга, однако в этот раз злоумышленники отправили свыше тысячи писем, вредоносные вложения в которых практически не отличались по функциональности и контексту, что указывает на автоматизацию атаки.
Инструментарий также по большей части остался прежним, но в новой волне атак злоумышленники переписали команды в скриптах: ранее URL командного сервера жестко прописывали в коде, а теперь он динамически меняется при помощи набора переменных.
Кроме того, Librarian Likho убрали функции кражи данных и обновили механизмы обхода средств защиты информации.
В новой кампании жертва получает на почту фишинговое письмо с вредоносным исполняемым файлом в качестве вложения, который маскируется под предложение о сотрудничестве или заполненный бланк договора. При этом никак не маскируют их расширения.
Вложение представляет собой инсталлятор, созданный при помощи Smart Install Maker. После запуска он выгружает в директорию Users\[REDACTED]\AppData\Local\Temp\$inst два архива формата .cab, замаскированные под временные файлы: 2.tmp и temp_0.tmp.
После этого архивы по очереди распаковываются в одну и ту же директорию, а для отвлечения внимания жертвы, запускается файл-приманка с типовой структурой офисного документа.
Затем вредоносное вложение запускает find.cmd. Скрипт аналогичен предыдущей кампании, однако в нем появился парсинг адресов C2 из файла url.txt: в ходе работы он создает виртуальное окружение, а также переменные под конкретные адреса, с которых скачиваются полезные нагрузки.
Также в скрипте изменился путь, по которому он сохраняет скачанные с C2 исполняемые файлы. В новой версии - это %APPDATA%\Windows. При этом на C2 инструменты, как и ранее, имеют расширение .jpg. После их инициализации новая версия find.cmd удаляет все файлы.
Скрипт загружает с C2 bk.rar и pas.rar, а также кастомную версию WinRAR с названием файла driver.exe. Затем с помощью архиватора распаковывает скачанные файлы, используя вшитый пароль, и сохраняет их содержимое в директорию Users\[REDACTED]\AppData\Roaming\Windows.
Первым делом find.cmd запускает Trays.exe с опцией -tray для сокрытия окон приложений, которые будут выполнены далее. Далее скрипт принимает меры по обходу средств защиты: останавливает сервисы, связанные с Microsoft Defender, и отключает профили файервола.
После этого он устанавливает на устройство инструмент удаленного доступа AnyDesk, который затем запускает как системный сервис.
После того как скрипт find.cmd отработал, вложение запускает файл any.bat, также в формате скрипта, для создания точки закрепления через AnyDesk. Он также устанавливает кастомный пароль для доступа к нему. Последним вложение запускает скрипт bat.bat
Основная цель этого скрипта - предоставить оператору данные для подключения, а также подготовить узел к дальнейшей постэксплуатации.
В целом, Librarian Likho продолжает атаковать российские компании, оставив неизменными цели кампании и ключевые характеристики своих атак, но частично переписав содержимое вредоносных скриптов. Однако в отличие от прошлых атак, новая активность имеет массовый характер.
Технические подробности и IOCs - в отчете.
Новая продолжающаяся кампания на основании собранных данных, артефактов, инструментария и сетевой инфраструктуры, была также атрибутирована Librarian Likho.
В рамках новой волны атакам подвергся широкий круг российских организаций из различных отраслей экономики, в том числе из госсектора, строительства и промышленности.
Как и ранее, атаки начинаются с фишинга, однако в этот раз злоумышленники отправили свыше тысячи писем, вредоносные вложения в которых практически не отличались по функциональности и контексту, что указывает на автоматизацию атаки.
Инструментарий также по большей части остался прежним, но в новой волне атак злоумышленники переписали команды в скриптах: ранее URL командного сервера жестко прописывали в коде, а теперь он динамически меняется при помощи набора переменных.
Кроме того, Librarian Likho убрали функции кражи данных и обновили механизмы обхода средств защиты информации.
В новой кампании жертва получает на почту фишинговое письмо с вредоносным исполняемым файлом в качестве вложения, который маскируется под предложение о сотрудничестве или заполненный бланк договора. При этом никак не маскируют их расширения.
Вложение представляет собой инсталлятор, созданный при помощи Smart Install Maker. После запуска он выгружает в директорию Users\[REDACTED]\AppData\Local\Temp\$inst два архива формата .cab, замаскированные под временные файлы: 2.tmp и temp_0.tmp.
После этого архивы по очереди распаковываются в одну и ту же директорию, а для отвлечения внимания жертвы, запускается файл-приманка с типовой структурой офисного документа.
Затем вредоносное вложение запускает find.cmd. Скрипт аналогичен предыдущей кампании, однако в нем появился парсинг адресов C2 из файла url.txt: в ходе работы он создает виртуальное окружение, а также переменные под конкретные адреса, с которых скачиваются полезные нагрузки.
Также в скрипте изменился путь, по которому он сохраняет скачанные с C2 исполняемые файлы. В новой версии - это %APPDATA%\Windows. При этом на C2 инструменты, как и ранее, имеют расширение .jpg. После их инициализации новая версия find.cmd удаляет все файлы.
Скрипт загружает с C2 bk.rar и pas.rar, а также кастомную версию WinRAR с названием файла driver.exe. Затем с помощью архиватора распаковывает скачанные файлы, используя вшитый пароль, и сохраняет их содержимое в директорию Users\[REDACTED]\AppData\Roaming\Windows.
Первым делом find.cmd запускает Trays.exe с опцией -tray для сокрытия окон приложений, которые будут выполнены далее. Далее скрипт принимает меры по обходу средств защиты: останавливает сервисы, связанные с Microsoft Defender, и отключает профили файервола.
После этого он устанавливает на устройство инструмент удаленного доступа AnyDesk, который затем запускает как системный сервис.
После того как скрипт find.cmd отработал, вложение запускает файл any.bat, также в формате скрипта, для создания точки закрепления через AnyDesk. Он также устанавливает кастомный пароль для доступа к нему. Последним вложение запускает скрипт bat.bat
Основная цель этого скрипта - предоставить оператору данные для подключения, а также подготовить узел к дальнейшей постэксплуатации.
В целом, Librarian Likho продолжает атаковать российские компании, оставив неизменными цели кампании и ключевые характеристики своих атак, но частично переписав содержимое вредоносных скриптов. Однако в отличие от прошлых атак, новая активность имеет массовый характер.
Технические подробности и IOCs - в отчете.
Securelist
Новая кампания Librarian Likho с массовой рассылкой фишинговых писем
Разбираем новую кампанию Librarian Likho с массовой рассылкой фишинговых писем и обновленными скриптами. Атаки продолжаются на момент публикации.
Исследователи F6 в новом отчете обращают внимание на вымогателей с востока, которым удалось атаковать более 40 российских компаний менее чем за год.
Действующая в формате RaaS персидская C77L появилась в марте 2025 года и нацелена на российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг.
Помимо этого среди пострадавших оказались и государственные компании. В целом же, по итогам 2025 C77L заняла шестое место по количеству атак с использованием ransomeware.
