Совсем недавно вышел технический обзор протокола MTProto от Telegram, в котором содержится предупреждение о том, что платформа раскрывает постоянные идентификаторы устройств пассивным сетевым наблюдателям, что потенциально позволяет отслеживать пользователей в разных сетях, местах и сессиях без нарушения шифрования.
Исследователи утверждают, что проблема остается нерешенной, поскольку Telegram до сих пор не требует обязательного шифрования транспортного уровня для трафика MTProto.
Документ был подготовлен криптографом Надимом Кобейсси из Symbolic Software по заказу Global Network Solutions, Inc. Отчет сразу привлек внимание общественности после того, как iStories и OCCRP сообщили о его результатах.
Исследование сосредоточено на идентификаторе auth_key_id от MTProto, 64-битном идентификаторе, встроенном в заголовок каждого сообщения.
Согласно отчету, этот идентификатор остается стабильным при перезапуске приложения, изменении IP, использовании VPN и переключении сети, что, по мнению исследователей, позволяет пассивным сетевым наблюдателям сопоставлять активность в течение длительных периодов времени.
Клиенты Telegram на платформах Android и настольных компьютерах передают трафик MTProto по обычным TCP-соединениям, а не по каналам HTTPS или TLS-шифрования, даже при использовании порта 443, который обычно используется для защищенного веб-трафика.
Сообщается, что перехваченные пакеты не показали рукопожатия TLS или обмена сертификатами, что означает, что сам транспортный уровень остается незашифрованным.
Такое поведение позволяет интернет-провайдерам, администраторам сетей, операторам Wi-Fi в отелях, операторам мобильной связи потенциально отслеживать постоянный идентификатор ключа аутентификации (auth_key_id) без расшифровки содержимого сообщения.
В отчете также утверждается, что защита с помощью Secret Chats и Perfect Forward Secrecy не решает эту проблему, поскольку утечка происходит на уровне шифрования приложения.
Хотя Secret Chats защищают содержимое сообщений с помощью сквозного шифрования, метаданные передачи, включая auth_key_id, остаются видимыми для пассивных наблюдателей, когда MTProto передается по незашифрованным TCP-соединениям.
В свою очередь, Telegram опроверг выводы исследования, сославшись на подробный технический ответ, опубликованный на своем веб-сайте.
Компания заявляет, что выводы отчета неточны, и отмечает, что протокол MTProto auth_key_id регулярно меняется и не раскрывает информацию о пользователях, содержимом сообщений, получателях или личных данных.
В Telegram также подчеркнули, что «содержимое сообщений и данные получателей остаются зашифрованными внутри протокола».
Компания также утверждает, что любой сетевой наблюдатель, способный осуществлять мониторинг, auth_key_id уже имеет доступ к другим метаданным, включая IP-адрес пользователя, имена подключенных серверов и характер трафика.
Причины таких нападок понятны, ответка от WhatsApp не заставила себя долго ждать.
Правда, в случае с последним даже сами сотрудники не скрывают наличие доступа администрации к зашифрованному содержимому, без каких-либо 89 страничных исследований, впрочем в случае с WhatsApp хватило бы и меньше десятка.
Исследователи утверждают, что проблема остается нерешенной, поскольку Telegram до сих пор не требует обязательного шифрования транспортного уровня для трафика MTProto.
Документ был подготовлен криптографом Надимом Кобейсси из Symbolic Software по заказу Global Network Solutions, Inc. Отчет сразу привлек внимание общественности после того, как iStories и OCCRP сообщили о его результатах.
Исследование сосредоточено на идентификаторе auth_key_id от MTProto, 64-битном идентификаторе, встроенном в заголовок каждого сообщения.
Согласно отчету, этот идентификатор остается стабильным при перезапуске приложения, изменении IP, использовании VPN и переключении сети, что, по мнению исследователей, позволяет пассивным сетевым наблюдателям сопоставлять активность в течение длительных периодов времени.
Клиенты Telegram на платформах Android и настольных компьютерах передают трафик MTProto по обычным TCP-соединениям, а не по каналам HTTPS или TLS-шифрования, даже при использовании порта 443, который обычно используется для защищенного веб-трафика.
Сообщается, что перехваченные пакеты не показали рукопожатия TLS или обмена сертификатами, что означает, что сам транспортный уровень остается незашифрованным.
Такое поведение позволяет интернет-провайдерам, администраторам сетей, операторам Wi-Fi в отелях, операторам мобильной связи потенциально отслеживать постоянный идентификатор ключа аутентификации (auth_key_id) без расшифровки содержимого сообщения.
В отчете также утверждается, что защита с помощью Secret Chats и Perfect Forward Secrecy не решает эту проблему, поскольку утечка происходит на уровне шифрования приложения.
Хотя Secret Chats защищают содержимое сообщений с помощью сквозного шифрования, метаданные передачи, включая auth_key_id, остаются видимыми для пассивных наблюдателей, когда MTProto передается по незашифрованным TCP-соединениям.
В свою очередь, Telegram опроверг выводы исследования, сославшись на подробный технический ответ, опубликованный на своем веб-сайте.
Компания заявляет, что выводы отчета неточны, и отмечает, что протокол MTProto auth_key_id регулярно меняется и не раскрывает информацию о пользователях, содержимом сообщений, получателях или личных данных.
В Telegram также подчеркнули, что «содержимое сообщений и данные получателей остаются зашифрованными внутри протокола».
Компания также утверждает, что любой сетевой наблюдатель, способный осуществлять мониторинг, auth_key_id уже имеет доступ к другим метаданным, включая IP-адрес пользователя, имена подключенных серверов и характер трафика.
Причины таких нападок понятны, ответка от WhatsApp не заставила себя долго ждать.
Правда, в случае с последним даже сами сотрудники не скрывают наличие доступа администрации к зашифрованному содержимому, без каких-либо 89 страничных исследований, впрочем в случае с WhatsApp хватило бы и меньше десятка.
Forwarded from Russian OSINT
Как уже сообщалось ранее, корпорация Microsoft выпустила заявление, где она категорически осудила действия Nightmare-Eclipse. Публикация спровоцировала волну возмущения среди экспертов по кибербезопасности в социальных сетях. Исследователи начали массово делиться своим негативным опытом взаимодействия с Центром реагирования на угрозы безопасности Microsoft. Многие независимые специалисты открыто обвинили корпорацию в лицемерии и намеренном затягивании процессов.
