Исследователи Patchstack раскрыли критическую неисправленную уязвимость, влияющую на плагин TI WooCommerce Wishlist для WordPress, которую могут использовать неавторизованные злоумышленники для загрузки произвольных файлов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
TI WooCommerce Wishlist, имеющий более 100 000 активных установок, представляет собой инструмент, позволяющий пользователям сайтов сохранять свои любимые продукты для дальнейшего использования и делиться списками в социальных сетях.
Плагин подвержен уязвимости произвольной загрузки файлов, которая позволяет злоумышленникам загружать вредоносные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2025-47577 и имеет оценку CVSS 10,0.
Она затрагивает все версии плагина ниже, включая 2.9.2, выпущенную 29 ноября 2024 года.
В настоящее время нет доступного исправления.
Исследователи отмечают, что проблема кроется в функции под названием tinvwl_upload_file_wc_fields_factory, которая, в свою очередь, использует другую собственную функцию WordPress wp_handle_upload для выполнения проверки, но устанавливает для параметров переопределения test_form и test_type значение «false».
Переопределение test_type используется для проверки того, соответствует ли тип файла MIME ожидаемому, тогда как test_form проверяет, соответствует ли параметр $_POST['action'] ожидаемому.
Установка test_type в значение false позволяет эффективно обойти проверку типа файла, тем самым позволяя загружать файлы любого типа.
При этом уязвимая функция доступна через tinvwl_meta_wc_fields_factory или tinvwl_cart_meta_wc_fields_factory, которые доступны только при активном плагине WC Fields Factory.
Это также означает, что успешная эксплуатация возможна только в том случае, если плагин WC Fields Factory установлен и активирован на сайте WordPress, а интеграция включена в плагине TI WooCommerce Wishlist.
В гипотетическом сценарии атаки злоумышленник может загрузить вредоносный PHP-файл и осуществить удаленное выполнение кода, напрямую получив доступ к загруженному файлу.
Разработчикам рекомендуется удалить и избегать установки 'test_type' => false при использовании wp_handle_upload().
При отсутствии патча пользователям плагина настоятельно рекомендуется деактивировать его и удалить со своих сайтов.
Patchstack
Unpatched Critical Vulnerability in TI WooCommerce Wishlist Plugin - Patchstack
🚨 A critical unpatched vulnerability in the TI WooCommerce Wishlist plugin allows unauthenticated file uploads and potential RCE. Over 100K sites affected. As usual, Patchstack users are protected. 🛡️
Исследователи Oasis сообщают об обнаружении уязвимости в OneDrive от Microsoft, которая при успешной эксплуатации может позволить сторонним веб-сайтам получить доступ ко всему содержимому облачного хранилища даже при загрузке всего одного файла.
По словам Oasis, проблема является результатом чрезмерных разрешений, запрашиваемых средством выбора файлов OneDrive, которое пытается получить доступ на чтение ко всему диску, даже в тех случаях, когда загружен только один файл из-за отсутствия детальных областей OAuth для OneDrive.
Как отмечают в Oasis, обнаруженная опасная комбинация подвергает риску как индивидуальных, так и корпоративных пользователей, может иметь серьезные последствия, включая утечку данных клиентов и нарушение правил соответствия.
Предполагается, что затронуты несколько приложений, включая ChatGPT, Slack, Trello и ClickUp, учитывая их интеграцию с облачным сервисом Microsoft.
Еще больше усугубляет ситуацию то, что запрос согласия, который предлагается пользователям перед загрузкой файла, является расплывчатым и не отражает должным образом уровень предоставляемого доступа, тем самым подвергая пользователей неожиданным рискам безопасности.
Отсутствие детализированных областей действия не позволяет пользователям различать вредоносные приложения, нацеленные на все файлы, и легитимные приложения, запрашивающие чрезмерные разрешения, просто потому, что другой безопасный вариант отсутствует.
При этом токены OAuth, используемые для авторизации доступа, часто хранятся небезопасно, в том числе сохраняются в хранилище сеансов браузера в открытом текстовом формате.
Еще одна потенциальная ловушка заключается в том, что рабочие процессы авторизации могут также включать выпуск токена обновления, предоставляя приложению постоянный доступ к пользовательским данным, позволяя получать новые токены доступа без необходимости повторного входе пользователем в систему по истечении срока действия текущего токена.
После ответственного раскрытия Microsoft признала наличие проблемы, но пока никак ее не разрешила, предлагая рассмотреть возможность временного удаления загрузки файлов с помощью OneDrive через OAuth, пока не появится безопасная альтернатива.
В качестве альтернативы рекомендуется избегать использования токенов обновления и хранить токены доступа безопасным способом и избавляться от них, когда необходимость отпадает.
В Oasis призывают к проявлению постоянной бдительности в управлении областями OAuth, регулярным оценкам безопасности и проактивному мониторингу для защиты пользовательских данных.
По словам Oasis, проблема является результатом чрезмерных разрешений, запрашиваемых средством выбора файлов OneDrive, которое пытается получить доступ на чтение ко всему диску, даже в тех случаях, когда загружен только один файл из-за отсутствия детальных областей OAuth для OneDrive.
Как отмечают в Oasis, обнаруженная опасная комбинация подвергает риску как индивидуальных, так и корпоративных пользователей, может иметь серьезные последствия, включая утечку данных клиентов и нарушение правил соответствия.
Предполагается, что затронуты несколько приложений, включая ChatGPT, Slack, Trello и ClickUp, учитывая их интеграцию с облачным сервисом Microsoft.
Еще больше усугубляет ситуацию то, что запрос согласия, который предлагается пользователям перед загрузкой файла, является расплывчатым и не отражает должным образом уровень предоставляемого доступа, тем самым подвергая пользователей неожиданным рискам безопасности.
Отсутствие детализированных областей действия не позволяет пользователям различать вредоносные приложения, нацеленные на все файлы, и легитимные приложения, запрашивающие чрезмерные разрешения, просто потому, что другой безопасный вариант отсутствует.
При этом токены OAuth, используемые для авторизации доступа, часто хранятся небезопасно, в том числе сохраняются в хранилище сеансов браузера в открытом текстовом формате.
Еще одна потенциальная ловушка заключается в том, что рабочие процессы авторизации могут также включать выпуск токена обновления, предоставляя приложению постоянный доступ к пользовательским данным, позволяя получать новые токены доступа без необходимости повторного входе пользователем в систему по истечении срока действия текущего токена.
После ответственного раскрытия Microsoft признала наличие проблемы, но пока никак ее не разрешила, предлагая рассмотреть возможность временного удаления загрузки файлов с помощью OneDrive через OAuth, пока не появится безопасная альтернатива.
В качестве альтернативы рекомендуется избегать использования токенов обновления и хранить токены доступа безопасным способом и избавляться от них, когда необходимость отпадает.
В Oasis призывают к проявлению постоянной бдительности в управлении областями OAuth, регулярным оценкам безопасности и проактивному мониторингу для защиты пользовательских данных.
www.oasis.security
OneDrive File Picker OAuth Flaw Exposes Full Drive Access
Oasis Security reveals a OneDrive File Picker flaw allowing full drive read access via OAuth, affecting apps like ChatGPT, Slack, Trello, and ClickUp.
Более 9000 маршрутизаторов ASUS скомпрометированы новым ботнетом, получившим название AyySSHush, который также нацелен на маршрутизаторы SOHO от Cisco, D-Link и Linksys.
Кампания была обнаружена исследователями GreyNoise в середине марта 2025 года, которые полагают, что за вредоносной активностью может стоять неназванная APT.
Атаки сочетают в себе подбор учетных данных для входа, обход аутентификации и эксплуатацию старых уязвимостей для взлома маршрутизаторов ASUS, включая модели RT-AC3100, RT-AC3200 и RT-AX55.
В частности, злоумышленники используют старую уязвимость внедрения команд CVE-2023-39780, чтобы добавить свой собственный открытый ключ SSH и разрешить демону SSH прослушивать нестандартный TCP-порт 53282, обеспечивая бэкдор-доступ к устройству даже между перезагрузками и обновлениями прошивки.
Поскольку этот ключ добавляется с использованием официальных функций ASUS, обновление прошивки не удалит SSH-бэкдор.
Атака особенно скрытна и не задействует вредоносное ПО, при этом злоумышленники также отключают ведение журнала и функцию Trend Micro AiProtection, чтобы избежать обнаружения.
GreyNoise сообщает о регистрации всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тем не менее к настоящему времени сообщается о 9000 зараженных маршрутизатоах ASUS.
Также отмечается, что текущая кампания, по всей видимости, пересекается с деятельностью, которую Sekoia отслеживает как Vicious Trap, однако в данном случае злоумышленники использовали CVE-2021-32030 для взлома маршрутизаторов ASUS.
В ходе кампании злоумышленники нацелились на маршрутизаторы SOHO, SSL VPN, DVR и контроллеры BMC от D-Link, Linksys, QNAP и Araknis Networks.
Точная цель работы AyySSHush остается неясной, поскольку нет никаких признаков DDoS или использования устройств для проксирования вредоносного трафика через маршрутизаторы ASUS.
Однако в ходе взломов маршрутизаторов, за которыми наблюдала Sekoia, был загружен и запущен вредоносный скрипт для перенаправления сетевого трафика из скомпрометированной системы на сторонние устройства, контролируемые злоумышленником.
Исследователи полагают, что в настоящее время, судя по всему, операторы незаметно создают сеть маршрутизаторов со скрытыми входами, закладывая основу для будущего ботнета.
В свою очередь, ASUS выпустила обновления, устраняющие уязвимость CVE-2023-39780 для затронутых маршрутизаторов, хотя точное время доступности зависит от модели.
Пользователям рекомендуется как можно скорее обновить прошивку и проверить наличие подозрительных файлов и добавление SSH-ключа злоумышленника (IoCs здесь) в файле authorized_keys.
Кроме того, GreyNoise указала четыре IP-адреса, связанных с этой активностью, которые следует добавить в черный список: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.
Кампания была обнаружена исследователями GreyNoise в середине марта 2025 года, которые полагают, что за вредоносной активностью может стоять неназванная APT.
Атаки сочетают в себе подбор учетных данных для входа, обход аутентификации и эксплуатацию старых уязвимостей для взлома маршрутизаторов ASUS, включая модели RT-AC3100, RT-AC3200 и RT-AX55.