Часто восточные партнерские программы строятся относительно программ-вымогателей, например: Proton, LokiLocker, Sauron, Mimic, HardBit, Enmity и другие.
Причем имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких RaaS.
Исследователи полагают, что C77L была образована в отдельную партнерскую программу участниками Proton.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, варьировались от 400 000 до 2 400 000 рублей (5000–30 000 долл.).
Причем сами атаки RaaS скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а сосредоточены исключительно на шифровании данных для получения быстрой и главное - стабильной прибыли.
Восточные шифровальщики используют схожие концептуальные идеи и характеризуются большим числом одновременно используемых версий и форков.
Программа-вымогатель C77L не стала исключением, она имеет схожие черты с такими семействами, как Proton, Proxima и LokiLocker.
Программа-вымогатель C77L разработана на языке программирования С++ и отличается высокой скоростью шифрования файлов. За девять месяцев разработчиками было выпущено уже пять версий ransomeware.
Как отмечают в F6, основным первоначальным вектором атаки C77L служит брут паролей учетных записей публично доступных служб удаленного доступа (RDP и VPN). При этом обычно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время.
Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, не отличаясь какими либо изощренными и инновационными методами.
Злоумышленникам не требуется высокая квалификация - при проведении атак руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты.
Тем не менее, большинство атак на российские и белорусские предприятия заканчивались успехом атакующих.
Технические подробности исследования - в отчете F6.
Кроме того, дополнительная информация по штаммам ransomware и группировкам из багажа F6 доступна на GitHub - здесь.
Действующая в формате RaaS персидская C77L появилась в марте 2025 года и нацелена на российские и белорусские предприятия малого и среднего бизнеса преимущественно в сферах торговли, производства и услуг.
Помимо этого среди пострадавших оказались и государственные компании. В целом же, по итогам 2025 C77L заняла шестое место по количеству атак с использованием ransomeware.
Часто восточные партнерские программы строятся относительно программ-вымогателей, например: Proton, LokiLocker, Sauron, Mimic, HardBit, Enmity и другие.
Причем имеют достаточно закрытый формат, но при этом они связаны друг с другом: многие преступные группы могут быть участниками нескольких RaaS.
Исследователи полагают, что C77L была образована в отдельную партнерскую программу участниками Proton.
В среднем суммы первоначального выкупа, которые запрашивали в биткоинах участники C77L за расшифровку данных, варьировались от 400 000 до 2 400 000 рублей (5000–30 000 долл.).
Причем сами атаки RaaS скоротечны: злоумышленники не ставят перед собой задачу украсть данные жертв, а сосредоточены исключительно на шифровании данных для получения быстрой и главное - стабильной прибыли.
Восточные шифровальщики используют схожие концептуальные идеи и характеризуются большим числом одновременно используемых версий и форков.
Программа-вымогатель C77L не стала исключением, она имеет схожие черты с такими семействами, как Proton, Proxima и LokiLocker.
Программа-вымогатель C77L разработана на языке программирования С++ и отличается высокой скоростью шифрования файлов. За девять месяцев разработчиками было выпущено уже пять версий ransomeware.
Как отмечают в F6, основным первоначальным вектором атаки C77L служит брут паролей учетных записей публично доступных служб удаленного доступа (RDP и VPN). При этом обычно проникновение злоумышленников в инфраструктуру жертвы происходит в ночное время.
Целевыми объектами атак являются Windows-системы, как самые распространенные операционные системы в ИТ-инфраструктурах среднего и малого бизнеса.
Атакующие C77L демонстрируют в атаках те же техники, что и другие персидские группировки, не отличаясь какими либо изощренными и инновационными методами.
Злоумышленникам не требуется высокая квалификация - при проведении атак руководствуются шаблонными инструкциями и используют для автоматизации большинства действий готовые скрипты.
Тем не менее, большинство атак на российские и белорусские предприятия заканчивались успехом атакующих.
Технические подробности исследования - в отчете F6.
Кроме того, дополнительная информация по штаммам ransomware и группировкам из багажа F6 доступна на GitHub - здесь.
F6
Тысяча и одна ночь: партнерская программа C77L - F6
Солары представили результаты исследования фишинговой кампании Cloud Atlas, нацеленной на российские организации. Причем в одном из кейсов им удалось выявить 5 успешных атак на одну и ту же систему.
Как отмечают исследователи, группировка наряду с Fairy Trickster и Erudite Mogwai является одной из тех, кто делает ставку на фишинг. Ее отличительной чертой стало использование в атаках VBShower.
Группа была выделена как отдельный кластер угроз в 2014 году исследователями Лаборатории Касперского, которые обнаружили схожие паттерны атак в ходе ранее известной операции Red October.
Основными целями Cloud Atlas являются госучреждения в различных странах. Однако, по данным аналитики, наибольшее количество зафиксированных атак этой группировки связано с государственными и частными организациями в России.
В своих атаках APT использует такие инструменты, как VBShower, VBCloud, PowerShower, ngrok, openport и др.
В новом отчете Solar рассматривают один из кейсов по следам своего расследования, инициированного в марте 2025 года после обнаружения одним из клиентов вредоносного файла: C:\Users\Public\Libraries\LibraryHost.vbs.
Детектированная сигнатура явно указывала на принадлежность данного файла к Cloud Atlas. В качестве первоначального доступа группировка традиционно использует фишинговые кампании с вредоносными вложениями в формате документов Microsoft Office.
В ходе исследования выяснилось, что система, на которой был обнаружен вредоносный файл, стала жертвой фишинговых кампаний со стороны Cloud Atlas целых пять раз и каждая из атак была успешной.
Четыре из пяти вредоносных вложений были удалены или не сохранились в системе, однако следы их загрузки, а также последующая активность частично отразились в различных артефактах Windows.
Правда, несмотря на продолжительное нахождение атакующих в инфраструктуре, при расследовании инцидента следов их горизонтального перемещения в системе Солары не обнаружили.
По результатам расследования стало понятно, что цепочка заражения не претерпевала существенных изменений и начинается с вредоносного документа Microsoft Word, развиваясь с помощью характерных для Cloud Atlas TTPs. Также неизменным остается использование ADS для скрытия вредоносной нагрузки.
Исследователи отметили специфическое использование техник и инструментов, которое характеризует уникальный почерк группировки, не претерпевший за 2025 существенных изменений. А новые семплы указывают на то, что эти атакующие продолжают свою активную деятельность.
Схема их работы и технические подробности «пятикратной» атаки Cloud Atlas - в отчете.
Как отмечают исследователи, группировка наряду с Fairy Trickster и Erudite Mogwai является одной из тех, кто делает ставку на фишинг. Ее отличительной чертой стало использование в атаках VBShower.
Группа была выделена как отдельный кластер угроз в 2014 году исследователями Лаборатории Касперского, которые обнаружили схожие паттерны атак в ходе ранее известной операции Red October.
Основными целями Cloud Atlas являются госучреждения в различных странах. Однако, по данным аналитики, наибольшее количество зафиксированных атак этой группировки связано с государственными и частными организациями в России.