Пользователь платформы X под псевдонимом Zack Korman иронично отметил нежелание компании исправлять собственные внутренние процессы. По его словам, корпорация готова на все ради предотвращения публикации уязвимостей нулевого дня. Единственным исключением является улучшение работы самого Центра реагирования.
hacker.house пишут о своём негативном опыте сотрудничества с технологическим гигантом. Они отправили в компанию данные о нескольких уязвимостях 0-click, которые приводили к созданию произвольных файлов и переполнению памяти. Представители Microsoft отказались исправлять проблему. Они сослались на использование устаревших технологий в архитектуре операционной системы. Другой вектор атаки с повышением привилегий получил от них лишь статус умеренной угрозы. Никто не получил денежного вознаграждения за свой труд. Корпорацию заподозрили в скрытом выпуске патчей с исправлениями без должного признания заслуг автора.
Исследователь безопасности Габриэль Ландау рассказал о своем опыте работы с обходом защиты Device Guard. Он установил стандартное окно в 90 дней для раскрытия информации. Сотрудники Центра реагирования подтвердили серьезность проблемы и попросили отложить публикацию на несколько месяцев для качественной подготовки патча. Исследователь согласился при условии обязательного присвоения идентификатора CVE. Позже он обнаружил полное отсутствие упоминаний своей находки в официальных списках обновлений. Компания тайно устранила уязвимость и заявила о несоответствии проблемы стандартам обслуживания. Это лишило Ландау заслуженного признания. Свою историю он сопроводил хештегом #MeTooMSRC.
Похожим случаем поделился эксперт под псевдонимом rootsecdev. Он ответственно сообщил об уязвимости в устаревшем механизме аутентификации. Проблема позволяла осуществлять подбор паролей в обход интеллектуальной блокировки. Спустя пять месяцев ожидания он получил формальный отказ. Компания заявила о несоответствии проблемы базовым критериям для выпуска обновления. При этом разработчики Microsoft тайно устранили уязвимость и просто закрыли обращение специалиста.
Примечательно, что Microsoft косвенным образом попыталась запугать независимых исследователей. Корпорация использовала формулировку об уголовном преследовании за безответственную публикацию с привлечением правоохранительных органов. Основатель Altered Security Нихил Миттал обратил внимание на агрессивный тон официального сообщения. Специалист задался риторическим вопросом о дальнейших шагах компании. Он иронично поинтересовался вероятностью применения Центром реагирования практики
Когда компания стоимостью в триллион долларов заменяет стандартные поощрения программ bug bounty и признание заслуг в системе CVE юридическими угрозами со стороны своего Отдела по борьбе с цифровыми преступлениями, то доверие [у исследователей] утрачивается полностью. Нельзя требовать «ответственного раскрытия информации», когда сам вендор действует БЕЗОТВЕТСТВЕННО.
— пишет Maxirex.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи ESET сообщают о новой вредоносной ПО BTMOB для Android, которая позволяет полностью захватить устройство.
Распространяемая с помощью фишинговых приманок, эта вредоносная ПО сочетает в себе кражу финансовых средств, утечку данных и удаленный доступ.
ESET предупреждает, что BTMOB (RAT) становится все более серьезной угрозой для пользователей Android из-за своих возможностей по краже данных и захвату управления устройством.
Предполагается, что BTMOB основан на вредоносной ПО SpySolr и распространяется посредством фишинговых атак с использованием таких приманок, как стриминг, майнинг криптовалют и других распространенных сервисов.
Однако разработчики продают его в комплекте с интерфейсом для создания APK-файлов, позволяющим злоумышленникам адаптировать приманки и создавать новые полезные нагрузки в зависимости от целевого географического региона, не написав при этом никакого кода.
После приобретения вредоносного набора злоумышленник может адаптировать его функции, включая фишинговые приманки, таким образом, чтобы имитировать бренд или организацию, наиболее вероятно способную заманить жертв в той или иной стране.
Вредоносное ПО распространяется через открытую веб-страницу, содержащую ссылку на канал в Telegram. Для продвижения вредоносного ПО также задействуются аккаунты в соцсетях X и Instagram.
BTMOB предлагается с пожизненной лицензией за 5000 долл., а также ежемесячной платой за поддержку. В январе 2026 года файлы, связанные с RAT, были бесплатно размещены на форуме в даркнете, который впоследствии был закрыт.
Исследователи зафиксировали случаи рассылки фишинговых сообщений злоумышленниками, которые перенаправляют жертв на веб-сайты, выдающие себя за легитимные сервисы, а те, в свою очередь, перенаправляют на поддельные магазины приложений, имитирующие легитимные репозитории и предлагающие вредоносный APK-файл.
После запуска на устройстве BTMOB пытается получить чрезмерный доступ, злоупотребляя службами специальных возможностей Android для повышения своих привилегий в системе без участия пользователя.
В отличие от банковских троянов, которые "только" стремятся украсть финансовые данные пользователей или перехватить их финансовые транзакции, BTMOB предоставляет злоумышленникам более широкие возможности: извлечение целого ряда конфиденциальных данных, создание скриншотов и запись активности на устройстве, и в конечном итоге получение удаленного управления им.
В ESET отмечают, что вредоносное ПО быстро мутирует, и за короткий промежуток времени наблюдаются многочисленные варианты, но при этом некоторые инфраструктурные модели остаются неизменными на протяжении всех итераций.
Как предупреждает ESET, BTMOB в основном пока наблюдался в ходе атак в Латинской Америке, но в скором времени может распространиться за пределы региона.
Распространяемая с помощью фишинговых приманок, эта вредоносная ПО сочетает в себе кражу финансовых средств, утечку данных и удаленный доступ.
ESET предупреждает, что BTMOB (RAT) становится все более серьезной угрозой для пользователей Android из-за своих возможностей по краже данных и захвату управления устройством.
Предполагается, что BTMOB основан на вредоносной ПО SpySolr и распространяется посредством фишинговых атак с использованием таких приманок, как стриминг, майнинг криптовалют и других распространенных сервисов.
Однако разработчики продают его в комплекте с интерфейсом для создания APK-файлов, позволяющим злоумышленникам адаптировать приманки и создавать новые полезные нагрузки в зависимости от целевого географического региона, не написав при этом никакого кода.
После приобретения вредоносного набора злоумышленник может адаптировать его функции, включая фишинговые приманки, таким образом, чтобы имитировать бренд или организацию, наиболее вероятно способную заманить жертв в той или иной стране.
Вредоносное ПО распространяется через открытую веб-страницу, содержащую ссылку на канал в Telegram. Для продвижения вредоносного ПО также задействуются аккаунты в соцсетях X и Instagram.
BTMOB предлагается с пожизненной лицензией за 5000 долл., а также ежемесячной платой за поддержку. В январе 2026 года файлы, связанные с RAT, были бесплатно размещены на форуме в даркнете, который впоследствии был закрыт.