В частности, злоумышленники используют старую уязвимость внедрения команд CVE-2023-39780, чтобы добавить свой собственный открытый ключ SSH и разрешить демону SSH прослушивать нестандартный TCP-порт 53282, обеспечивая бэкдор-доступ к устройству даже между перезагрузками и обновлениями прошивки.
Поскольку этот ключ добавляется с использованием официальных функций ASUS, обновление прошивки не удалит SSH-бэкдор.
Атака особенно скрытна и не задействует вредоносное ПО, при этом злоумышленники также отключают ведение журнала и функцию Trend Micro AiProtection, чтобы избежать обнаружения.
GreyNoise сообщает о регистрации всего 30 вредоносных запросов, связанных с этой кампанией, за последние три месяца, тем не менее к настоящему времени сообщается о 9000 зараженных маршрутизатоах ASUS.
Также отмечается, что текущая кампания, по всей видимости, пересекается с деятельностью, которую Sekoia отслеживает как Vicious Trap, однако в данном случае злоумышленники использовали CVE-2021-32030 для взлома маршрутизаторов ASUS.
В ходе кампании злоумышленники нацелились на маршрутизаторы SOHO, SSL VPN, DVR и контроллеры BMC от D-Link, Linksys, QNAP и Araknis Networks.
Точная цель работы AyySSHush остается неясной, поскольку нет никаких признаков DDoS или использования устройств для проксирования вредоносного трафика через маршрутизаторы ASUS.
Однако в ходе взломов маршрутизаторов, за которыми наблюдала Sekoia, был загружен и запущен вредоносный скрипт для перенаправления сетевого трафика из скомпрометированной системы на сторонние устройства, контролируемые злоумышленником.
Исследователи полагают, что в настоящее время, судя по всему, операторы незаметно создают сеть маршрутизаторов со скрытыми входами, закладывая основу для будущего ботнета.
В свою очередь, ASUS выпустила обновления, устраняющие уязвимость CVE-2023-39780 для затронутых маршрутизаторов, хотя точное время доступности зависит от модели.
Пользователям рекомендуется как можно скорее обновить прошивку и проверить наличие подозрительных файлов и добавление SSH-ключа злоумышленника (IoCs здесь) в файле authorized_keys.
Кроме того, GreyNoise указала четыре IP-адреса, связанных с этой активностью, которые следует добавить в черный список: 101.99.91[.]151, 101.99.94[.]173, 79.141.163[.]179 и 111.90.146[.]237.
www.greynoise.io
GreyNoise Discovers Stealthy Backdoor Campaign Affecting Thousands of ASUS Routers
GreyNoise uncovers a stealth campaign exploiting ASUS routers, enabling persistent backdoor access via CVE-2023-39780 and unpatched techniques. Learn how attackers evade detection, how GreyNoise discovered it with AI-powered tooling, and what defenders need…
А исследователи Darktrace задетектили другой вредоносный ботнет на основе Go под названием PumaBot, который нацелен на устройства Linux IoT для кражи учетных данных SSH и майнинга криптовалют.
Примечательной особенностью нового ботнета является то, что PumaBot реализует попытки входа методом подбора на порт 22 для открытого доступа по протоколу SSH по спискам IP, полученным с C2 (ssh.ddos-cc[.]org), вместо широкого сканирования глобальной сети.
В ходе этого процесса он проверяет наличие строки «Pumatronix», которая, по мнению Darktrace, может соответствовать целям в сфере систем видеонаблюдения и камер слежения за дорожным движением.
После того, как цели определены, вредоносная ПО получает учетные данные для брута. В случае успеха запускает «uname -a» для получения информации об окружении и проверки того, что целевое устройство не является приманкой.
Затем PumaBot записывает свой основной двоичный файл (jierui) в /lib/redis и устанавливает службу systemd (redis.service) для обеспечения сохранения работоспособности при перезагрузках устройства.
Наконец, внедряет свой собственный SSH в файл authorized_keys для сохранения доступа даже в случае очистки, которая удаляет первичное заражение.
Если заражение остается активным, PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражи данных для горизонтального перемещения.
Примерами полезных нагрузок, обнаруженных Darktrace, являются самообновляющиеся скрипты, руткиты PAM, которые заменяют легитимный pam_unix.so, и демоны (двоичный файл «1»).
Вредоносный модуль PAM собирает локальные и удаленные данные входа SSH и сохраняет их в текстовом файле (con.txt). Двоичный файл watcher (1) реализует постоянный поиск этого текстового файла, а затем высылает его на C2, после эксфильтрации он стирается с зараженного хоста.
Кроме того, поддерживает networkxm, инструмент для взлома SSH, который функционирует аналогично начальной стадии ботнета, извлекая список паролей с сервера C2 и пытаясь подключиться через SSH через список целевых IP-адресов.
Масштабы кампании и эффективность PumaBot в настоящее время Darktrace затрудняется оценить, как и объемы списков целевых IP-адресов.
В целом, ботнет похожим на червя и представляет собой постоянную угрозу SSH на основе Go, которая использует автоматизацию, подбор учетных данных и собственные инструменты Linux для получения и сохранения контроля над скомпрометированными системами
Как полагают исследователи, новый вредоносный ботнет выделяется тем, что реализует целевые атаки, открывающие путь к более глубокому проникновению в корпоративные сети, вместо прямого использования зараженных IoT-устройств для менее серьезных DDoS или прокси.
Но будем посмотреть.
Примечательной особенностью нового ботнета является то, что PumaBot реализует попытки входа методом подбора на порт 22 для открытого доступа по протоколу SSH по спискам IP, полученным с C2 (ssh.ddos-cc[.]org), вместо широкого сканирования глобальной сети.
В ходе этого процесса он проверяет наличие строки «Pumatronix», которая, по мнению Darktrace, может соответствовать целям в сфере систем видеонаблюдения и камер слежения за дорожным движением.
После того, как цели определены, вредоносная ПО получает учетные данные для брута. В случае успеха запускает «uname -a» для получения информации об окружении и проверки того, что целевое устройство не является приманкой.
Затем PumaBot записывает свой основной двоичный файл (jierui) в /lib/redis и устанавливает службу systemd (redis.service) для обеспечения сохранения работоспособности при перезагрузках устройства.
Наконец, внедряет свой собственный SSH в файл authorized_keys для сохранения доступа даже в случае очистки, которая удаляет первичное заражение.
Если заражение остается активным, PumaBot может получать команды на извлечение данных, внедрение новых полезных нагрузок или кражи данных для горизонтального перемещения.
Примерами полезных нагрузок, обнаруженных Darktrace, являются самообновляющиеся скрипты, руткиты PAM, которые заменяют легитимный pam_unix.so, и демоны (двоичный файл «1»).
Вредоносный модуль PAM собирает локальные и удаленные данные входа SSH и сохраняет их в текстовом файле (con.txt). Двоичный файл watcher (1) реализует постоянный поиск этого текстового файла, а затем высылает его на C2, после эксфильтрации он стирается с зараженного хоста.
Кроме того, поддерживает networkxm, инструмент для взлома SSH, который функционирует аналогично начальной стадии ботнета, извлекая список паролей с сервера C2 и пытаясь подключиться через SSH через список целевых IP-адресов.
Масштабы кампании и эффективность PumaBot в настоящее время Darktrace затрудняется оценить, как и объемы списков целевых IP-адресов.
В целом, ботнет похожим на червя и представляет собой постоянную угрозу SSH на основе Go, которая использует автоматизацию, подбор учетных данных и собственные инструменты Linux для получения и сохранения контроля над скомпрометированными системами
Как полагают исследователи, новый вредоносный ботнет выделяется тем, что реализует целевые атаки, открывающие путь к более глубокому проникновению в корпоративные сети, вместо прямого использования зараженных IoT-устройств для менее серьезных DDoS или прокси.
Но будем посмотреть.
Darktrace
PumaBot: Novel Botnet Targeting IoT Surveillance Devices
Darktrace investigated “PumaBot,” a Go-based Linux botnet targeting IoT devices. It avoids internet-wide scanning, instead using a C2 server to get targets and brute-force SSH credentials. Once inside, it executes remote commands and ensures persistence.
Группа Google Threat Intelligence Group (GTIG) выявила новое вредоносное ПО под названием ToughProgress в арсенале китайской APT41, которое задействует инфраструктуру Google Calendar и Workspace для C2, скрывая вредоносную активность за доверенным облачным сервисом.
Использование Google Calendar в качестве механизма C2 не является новинкой, не так давно Veracode сообщила о вредоносном пакете в Node Package Manager (NPM), использовавшем похожую тактику.
Кроме того, ранее APT41 также злоупотребляла сервисами Google, в том числе Google Таблицы и Google Диск во рамках проведения вредоносной кампании Voldemort в апреле 2023 года.
Обнаруженная в конце 2024 года новая цепочка заражения начинается с отправки вредоносного электронного письма, содержащего ссылку на ZIP-архив, размещенный на ранее взломанном правительственном веб-сайте.
Архив содержит файл Windows LNK, выдающий себя за документ PDF, основную полезную нагрузку, замаскированную под файл изображения JPG, и файл DLL, используемый для расшифровки и запуска полезной нагрузки, также замаскированный под файл изображения.
DLL - это PlusDrop, компонент, который расшифровывает и выполняет следующий этап, PlusInject, полностью в памяти. Затем последний выполняет очистку легитимного процесса Windows svhost.exe и внедряет финальную стадию ToughProgress.
Вредоносная ПО подключается к жестко запрограммированной конечной точке Google Calendar и опрашивает определенные даты событий для команд, которые APT41 добавляет в поле описания скрытых событий.
После их выполнения ToughProgress возвращает результаты в новые события календаря, чтобы злоумышленник мог соответствующим образом скорректировать свои дальнейшие действия.
Поскольку полезные данные выполняются в памяти, а связь с C2 осуществляется через легитимный облачный сервис, вероятность обнаружения вредоносным ПО на зараженном хосте минимальна.
Тем не менее Google выявила подконтрольные злоумышленникам экземпляры Google Calendar и удалила все связанные с ними учетные записи Workspace и соответствующие события Calendar.