В своих атаках APT использует такие инструменты, как VBShower, VBCloud, PowerShower, ngrok, openport и др.
В новом отчете Solar рассматривают один из кейсов по следам своего расследования, инициированного в марте 2025 года после обнаружения одним из клиентов вредоносного файла: C:\Users\Public\Libraries\LibraryHost.vbs.
Детектированная сигнатура явно указывала на принадлежность данного файла к Cloud Atlas. В качестве первоначального доступа группировка традиционно использует фишинговые кампании с вредоносными вложениями в формате документов Microsoft Office.
В ходе исследования выяснилось, что система, на которой был обнаружен вредоносный файл, стала жертвой фишинговых кампаний со стороны Cloud Atlas целых пять раз и каждая из атак была успешной.
Четыре из пяти вредоносных вложений были удалены или не сохранились в системе, однако следы их загрузки, а также последующая активность частично отразились в различных артефактах Windows.
Правда, несмотря на продолжительное нахождение атакующих в инфраструктуре, при расследовании инцидента следов их горизонтального перемещения в системе Солары не обнаружили.
По результатам расследования стало понятно, что цепочка заражения не претерпевала существенных изменений и начинается с вредоносного документа Microsoft Word, развиваясь с помощью характерных для Cloud Atlas TTPs. Также неизменным остается использование ADS для скрытия вредоносной нагрузки.
Исследователи отметили специфическое использование техник и инструментов, которое характеризует уникальный почерк группировки, не претерпевший за 2025 существенных изменений. А новые семплы указывают на то, что эти атакующие продолжают свою активную деятельность.
Схема их работы и технические подробности «пятикратной» атаки Cloud Atlas - в отчете.
Socket раскрыла новую атаку на цепочку поставок под названием Sandworm_Mode в реестре NPM: вредоносный код распространяется подобно червю, компрометирует системы ИИ, крадет секреты и содержит разрушительный «выключатель».
Sandworm_Mode был реализован через 19 пакетов, опубликованных под двумя псевдонимами, которые использовали метод тайпсквоттинга, обманом заставляя разработчиков выполнить вредоносный код.
По данным Socket, эта атака имеет характерные черты кампании Shai-Hulud, затронувшей в сентябре и ноябре 2025 года около 800 пакетов NPM.
Sandworm_Mode использует украденные учетные данные NPM и GitHub для распространения вредоносного ПО и применяет модифицированный GitHub Action для сбора и кражи секретов CI, а также для внедрения зависимостей и рабочих процессов в репозитории.
Вредоносные пакеты (все из которых были удалены из реестра) мимикрировали под популярные утилиты для разработчиков, криптографические инструменты и утилиты для программирования ИИ, такие как Claude Code и OpenClaw.
Для создания ИИ-помощников в программировании вредоносный код устанавливает поддельный MCP-сервер (нацеленный на Claude Code, Cursor, Continue и Windsurf) и использует внедрение подсказок для утечки SSH-ключей, учетных данных AWS, токенов NPM и других секретов.
Код также собирает ключи API для поставщиков LLM, переменные среды и файлы .env, и проверяет их. Кроме того, он вызывает локальный экземпляр Ollama для изменения имен переменных, перезаписи потоков управления, вставки кода-приманки и кодирования строк.
Sandworm_Mode реализует многоэтапную атаку, в ходе которой первоначальная кража учетных данных и криптографических ключей сопровождается глубоким сбором секретов из менеджеров паролей, внедрением MCP-сервера, обеспечением постоянного присутствия через Git-хуки, распространением червя и многоканальной эксфильтрацией.
Подобная двухэтапная схема разработана намеренно: наиболее разрушительная с финансовой точки зрения операция, кража криптографических ключей, выполняется мгновенно и безоговорочно, в то время как более «рискованные» операции откладываются, чтобы избежать кратковременного анализа в «песочнице».
В коде также предусмотрена настраиваемая, но неактивная функция "мертвого выключателя", позволяющая инициировать очистку домашнего каталога при потере доступа к GitHub и NPM.
Исследователи EndorLabs, в свою очередь, отметили, что как и в случае с Shai-Hulud, Sandworm_Mode распространяется путем заражения существующих пакетов.
Но также может использовать для распространения пакетов-носителей, добавляя ссылку на зависимость для запуска процесса запроса на слияние в GitHub Actions и сбора и извлечения всех секретов репозитория.
Разработчикам рекомендуется удалить все установленные вредоносные пакеты, проверить свои пакеты на наличие последних изменений в JSON-файлах и наличие непредвиденных рабочих процессов, а также обновить все учетные данные, токены и секреты CI в GitHub и NPM.
Sandworm_Mode был реализован через 19 пакетов, опубликованных под двумя псевдонимами, которые использовали метод тайпсквоттинга, обманом заставляя разработчиков выполнить вредоносный код.
По данным Socket, эта атака имеет характерные черты кампании Shai-Hulud, затронувшей в сентябре и ноябре 2025 года около 800 пакетов NPM.
Sandworm_Mode использует украденные учетные данные NPM и GitHub для распространения вредоносного ПО и применяет модифицированный GitHub Action для сбора и кражи секретов CI, а также для внедрения зависимостей и рабочих процессов в репозитории.
Вредоносные пакеты (все из которых были удалены из реестра) мимикрировали под популярные утилиты для разработчиков, криптографические инструменты и утилиты для программирования ИИ, такие как Claude Code и OpenClaw.
Для создания ИИ-помощников в программировании вредоносный код устанавливает поддельный MCP-сервер (нацеленный на Claude Code, Cursor, Continue и Windsurf) и использует внедрение подсказок для утечки SSH-ключей, учетных данных AWS, токенов NPM и других секретов.
Код также собирает ключи API для поставщиков LLM, переменные среды и файлы .env, и проверяет их. Кроме того, он вызывает локальный экземпляр Ollama для изменения имен переменных, перезаписи потоков управления, вставки кода-приманки и кодирования строк.
Sandworm_Mode реализует многоэтапную атаку, в ходе которой первоначальная кража учетных данных и криптографических ключей сопровождается глубоким сбором секретов из менеджеров паролей, внедрением MCP-сервера, обеспечением постоянного присутствия через Git-хуки, распространением червя и многоканальной эксфильтрацией.
Подобная двухэтапная схема разработана намеренно: наиболее разрушительная с финансовой точки зрения операция, кража криптографических ключей, выполняется мгновенно и безоговорочно, в то время как более «рискованные» операции откладываются, чтобы избежать кратковременного анализа в «песочнице».
В коде также предусмотрена настраиваемая, но неактивная функция "мертвого выключателя", позволяющая инициировать очистку домашнего каталога при потере доступа к GitHub и NPM.
Исследователи EndorLabs, в свою очередь, отметили, что как и в случае с Shai-Hulud, Sandworm_Mode распространяется путем заражения существующих пакетов.
Но также может использовать для распространения пакетов-носителей, добавляя ссылку на зависимость для запуска процесса запроса на слияние в GitHub Actions и сбора и извлечения всех секретов репозитория.