Исследователи зафиксировали случаи рассылки фишинговых сообщений злоумышленниками, которые перенаправляют жертв на веб-сайты, выдающие себя за легитимные сервисы, а те, в свою очередь, перенаправляют на поддельные магазины приложений, имитирующие легитимные репозитории и предлагающие вредоносный APK-файл.
После запуска на устройстве BTMOB пытается получить чрезмерный доступ, злоупотребляя службами специальных возможностей Android для повышения своих привилегий в системе без участия пользователя.
В отличие от банковских троянов, которые "только" стремятся украсть финансовые данные пользователей или перехватить их финансовые транзакции, BTMOB предоставляет злоумышленникам более широкие возможности: извлечение целого ряда конфиденциальных данных, создание скриншотов и запись активности на устройстве, и в конечном итоге получение удаленного управления им.
В ESET отмечают, что вредоносное ПО быстро мутирует, и за короткий промежуток времени наблюдаются многочисленные варианты, но при этом некоторые инфраструктурные модели остаются неизменными на протяжении всех итераций.
Как предупреждает ESET, BTMOB в основном пока наблюдался в ходе атак в Латинской Америке, но в скором времени может распространиться за пределы региона.
Welivesecurity
BTMOB: A stealthy RAT burrowing deep into Android devices
The BTMOB malware pairs remote access capabilities with ready-made campaign tools, lowering the barrier for full device compromise.
Исследователи Лаборатории Касперского раскрыли активность ранее неизвестной группы, активной с 2024 года и атакующей ВУЗы и энергетику.
В сентябре 2025 года на GitHub вышел очередной фреймворк для пентеста - Ravage, а уже в январе 2026-го злоумышленники начали его использовать.
ЛК обнаружила «пользователей» фреймворка среди атакующих, которые первоначально не слишком привлекали внимание.
Другие их инструменты семейств PureRAT и RedLine не выделялись на общем фоне киберугроз и относились к сфере MaaS, по сути их брали в аренду все подряд.
Группа, в арсенале которой засветился Ravage, атаковала российские организации и отличалась большими перерывами в своей активности. Как позже выяснилось, злоумышленники могли затаиться на 3–4 месяца, а затем провести 10 атак за месяц.
Более половины атак за последний год пришлось на учебные заведения преимущественно морского и речного профиля. Помимо них среди жертв были энергетические и финансовые компании, а также дипломатический корпус.
Проследив за деятельностью злоумышленников, в ЛК выявили их ранее незамеченные атаки, которые стартовали почти два года назад, что позволяет говорить о тщательно маскируемых действиях сформировавшейся группы.
Любопытная деталь: в 2024 году в некоторых случаях они тоже использовали инструмент для пентеста, Cobalt Strike.
В 2026 году атаки начинались через фишинговое письмо с ZIP-архивом, содержащим XLL-файл. Он маскировался под легитимную надстройку для Microsoft Excel.
Двойной клик по нему запускал приложение Excel, которое загружало в свой процесс исполняемую DLL-библиотеку, что приводило к запуску вредоносного кода.
Тип файла Microsoft Excel XLL Add-In в сочетании со знакомым логотипом Excel создавал впечатление легитимного документа. В исследуемом случае XLL-файл был собран с помощью открытого фреймворка Excel-DNA.
Внутри XLL-файла находится модуль, написанный на C#, представляющий собой простейший загрузчик: скачивает и запускает два исполняемых файла по вшитым в него URL. Адреса ведут на взломанный сайт, на который предварительно были загружены вредоносные файлы.
По одному адресу скачивается типовой биндер (программа-склейщик разнотипных файлов в один) для упаковки известных бэкдоров и стилеров, таких как Vidar, Lumma, RedLine, StealC.
Файл Putty.exe представляет собой самораспаковывающийся CAB-архив, внутри которого находятся разделенные на несколько файлов интерпретатор AutoIt и скрипт для него, а также batch-файл.
При запуске архива все файлы распаковываются во временный каталог. Затем выполняется batch-файл, который подготавливает интерпретатор и скрипт, после чего запускает последний.
Скрипт для AutoIt весом 1,5 МБ содержит вредоносную нагрузку в виде зашифрованного исполняемого файла. Скрипт расшифровывает файл, запускает процесс RegAsm.exe и внедряет вредоносную нагрузку в этот процесс. Расшифрованная нагрузка — это бэкдор PureRAT.
По второй ссылке скачивается файл Ps.exe. Это небольшая утилита BatToExe, предназначенная для преобразования файлов пакетных скриптов Windows (.bat/.cmd) в самодостаточные исполняемые файлы (.exe).
Во время выполнения утилита создает один batch- и один PowerShell-файл, запускает batch-файл, а он в свою очередь - PowerShell-скрипт. PowerShell-скрипт и есть загрузчик фреймворка Ravage.
Несмотря на то что в описании на GitHub Ravage характеризуется как «мощный и гибкий C2-фреймворк», этот инструмент ближе к обычному Remote Access Tool.
Подробный разбор более ранних атак 2024-2025 гг. и полный перечень IOCs - в отчете.
В сентябре 2025 года на GitHub вышел очередной фреймворк для пентеста - Ravage, а уже в январе 2026-го злоумышленники начали его использовать.
ЛК обнаружила «пользователей» фреймворка среди атакующих, которые первоначально не слишком привлекали внимание.
Другие их инструменты семейств PureRAT и RedLine не выделялись на общем фоне киберугроз и относились к сфере MaaS, по сути их брали в аренду все подряд.
Группа, в арсенале которой засветился Ravage, атаковала российские организации и отличалась большими перерывами в своей активности. Как позже выяснилось, злоумышленники могли затаиться на 3–4 месяца, а затем провести 10 атак за месяц.
Более половины атак за последний год пришлось на учебные заведения преимущественно морского и речного профиля. Помимо них среди жертв были энергетические и финансовые компании, а также дипломатический корпус.
Проследив за деятельностью злоумышленников, в ЛК выявили их ранее незамеченные атаки, которые стартовали почти два года назад, что позволяет говорить о тщательно маскируемых действиях сформировавшейся группы.
Любопытная деталь: в 2024 году в некоторых случаях они тоже использовали инструмент для пентеста, Cobalt Strike.
В 2026 году атаки начинались через фишинговое письмо с ZIP-архивом, содержащим XLL-файл. Он маскировался под легитимную надстройку для Microsoft Excel.
Двойной клик по нему запускал приложение Excel, которое загружало в свой процесс исполняемую DLL-библиотеку, что приводило к запуску вредоносного кода.