В отчете не названы конкретные скомпрометированные организации или жертвы, но Google утверждает, что уведомила их напрямую в сотрудничестве с Mandiant.
Google также поделилась образцами ToughProgress и журналами трафика с жертвами, чтобы помочь им выявить заражения в своих средах.
Использование Google Calendar в качестве механизма C2 не является новинкой, не так давно Veracode сообщила о вредоносном пакете в Node Package Manager (NPM), использовавшем похожую тактику.
Кроме того, ранее APT41 также злоупотребляла сервисами Google, в том числе Google Таблицы и Google Диск во рамках проведения вредоносной кампании Voldemort в апреле 2023 года.
Обнаруженная в конце 2024 года новая цепочка заражения начинается с отправки вредоносного электронного письма, содержащего ссылку на ZIP-архив, размещенный на ранее взломанном правительственном веб-сайте.
Архив содержит файл Windows LNK, выдающий себя за документ PDF, основную полезную нагрузку, замаскированную под файл изображения JPG, и файл DLL, используемый для расшифровки и запуска полезной нагрузки, также замаскированный под файл изображения.
DLL - это PlusDrop, компонент, который расшифровывает и выполняет следующий этап, PlusInject, полностью в памяти. Затем последний выполняет очистку легитимного процесса Windows svhost.exe и внедряет финальную стадию ToughProgress.
Вредоносная ПО подключается к жестко запрограммированной конечной точке Google Calendar и опрашивает определенные даты событий для команд, которые APT41 добавляет в поле описания скрытых событий.
После их выполнения ToughProgress возвращает результаты в новые события календаря, чтобы злоумышленник мог соответствующим образом скорректировать свои дальнейшие действия.
Поскольку полезные данные выполняются в памяти, а связь с C2 осуществляется через легитимный облачный сервис, вероятность обнаружения вредоносным ПО на зараженном хосте минимальна.
Тем не менее Google выявила подконтрольные злоумышленникам экземпляры Google Calendar и удалила все связанные с ними учетные записи Workspace и соответствующие события Calendar.
В отчете не названы конкретные скомпрометированные организации или жертвы, но Google утверждает, что уведомила их напрямую в сотрудничестве с Mandiant.
Google также поделилась образцами ToughProgress и журналами трафика с жертвами, чтобы помочь им выявить заражения в своих средах.
Google Cloud Blog
Mark Your Calendar: APT41 Innovative Tactics | Google Cloud Blog
Исследователи F6 выкатили новый отчет, в котором затронули проблему утечки персональных данных и документов, содержащих коммерческую тайну, через публичные инструменты – «песочницы».
Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.
Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.
Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.
И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.
Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:
- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.
Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.
- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.
- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.
По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.
Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.
Так, только в одном документе нашлось почти 1300 записей.
И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.
Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.
Подробный отчет с примерами выявленных утечек - в блоге F6.
Безусловно, такие онлайн-песочницы, как VirusTotal, JoeSandbox, Any.Run помогают оценить степень угрозы загружаемых на проверку пользовательских файлов, писем и ссылок.
Однако, у использования этих сервисов есть и обратная сторона: отчеты о проверках становятся публично доступными для всех пользователей, включая злоумышленников, которые могут могут отслеживать загрузку инструментов и корректировать методы, если атака была обнаружена.
Кроме того, загружаемые файлы зачастую содержат персональные данные или служебную информацию, чем могут воспользоваться как атакующие, так и конкуренты.
И, наконец, загруженные в публичные «песочницы» файлы могут содержать конфиденциальные данные, такие как конфигурации, IP-адреса, имена пользователей и другие артефакты, позволяющие идентифицировать организацию-жертву, что несет еще и репутационные риски.
Для исследования эксперты F6 сфокусировали на публичной онлайн-песочнице Any.Run.
Это достаточно популярная интерактивная платформа, которая позволяет просматривать не только публичные отчеты, но и скачивать файлы из отчетов после прохождения регистрации, в отличие от VirusTotal или JoeSandbox, где обычному пользователю этого сделать нельзя.
В процессе анализа файлов, загруженных, согласно телеметрии Any.Run, пользователями за 2024-2025 год с территории России, эксперты выделили 3 основных типа файлов, которые представлять интерес для потенциальных злоумышленников:
- Персональные данные физических лиц. Обнаружены были не только факты распространения данных одного субъекта ПДН, но и целые списки с данными работников различных предприятий, вероятно загруженные на проверку кем-то из ответственных лиц.
Подобная информация может использоваться злоумышленниками для персонализации фишинговых рассылок или реализации популярных мошеннических схем с использованием социнженерии - FakeBoss или Мамонт.
- Коммерческая тайна различных предприятий, а также внутренние регламенты, производственные документы, документы контрагентов и договорная информация.
- Файлы и документы, свидетельствующие об инциденте ИБ внутри организации. Документы, являющиеся приманкой, а также корпоративные документы, с высокой долей вероятности являются настоящими, и не содержат признаков подделки.
Точные объемы утекающей информации исследователи затрудняются назвать, но лидер – это персональные данные физических лиц.
По объему ПДН граждан в разы превышают объем корпоративной информации, оказавшейся в публичном доступе.
Показатель в годом исчислении может варьироваться от сотен до нескольких тысяч уникальных записей.
Так, только в одном документе нашлось почти 1300 записей.
И это при том, что с 30 мая 2025 года вступили в силу ФЗ от 30.11.2024 № 420-ФЗ и от 30.11.2024 № 421-ФЗ, которые ужесточают административную и вводят уголовную ответственность за утечки персональных данных.
Так что подобные инциденты теперь несут для допустивших нарушения риски серьезных штрафов за утечку персональных данных, а в некоторых случаях и уголовное наказание.
Подробный отчет с примерами выявленных утечек - в блоге F6.
Forwarded from Social Engineering
• На интерактивной схеме показаны рабочие роли (трудовые функции) в области кибербезопасности, сформированные на основе анализа текущих вакансий.
• Если вы задаетесь вопросом "как развиваться в кибербезопасности и куда расти? Какие задачи вы сможете решать через несколько лет? Сможете ли вы изменить свой карьерный путь, если поймете, что вам становится скучно?", то эта карта вам обязательно поможет:
• На схеме показаны девять направлений (ролей) развития специалиста по кибербезопасности:
• В процессе движения по карьерному пути специалист по кибербезопасности пробует себя в различных ролях и, как следствие, может претендовать на новые должности в компании, подразумевающие более сложные и интересные задачи.
• Специалист также может расти как эксперт в одной роли, например накапливать знания и навыки в области анализа защищенности или реверс-инжиниринга различных систем.
• В общем и целом, добавляйте ссылку в закладку и изучайте.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Но был один, который не стрелял (с)
Трое отважных (и мы нисколько не шутим) еврейских исследователей из Университета Тель-Авива пошли против трендов и выпустили статью, посвященную отчетам западных инфосек компаний о прогосударственных хакерских группах (aka APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.
В результате анализа материалов за период с 2010 по 2022 годы (а сейчас, скажем по секрету, и все еще хуже), эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.
Что "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".
Говоря простым языком, западные инфосек исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.
Что формирует гротескно искаженное представление ширнармасс, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится, пичаль, беда. Видимо Stuxnet и Regin от сырости завелись.
Мы про такое положение вещей говорим давно, однако израильтяне подвели под него определенное научное основание и проиллюстрировали очевидные тенденции, за что им спасибо.
Ведь и в самом деле, представить что западные инфосек кампании сегодня способны активно разбирать кибероперации западных же спецслужб, как, например, Symantec в далеком 2010 году, совершенно невозможно.
Осталось смотреть только на Касперских, Позитивов, Бизонов, бывших Грибов и Qihoo 360. Спасибо, что есть.
Трое отважных (и мы нисколько не шутим) еврейских исследователей из Университета Тель-Авива пошли против трендов и выпустили статью, посвященную отчетам западных инфосек компаний о прогосударственных хакерских группах (aka APT), в которой пришли к выводу, что в этих отчетах в последнее время все данные о западных же APT замалчиваются.
В результате анализа материалов за период с 2010 по 2022 годы (а сейчас, скажем по секрету, и все еще хуже), эксперты пришли к выводу, что западные компании из отрасли информационной безопасности все больше интегрируют свои геополитические пристрастия в процессы принятия решений и публикации информации о расследованиях.
Что "вносит систематически предубеждения в ландшафт отчетности об угрозах, включая политические искажения, которые влияют на общественное мнение и широкое понимание динамики киберконфликтов".
Говоря простым языком, западные инфосек исследователи ездят по ушам широкой публике рассказывая о том, какие страшные киберпреступления совершают прогосударственные хакерские группы из России, Китая, Ирана и КНДР, тотально замалчивая активность прозападных APT, в первую очередь американских и британских.
Что формирует гротескно искаженное представление ширнармасс, что есть "кибер ось зла", которая ломает всех подряд, и есть белые и пушистые западные демократии, которые даже компьютер выключать из розетки боятся, вдруг там файлик не сохранится, пичаль, беда. Видимо Stuxnet и Regin от сырости завелись.
Мы про такое положение вещей говорим давно, однако израильтяне подвели под него определенное научное основание и проиллюстрировали очевидные тенденции, за что им спасибо.
Ведь и в самом деле, представить что западные инфосек кампании сегодня способны активно разбирать кибероперации западных же спецслужб, как, например, Symantec в далеком 2010 году, совершенно невозможно.
Осталось смотреть только на Касперских, Позитивов, Бизонов, бывших Грибов и Qihoo 360. Спасибо, что есть.
Taylor & Francis
The rise of responsible behavior: Western commercial reports on Western cyber threat actors
Commercial threat reporting plays a pivotal role in shaping public perceptions of cyber conflict, providing insights into threats and behavior of key actors. This article examines the evolving prac...
Компания-разработчик ПО из Флориды ConnectWise стала жертвой APT-атаки, которая затронула среду и ограниченное количество клиентов ScreenConnect.
ConnectWise реализует решения по управлению ИТ, удаленному мониторингу, кибербезопасности и автоматизации для поставщиков управляемых услуг (MSP) и ИТ-структур.
Одним из ее продуктов является ScreenConnect - инструмент удаленного доступа и поддержки, позволяющий техническим специалистам безопасно подключаться к клиентским системам для устранения неполадок, установки исправлений и обслуживания системы.