Разработчикам рекомендуется удалить все установленные вредоносные пакеты, проверить свои пакеты на наличие последних изменений в JSON-файлах и наличие непредвиденных рабочих процессов, а также обновить все учетные данные, токены и секреты CI в GitHub и NPM.
Socket
SANDWORM_MODE: Shai-Hulud-Style npm Worm Hijacks CI Workflow...
An emerging npm supply chain attack that infects repos, steals CI secrets, and targets developer AI toolchains for further compromise.
Forwarded from Social Engineering
• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.
• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла
AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.• Еще в зараженной системе червь создавал файл с именем
thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.
• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Cisco предупреждает об активной эксплуатации критической уязвимости обхода аутентификации в Cisco Catalyst SD-WAN в качестве 0-day, которая позволяла удаленным злоумышленникам компрометировать контроллеры и добавлять вредоносные узлы в целевые сети.
CVE-2026-20127 имеет максимальный уровень серьезности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) в локальных и облачных SD-WAN-системах.
Раскрытие приписывается Австралийскому центру кибербезопасности Управления сигналов Австралии (ASD's ACSC).
Как отмечают в Cisco, проблема связана с некорректной работой механизма аутентификации при пиринге в затронутой системе. Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы в затронутую систему.
Успешная эксплуатация уязвимости может позволить злоумышленнику войти в затронутый контроллер Cisco Catalyst SD-WAN под внутренней учетной записью пользователя с высокими привилегиями, не являющегося root-пользователем.
Используя эту учетную запись, злоумышленник сможет получить доступ к NETCONF, что позволит ему манипулировать сетевой конфигурацией SD-WAN-сети.
Добавив вредоносный узел, злоумышленник может внедрить в среду SD-WAN устройство, которое будет выглядеть легитимным. Затем оно сможет устанавливать зашифрованные соединения и объявлять сети, что потенциально позволит злоумышленнику проникнуть глубже в сеть организации.
В свою очередь, исследователи Cisco Talos соообщили, что уязвимость активно использовалась в атаках.
Вредоносная активность отслеживается как UAT-8616, которая, по их оценкам, с высокой степенью уверенности была реализована высококвалифицированным злоумышленником.
Причем согласно данным телеметрии, эксплуатация уязвимости началась как минимум в 2023 году. Злоумышленник, вероятно, получил права root, откатив ПО до более старой версии, используя уязвимость CVE-2022-20775 для получения root-доступа, а затем восстановив исходную версию прошивки.
После эксплуатации уязвимости злоумышленник, вернувшись к исходной версии, мог получить root-доступ, избежав обнаружения. Информация об атаках была раскрыта Cisco совместно с уполномоченными органами США и Великобритании (соответствующие уведомления CISA и NCSC).
В их совместном руководстве содержится предупреждение о том, что злоумышленники атакуют Cisco Catalyst SD-WAN по всему миру, добавляя поддельные узлы, а затем предпринимая последующие действия для получения корневого доступа и поддержания постоянного контроля.
В рекомендациях подчеркивается, что интерфейсы управления SD-WAN ни в коем случае не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и повысить безопасность затронутых систем.
Кроме того, следует в срочном порядке расследовать уязвимость к компрометации сети и искать вредоносную активность, используя новые разработанные указанными органами рекомендации для выявления признаков несанкционированного пиринга и подозрительной активности аутентификации.
Причем в случае компрометации учетной записи root, следует развертывать новые системы, а не пытаться очистить существующую инфраструктуру.
Cisco выпустила обновления ПО для устранения уязвимости, заявляя об отсутствии обходных путей, которые бы полностью решили проблему.
CVE-2026-20127 имеет максимальный уровень серьезности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) в локальных и облачных SD-WAN-системах.
Раскрытие приписывается Австралийскому центру кибербезопасности Управления сигналов Австралии (ASD's ACSC).
Как отмечают в Cisco, проблема связана с некорректной работой механизма аутентификации при пиринге в затронутой системе. Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы в затронутую систему.
Успешная эксплуатация уязвимости может позволить злоумышленнику войти в затронутый контроллер Cisco Catalyst SD-WAN под внутренней учетной записью пользователя с высокими привилегиями, не являющегося root-пользователем.
Используя эту учетную запись, злоумышленник сможет получить доступ к NETCONF, что позволит ему манипулировать сетевой конфигурацией SD-WAN-сети.
Добавив вредоносный узел, злоумышленник может внедрить в среду SD-WAN устройство, которое будет выглядеть легитимным. Затем оно сможет устанавливать зашифрованные соединения и объявлять сети, что потенциально позволит злоумышленнику проникнуть глубже в сеть организации.
В свою очередь, исследователи Cisco Talos соообщили, что уязвимость активно использовалась в атаках.
Вредоносная активность отслеживается как UAT-8616, которая, по их оценкам, с высокой степенью уверенности была реализована высококвалифицированным злоумышленником.
Причем согласно данным телеметрии, эксплуатация уязвимости началась как минимум в 2023 году. Злоумышленник, вероятно, получил права root, откатив ПО до более старой версии, используя уязвимость CVE-2022-20775 для получения root-доступа, а затем восстановив исходную версию прошивки.
После эксплуатации уязвимости злоумышленник, вернувшись к исходной версии, мог получить root-доступ, избежав обнаружения. Информация об атаках была раскрыта Cisco совместно с уполномоченными органами США и Великобритании (соответствующие уведомления CISA и NCSC).
В их совместном руководстве содержится предупреждение о том, что злоумышленники атакуют Cisco Catalyst SD-WAN по всему миру, добавляя поддельные узлы, а затем предпринимая последующие действия для получения корневого доступа и поддержания постоянного контроля.
В рекомендациях подчеркивается, что интерфейсы управления SD-WAN ни в коем случае не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и повысить безопасность затронутых систем.
Кроме того, следует в срочном порядке расследовать уязвимость к компрометации сети и искать вредоносную активность, используя новые разработанные указанными органами рекомендации для выявления признаков несанкционированного пиринга и подозрительной активности аутентификации.
Причем в случае компрометации учетной записи root, следует развертывать новые системы, а не пытаться очистить существующую инфраструктуру.
Cisco выпустила обновления ПО для устранения уязвимости, заявляя об отсутствии обходных путей, которые бы полностью решили проблему.
Cisco
Cisco Security Advisory: Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability
A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative…
SolarWinds устранила четыре критические уязвимости в своем корпоративном решении для передачи файлов Serv-U, которые могут быть использованы для удалённого выполнения кода, но для этого потребуются административные привилегии.
Все четыре уязвимости, отслеживаемые как CVE-2025-40538 - CVE-2025-40541, имеют оценку CVSS 9.1 и могут привести к удаленному выполнению кода, затрагивая версию Serv-U 15.5.
Как поясняет SolarWinds, CVE-2025-40538 - это уязвимость в системе контроля доступа, которая позволяет создать учетную запись системного администратора и выполнить произвольный код с повышенными привилегиями администратора домена или администратора группы.