Тип файла Microsoft Excel XLL Add-In в сочетании со знакомым логотипом Excel создавал впечатление легитимного документа. В исследуемом случае XLL-файл был собран с помощью открытого фреймворка Excel-DNA.
Внутри XLL-файла находится модуль, написанный на C#, представляющий собой простейший загрузчик: скачивает и запускает два исполняемых файла по вшитым в него URL. Адреса ведут на взломанный сайт, на который предварительно были загружены вредоносные файлы.
По одному адресу скачивается типовой биндер (программа-склейщик разнотипных файлов в один) для упаковки известных бэкдоров и стилеров, таких как Vidar, Lumma, RedLine, StealC.
Файл Putty.exe представляет собой самораспаковывающийся CAB-архив, внутри которого находятся разделенные на несколько файлов интерпретатор AutoIt и скрипт для него, а также batch-файл.
При запуске архива все файлы распаковываются во временный каталог. Затем выполняется batch-файл, который подготавливает интерпретатор и скрипт, после чего запускает последний.
Скрипт для AutoIt весом 1,5 МБ содержит вредоносную нагрузку в виде зашифрованного исполняемого файла. Скрипт расшифровывает файл, запускает процесс RegAsm.exe и внедряет вредоносную нагрузку в этот процесс. Расшифрованная нагрузка — это бэкдор PureRAT.
По второй ссылке скачивается файл Ps.exe. Это небольшая утилита BatToExe, предназначенная для преобразования файлов пакетных скриптов Windows (.bat/.cmd) в самодостаточные исполняемые файлы (.exe).
Во время выполнения утилита создает один batch- и один PowerShell-файл, запускает batch-файл, а он в свою очередь - PowerShell-скрипт. PowerShell-скрипт и есть загрузчик фреймворка Ravage.
Несмотря на то что в описании на GitHub Ravage характеризуется как «мощный и гибкий C2-фреймворк», этот инструмент ближе к обычному Remote Access Tool.
Подробный разбор более ранних атак 2024-2025 гг. и полный перечень IOCs - в отчете.
Незакрытая 0-day в Gogs позволяет злоумышленникам получить возможность RCE на экземплярах, доступных из Интернета.
Gogs, разработанный как альтернатива GitHub Enterprise или GitLab и написанный на Go, часто доступен онлайн для удаленного взаимодействия.
Критическая уязвимость, связанная с внедрением аргументов, еще не получила CVE, затрагивает последние версии (Gogs 0.14.2 и 0.15.0+dev) и может быть использована только авторизованными злоумышленниками без прав администратора.
Однако, несмотря на то, что для эксплуатации уязвимости требуются базовые права пользователя, исследователи Rapid7 (обнаружившие эту уязвимость) заявляют, что она затрагивает все серверы Gogs со стандартными конфигурациями.
Поскольку Gogs поставляется с открытой регистрацией, включенной по умолчанию, и без ограничений на создание репозиториев, неавторизованный злоумышленник может просто создать учетную запись и репозиторий в любом экземпляре, настроенном по умолчанию.
Любой зарегистрированный пользователь, создавший репозиторий, автоматически становится его владельцем. После этого включение слияния rebase осуществляется одним переключателем в настройках, и вся цепочка эксплойтов может быть запущена без участия другого пользователя.
Успешная эксплуатация позволяет злоумышленникам удаленно выполнять произвольный код от имени пользователя серверного процесса Gogs через запросы на слияние, использующие вредоносное имя ветки для внедрения флага --exec в команду git rebase во время операции слияния.
Они могут использовать эту уязвимость, чтобы взломать сервер, считать все репозитории на экземпляре (включая частные репозитории других пользователей), получить доступ к учетным данным (хэши паролей, токены API, ключи SSH, секреты двухфакторной аутентификации), перейти к другим сетевым системам и изменить код любого размещенного репозитория».
Как отмечают исследователи, уязвимость похожа на другие уязвимости внедрения аргументов (CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 и CVE-2024-39930), которые были устранены Gogs в последние годы, но затрагивает другой участок кода (Merge()), который так и не был исправлен.
Исследователи уведомили разработчиков Gogs 17 марта, но те до сих пор не выпустили исправление и не ответили на дальнейшие запросы, несмотря на то, что подтвердили получение сообщения 28 марта.
В настоящее время Shadowserver отслеживает более 2400 серверов Gogs в открытом доступе в сети, большинство из которых расположены в Азии (1894) и Европе (319), а Shodan обнаруживает чуть более 1000 IP, связанных с Gogs.
Gogs, разработанный как альтернатива GitHub Enterprise или GitLab и написанный на Go, часто доступен онлайн для удаленного взаимодействия.
Критическая уязвимость, связанная с внедрением аргументов, еще не получила CVE, затрагивает последние версии (Gogs 0.14.2 и 0.15.0+dev) и может быть использована только авторизованными злоумышленниками без прав администратора.
Однако, несмотря на то, что для эксплуатации уязвимости требуются базовые права пользователя, исследователи Rapid7 (обнаружившие эту уязвимость) заявляют, что она затрагивает все серверы Gogs со стандартными конфигурациями.
Поскольку Gogs поставляется с открытой регистрацией, включенной по умолчанию, и без ограничений на создание репозиториев, неавторизованный злоумышленник может просто создать учетную запись и репозиторий в любом экземпляре, настроенном по умолчанию.
Любой зарегистрированный пользователь, создавший репозиторий, автоматически становится его владельцем. После этого включение слияния rebase осуществляется одним переключателем в настройках, и вся цепочка эксплойтов может быть запущена без участия другого пользователя.
Успешная эксплуатация позволяет злоумышленникам удаленно выполнять произвольный код от имени пользователя серверного процесса Gogs через запросы на слияние, использующие вредоносное имя ветки для внедрения флага --exec в команду git rebase во время операции слияния.
Они могут использовать эту уязвимость, чтобы взломать сервер, считать все репозитории на экземпляре (включая частные репозитории других пользователей), получить доступ к учетным данным (хэши паролей, токены API, ключи SSH, секреты двухфакторной аутентификации), перейти к другим сетевым системам и изменить код любого размещенного репозитория».
Как отмечают исследователи, уязвимость похожа на другие уязвимости внедрения аргументов (CVE-2024-39933, CVE-2024-39932, CVE-2026-26194 и CVE-2024-39930), которые были устранены Gogs в последние годы, но затрагивает другой участок кода (Merge()), который так и не был исправлен.