К расследованию оперативно привлекли специалистов Mandiant и силовой блок.
По некоторым сведениям, нарушение произошло в августе 2024 года, а ConnectWise обнаружили подозрительную активность только в мае 2025 года, а в результате инцидента пострадали только облачные экземпляры ScreenConnect.
Позже Джейсон Слэгл, руководитель CNWR, заявил, что пострадало ограниченное число клиентов, что указывает на вероятную целевую атаку в отношении конкретных организаций.
На Reddit клиенты поделились дополнительной информацией, заявляя о том, что инцидент связан с уязвимостью ScreenConnect, отлеживаемой как CVE-2025-3935, которая была исправлена 24 апреля.
CVE-2025-3935 представляет собой серьезную ошибку внедрения кода ViewState, вызванную небезопасной десериализацией ASP.NET ViewState в ScreenConnect версии 25.2.3 и более ранних.
Злоумышленник с привилегированным доступом на системном уровне может красть секретные машинные ключи, используемые сервером ScreenConnect, и использовать их для создания вредоносных полезных нагрузок, которые запускают удаленное выполнение кода на сервере.
ConnectWise не указывала на эксплуатацию именной этой уязвимости, однако присвоила ей «высокий» приоритет, что свидетельствует о ее активном использовании, либо значительных рисках использования.
Компания отметила, что уязвимость была устранена на ее облачных платформах ScreenConnect по адресам «screenconnect.com» и «hostedrmm.com» до того, как она была публично раскрыта клиентам.
Поскольку нарушение затронуло только размещенные в облаке экземпляры ScreenConnect, вполне возможно, что злоумышленники сначала взломали системы ConnectWise и похитили ключи машины.
Используя их, злоумышленники смогли бы осуществить удаленное выполнение кода на серверах ScreenConnect компании и потенциально получить доступ к средам клиентов.
Однако ConnectWise не подтвердила, были ли взломаны экземпляры клиентов именно таким образом.
Более того, компания даже не поделилась IOC и любой другой информацией о произошедшем.
Причем в прошлый раз годом ранее другая CVE-2024-1709 в ScreenConnect также использовалась бандами вымогателей и северокорейской APT для запуска вредоносного ПО.
Так что будем следить за развитием ситуации.
ConnectWise реализует решения по управлению ИТ, удаленному мониторингу, кибербезопасности и автоматизации для поставщиков управляемых услуг (MSP) и ИТ-структур.
Одним из ее продуктов является ScreenConnect - инструмент удаленного доступа и поддержки, позволяющий техническим специалистам безопасно подключаться к клиентским системам для устранения неполадок, установки исправлений и обслуживания системы.
К расследованию оперативно привлекли специалистов Mandiant и силовой блок.
По некоторым сведениям, нарушение произошло в августе 2024 года, а ConnectWise обнаружили подозрительную активность только в мае 2025 года, а в результате инцидента пострадали только облачные экземпляры ScreenConnect.
Позже Джейсон Слэгл, руководитель CNWR, заявил, что пострадало ограниченное число клиентов, что указывает на вероятную целевую атаку в отношении конкретных организаций.
На Reddit клиенты поделились дополнительной информацией, заявляя о том, что инцидент связан с уязвимостью ScreenConnect, отлеживаемой как CVE-2025-3935, которая была исправлена 24 апреля.
CVE-2025-3935 представляет собой серьезную ошибку внедрения кода ViewState, вызванную небезопасной десериализацией ASP.NET ViewState в ScreenConnect версии 25.2.3 и более ранних.
Злоумышленник с привилегированным доступом на системном уровне может красть секретные машинные ключи, используемые сервером ScreenConnect, и использовать их для создания вредоносных полезных нагрузок, которые запускают удаленное выполнение кода на сервере.
ConnectWise не указывала на эксплуатацию именной этой уязвимости, однако присвоила ей «высокий» приоритет, что свидетельствует о ее активном использовании, либо значительных рисках использования.
Компания отметила, что уязвимость была устранена на ее облачных платформах ScreenConnect по адресам «screenconnect.com» и «hostedrmm.com» до того, как она была публично раскрыта клиентам.
Поскольку нарушение затронуло только размещенные в облаке экземпляры ScreenConnect, вполне возможно, что злоумышленники сначала взломали системы ConnectWise и похитили ключи машины.
Используя их, злоумышленники смогли бы осуществить удаленное выполнение кода на серверах ScreenConnect компании и потенциально получить доступ к средам клиентов.
Однако ConnectWise не подтвердила, были ли взломаны экземпляры клиентов именно таким образом.
Более того, компания даже не поделилась IOC и любой другой информацией о произошедшем.
Причем в прошлый раз годом ранее другая CVE-2024-1709 в ScreenConnect также использовалась бандами вымогателей и северокорейской APT для запуска вредоносного ПО.
Так что будем следить за развитием ситуации.
ConnectWise
Trust Center | Advisories | ConnectWise
Communications on broader security related topics that may not be linked to a specific ConnectWise product or vulnerability, but are still of importance to our partner community.
Исследователи из Лаборатории Касперского в своем новом отчете отслеживают активную эволюцию банковского трояна Zanubis для Android.
С момента своего появления в середине 2022 года Zanubis был нацелен на банки и финансовые организации в Перу, добавив затем к числу своих целей виртуальные карты и криптокошельки.
Основной вектор заражения Zanubis - мимикрирование под легитимные перуанские приложения для Android с последующим получением обманным путем различных разрешений.
После их получения вредоносная ПО реализует обширные возможности, которые позволяют ее операторам красть банковские данные и учетные данные пользователя, а также выполнять удаленные действия, в том числе управлению устройством без ведома пользователя.
При этом Zanubis постоянно эволюционирует, превратившись из простого банковского трояна в очень сложную и многогранную угрозу.
Новейшие замеченные образцы имеют значительно расширенный функционал по эксфильтрации данных и удаленного управления, а также поддерживают новые методы обфускации и приемы социнженерии.
Операторы продолжают на постоянно основе оттачивать его код, добавляя новые функции, переключаясь между алгоритмами шифрования, меняя цели и настраивая методы социнженерии для ускорения темпов заражений, что коррелирует с хронологией их кампаний.
На основе всестороннего анализа Zanubis и ряда индикаторов в ЛК полагают, что субъекты угрозы, стоящие за вредоносным ПО, могут действовать из Перу.
К таким индикаторам относятся, прежде всего, постоянное использование латиноамериканского испанского в коде, знание специфики перуанских банковских и госучреждений, данные телеметрии ЛК и VirusTotal, а также таргетирование на перуанском сегменте.
Как полагают исследователи, постоянное совершенствование показывает, что Zanubis - устойчивая угроза, способная к дальнейшим мутациям для достижения финансовых целей в интересах своих операторов.
В двух словах глубину исследования не передать, и не будем. Разбор всех этапов разработки Zanubis и соответствующих им вредоносных кампаний - в отчете.
С момента своего появления в середине 2022 года Zanubis был нацелен на банки и финансовые организации в Перу, добавив затем к числу своих целей виртуальные карты и криптокошельки.
Основной вектор заражения Zanubis - мимикрирование под легитимные перуанские приложения для Android с последующим получением обманным путем различных разрешений.
После их получения вредоносная ПО реализует обширные возможности, которые позволяют ее операторам красть банковские данные и учетные данные пользователя, а также выполнять удаленные действия, в том числе управлению устройством без ведома пользователя.
При этом Zanubis постоянно эволюционирует, превратившись из простого банковского трояна в очень сложную и многогранную угрозу.
Новейшие замеченные образцы имеют значительно расширенный функционал по эксфильтрации данных и удаленного управления, а также поддерживают новые методы обфускации и приемы социнженерии.
Операторы продолжают на постоянно основе оттачивать его код, добавляя новые функции, переключаясь между алгоритмами шифрования, меняя цели и настраивая методы социнженерии для ускорения темпов заражений, что коррелирует с хронологией их кампаний.
На основе всестороннего анализа Zanubis и ряда индикаторов в ЛК полагают, что субъекты угрозы, стоящие за вредоносным ПО, могут действовать из Перу.
К таким индикаторам относятся, прежде всего, постоянное использование латиноамериканского испанского в коде, знание специфики перуанских банковских и госучреждений, данные телеметрии ЛК и VirusTotal, а также таргетирование на перуанском сегменте.
Как полагают исследователи, постоянное совершенствование показывает, что Zanubis - устойчивая угроза, способная к дальнейшим мутациям для достижения финансовых целей в интересах своих операторов.
В двух словах глубину исследования не передать, и не будем. Разбор всех этапов разработки Zanubis и соответствующих им вредоносных кампаний - в отчете.
Securelist
Evolution of Zanubis, a banking Trojan for Android
A comprehensive historical breakdown of Zanubis' changes, including RC4 and AES encryption, credentials stealing and new targets in Peru, provided by Kaspersky GReAT experts.
Правоохранительные органы Финляндии, Нидерландов (1) и США (2) нейтрализовали инфраструктуру AVCheck, подпольного сервиса, популярного в среде киберпреступности.
AVCheck функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.
Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.
Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.
Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.
В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».
В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.
Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.
К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.
AVCheck функционирует уже более десяти лет и позволяет разработчикам вредоносного ПО тестировать свой код с помощью основных антивирусных движков и сканеров вредоносного ПО.
Он запускал их в изолированных облачных средах, отключая телеметрию и не уведомляя инфосек-компании об обнаружении вредоносного ПО.
Злоумышленники закупали подписки на AVCheck, загружали свои полезные нагрузки, дорабатывали код до тех пор, пока он не переставал выдавать детекты, а затем использовали его в реальных атаках, зная, что он не будет обнаружен.
Сайт, который специалисты по безопасности называют Counter AntiVirus (CAV), является одним из нескольких подобных сервисов, существующих в сети и являющихся важной частью подпольной экосистемы киберпреступности.
Под арест в итоге попал AVCheck[.]net и четыре других домена - Cryptor[.]biz, Cryptor[.]live, Crypt[.]guru и Getcrypt[.]shop, - которые предоставляли malware crypting.
Последние два также управлялись администраторами AVCheck, позволяли разработчикам вредоносного ПО шифровать и скрывать исходный код полезной нагрузки, чтобы повысить шансы уклонения от обнаружения.