CVE-2025-40539 и CVE-2025-40540 представляют собой ошибки типа данных, позволяющие злоумышленникам выполнять код с повышенными привилегиями, не предоставляя дополнительных подробностей.
И, наконец, CVE-2025-40541 описывается как небезопасная ошибка прямой ссылки на объект (IDOR), приводящая к выполнению нативного кода в контексте привилегированной учетной записи.
Как поясняет SolarWinds, для успешной эксплуатации всех четырех уязвимостей злоумышленнику необходимы административные привилегии в уязвимом экземпляре Serv-U. Так что в системах Windows риск оценивается как средний.
Все четыре уязвимости CVE были устранены с выходом SolarWinds Serv-U версии 15.5.4. Дополнительную информацию можно найти в уведомлении SolarWinds.
SolarWinds не упоминает о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях, но пользователям рекомендуется как можно скорее обновить свои экземпляры, поскольку злоумышленники достаточно используют их в своих атаках.
В настоящее время Shodan отслеживает более 12 000 серверов Serv-U, доступных через Интернет, а Shadowserver оценивает их число менее чем в 1200.
Тем не менее, программы для передачи файлов, такие как SolarWinds Serv-U, часто становились объектом атак, поскольку обеспечивают легкий доступ к документам, которые могут содержать конфиденциальные корпоративные и клиентские данные.
За последние пять лет киберпреступные и APT группы не раз препарировали уязвимости Serv-U для кражи данных. Среди них - небезызвестная Clop, которой удалось провернуть делягу по части Serv-U Secure FTP с использованием CVE-2021-35211.
На нее же нацеливались китайские хакеры (отслеживаемые Microsoft как DEV-0322), атаковавшие американские оборонные и IT компании, начиная с июля 2021 года.
Совсем недавно, в июне 2024 года, Rapid7 и GreyNoise выявили уязвимость обхода пути в SolarWinds Serv-U (CVE-2024-28995), которая также активно использовалась злоумышленниками с помощью общедоступных PoC.
Все четыре уязвимости, отслеживаемые как CVE-2025-40538 - CVE-2025-40541, имеют оценку CVSS 9.1 и могут привести к удаленному выполнению кода, затрагивая версию Serv-U 15.5.
Как поясняет SolarWinds, CVE-2025-40538 - это уязвимость в системе контроля доступа, которая позволяет создать учетную запись системного администратора и выполнить произвольный код с повышенными привилегиями администратора домена или администратора группы.
CVE-2025-40539 и CVE-2025-40540 представляют собой ошибки типа данных, позволяющие злоумышленникам выполнять код с повышенными привилегиями, не предоставляя дополнительных подробностей.
И, наконец, CVE-2025-40541 описывается как небезопасная ошибка прямой ссылки на объект (IDOR), приводящая к выполнению нативного кода в контексте привилегированной учетной записи.
Как поясняет SolarWinds, для успешной эксплуатации всех четырех уязвимостей злоумышленнику необходимы административные привилегии в уязвимом экземпляре Serv-U. Так что в системах Windows риск оценивается как средний.
Все четыре уязвимости CVE были устранены с выходом SolarWinds Serv-U версии 15.5.4. Дополнительную информацию можно найти в уведомлении SolarWinds.
SolarWinds не упоминает о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях, но пользователям рекомендуется как можно скорее обновить свои экземпляры, поскольку злоумышленники достаточно используют их в своих атаках.
В настоящее время Shodan отслеживает более 12 000 серверов Serv-U, доступных через Интернет, а Shadowserver оценивает их число менее чем в 1200.
Тем не менее, программы для передачи файлов, такие как SolarWinds Serv-U, часто становились объектом атак, поскольку обеспечивают легкий доступ к документам, которые могут содержать конфиденциальные корпоративные и клиентские данные.
За последние пять лет киберпреступные и APT группы не раз препарировали уязвимости Serv-U для кражи данных. Среди них - небезызвестная Clop, которой удалось провернуть делягу по части Serv-U Secure FTP с использованием CVE-2021-35211.
На нее же нацеливались китайские хакеры (отслеживаемые Microsoft как DEV-0322), атаковавшие американские оборонные и IT компании, начиная с июля 2021 года.
Совсем недавно, в июне 2024 года, Rapid7 и GreyNoise выявили уязвимость обхода пути в SolarWinds Serv-U (CVE-2024-28995), которая также активно использовалась злоумышленниками с помощью общедоступных PoC.
www.shodan.io
Shodan Search
Search query: html:"Serv-U"
Исследователи из Лаборатории Касперского продолжают отслеживать похождения хактивистской группировки Head Mare, которая в феврале 2026 года вновь привлекла внимание российского киберсообщества.
Вслед за ранее обнаруженной кампанией с использованием PhantomHeart, в поле зрения исследователей попала еще одна масштабная фишинговая рассылка, но на этот раз с новой версией бэкдора PhantomCore (PhantomDL).
Новая рассылка Head Mare затронула несколько сотен пользователей из российских организаций. Среди целей фигурировали организации из госсектора и компании в сфере логистики, финансов и промышленности.
Получателям приходили письма от имени научно-исследовательской организации с предложением о заключении договора. Во вложениях - зашифрованные архивы (пароль - текущий год). В нем - ряд lnk-файлов, которые автоматически запускают процесс загрузки и установки бэкдора.
Все оформлено так, чтобы создать ощущение делового общения и подтолкнуть получателя открыть вложение. В подписи указаны подробные контактные данные «ведущего специалиста»: ФИО, должность, номер телефона с добавочным, корпоративный e‑mail и адрес сайта.
При запуске любого из ярлыков на машине выполнится команда для загрузки промежуточного скрипта, расположенного на сервере злоумышленников.
По адресу, к которому обращается команда (hxxps://1cbit-dev[.]com/devices/firmware/beta/update.html), можно обнаружить скрипт для загрузки и установки бэкдора. Дополнительно этот скрипт скачивает и открывает документ-приманку.
Стоит отметить, что ярлыки работают схожим образом. Единственное отличие между ними - это ссылки, по которым будут загружаться бэкдоры и документы. За каждым ярлыком закреплен документ, соответствующий его названию, при этом бэкдор всегда скачивается один и тот же.
Промежуточный скрипт написан на PowerShell. Он скачивает с удаленного сервера файл USOCachedData.txt, обеспечивает закрепление в системе и автозапуск.
Для закрепления используется техника PSFactoryBuffer COM Hijacking. В результате всякий раз, когда стороннее приложение обращается к соответствующему COM-объекту, запускается вредоносный файл.
Файл USOCachedData.txt, хоть и имеет расширение .txt, на самом деле является исполняемой библиотекой - новым вариантом PhantomCore. Основная задача этого бэкдора - предоставление злоумышленникам удаленной командной строки в зараженной системе.
Образец, который распространяется в рамках описанной кампании, написан на C++, а строки в нем зашифрованы побайтовым XOR с уникальными ключами для каждой строки.