Исследователи уведомили разработчиков Gogs 17 марта, но те до сих пор не выпустили исправление и не ответили на дальнейшие запросы, несмотря на то, что подтвердили получение сообщения 28 марта.
В настоящее время Shadowserver отслеживает более 2400 серверов Gogs в открытом доступе в сети, большинство из которых расположены в Азии (1894) и Европе (319), а Shodan обнаруживает чуть более 1000 IP, связанных с Gogs.
cwe.mitre.org
CWE -
CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') (4.20)
CWE-88: Improper Neutralization of Argument Delimiters in a Command ('Argument Injection') (4.20)
Common Weakness Enumeration (CWE) is a list of software weaknesses.
Силовики из Нидерландов провели одну из крупнейших в истории операций по борьбе с вредоносным ПО и обезвредили ботнет, заразивший более 17 млн. устройств по всему миру.
Ботнет состоял из компьютеров, планшетов и смартфонов, которые использовались для рассылки спам-писем, фишинговых сообщений и проведения DDoS-атак.
Голландская полиция и NCSC страны изъяли более 200 серверов у местного провайдера, которые использовались для развития и контроля ботнета.
Как отметили в нидерландской полиции, участие в операции по нейтрализации вредоносного ПО со стороны Национального центра кибербезопасности Нидерландов явление достаточно редкое.
В NCSC заявили, что узнали о ботнете после получения информации от исследователя, которую затем передали в киберподразделение полиции.
Власти не указали наименование ботнета, но местные СМИ утверждают, что он также являлся основой сервиса резидентных прокси-серверов Asocks.
Причем сайт Asocks всё ещё функционирует, но что по части ботнет пока непонятно. Стоит отметить, что Asocks ранее упоминался в отчете Human Security за 2024 год, так что вполне цель подтвержденная.
Тем более, что за день до блокировки NCSC опубликовала сообщение, в котором назвала сети резидентных прокси-серверов серьезной угрозой цифровой безопасности страны.
В отчете подробно описывалась библиотека PROXYLIB, написанная на Go, которая была встроена в различные приложения для Android и тайно превращала зараженные устройства в узлы сети резидентных прокси-серверов, что, по данным Human, было связано с Asocks.
Таким образом, Asocks пополнил список многочисленных ботнетов, заблокированных правоохранителями за последнее время, наряду с SocksEscort, Aisuru/Kimwolf, FirstVPN, IPIDEA и RapperBot.
Ботнет состоял из компьютеров, планшетов и смартфонов, которые использовались для рассылки спам-писем, фишинговых сообщений и проведения DDoS-атак.
Голландская полиция и NCSC страны изъяли более 200 серверов у местного провайдера, которые использовались для развития и контроля ботнета.
Как отметили в нидерландской полиции, участие в операции по нейтрализации вредоносного ПО со стороны Национального центра кибербезопасности Нидерландов явление достаточно редкое.
В NCSC заявили, что узнали о ботнете после получения информации от исследователя, которую затем передали в киберподразделение полиции.
Власти не указали наименование ботнета, но местные СМИ утверждают, что он также являлся основой сервиса резидентных прокси-серверов Asocks.
Причем сайт Asocks всё ещё функционирует, но что по части ботнет пока непонятно. Стоит отметить, что Asocks ранее упоминался в отчете Human Security за 2024 год, так что вполне цель подтвержденная.
Тем более, что за день до блокировки NCSC опубликовала сообщение, в котором назвала сети резидентных прокси-серверов серьезной угрозой цифровой безопасности страны.
В отчете подробно описывалась библиотека PROXYLIB, написанная на Go, которая была встроена в различные приложения для Android и тайно превращала зараженные устройства в узлы сети резидентных прокси-серверов, что, по данным Human, было связано с Asocks.
Таким образом, Asocks пополнил список многочисленных ботнетов, заблокированных правоохранителями за последнее время, наряду с SocksEscort, Aisuru/Kimwolf, FirstVPN, IPIDEA и RapperBot.
Politie
Politie en NCSC halen groot botnetwerk offline
Dankzij een succesvolle samenwerking tussen de politie en het Nationaal Cyber Security Centrum (NCSC) is een groot botnet offline gehaald. Hierbij zijn er 200 servers geïdentificeerd waar actie op is ondernomen. De servers stuurden miljoenen geïnfecteerde…
Forwarded from Russian OSINT
Корпорации 🍏 Apple и ❗️ Microsoft отказываются от ответственного поведения и выплат по Bug Bounty исследователям за найденные уязвимости
В сети очередное недовольство политикой ответственного раскрытия уязвимостей (вспоминаем на прошлой неделе скандал с Microsoft), но на этот раз под горячую руку исследователей попала корпорация Apple. Исследователи из Mysk объявили о полном прекращении сотрудничества с официальной программой Apple Security Bounty.
Mysk приняли такое решение после того, как представитель отдела безопасности Apple Роберт отказал им в выплате вознаграждения за критический баг. В корпорации заявили, что уязвимость уже была зарегистрирована кем-то другим, но при этом отказались предоставить какие-либо доказательства. Исследователи признались, что полностью потеряли доверие к платформе из-за несправедливого отношения и постоянного игнорирования их отчетов.
— написали Mysk в Х.
Демарш вызвал цепную реакцию в сообществе. Независимый исследователь под псевдонимом neils решил поддержать коллег и поделился в социальных сетях своей историей, которая произошла в 2019 году. Он утверждает, что обнаружил опасную 0-click уязвимость в приложении Messages. Вместо сотрудничества представители Apple отгородились стеной молчания и прекратили дальнейшее обсуждение.
Тогда исследователь решил прибегнуть к нестандартным методам, чтобы заставить корпорацию прислушаться. Используя свои технические навыки и знания, он смог обойти защиту и внедриться в закрытые рабочие процессы компании. Специалист выяснил, что сотрудники отдела по поиску уязвимостей Apple ежедневно проводят внутренние совещания в формате обычных групповых звонков через приложение FaceTime [см. скриншот]. Ему удалось незаметно подключиться к одной из таких секретных конференций и увидеть на экране лица инженеров. Чтобы наглядно доказать наличие колоссальной бреши в безопасности, исследователь сделал снимок экрана этой групповой беседы и отправил его в компанию в качестве отчета о новой критической уязвимости, которая позволяла посторонним лицам проникать на закрытые корпоративные созвоны.
Реакция технологического гиганта оказалась далека от партнерской. Вместо признания заслуг эксперта или исправления ошибки корпорация Apple направила исследователю официальное письмо с 👮угрозами.