В своем ТГ-канале администраторы AVCheck заявили, что сервисы были отключены «из-за непредвиденных обстоятельств».
В свою очередь, голландская полиция утверждает, что перед блокировкой им удалось запустить фейковую страницу входа на AVCheck для сбора данных о пользователях, предупреждая затем их об опасности использования сервиса.
Ликвидация AVCheck стала частью правоохранительной операции Endgame, которая стартовала в прошлом году и была нацелена на основные сервисы киберподполья.
К настоящему моменту жертвами силовой операции стали семь вредоносных ботнетов, использовавшихся для первоначального доступа к корпоративным и государственным системам, а также теперь и AVCheck.
Politie
Sleuteldienst voor ontwikkelaars van malware onderuitgehaald
In een gecoördineerde, internationale operatie met Amerika en Finland heeft Team High Tech Crime van de Eenheid Landelijke Opsporing en Interventies, onder gezag van het Landelijk Parket, er deze week voor gezorgd dat een sleuteldienst voor ontwikkelaars…
Исследователи Horizon3 выкатили технические подробности для максимально серьезной уязвимости произвольной загрузки файлов Cisco IOS XE WLC, отслеживаемой как CVE-2025-20188.
Несмотря на то, что в отчете исследователей не содержится готового к запуску сценария RCE-эксплойта, однако предоставленной информации вполне достаточно для его разработки опытным злоумышленником.
7 мая 2025 года Cisco раскрыла критическую уязвимость в IOS XE для контроллеров беспроводных локальных сетей, которая позволяет злоумышленнику получить контроль над устройствами.
Поставщик заявил, что проблема вызвана жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, выполнять обход пути и выполнять произвольные команды с привилегиями root.
В бюллетене отмечается, что уязвимость CVE-2025-20188 опасна только в том случае, если на устройстве включена функция «Загрузка образа точки доступа по внешнему каналу».
Она затрагивает Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller для коммутаторов серий 9300, 9400, and 9500 Series Switches, Catalyst 9800 Series Wireless Controllers и Embedded Wireless Controller на Catalyst APs.
Как отмечают в Horizon3, уязвимость существует из-за жестко запрограммированного резервного секретного ключа JWT («notfound»), используемого внутренними скриптами Lua для конечных точек загрузки, в сочетании с недостаточной проверкой пути.
В частности, бэкэнд использует скрипты OpenResty (Lua + Nginx) для проверки токенов JWT и обработки загрузок файлов, но если файл '/tmp/nginx_jwt_key' отсутствует, скрипт возвращается к строке "notfound" в качестве секрета для проверки JWT.
По сути, это позволяет злоумышленникам генерировать действительные токены, не зная никаких секретов, просто используя «HS256» и «notfound».
Horizon3 представили пример с отправкой HTTP-запроса POST с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443 и использованием обхода пути имени файла, чтобы поместить безобидный файл (foo.txt) за пределы предполагаемого каталога.
Для расширения уязвимости загрузки файлов до уровня RCE, злоумышленник может перезаписать файлы конфигурации, загруженные внутренними службами, сбросить веб-оболочки или использовать отслеживаемые файлы для запуска несанкционированных действий.
В случае с Horizon3, реализовано злоупотребление службой «pvp.sh», которая отслеживает определенные каталоги, перезаписывает файлы конфигурации, от которых она зависит, и запускает перезагрузку даже для запуска команд злоумышленника.
Учитывая повышенный риск эксплуатации уязвимости, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или более новой).
В качестве временного решения администраторы могут отключить функцию загрузки образа точки доступа по внешнему каналу, чтобы закрыть уязвимую службу.
Несмотря на то, что в отчете исследователей не содержится готового к запуску сценария RCE-эксплойта, однако предоставленной информации вполне достаточно для его разработки опытным злоумышленником.
7 мая 2025 года Cisco раскрыла критическую уязвимость в IOS XE для контроллеров беспроводных локальных сетей, которая позволяет злоумышленнику получить контроль над устройствами.
Поставщик заявил, что проблема вызвана жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику загружать файлы, выполнять обход пути и выполнять произвольные команды с привилегиями root.
В бюллетене отмечается, что уязвимость CVE-2025-20188 опасна только в том случае, если на устройстве включена функция «Загрузка образа точки доступа по внешнему каналу».
Она затрагивает Catalyst 9800-CL Wireless Controllers for Cloud, Catalyst 9800 Embedded Wireless Controller для коммутаторов серий 9300, 9400, and 9500 Series Switches, Catalyst 9800 Series Wireless Controllers и Embedded Wireless Controller на Catalyst APs.
Как отмечают в Horizon3, уязвимость существует из-за жестко запрограммированного резервного секретного ключа JWT («notfound»), используемого внутренними скриптами Lua для конечных точек загрузки, в сочетании с недостаточной проверкой пути.
В частности, бэкэнд использует скрипты OpenResty (Lua + Nginx) для проверки токенов JWT и обработки загрузок файлов, но если файл '/tmp/nginx_jwt_key' отсутствует, скрипт возвращается к строке "notfound" в качестве секрета для проверки JWT.
По сути, это позволяет злоумышленникам генерировать действительные токены, не зная никаких секретов, просто используя «HS256» и «notfound».
Horizon3 представили пример с отправкой HTTP-запроса POST с загрузкой файла на конечную точку «/ap_spec_rec/upload/» через порт 8443 и использованием обхода пути имени файла, чтобы поместить безобидный файл (foo.txt) за пределы предполагаемого каталога.
Для расширения уязвимости загрузки файлов до уровня RCE, злоумышленник может перезаписать файлы конфигурации, загруженные внутренними службами, сбросить веб-оболочки или использовать отслеживаемые файлы для запуска несанкционированных действий.
В случае с Horizon3, реализовано злоупотребление службой «pvp.sh», которая отслеживает определенные каталоги, перезаписывает файлы конфигурации, от которых она зависит, и запускает перезагрузку даже для запуска команд злоумышленника.
Учитывая повышенный риск эксплуатации уязвимости, пользователям рекомендуется как можно скорее обновиться до исправленной версии (17.12.04 или более новой).
В качестве временного решения администраторы могут отключить функцию загрузки образа точки доступа по внешнему каналу, чтобы закрыть уязвимую службу.
Horizon3.ai
Cisco IOS XE WLC File Upload Vuln CVE-2025-20188
Explore how a hard-coded JWT in Cisco IOS XE WLC enables unauthenticated file upload and potential RCE—and how to mitigate it.
Исследователи AhnLab сообщают об атаках на Интернет-кафе в Южной Корее, связанных с заражением криптомайнерами T-Rex в ходе исистемно организованной кампании.
Согласно отчету AhnLab, злоумышленник активен с 2022 года, при этом атаки на Интернет-кафе были инициированы, начиная со второй половины 2024 года.
Метод первоначального доступа неизвестен, и большинство атак были нацелены на системы с установленными корейскими программами управления Интернет-кафе, которые реализуют комплексную поддержку работы оператора в части предоставления услуг.
Злоумышленник задействовал Gh0st RAT для обеспечения управления зараженной системой и в конечном итоге установил CoinMiner T-Rex для добычи криптовалюты.
Gh0st RAT - это вредоносное ПО для удаленного управления, разработанное китайской группой C. Rufus Security Team, исходный код находится в открытом доступе.
AhnLab полагает, что злоумышленник детально изучил ПО, получив базовые знания о нем. Злоумышленник использовал вредоносное ПО для исправления памяти целевого ПО и дропперы Gh0st RAT, которые были установлены в соответствующих путях для поддержания устойчивости.
Дроппер упакован с использованием Themida или MPRESS. Он включает Gh0st RAT в область ресурсов и загружает его по пути типа «C:\map1800000.dll».
Gh0st RAT, загруженный в память, регистрирует себя как службу для работы и может управлять зараженной системой в соответствии с командами, полученными от сервера C2.
Конкретный замеченный в атаках штамм включает в себя не только основные функции удаленного управления, такие как управление файлами и процессами, но и функции сбора информации, такие как кейлоггинг и захват экрана.
Примечательной деталью атак является то, что злоумышленник использовал RAT для загрузки вредоносного ПО Patcher, который ищет определенный процесс программы управления Интернет-кафе среди запущенных в данный момент процессов.
Затем он считывает шаблон памяти и сравнивает его с доступным шаблоном и, если совпадение найдено, память патчится.
В отличие от других злоумышленников, использующих XMRig для Monero, злоумышленник в этом случае использует T-Rex CoinMiner.
Вероятно, это связано с тем, что ПК в компьютерных кафе обычно оснащены графическими процессорами для поддержки высокопроизводительных игр, которые использует T-Rex для майнинга таких монет, как Ethereum и RavenCoin.
Несмотря на то, что подробности о злоумышленниках неизвестны, есть весьма четкие догадки кто бы это мог быть, учитывая, что их основной целью был майнинг криптовалюты.
Согласно отчету AhnLab, злоумышленник активен с 2022 года, при этом атаки на Интернет-кафе были инициированы, начиная со второй половины 2024 года.
Метод первоначального доступа неизвестен, и большинство атак были нацелены на системы с установленными корейскими программами управления Интернет-кафе, которые реализуют комплексную поддержку работы оператора в части предоставления услуг.
Злоумышленник задействовал Gh0st RAT для обеспечения управления зараженной системой и в конечном итоге установил CoinMiner T-Rex для добычи криптовалюты.
Gh0st RAT - это вредоносное ПО для удаленного управления, разработанное китайской группой C. Rufus Security Team, исходный код находится в открытом доступе.
AhnLab полагает, что злоумышленник детально изучил ПО, получив базовые знания о нем. Злоумышленник использовал вредоносное ПО для исправления памяти целевого ПО и дропперы Gh0st RAT, которые были установлены в соответствующих путях для поддержания устойчивости.
Дроппер упакован с использованием Themida или MPRESS. Он включает Gh0st RAT в область ресурсов и загружает его по пути типа «C:\map1800000.dll».
Gh0st RAT, загруженный в память, регистрирует себя как службу для работы и может управлять зараженной системой в соответствии с командами, полученными от сервера C2.
Конкретный замеченный в атаках штамм включает в себя не только основные функции удаленного управления, такие как управление файлами и процессами, но и функции сбора информации, такие как кейлоггинг и захват экрана.