После запуска бэкдор отправляет на C2 два POST-запроса, содержащие данные в формате JSON, - для регистрации нового бота и получения команд. По сравнению с прошлыми версиями пути, по которым PhantomCore связывается с C2, незначительно изменились, как названия и содержимое полей в отправляемом на С2 JSON.
В запросе на регистрацию PhantomCore передает закодированные в base64 данные о боте и зараженной системе. Во втором запросе бэкдор отправляет только идентификатор бота. В ответ злоумышленники передают последовательность команд, которую бэкдор пытается выполнить в зараженной системе.
Скачивается архива с вредоносным ПО для создания туннеля. Внутри архива находится файл TemplateMaintenanceHost.exe. Содержимое архива распаковывается в директорию AppData. Закрепление в системе с помощью задачи планировщика.
Сам файл TemplateMaintenanceHost.exe - это модуль для запуска ssh.exe, написанный на Golang.
Он запускает его с переданными в командной строке параметрами либо с параметрами по умолчанию. Запуск ssh.exe приводит к созданию туннеля с удаленным хостом.
При этом сам процесс ssh.exe выступает в роли SOCKS5-прокси и способен перенаправлять трафик от удаленного сервера в локальную сеть через зараженную машину, давая атакующим возможность подключаться к другим рабочим станциям и серверам.
Технические подробности и актуальные IOCs - в отчете.
Вслед за ранее обнаруженной кампанией с использованием PhantomHeart, в поле зрения исследователей попала еще одна масштабная фишинговая рассылка, но на этот раз с новой версией бэкдора PhantomCore (PhantomDL).
Новая рассылка Head Mare затронула несколько сотен пользователей из российских организаций. Среди целей фигурировали организации из госсектора и компании в сфере логистики, финансов и промышленности.
Получателям приходили письма от имени научно-исследовательской организации с предложением о заключении договора. Во вложениях - зашифрованные архивы (пароль - текущий год). В нем - ряд lnk-файлов, которые автоматически запускают процесс загрузки и установки бэкдора.
Все оформлено так, чтобы создать ощущение делового общения и подтолкнуть получателя открыть вложение. В подписи указаны подробные контактные данные «ведущего специалиста»: ФИО, должность, номер телефона с добавочным, корпоративный e‑mail и адрес сайта.
При запуске любого из ярлыков на машине выполнится команда для загрузки промежуточного скрипта, расположенного на сервере злоумышленников.
По адресу, к которому обращается команда (hxxps://1cbit-dev[.]com/devices/firmware/beta/update.html), можно обнаружить скрипт для загрузки и установки бэкдора. Дополнительно этот скрипт скачивает и открывает документ-приманку.
Стоит отметить, что ярлыки работают схожим образом. Единственное отличие между ними - это ссылки, по которым будут загружаться бэкдоры и документы. За каждым ярлыком закреплен документ, соответствующий его названию, при этом бэкдор всегда скачивается один и тот же.
Промежуточный скрипт написан на PowerShell. Он скачивает с удаленного сервера файл USOCachedData.txt, обеспечивает закрепление в системе и автозапуск.
Для закрепления используется техника PSFactoryBuffer COM Hijacking. В результате всякий раз, когда стороннее приложение обращается к соответствующему COM-объекту, запускается вредоносный файл.
Файл USOCachedData.txt, хоть и имеет расширение .txt, на самом деле является исполняемой библиотекой - новым вариантом PhantomCore. Основная задача этого бэкдора - предоставление злоумышленникам удаленной командной строки в зараженной системе.
Образец, который распространяется в рамках описанной кампании, написан на C++, а строки в нем зашифрованы побайтовым XOR с уникальными ключами для каждой строки.
После запуска бэкдор отправляет на C2 два POST-запроса, содержащие данные в формате JSON, - для регистрации нового бота и получения команд. По сравнению с прошлыми версиями пути, по которым PhantomCore связывается с C2, незначительно изменились, как названия и содержимое полей в отправляемом на С2 JSON.
В запросе на регистрацию PhantomCore передает закодированные в base64 данные о боте и зараженной системе. Во втором запросе бэкдор отправляет только идентификатор бота. В ответ злоумышленники передают последовательность команд, которую бэкдор пытается выполнить в зараженной системе.
Скачивается архива с вредоносным ПО для создания туннеля. Внутри архива находится файл TemplateMaintenanceHost.exe. Содержимое архива распаковывается в директорию AppData. Закрепление в системе с помощью задачи планировщика.
Сам файл TemplateMaintenanceHost.exe - это модуль для запуска ssh.exe, написанный на Golang.
Он запускает его с переданными в командной строке параметрами либо с параметрами по умолчанию. Запуск ssh.exe приводит к созданию туннеля с удаленным хостом.
При этом сам процесс ssh.exe выступает в роли SOCKS5-прокси и способен перенаправлять трафик от удаленного сервера в локальную сеть через зараженную машину, давая атакующим возможность подключаться к другим рабочим станциям и серверам.
Технические подробности и актуальные IOCs - в отчете.
Securelist
Head Mare распространяет обновленный PhantomCore под видом контракта
Рассказываем о свежей фишинговой рассылке Head Mare, замаскированной под обсуждение контракта с научно-исследовательской организацией и доставляющей новую версию PhantomCore.
Клиенты японской Trend Micro опять в зоне риска в виду двух критических уязвимостей в Apex One, которые позволяют потенциальному злоумышленнику получить доступ к RCE в уязвимых системах Windows.
Apex One - это платформа для защиты конечных точек, которая обнаруживает угрозы безопасности и реагирует на них, включая вредоносное ПО, шпионские ПО, вредоносные инструменты и уязвимости.
Первая уязвимость Apex One отслеживается как CVE-2025-71210 и связана с уязвимостью обхода пути в консоли управления Trend Micro Apex One, позволяя злоумышленникам без привилегий выполнять вредоносный код в незащищенных системах.
Вторая CVE-2025-71211 представляет собой еще одну уязвимость обхода пути в консоли управления Apex One, аналогичную по масштабу CVE-2025-71210, но затрагивающую другой исполняемый файл.
Как пояснила Trend Micro в своем уведомлении, для успешной эксплуатации злоумышленникам необходимо «иметь доступ к консоли управления Trend Micro Apex One, поэтому клиентам, IP-адрес их консоли которых доступен извне, следует рассмотреть возможность применения мер по снижению рисков, таких как ограничения на доступ к источникам данных, если они еще не применены».
Несмотря на то, что для использования уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить ПО до последних версий.
Для устранения этих проблем Trend Micro исправила уязвимости в версиях SaaS Apex One и выпустила критическое обновление Build 14136, которое также устраняет две серьезные уязвимости, приводящие к EoP в агенте Windows, и еще четыре, затрагивающие агент для macOS.
Пока в Trend Micro не зафиксировали использования этих уязвимостей в реальных условиях, но, как показывает практика, злоумышленники ранее весьма эффективно использовали уязвимости в Apex One в своих атаках на протяжении последних нескольких лет.