🤔Две независимые истории Apple и Microsoft слились в один большой прецедент. Крупнейшие технологические компании любят требовать от исследователей строгого соблюдения этики и правил скрытого информирования об угрозах, но сами при этом регулярно игнорируют чужой труд и отказываются выстраивать прозрачные процессы коммуникации.
--------------------------
✋ Да, кстати, как там с выплатами в $1 миллион?
https://xn--r1a.website/Russian_OSINT/4203
✋ @Russian_OSINT
В сети очередное недовольство политикой ответственного раскрытия уязвимостей (вспоминаем на прошлой неделе скандал с Microsoft), но на этот раз под горячую руку исследователей попала корпорация Apple. Исследователи из Mysk объявили о полном прекращении сотрудничества с официальной программой Apple Security Bounty.
Mysk приняли такое решение после того, как представитель отдела безопасности Apple Роберт отказал им в выплате вознаграждения за критический баг. В корпорации заявили, что уязвимость уже была зарегистрирована кем-то другим, но при этом отказались предоставить какие-либо доказательства. Исследователи признались, что полностью потеряли доверие к платформе из-за несправедливого отношения и постоянного игнорирования их отчетов.
Мы больше не будем отправлять обнаруженные нами баги в системах Apple через программу Apple Bounty Program.
Публичное разглашение информации об уязвимостях, которые позволяют злоумышленникам наносить вред пользователям, является неправильным, незаконным и преступным деянием. Мы больше 🤐не будем отправлять отчеты об уязвимостях и прекращаем активно проводить исследования безопасности в отношении продуктов Apple. Мы предпочтем сосредоточиться на других интересных проектах в области конфиденциальности и делиться их результатами с вами.
— написали Mysk в Х.
Демарш вызвал цепную реакцию в сообществе. Независимый исследователь под псевдонимом neils решил поддержать коллег и поделился в социальных сетях своей историей, которая произошла в 2019 году. Он утверждает, что обнаружил опасную 0-click уязвимость в приложении Messages. Вместо сотрудничества представители Apple отгородились стеной молчания и прекратили дальнейшее обсуждение.
Тогда исследователь решил прибегнуть к нестандартным методам, чтобы заставить корпорацию прислушаться. Используя свои технические навыки и знания, он смог обойти защиту и внедриться в закрытые рабочие процессы компании. Специалист выяснил, что сотрудники отдела по поиску уязвимостей Apple ежедневно проводят внутренние совещания в формате обычных групповых звонков через приложение FaceTime [см. скриншот]. Ему удалось незаметно подключиться к одной из таких секретных конференций и увидеть на экране лица инженеров. Чтобы наглядно доказать наличие колоссальной бреши в безопасности, исследователь сделал снимок экрана этой групповой беседы и отправил его в компанию в качестве отчета о новой критической уязвимости, которая позволяла посторонним лицам проникать на закрытые корпоративные созвоны.
Реакция технологического гиганта оказалась далека от партнерской. Вместо признания заслуг эксперта или исправления ошибки корпорация Apple направила исследователю официальное письмо с 👮угрозами.
🤔Две независимые истории Apple и Microsoft слились в один большой прецедент. Крупнейшие технологические компании любят требовать от исследователей строгого соблюдения этики и правил скрытого информирования об угрозах, но сами при этом регулярно игнорируют чужой труд и отказываются выстраивать прозрачные процессы коммуникации.
--------------------------
https://xn--r1a.website/Russian_OSINT/4203
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Бельгийский центр кибербезопасности (CCB) выпустил предупреждение, информируй, что злоумышленники теперь используют недавно исправленную критическую уязвимость Windows Netlogon в реальных атаках.
Microsoft устранила CVE-2026-41089 (CVSS 9.8) в рамках майского PatchTuesday, описав её как переполнение буфера стека в Windows Netlogon, которое позволяет злоумышленникам без привилегий получить удалённое выполнение кода на целевых контроллерах домена.
Злоумышленник может отправить специально сформированный сетевой запрос на сервер Windows, выступающий в качестве контроллера домена.
В случае успеха это может привести к некорректной обработке запроса службой Netlogon, что потенциально позволит злоумышленнику запустить код в затронутой системе без необходимости входа в систему или предварительного доступа.
CVE-2026-41089 затрагивает все поддерживаемые в настоящее время версии Windows Server, включая последнюю версию, Windows Server 2025.
Согласно уведомлению от 12 мая, уязвимость была обнаружена группой Windows Attack Research & Protection (WARP), подразделением Microsoft, занимающимся исследованиями в области кибербезопасности и инженерными разработками.
Помимо констатации начавшейся эусплуатации CCB не предоставила никаких дополнительных подробностей о замеченных атаках и пока никак нет комментирует ситуацию.
Microsoft также пока не обновила свое изначальное уведомление и сохраняет молчание относительно атак, нацеленных на CVE-2026-41089.
Вместо этого микромягкие занимаются преследованием анонимного исследователя Nightmare Eclipse, который публично раскритиковал компанию за недобросовестный процесс раскрытия уязвимостей и программу вознаграждений, сопроводив свои доводы отчетами по ранее неизвестным нулям.
После этого публичного конфликта с Microsoft и завуалированных угроз, в адрес исследователя посыпались сообщения об ошибках от других пользователей, которые намерены слить через него для широкой общественности свои изыскания.
Так что Nightmare Eclipse объявил о начале раскрытия новых уязвимостей в решениях Microsoft, следующая из которых связана с BitLocker и была предоставлена ему исследователем по имени JonasLyk.
Microsoft устранила CVE-2026-41089 (CVSS 9.8) в рамках майского PatchTuesday, описав её как переполнение буфера стека в Windows Netlogon, которое позволяет злоумышленникам без привилегий получить удалённое выполнение кода на целевых контроллерах домена.
Злоумышленник может отправить специально сформированный сетевой запрос на сервер Windows, выступающий в качестве контроллера домена.
В случае успеха это может привести к некорректной обработке запроса службой Netlogon, что потенциально позволит злоумышленнику запустить код в затронутой системе без необходимости входа в систему или предварительного доступа.
CVE-2026-41089 затрагивает все поддерживаемые в настоящее время версии Windows Server, включая последнюю версию, Windows Server 2025.
Согласно уведомлению от 12 мая, уязвимость была обнаружена группой Windows Attack Research & Protection (WARP), подразделением Microsoft, занимающимся исследованиями в области кибербезопасности и инженерными разработками.
Помимо констатации начавшейся эусплуатации CCB не предоставила никаких дополнительных подробностей о замеченных атаках и пока никак нет комментирует ситуацию.
Microsoft также пока не обновила свое изначальное уведомление и сохраняет молчание относительно атак, нацеленных на CVE-2026-41089.