Примечательной деталью атак является то, что злоумышленник использовал RAT для загрузки вредоносного ПО Patcher, который ищет определенный процесс программы управления Интернет-кафе среди запущенных в данный момент процессов.
Затем он считывает шаблон памяти и сравнивает его с доступным шаблоном и, если совпадение найдено, память патчится.
В отличие от других злоумышленников, использующих XMRig для Monero, злоумышленник в этом случае использует T-Rex CoinMiner.
Вероятно, это связано с тем, что ПК в компьютерных кафе обычно оснащены графическими процессорами для поддержки высокопроизводительных игр, которые использует T-Rex для майнинга таких монет, как Ethereum и RavenCoin.
Несмотря на то, что подробности о злоумышленниках неизвестны, есть весьма четкие догадки кто бы это мог быть, учитывая, что их основной целью был майнинг криптовалюты.
ASEC
Analysis of T-Rex CoinMiner Attacks Targeting Internet Cafés in Korea - ASEC
Analysis of T-Rex CoinMiner Attacks Targeting Internet Cafés in Korea ASEC
Исследователи Intrinsec обнаружили две британские автономные системы, которые связаны с защищенным хостинг-провайдером BtHoster.
Проанализировав сети, которые чаще всего поражали подконтрольные honeypots с февраля по март 2025 года, исследователи обнаружили две автономные системы Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476).
При этом атаки исходили с IP-адресов указанных небольших автономных систем, состоящими всего из нескольких префиксов IPv4.
Поискав информацию о природе автономных систем и компаниях, которые ими управляют, Intrinsec обнаружили, что некоторые из них были всего лишь ребрендингами известного провайдера пуленепробиваемого хостинга под названием Bulletproof Hosting BtHoster.
BtHoster реализует предварительно настроенные серверы Masscan с пропускной способностью маршрутизации до 1300kpps.
Такая инфраструктура часто используется большинством IAB, нацеленных на начальный доступ к корпоративной сети через открытые и уязвимые активы.
Обе сети базируются в Соединенном Королевстве и зарегистрированы, как считается, подставными компаниями. Как оказалось, транзитируют свой трафик через общего провайдера upstream под названием UAB Host Baltic (AS209605) в Литве.
Изучая IP-адреса этой сети, Intrinsec обнаружили наличие сотен вариантов Mirai и других вредоносных C2, таких как RisePro, Cobalt Strike, Remcos, Moobot и HookBot.
Исследователи отмечают, что несколько префиксов IPv4, ранее связанных с иранской сетью, были задействованы в сетях, базирующихся в Великобритании, и еще одной - в Сербии.
Причем все эти сети были вовлечены в атаки BGP и bruteforce. Описание и геолокация предыдущих иранских автономных системных префиксов были сохранены в новых, что создавало впечатление, что атаки исходили из Ирана.
Детали расследования и технические подробности - в полном отчете.
Проанализировав сети, которые чаще всего поражали подконтрольные honeypots с февраля по март 2025 года, исследователи обнаружили две автономные системы Skynet Network Ltd (AS214295) и Inside Network LTD (AS215476).
При этом атаки исходили с IP-адресов указанных небольших автономных систем, состоящими всего из нескольких префиксов IPv4.
Поискав информацию о природе автономных систем и компаниях, которые ими управляют, Intrinsec обнаружили, что некоторые из них были всего лишь ребрендингами известного провайдера пуленепробиваемого хостинга под названием Bulletproof Hosting BtHoster.
BtHoster реализует предварительно настроенные серверы Masscan с пропускной способностью маршрутизации до 1300kpps.
Такая инфраструктура часто используется большинством IAB, нацеленных на начальный доступ к корпоративной сети через открытые и уязвимые активы.
Обе сети базируются в Соединенном Королевстве и зарегистрированы, как считается, подставными компаниями. Как оказалось, транзитируют свой трафик через общего провайдера upstream под названием UAB Host Baltic (AS209605) в Литве.
Изучая IP-адреса этой сети, Intrinsec обнаружили наличие сотен вариантов Mirai и других вредоносных C2, таких как RisePro, Cobalt Strike, Remcos, Moobot и HookBot.
Исследователи отмечают, что несколько префиксов IPv4, ранее связанных с иранской сетью, были задействованы в сетях, базирующихся в Великобритании, и еще одной - в Сербии.
Причем все эти сети были вовлечены в атаки BGP и bruteforce. Описание и геолокация предыдущих иранских автономных системных префиксов были сохранены в новых, что создавало впечатление, что атаки исходили из Ирана.
Детали расследования и технические подробности - в полном отчете.
Cybersécurité - INTRINSEC
BtHoster: Identifying noisy networks emitting malicious traffic through masscan servers
Google выпустила экстренное обновление Chrome 137 для исправления трех уязвимостей, включая 0-day высокой степени серьезности, эксплуатируемую в реальных условиях, по всей видимости, поставщиками spyware.
Указанная 0-day отслеживается как CVE-2025-5419 и представляет собой проблему чтения и записи за пределами выделенного буфера памяти в движке V8 JavaScript и WebAssembly.
По данным Google, эксплойт для CVE-2025-5419 существует в дикой природе, однако никаких дополнительных подробностей об уязвимости безопасности или эксплойте предоставлено не разглашается.
Компания выразила признательность Клементу Лесиню и Бенуа Севенсу из Google Threat Analysis Group (TAG), которые 27 мая 2025 года сообщили о проблеме.
Исследователи TAG ранее сообщали о многочисленных уязвимостях, используемых поставщиками шпионского ПО, включая такие ошибки в Chrome. Так что и CVE-2025-5419, вероятно, не является исключением.
Согласно рекомендациям NIST, эксплуатируемая 0-day позволяет удаленному злоумышленнику потенциально эксплуатировать повреждение кучи через созданную HTML-страницу.
Эксплуатация таких дефектов часто приводит к выполнению произвольного кода.
CVE-2025-5419 - это вторая активно эксплуатируемая уязвимость нулевого дня, исправленная Google в этом году после CVE-2025-2783 (CVSS: 8,3), которая, по данным Лаборатории Касперского, использовалась в атаках на организации в России.
Последнее обновление браузера также устраняет CVE-2025-5068, уязвимость средней степени серьезности use-after-free в Blink, которая принесла исследователю, сообщившему об ошибке, вознаграждение в размере 1000 долларов.
Последняя версия Chrome теперь доступна как 137.0.7151.68/.69 для Windows и macOS, а также 137.0.7151.68 - для Linux.
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Указанная 0-day отслеживается как CVE-2025-5419 и представляет собой проблему чтения и записи за пределами выделенного буфера памяти в движке V8 JavaScript и WebAssembly.
По данным Google, эксплойт для CVE-2025-5419 существует в дикой природе, однако никаких дополнительных подробностей об уязвимости безопасности или эксплойте предоставлено не разглашается.
Компания выразила признательность Клементу Лесиню и Бенуа Севенсу из Google Threat Analysis Group (TAG), которые 27 мая 2025 года сообщили о проблеме.
Исследователи TAG ранее сообщали о многочисленных уязвимостях, используемых поставщиками шпионского ПО, включая такие ошибки в Chrome. Так что и CVE-2025-5419, вероятно, не является исключением.
Согласно рекомендациям NIST, эксплуатируемая 0-day позволяет удаленному злоумышленнику потенциально эксплуатировать повреждение кучи через созданную HTML-страницу.
Эксплуатация таких дефектов часто приводит к выполнению произвольного кода.
CVE-2025-5419 - это вторая активно эксплуатируемая уязвимость нулевого дня, исправленная Google в этом году после CVE-2025-2783 (CVSS: 8,3), которая, по данным Лаборатории Касперского, использовалась в атаках на организации в России.
Последнее обновление браузера также устраняет CVE-2025-5068, уязвимость средней степени серьезности use-after-free в Blink, которая принесла исследователю, сообщившему об ошибке, вознаграждение в размере 1000 долларов.
Последняя версия Chrome теперь доступна как 137.0.7151.68/.69 для Windows и macOS, а также 137.0.7151.68 - для Linux.
Пользователям браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применять исправления по мере их появления.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 137.0.7151.68/.69 for Windows, Mac and 137.0.7151.68 for Linux which will roll out over the coming...
Microsoft и CrowdStrike решили возглавить давно назревшую отраслевую инициативу и запустили проект по унификации наименовании субъектов угроз с целью упростить для сообщества процесс согласования разведданных, в помощь им вызвались также Google и Palo Alto Networks.
Сложилось так, что существующие сотни различных групп угроз отслеживаются под десятками различных наименований, которые присваивается инфосек-компаниями согласно собственным шаблонам.
Так, связанная с Китаем APT41 также отслеживается как Bronze Atlas, Earth Baku, Wicked Panda и Winnti, среди прочих.
Microsoft использует таксономию именования, связанную с погодой. В свою очередь, CrowdStrike использует имена, ассоциированные с животными (Panda для Китая и Spider для киберпреступников).
Mandiant известен использованием форматов APT[number] и UNC[number].
CrowdStrike отмечает, что на данном этапе заставить всю отрасль кибербезопасности использовать единое название для каждой группы угроз нецелесообразно и фактически нереализуемо, однако важно внести ясность в атрибуцию угроз между поставщиками.
В рамках новой инициативы имена, присвоенные Microsoft, сопоставляются с другими именами, присвоенными тому же субъекту угрозы CrowdStrike и другими поставщиками.
Как поясняют в CrowdStrike, альянс поможет отрасли лучше сопоставлять псевдонимы субъектов угроз, не навязывая единый стандарт именования.
В будущем он будет расширяться и включать другие организации, которые также практикуют искусство атрибуции.
Главная цель - устранение конфликтов имен для создания связного и устойчивого сопоставления существующих систем именования друг с другом.
Кроме того, там, где телеметрия дополняет друг друга, есть возможность расширить атрибуцию на большее количество плоскостей и векторов - создавая более богатое и точное представление о кампаниях злоумышленников.
Microsoft отметила, что инициатива должна помочь повысить уверенность в идентификации групп угроз, оптимизировать корреляцию и ускорить действия защитников, а также выработать единый стандарт именования.
При этом Microsoft заверила, что Google (Mandiant) и Palo Alto Networks также намерены внести свой вклад в проект.