В частности, в августе 2025 Trend Micro также предупреждала клиентов о необходимости устранения RCE (CVE-2025-54948) в Apex One, которая активно использовалась на тот момент, а также устранила две 0-day, которые задействовались злоумышленниками в сентябре 2022 (CVE-2022-40139) и в сентябре следующего года (CVE-2023-41179).
При этом на карандаше в CISA к настоящему время находится 10 уязвимостей Trend Micro Apex, которые были или до сих пор используются злоумышленниками.
Apex One - это платформа для защиты конечных точек, которая обнаруживает угрозы безопасности и реагирует на них, включая вредоносное ПО, шпионские ПО, вредоносные инструменты и уязвимости.
Первая уязвимость Apex One отслеживается как CVE-2025-71210 и связана с уязвимостью обхода пути в консоли управления Trend Micro Apex One, позволяя злоумышленникам без привилегий выполнять вредоносный код в незащищенных системах.
Вторая CVE-2025-71211 представляет собой еще одну уязвимость обхода пути в консоли управления Apex One, аналогичную по масштабу CVE-2025-71210, но затрагивающую другой исполняемый файл.
Как пояснила Trend Micro в своем уведомлении, для успешной эксплуатации злоумышленникам необходимо «иметь доступ к консоли управления Trend Micro Apex One, поэтому клиентам, IP-адрес их консоли которых доступен извне, следует рассмотреть возможность применения мер по снижению рисков, таких как ограничения на доступ к источникам данных, если они еще не применены».
Несмотря на то, что для использования уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить ПО до последних версий.
Для устранения этих проблем Trend Micro исправила уязвимости в версиях SaaS Apex One и выпустила критическое обновление Build 14136, которое также устраняет две серьезные уязвимости, приводящие к EoP в агенте Windows, и еще четыре, затрагивающие агент для macOS.
Пока в Trend Micro не зафиксировали использования этих уязвимостей в реальных условиях, но, как показывает практика, злоумышленники ранее весьма эффективно использовали уязвимости в Apex One в своих атаках на протяжении последних нескольких лет.
В частности, в августе 2025 Trend Micro также предупреждала клиентов о необходимости устранения RCE (CVE-2025-54948) в Apex One, которая активно использовалась на тот момент, а также устранила две 0-day, которые задействовались злоумышленниками в сентябре 2022 (CVE-2022-40139) и в сентябре следующего года (CVE-2023-41179).
При этом на карандаше в CISA к настоящему время находится 10 уязвимостей Trend Micro Apex, которые были или до сих пор используются злоумышленниками.
Исследователи раскрыли подробности новой атаки (точнее серии атак) под названием AirSnitch, нацеленную на вновь выявленные уязвимости Wi-Fi, которая позволяет эффективно обходить изолированность в сетях.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
GitHub
GitHub - vanhoefm/airsnitch
Contribute to vanhoefm/airsnitch development by creating an account on GitHub.
Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете.
Group-IB
GTFire Phishing Scheme: Avoiding Detection Using Google Services
An in-depth analysis of the GTFire phishing scheme, detailing how threat actors abuse Google Firebase hosting and Google Translate to evade detection, harvest credentials at scale, and target organizations worldwide across multiple industries.
Juniper Networks выпустила экстренное обновление для Junos OS Evolved на маршрутизаторах серии PTX, с исправлением критической уязвимости, которая позволяет неавторизованному злоумышленнику удаленно выполнять код с правами root.
Маршрутизаторы серии PTX - это высокопроизводительные устройство для ядра сети и пиринга, разработанные для обеспечения высокой пропускной способности, низкой задержки и масштабируемости. Широко используются на объектах связи.
CVE-2026-21902 обусловлена некорректным назначением разрешений в рамках системы «обнаружения аномалий на устройстве», которая должна быть доступна внутренним процессам только через внутренний маршрутный интерфейс.
Как поясняет Juniper Networks, эта ошибка позволяет получить доступ к платформе через внешний порт. Поскольку служба запускается от имени root и включена по умолчанию, успешная эксплуатация позволяет находящемуся в сети злоумышленнику получить полный контроль над устройством без аутентификации.
Проблема затрагивает Junos OS Evolved до 25.4R1-S1-EVO и 25.4R2-EVO на маршрутизаторах серии PTX. Более старые версии также могут быть затронуты, но производитель не оценивает версии, разработка которых завершена или срок поддержки которых истек.
Версии до 25.4R1-EVO, а также стандартные (не Evolved) версии Junos OS не затронуты CVE-2026-21902. Компания выпустила исправления для версий 25.4R1-S1-EVO, 25.4R2-EVO и 26.2R1-EVO продукта.
Поставщик рекомендует помимо обновления ограничить доступ к уязвимым конечным точкам только доверенными сетями, используя фильтры брандмауэра или ACL. В качестве альтернативы администраторы могут полностью отключить уязвимую службу.
Группа реагирования Juniper SIRT заявляет, что на текущий момент ей не известно о злонамеренном использовании уязвимости. Однако в киберподполье подобные CVE всегда как вишенка на торте, особенно когда в основе столь «аппетитное» сетевое оборудование.
В частности, в марте 2025 китайские APT активно развертывали бэкдоры на маршрутизаторах Junos OS MX, внедряя разновидности TinyShell, а месяцами ранее J-magic окучивал трафик на объектах в сфере полупроводников, IT и энергетики.
Но более востребованы такие CVE по другую сторону киберландшафта. Последнее время неоднократно становились свидетелями, как вопреки интересам клиентов и принципам инфосека американские технологические гиганты негласно сотрудничали с национальными спецслужбами.
С Juniper в этом плане все очень показательно: все никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen.
Маршрутизаторы серии PTX - это высокопроизводительные устройство для ядра сети и пиринга, разработанные для обеспечения высокой пропускной способности, низкой задержки и масштабируемости. Широко используются на объектах связи.
CVE-2026-21902 обусловлена некорректным назначением разрешений в рамках системы «обнаружения аномалий на устройстве», которая должна быть доступна внутренним процессам только через внутренний маршрутный интерфейс.
Как поясняет Juniper Networks, эта ошибка позволяет получить доступ к платформе через внешний порт. Поскольку служба запускается от имени root и включена по умолчанию, успешная эксплуатация позволяет находящемуся в сети злоумышленнику получить полный контроль над устройством без аутентификации.
Проблема затрагивает Junos OS Evolved до 25.4R1-S1-EVO и 25.4R2-EVO на маршрутизаторах серии PTX. Более старые версии также могут быть затронуты, но производитель не оценивает версии, разработка которых завершена или срок поддержки которых истек.
Версии до 25.4R1-EVO, а также стандартные (не Evolved) версии Junos OS не затронуты CVE-2026-21902. Компания выпустила исправления для версий 25.4R1-S1-EVO, 25.4R2-EVO и 26.2R1-EVO продукта.
Поставщик рекомендует помимо обновления ограничить доступ к уязвимым конечным точкам только доверенными сетями, используя фильтры брандмауэра или ACL. В качестве альтернативы администраторы могут полностью отключить уязвимую службу.