Вместо этого микромягкие занимаются преследованием анонимного исследователя Nightmare Eclipse, который публично раскритиковал компанию за недобросовестный процесс раскрытия уязвимостей и программу вознаграждений, сопроводив свои доводы отчетами по ранее неизвестным нулям.
После этого публичного конфликта с Microsoft и завуалированных угроз, в адрес исследователя посыпались сообщения об ошибках от других пользователей, которые намерены слить через него для широкой общественности свои изыскания.
Так что Nightmare Eclipse объявил о начале раскрытия новых уязвимостей в решениях Microsoft, следующая из которых связана с BitLocker и была предоставлена ему исследователем по имени JonasLyk.
Blogspot
Announcing Bitskrieg
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 Soooo, something extremely funny is happening. After the recent events, multiple researche...
В ядре Linux обнаружена новая 19-ти летняя уязвимость локального повышения привилегий CIFSwitch, которая позволяет подделывать описания ключей аутентификации CIFS, использовать механизм запроса ключей ядра и получать права root.
Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.
CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.
Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.
Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.
Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.
В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.
Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.
Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.
Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.
В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.
Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.
Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.
Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.
Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.
Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.
Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.
Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.
Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.
Проблема затрагивает несколько дистрибутивов Linux, в которых используются уязвимые комбинации ядра CIFS и утилит cifs-utils (версии 6.14 и выше, хотя некоторые более старые варианты также подвержены воздействию). Обнаружение приписывается инженеру по безопасности SpaceX.
CIFS (Common Internet File System) - это сетевой протокол, позволяющий получать доступ к файлам, папкам и устройствам в локальной сети. Linux использует его для монтирования, чтения и записи данных с удаленных систем.
Если для аутентификации в сетевой папке CIFS используется Kerberos, ядро Linux запрашивает аутентификацию у вспомогательной программы в пользовательском пространстве, при этом в качестве посредника выступает набор инструментов пользовательского пространства cifs-utils.
Ядро запрашивает ключ типа cifs.spnego, а стандартная конфигурация keyutils/request-key запускает cifs.upcall от имени root для получения или создания материалов Kerberos/SPNEGO.
Проблема заключается в том, что подсистема CIFS ядра Linux не может проверить, исходят ли запросы ключа cifs.spnego от клиента CIFS ядра.
В результате, непривилегированный пользователь может создать поддельный запрос cifs.spnego и запустить обычный процесс аутентификации.
Запрос ключа cifs.spnego используется подсистемой ключей Linux для получения данных аутентификации, необходимых клиенту CIFS/SMB при подключении к сетевому ресурсу с использованием аутентификации Kerberos/SPNEGO.
Уязвимость позволяет вспомогательной функции cifs.upcall с правами root доверять полям, контролируемым злоумышленником, которые, как она предполагает, были сгенерированы ядром.
Используя эти поля для принудительного переключения пространства имен, а затем инициируя поиск службы имен (NSS) до потери привилегий, локальный злоумышленник может загрузить вредоносный модуль NSS и добиться выполнения кода с правами root.
В свою очередь, Manizada опубликовала подробный технический отчет с объяснением причин проблемы и то, как ее можно использовать для получения прав root.
Эксплуатация зависит от нескольких факторов, таких как уязвимая версия ядра. К другим необходимым условиям относятся уязвимая версия cifs-utils, наличие пространств имен пользователей и политики SELinux/AppArmor, не блокирующие атаку.
Manizada подтвердила уязвимость следующих дистрибутивов при использовании конфигураций по умолчанию: Linux Mint 21.3 / 22.3, CentOS Stream 9, Rocky Linux 9, AlmaLinux 9, Kali Linux 2021.4–2026.1 и SLES 15 SP7.
Различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.
Однако существуют также версии, такие как Ubuntu 26.04, Fedora 40-44, CentOS Stream 10, Rocky Linux 10, SLES 16, AlmaLinux 10 и openSUSE Leap 16, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию уязвимости CIFSwitch.
Кроме того, Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 никак не затронуты, поскольку в их версиях cifs-utils отсутствует функциональность переключения пространств имен.
Проблема с CIFSwitch была исправлена с помощью патча ядра, который добавляет проверку источников запросов cifs.spnego (коммит 3da1fdf в основной ветке разработки), но точные версии ядра, в которых включен этот патч, различаются в зависимости от дистрибутива.
Исследователи рекомендуют пользователям отключать или добавлять в черный список модуль CIFS, если он не используется, удалять пакет cifs-utils, если он не нужен, и отключать пространства имен для непривилегированных пользователей.
Manizada опубликовала также демонстрационный PoC, который может помочь проверить эффективность примененных исправлений и мер по устранению уязвимостей.
Hey, it's Asim
CIFSwitch: a non-universal Linux local root vulnerability
Harnessing LLMs into composing complex, multihop vulnerability chains to discover CVE-2026-46243
У клиентов Palo Alto Networks снова проблемы, вызванные PAN-OS’ом.
Хакеры теперь используют уязвимость обхода аутентификации в PAN-OS GlobalProtect, отслеживаемую как CVE-2026-0257, в атаках, нацеленных на взлом корпоративных сетей.
В начале этого месяца компания устранила CVE-2026-0257, предупредив, что портал и шлюз GlobalProtect программного обеспечения Palo Alto Networks PAN-OS позволяют злоумышленнику обходить ограничения безопасности и устанавливать несанкционированное VPN-соединение.
Уязвимость получила средний уровень серьезности, поскольку для ее устранения требуется, чтобы устройства были настроены с включенными cookie-файлами для переопределения аутентификации и с использованием определенной конфигурации сертификата.
Однако в пятницу Palo Alto Networks обновила предупреждение, сообщив, что уязвимость активно используется в атаках на устройства без установленных обновлений, повысив уровень серьезности до высокого.
Поставщик получил информацию о немногочисленных попытках использования уязвимостей на устройствах PAN-OS без установленных обновлений и мер по их устранению.
В свою очередь, Rapid7 сообщила, что с 17 мая она обнаружила уязвимость, используемую в отношении ее многочисленных клиентов, однако не обнаружила никаких признаков успешного перемещения устройств по сети. По состоянию на 29 мая уязвимость была добавлена в базу данных CISA KEV.
Атаки начались с того, что хакеры прошли аутентификацию на шлюзах GlobalProtect, используя поддельные cookie-файлы для переопределения аутентификации, которые были нацелены на локальную учетную запись администратора.
Компания впервые обнаружила уязвимость 18 мая на инфраструктуре, размещенной на серверах Vultr, а вторая волна атак, зафиксированная 21 мая, исходила от Dromatics Systems.