На самом деле над этим вопросом уже давно задумались в немецком Институте связи, обработки информации и эргономики имени Фраунгофера и реализовали проект Malpedia, который на протяжении последних лет успешно отслеживает различные названия, присвоенные каждой группе угроз, включая и используемые ими штаммы вредоносных ПО.
По всей видимости, разработанная четверкой карта именований - будет иметь более пропагандистский эффект, вряд ли мы сможем отыскать в унифицированном списке представителей экосистемы западных APT. Впрочем, как и отчетов.
Но будем посмотреть.
Сложилось так, что существующие сотни различных групп угроз отслеживаются под десятками различных наименований, которые присваивается инфосек-компаниями согласно собственным шаблонам.
Так, связанная с Китаем APT41 также отслеживается как Bronze Atlas, Earth Baku, Wicked Panda и Winnti, среди прочих.
Microsoft использует таксономию именования, связанную с погодой. В свою очередь, CrowdStrike использует имена, ассоциированные с животными (Panda для Китая и Spider для киберпреступников).
Mandiant известен использованием форматов APT[number] и UNC[number].
CrowdStrike отмечает, что на данном этапе заставить всю отрасль кибербезопасности использовать единое название для каждой группы угроз нецелесообразно и фактически нереализуемо, однако важно внести ясность в атрибуцию угроз между поставщиками.
В рамках новой инициативы имена, присвоенные Microsoft, сопоставляются с другими именами, присвоенными тому же субъекту угрозы CrowdStrike и другими поставщиками.
Как поясняют в CrowdStrike, альянс поможет отрасли лучше сопоставлять псевдонимы субъектов угроз, не навязывая единый стандарт именования.
В будущем он будет расширяться и включать другие организации, которые также практикуют искусство атрибуции.
Главная цель - устранение конфликтов имен для создания связного и устойчивого сопоставления существующих систем именования друг с другом.
Кроме того, там, где телеметрия дополняет друг друга, есть возможность расширить атрибуцию на большее количество плоскостей и векторов - создавая более богатое и точное представление о кампаниях злоумышленников.
Microsoft отметила, что инициатива должна помочь повысить уверенность в идентификации групп угроз, оптимизировать корреляцию и ускорить действия защитников, а также выработать единый стандарт именования.
При этом Microsoft заверила, что Google (Mandiant) и Palo Alto Networks также намерены внести свой вклад в проект.
На самом деле над этим вопросом уже давно задумались в немецком Институте связи, обработки информации и эргономики имени Фраунгофера и реализовали проект Malpedia, который на протяжении последних лет успешно отслеживает различные названия, присвоенные каждой группе угроз, включая и используемые ими штаммы вредоносных ПО.
По всей видимости, разработанная четверкой карта именований - будет иметь более пропагандистский эффект, вряд ли мы сможем отыскать в унифицированном списке представителей экосистемы западных APT. Впрочем, как и отчетов.
Но будем посмотреть.
CrowdStrike.com
CrowdStrike and Microsoft Unite to Deconflict Cyber Threat Attribution
A CrowdStrike and Microsoft collaboration aims to eliminate ambiguity in adversary naming to bring clarity. Learn more!
Ресерчеры Лаборатории Касперского расчехлили проукраинскую группу хактивистов BO Team, также известную как Black Owl, Lifting Zmiy и Hoody Hyena, которая отметилась серией разрушительных атак, в том числе с шифрованием данных, нацеленных на российские компании.
При этом BO Team помимо таргетирования на максимальное нанесение ущерба жертве, группа преследует цели по извлечению финансовой выгоды.
Группировка BO Team впервые заявила о себе в начале 2024 года через ТГ-канал, в котором обозначила свою позицию в контексте российско-украинского конфликта, что позволяет обоснованно отнести данную группировку к проукраинской стороне конфликта.
Для получения первоначального доступа злоумышленники используют фишинговые рассылки с вредоносными вложениями, которые реализуют цепочку заражения с полезной нагрузкой в виде бэкдоров: DarkGate, BrockenDoor и Remcos.
Группа мимикрирует под реально существующую компанию, которая специализируется на автоматизации технологических процессов, создавая тем самым правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах.
Для маскировки отправителя используются поддельные домены, стилизованные под домены легитимных компаний. При этом злоумышленники постоянно совершенствуют свои инструменты.
После получения первоначального доступа к целевым системам злоумышленники из BO Team используют технику Living off the Land (LotL), то есть полагаются на встроенные средства операционной системы Windows в развитии атаки.
Для обеспечения постоянного доступа к скомпрометированной инфраструктуре BO Team применяет ряд техник закрепления, одна из которых - создание запланированных задач в операционной системе Windows.
Анализ показал, что для повышения привилегий атакующие используют ранее скомпрометированные учетные записи, принадлежащие штатным сотрудникам организации.
После компрометации целевых систем BO Team методично уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete.
В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk (для Windows), выдвигая впоследствии требования выкупа.
Про некоторые из своих атак BO Team открыто сообщает посредством Telegram, что служит как элементом психологического давления, так и способом самопиара в медиапространстве хактивистов.
По своим целям, риторике и общему алгоритму действий BO Team схожа с рядом проукраинских хактивистских группировок, появившихся после 2022 года.
Тем не менее, исследователи ЛК в ходе анализа атак зафиксировали инструменты и TTP, не характерные для аналогичных кампаний других хактивистов.
В совокупности артефакты позволяют предположить, что BO Team действует более автономно, обладая собственными ресурсами и подходами к использованию инструментов нежели их коллеги по цеху.
Полный разбор TTPы, инструментария и инфраструктуры BO Team - в отчете.
При этом BO Team помимо таргетирования на максимальное нанесение ущерба жертве, группа преследует цели по извлечению финансовой выгоды.
Группировка BO Team впервые заявила о себе в начале 2024 года через ТГ-канал, в котором обозначила свою позицию в контексте российско-украинского конфликта, что позволяет обоснованно отнести данную группировку к проукраинской стороне конфликта.
Для получения первоначального доступа злоумышленники используют фишинговые рассылки с вредоносными вложениями, которые реализуют цепочку заражения с полезной нагрузкой в виде бэкдоров: DarkGate, BrockenDoor и Remcos.
Группа мимикрирует под реально существующую компанию, которая специализируется на автоматизации технологических процессов, создавая тем самым правдоподобный контекст для обращения к потенциальным жертвам в государственном, технологическом и энергетическом секторах.
Для маскировки отправителя используются поддельные домены, стилизованные под домены легитимных компаний. При этом злоумышленники постоянно совершенствуют свои инструменты.
После получения первоначального доступа к целевым системам злоумышленники из BO Team используют технику Living off the Land (LotL), то есть полагаются на встроенные средства операционной системы Windows в развитии атаки.
Для обеспечения постоянного доступа к скомпрометированной инфраструктуре BO Team применяет ряд техник закрепления, одна из которых - создание запланированных задач в операционной системе Windows.
Анализ показал, что для повышения привилегий атакующие используют ранее скомпрометированные учетные записи, принадлежащие штатным сотрудникам организации.
После компрометации целевых систем BO Team методично уничтожает резервные копии файлов и виртуальную инфраструктуру компании, а также удаляет данные с хостов с помощью популярной утилиты SDelete.
В отдельных случаях злоумышленники дополнительно используют шифровальщик Babuk (для Windows), выдвигая впоследствии требования выкупа.
Про некоторые из своих атак BO Team открыто сообщает посредством Telegram, что служит как элементом психологического давления, так и способом самопиара в медиапространстве хактивистов.
По своим целям, риторике и общему алгоритму действий BO Team схожа с рядом проукраинских хактивистских группировок, появившихся после 2022 года.
Тем не менее, исследователи ЛК в ходе анализа атак зафиксировали инструменты и TTP, не характерные для аналогичных кампаний других хактивистов.
В совокупности артефакты позволяют предположить, что BO Team действует более автономно, обладая собственными ресурсами и подходами к использованию инструментов нежели их коллеги по цеху.
Полный разбор TTPы, инструментария и инфраструктуры BO Team - в отчете.
Securelist
Особенности атак хактивистской группы BO Team
Эксперты «Лаборатории Касперского» анализируют TTP и инструменты хактивистской группы BO Team, также известной как Black Owl, Lifting Zmiy и Hoody Hyena.
Исследователи FearsOff раскрыли подробности критической уязвимости в программном обеспечении веб-почты Roundcube, которая оставалась незамеченной в течение десятилетия и могла быть использована для захвата уязвимых систем и выполнения произвольного кода.
Уязвимость отслеживается как CVE-2025-49113 и имеет оценку CVSS 9,9 из 10,0.
Она связана с удаленным выполнением кода после аутентификации посредством десериализации объекта PHP.
Риску подвержены Roundcube Webmail до версии 1.5.10 и 1.6.x до версии 1.6.11, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объектов PHP
Недостаток, который затрагивал все версии программного обеспечения до 1.6.10 включительно, был устранен в 1.6.11 и 1.5.10 LTS.
FearsOff намерена опубликовать дополнительные технические подробности и представить PoC в ближайшее время, но оставляет временной лаг для установки необходимых исправлений.
Медлить не стоить, ведь ранее раскрытые уязвимости в Roundcube уже становились целями атак, как в случае с CVE-2024-37383 в прошлом году.
Тогда Positive Technologies сообщала об эксплуатации уязвимости Roundcube в рамках фишинговой атаки, направленной на кражу учетных данных пользователей.
Уязвимость отслеживается как CVE-2025-49113 и имеет оценку CVSS 9,9 из 10,0.
Она связана с удаленным выполнением кода после аутентификации посредством десериализации объекта PHP.
Риску подвержены Roundcube Webmail до версии 1.5.10 и 1.6.x до версии 1.6.11, поскольку параметр _from в URL-адресе не проверяется в program/actions/settings/upload.php, что приводит к десериализации объектов PHP
Недостаток, который затрагивал все версии программного обеспечения до 1.6.10 включительно, был устранен в 1.6.11 и 1.5.10 LTS.
FearsOff намерена опубликовать дополнительные технические подробности и представить PoC в ближайшее время, но оставляет временной лаг для установки необходимых исправлений.
Медлить не стоить, ведь ранее раскрытые уязвимости в Roundcube уже становились целями атак, как в случае с CVE-2024-37383 в прошлом году.