Группа реагирования Juniper SIRT заявляет, что на текущий момент ей не известно о злонамеренном использовании уязвимости. Однако в киберподполье подобные CVE всегда как вишенка на торте, особенно когда в основе столь «аппетитное» сетевое оборудование.
В частности, в марте 2025 китайские APT активно развертывали бэкдоры на маршрутизаторах Junos OS MX, внедряя разновидности TinyShell, а месяцами ранее J-magic окучивал трафик на объектах в сфере полупроводников, IT и энергетики.
Но более востребованы такие CVE по другую сторону киберландшафта. Последнее время неоднократно становились свидетелями, как вопреки интересам клиентов и принципам инфосека американские технологические гиганты негласно сотрудничали с национальными спецслужбами.
С Juniper в этом плане все очень показательно: все никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen.
Telegram
SecAtor
Летом прошлого года тринадцать американских сенаторов-демократов направили в Juniper письмо, в котором просили компанию опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра…
Исследователи Oasis Security обнаружили серьезную уязвимость, названную ClawJacked, в популярном ИИ-агенте OpenClaw, которая позволяла вредоносному сайту незаметно взламывать локально запущенный экземпляр и получать над ним полный контроль.
О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление.
По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket.
Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений.
OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы.
В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались.
При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут.
После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя.
Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений.
Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах.
Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь).
В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости.
Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.
О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление.
По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket.
Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений.
OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы.
В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались.
При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут.
После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя.
Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений.
Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах.
Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь).
В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости.
Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.
www.oasis.security
ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
Oasis found ClawJacked: any website could hijack OpenClaw via localhost WebSocket. Update to v2026.2.25+ and read the full exploit chain + mitigations.
Одна из крупнейших утечек настигла Францию, хакеры украли личные данные 15 млн. граждан непосредственно из национального Министерства здравоохранения.
Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов.
Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов.
Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом.
По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante.
Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя.
Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО.
В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия».
Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.
Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов.
Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов.
Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом.
По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante.
Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя.
Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО.
В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия».
Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.
France 24
Hackers steal medical details of 15 million in France
France's health ministry said Friday that administrative details and medical notes on more than 15 million people had been hacked.
Американские военные все же задействовали инструменты ИИ компании Anthropic во время ударов по Ирану, причем через несколько часов спустя после того, как сам же Трамп официально запретил федеральным ведомствам использовать технологии этой компании.
Как сообщает Wall Street Journal со ссылкой на источники, инструменты Anthropic используются ЦРУ США на Ближнем Востоке, а также другими командованиями по всему миру для оценки развединформации, идентификации целей и моделирования боевых сценариев.
Вместе с тем, подробности того, в каких масштабах использовался Claude AI в крупномасштабных боевых действиях против Ирана, пока не разглашаются. Ранее технологию успешно апробировали в ходе операции по захвату президента Венесуэлы Николаса Мадуро.
Тем не менее, несмотря на столь эффективное применение за день до событий на Ближнем Востоке Трамп приказал правительству немедленно прекратить использование Claude.
В свою очередь, министр войны Пит Хегсет подтвердил, что поручил министерству признать Anthropic угрозой национальной безопасности и «риском цепочке поставок», на что в самой компании заверили о готовности оспорить этом решение в судебном порядке.
Одиозное решение со стороны Трампа последовало после нескольких недель напряженных переговоров между Anthropic и Пентагоном.
Компания отказалась предоставить военным разрешение на использование своего ИИ для организации массового наблюдения или применения для автономных систем вооружения.
Пентагон установил для компании крайний срок: либо она согласится с условиями, либо столкнется с последствиями.
По итогу Трамп дал ведомствам 6 месяцев на поэтапное прекращение сотрудничества с Anthropic, подчеркнув, что последней «лучше бы взять себя в руки и оказывать помощь в течение этого периода», если не желает «серьезных гражданских и уголовных последствий».
Как бы то ни было, уйти от симбиоза с военными и «отмыться» после ударов по Венесуэле и Ирану представителям Anthropic уже вряд ли удастся, так что судьба дальнейшей разработки очевидна, как очевидно и то, что противоречит всем заявленным «благим» этическим целям и правилам.
Как сообщает Wall Street Journal со ссылкой на источники, инструменты Anthropic используются ЦРУ США на Ближнем Востоке, а также другими командованиями по всему миру для оценки развединформации, идентификации целей и моделирования боевых сценариев.
Вместе с тем, подробности того, в каких масштабах использовался Claude AI в крупномасштабных боевых действиях против Ирана, пока не разглашаются. Ранее технологию успешно апробировали в ходе операции по захвату президента Венесуэлы Николаса Мадуро.
Тем не менее, несмотря на столь эффективное применение за день до событий на Ближнем Востоке Трамп приказал правительству немедленно прекратить использование Claude.
В свою очередь, министр войны Пит Хегсет подтвердил, что поручил министерству признать Anthropic угрозой национальной безопасности и «риском цепочке поставок», на что в самой компании заверили о готовности оспорить этом решение в судебном порядке.
Одиозное решение со стороны Трампа последовало после нескольких недель напряженных переговоров между Anthropic и Пентагоном.
Компания отказалась предоставить военным разрешение на использование своего ИИ для организации массового наблюдения или применения для автономных систем вооружения.
Пентагон установил для компании крайний срок: либо она согласится с условиями, либо столкнется с последствиями.
По итогу Трамп дал ведомствам 6 месяцев на поэтапное прекращение сотрудничества с Anthropic, подчеркнув, что последней «лучше бы взять себя в руки и оказывать помощь в течение этого периода», если не желает «серьезных гражданских и уголовных последствий».
Как бы то ни было, уйти от симбиоза с военными и «отмыться» после ударов по Венесуэле и Ирану представителям Anthropic уже вряд ли удастся, так что судьба дальнейшей разработки очевидна, как очевидно и то, что противоречит всем заявленным «благим» этическим целям и правилам.
The Wall Street Journal
U.S. Strikes in Middle East Use Anthropic, Hours After Trump Ban
Within hours of declaring that the federal government will end its use of artificial-intelligence tools made by tech company Anthropic, President Trump launched a major air attack in Iran with the help of those very same tools.
Commands around the world,…
Commands around the world,…
Теперь к резонансным процессам, задержаниям и разоблачениям, которые сотрясли инфосек за минувшие дни.
Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.
Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.
Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.
Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.
В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.
Он признал свою вину и ему грозит до 15 лет лишения свободы.
Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.
Им оказался 23-летний житель Оттавы, Канада.
Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.
Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.
В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!
Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.
Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.
Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.
Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.
В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.
Он признал свою вину и ему грозит до 15 лет лишения свободы.
Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.
Им оказался 23-летний житель Оттавы, Канада.
Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.
Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.
В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!
OCCRP
German Court Jails Key Figure in Massive Call Center Scam Operation Exposed by OCCRP
Nearly six years after OCCRP first exposed the Milton Group fraudulent call center network, a German court has sentenced a key operator to seven and a half years in prison for his role in the multi-million-euro scam.