Тогда Positive Technologies сообщала об эксплуатации уязвимости Roundcube в рамках фишинговой атаки, направленной на кражу учетных данных пользователей.
fearsoff.org
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113]
A deep technical breakdown of CVE-2025-49113, a critical Roundcube vulnerability involving PHP session serialization. Learn how the bug was discovered, exploited, and responsibly disclosed with full PoC and recommendations for defenders and developers. Kirill…
Более 1000 промышленных устройств мониторинга производства канадской компании Instantel могут быть подвержены удаленному взлому из-за критической уязвимости, обнаруженной исследователями Microsec.
Micromate Instantel предназначенный для регистрации вибрации, шума и избыточного давления воздуха, подвержен уязвимости, связанной с отсутствием аутентификации на порту конфигурации.
Уязвимый продукт широко используется в различных областях, включая горнодобывающую промышленность, прокладку туннелей, мониторинг мостов, строительство и охрану окружающей среды.
Уязвимость отслеживается как CVE-2025-1907 (CVSS 9,8) и может позволить злоумышленнику выполнять произвольные команды на устройстве.
При этом обнаружившие уязвимость исследователи Microsec выявили более 1000 подключенных к Интернету устройств Micromate по всему миру, которые могут быть уязвимы для атак.
Злоумышленник, которому удастся добиться выполнения команды на устройстве Micromate, может отключить функцию мониторинга, что приведет к передачи ложной или некорректной телеметрии.
По словам исследователей, устройство также может быть повреждено или отключено, что может привести к прерыванию критически важных операций.
Помимо прочего злоумышленник также может использовать взломанное устройство для проникновения в другие подключенные IT или ОТ-системы.
Как передает CISA, Instantel пока еще работает над обновлением прошивки для этой уязвимости, так что пока не появится исправление, пользователям рекомендуется ограничить доступ к уязвимому устройству доверенными IP-адресами.
Micromate Instantel предназначенный для регистрации вибрации, шума и избыточного давления воздуха, подвержен уязвимости, связанной с отсутствием аутентификации на порту конфигурации.
Уязвимый продукт широко используется в различных областях, включая горнодобывающую промышленность, прокладку туннелей, мониторинг мостов, строительство и охрану окружающей среды.
Уязвимость отслеживается как CVE-2025-1907 (CVSS 9,8) и может позволить злоумышленнику выполнять произвольные команды на устройстве.
При этом обнаружившие уязвимость исследователи Microsec выявили более 1000 подключенных к Интернету устройств Micromate по всему миру, которые могут быть уязвимы для атак.
Злоумышленник, которому удастся добиться выполнения команды на устройстве Micromate, может отключить функцию мониторинга, что приведет к передачи ложной или некорректной телеметрии.
По словам исследователей, устройство также может быть повреждено или отключено, что может привести к прерыванию критически важных операций.
Помимо прочего злоумышленник также может использовать взломанное устройство для проникновения в другие подключенные IT или ОТ-системы.
Как передает CISA, Instantel пока еще работает над обновлением прошивки для этой уязвимости, так что пока не появится исправление, пользователям рекомендуется ограничить доступ к уязвимому устройству доверенными IP-адресами.
Forwarded from Russian OSINT
В июньском бюллетене безопасности Android компания Google официально подтвердила исправление трёх эксплуатируемых уязвимостей нулевого дня в компонентах Qualcomm, которые, как было подтверждено, активно используются в атаках.
Согласно бюллетеню безопасности Qualcomm, активно эксплуатируемые уязвимости, CVE-2025-21479, CVE-2025-21480 и CVE-2025-27038, затрагивают драйверы GPU Adreno.
🔐 CVE‑2025‑21479 — неправильная авторизация в компоненте GPU приводит к повреждению памяти (memory corruption), если злоумышленник отправит специально сформированную последовательность команд. Это может позволить локальному атакующему выполнить произвольный код в контексте драйвера.
🔐 CVE‑2025‑21480 — почти идентична CVE‑2025‑21479. Также связана с некорректной проверкой прав доступа внутри микромодуля GPU, что ведёт к memory corruption при обработке GPU-команд. Возможна эскалация привилегий.
🔐 CVE‑2025‑27038 — уязвимость типа use-after-free при рендеринге графики в драйверах Adreno, которая может активироваться в том числе при работе браузера Chrome.
Обнаружили проблемы
Затронутые чипсеты охватывают широкий спектр продукции Qualcomm, от флагманских SoC Snapdragon 8 Gen 2 и Gen 3 до платформ среднего и бюджетного уровня, таких как Snapdragon 695, 778G и 4 Gen 1/2. Пострадали также носимые устройства, автомобильные модули и компоненты сетевой инфраструктуры, работающие на FastConnect, QCA, QCS и другом оборудовании Qualcomm.
«Android-партнёры были уведомлены об этих уязвимостях как минимум за месяц до публикации. Патчи переданы в AOSP и должны быть включены в сборки с уровнем безопасности 2025‑06‑05. Мы рекомендуем пользователям обновить свои устройства до последней версии Android, если это возможно»
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Sophos предупреждают киберподполье о вскрытой кампании, связанной с трояном Sakura RAT, исходный код которого доступен на GitHub и содержит скрытые бэкдоры, позволяющие злоумышленнику получить удаленный доступ к зараженным устройствам.
Исследователи обнаружили, что код Sakura RAT по сути нефункционален, но имеет PreBuildEvent в проекте Visual Studio, который загружает и устанавливает вредоносное ПО на устройства тех, кто пытается его скомпилировать.
Издатель ischhfd83 напрямую или косвенно связан с еще 141 репозиторием GitHub, 133 из которых включают скрытые бэкдоры, что свидетельствует о скоординированной кампании по распространению вредоносного ПО.
Подборка бэкдоров включает в себя скрипты Python с запутанными полезными нагрузками, вредоносные файлы заставок (.scr), файлы JavaScript с закодированными полезными нагрузками и события Visual Studio PreBuild.
Несмотря на то, что ряд репозиториев, по-видимому, заброшены с конца 2023 года, но многие из них активны и регулярно обновляются.
Коммиты полностью автоматизированы, поэтому их единственная цель - создать ложное представление о ведущейся разработке, которое придает вредоносным проектам иллюзию легитимности.
В виду автоматизированных запусков рабочих процессов во многих проектах набралось большое количество коммитов (в одном из них их было почти 60 000, а создан он был лишь в марте 2025 года). Среднее количество коммитов в репозиториях составляло 4446.
Число участников ограничено тремя конкретными пользователями для каждого репозитория, и для каждого из них используются разные учетные записи издателей, при этом количество репозиториев, назначенных на одну учетную запись, никогда не превышает девяти.
Продвижение репозиториев реализуется через YouTube, Discord и постов в даркнете. Кроме того, Sakura RAT упоминался в публикациях СМИ.
После загрузки и запуска реализуется многоступенчатая цепочка заражения, включающая выполнение скриптов VBS на диске, загрузку PowerShell закодированной полезной нагрузки с жестко закодированных URL, получение архива 7zip из GitHub и запуск приложения Electron (SearchFilter.exe).
Приложение загружает объединенный архив, содержащий зашифрованный файл main.js и связанные с ним файлы, включая код для профилирования системы, выполнения команд, деактивации Защитника Windows и извлечения полезной нагрузки.
Дополнительные полезные нагрузки, загружаемые бэкдором, включают в себя Lumma Stealer, AsyncRAT и Remcos, все из которых обладают обширными возможностями кражи данных.
Помимо нацеливания на хакерское сообщество, троянизированные репозитории также таргетируются на геймеров, студентов и даже исследователей с использованием широкого спектра приманок, таких как игровые читы, инструментов для моддинга и фейковых эксплойтов.
Исследователи обнаружили, что код Sakura RAT по сути нефункционален, но имеет PreBuildEvent в проекте Visual Studio, который загружает и устанавливает вредоносное ПО на устройства тех, кто пытается его скомпилировать.
Издатель ischhfd83 напрямую или косвенно связан с еще 141 репозиторием GitHub, 133 из которых включают скрытые бэкдоры, что свидетельствует о скоординированной кампании по распространению вредоносного ПО.
Подборка бэкдоров включает в себя скрипты Python с запутанными полезными нагрузками, вредоносные файлы заставок (.scr), файлы JavaScript с закодированными полезными нагрузками и события Visual Studio PreBuild.
Несмотря на то, что ряд репозиториев, по-видимому, заброшены с конца 2023 года, но многие из них активны и регулярно обновляются.
Коммиты полностью автоматизированы, поэтому их единственная цель - создать ложное представление о ведущейся разработке, которое придает вредоносным проектам иллюзию легитимности.
В виду автоматизированных запусков рабочих процессов во многих проектах набралось большое количество коммитов (в одном из них их было почти 60 000, а создан он был лишь в марте 2025 года). Среднее количество коммитов в репозиториях составляло 4446.
Число участников ограничено тремя конкретными пользователями для каждого репозитория, и для каждого из них используются разные учетные записи издателей, при этом количество репозиториев, назначенных на одну учетную запись, никогда не превышает девяти.
Продвижение репозиториев реализуется через YouTube, Discord и постов в даркнете. Кроме того, Sakura RAT упоминался в публикациях СМИ.
После загрузки и запуска реализуется многоступенчатая цепочка заражения, включающая выполнение скриптов VBS на диске, загрузку PowerShell закодированной полезной нагрузки с жестко закодированных URL, получение архива 7zip из GitHub и запуск приложения Electron (SearchFilter.exe).
Приложение загружает объединенный архив, содержащий зашифрованный файл main.js и связанные с ним файлы, включая код для профилирования системы, выполнения команд, деактивации Защитника Windows и извлечения полезной нагрузки.
Дополнительные полезные нагрузки, загружаемые бэкдором, включают в себя Lumma Stealer, AsyncRAT и Remcos, все из которых обладают обширными возможностями кражи данных.
Помимо нацеливания на хакерское сообщество, троянизированные репозитории также таргетируются на геймеров, студентов и даже исследователей с использованием широкого спектра приманок, таких как игровые читы, инструментов для моддинга и фейковых эксплойтов.
Sophos News
The strange tale of ischhfd83: When cybercriminals eat their own
A simple customer query leads to a rabbit hole of backdoored malware and game cheats