В некоторых случаях злоумышленникам удавалось подключиться к устройству через VPN, используя поддельные cookie-файлы, что предоставляло им доступ к внутренним сетям.
Однако, по данным Rapid7, во многих случаях, даже несмотря на то, что устройство принимало поддельные cookie-файлы, установить полноценную VPN-сессию не удавалось.
В ходе расследования Rapid7 было установлено, что на затронутых устройствах были включены файлы cookie для переопределения аутентификации GlobalProtect, и они были настроены таким образом, что позволяли злоумышленникам подделывать действительные файлы cookie для аутентификации.
Исследователи утверждают, что недостаток связан с проверкой PAN-OS файлов cookie, используемых для переопределения аутентификации.
VPN-устройство GlobalProtect расшифровывает такие файлы cookie, используя настроенный закрытый ключ, а затем доверяет расшифрованному содержимому без выполнения какой-либо проверки подписи.
Если один и тот же сертификат используется как для HTTPS-сервисов, так и для файлов cookie, используемых для переопределения аутентификации, злоумышленники могут получить соответствующий открытый ключ через HTTPS-сессию, а затем использовать его для создания поддельных файлов cookie, которые устройство будет воспринимать как легитимные.
Rapid7 разработала PoC, демонстрирующий, как злоумышленник может получить доступ к открытым сертификатам, предоставляемым порталом или шлюзом GlobalProtect, сгенерировать поддельный cookie-файл для переопределения аутентификации для произвольного пользователя и пройти аутентификацию, не зная действительных учетных данных.
Пользователям VPN-устройств GlobalProtect следует немедленно установить последние обновления для устранения выявленных уязвимостей.
Администраторы также могут устранить эту уязвимость, отключив функцию переопределения аутентификации или используя для этой функции другой сертификат и не предоставляя его другим службам на устройстве.
Хакеры теперь используют уязвимость обхода аутентификации в PAN-OS GlobalProtect, отслеживаемую как CVE-2026-0257, в атаках, нацеленных на взлом корпоративных сетей.
В начале этого месяца компания устранила CVE-2026-0257, предупредив, что портал и шлюз GlobalProtect программного обеспечения Palo Alto Networks PAN-OS позволяют злоумышленнику обходить ограничения безопасности и устанавливать несанкционированное VPN-соединение.
Уязвимость получила средний уровень серьезности, поскольку для ее устранения требуется, чтобы устройства были настроены с включенными cookie-файлами для переопределения аутентификации и с использованием определенной конфигурации сертификата.
Однако в пятницу Palo Alto Networks обновила предупреждение, сообщив, что уязвимость активно используется в атаках на устройства без установленных обновлений, повысив уровень серьезности до высокого.
Поставщик получил информацию о немногочисленных попытках использования уязвимостей на устройствах PAN-OS без установленных обновлений и мер по их устранению.
В свою очередь, Rapid7 сообщила, что с 17 мая она обнаружила уязвимость, используемую в отношении ее многочисленных клиентов, однако не обнаружила никаких признаков успешного перемещения устройств по сети. По состоянию на 29 мая уязвимость была добавлена в базу данных CISA KEV.
Атаки начались с того, что хакеры прошли аутентификацию на шлюзах GlobalProtect, используя поддельные cookie-файлы для переопределения аутентификации, которые были нацелены на локальную учетную запись администратора.
Компания впервые обнаружила уязвимость 18 мая на инфраструктуре, размещенной на серверах Vultr, а вторая волна атак, зафиксированная 21 мая, исходила от Dromatics Systems.
В некоторых случаях злоумышленникам удавалось подключиться к устройству через VPN, используя поддельные cookie-файлы, что предоставляло им доступ к внутренним сетям.
Однако, по данным Rapid7, во многих случаях, даже несмотря на то, что устройство принимало поддельные cookie-файлы, установить полноценную VPN-сессию не удавалось.
В ходе расследования Rapid7 было установлено, что на затронутых устройствах были включены файлы cookie для переопределения аутентификации GlobalProtect, и они были настроены таким образом, что позволяли злоумышленникам подделывать действительные файлы cookie для аутентификации.
Исследователи утверждают, что недостаток связан с проверкой PAN-OS файлов cookie, используемых для переопределения аутентификации.
VPN-устройство GlobalProtect расшифровывает такие файлы cookie, используя настроенный закрытый ключ, а затем доверяет расшифрованному содержимому без выполнения какой-либо проверки подписи.
Если один и тот же сертификат используется как для HTTPS-сервисов, так и для файлов cookie, используемых для переопределения аутентификации, злоумышленники могут получить соответствующий открытый ключ через HTTPS-сессию, а затем использовать его для создания поддельных файлов cookie, которые устройство будет воспринимать как легитимные.
Rapid7 разработала PoC, демонстрирующий, как злоумышленник может получить доступ к открытым сертификатам, предоставляемым порталом или шлюзом GlobalProtect, сгенерировать поддельный cookie-файл для переопределения аутентификации для произвольного пользователя и пройти аутентификацию, не зная действительных учетных данных.
Пользователям VPN-устройств GlobalProtect следует немедленно установить последние обновления для устранения выявленных уязвимостей.
Администраторы также могут устранить эту уязвимость, отключив функцию переопределения аутентификации или используя для этой функции другой сертификат и не предоставляя его другим службам на устройстве.
Palo Alto Networks Product Security Assurance
CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities
Authentication bypass vulnerabilities in the GlobalProtect portal and gateway of Palo Alto Networks PAN-OS® software allows the attacker to bypass security restrictions and establish an unauthorized V...
Киберподполье взялось за сайты WordPress с уязвимой версией плагина WP Maps Pro, которая позволяет создавать учетные записи администратора без аутентификации.
CVE-2026-8732 имеет критический уровень серьезности и затрагивает версии WP Maps Pro 6.1.0 и более ранние, была обнаружена и раскрыта исследователем Дэвидом Брауном.
WP Maps Pro - это премиальный плагин для WordPress, предназначенный для создания интерактивных, настраиваемых карт и локаций магазинов, поддерживает множество поставщиков карт, таких как Google Maps и OpenStreetMap.
Уязвимость вызвана функцией «временного доступа» в плагине, предназначенной для предоставления сотрудникам службы поддержки поставщика доступа к сайтам клиентов для устранения неполадок.
Браун обнаружил, что AJAX-интерфейс, используемый для этой функции, был доступен неаутентифицированным пользователям и полагался исключительно на общедоступную проверку nonce во фронтенд-JavaScript, что делало защиту неэффективной.
Это позволяет отправлять специально сформированный запрос, который запускает код для создания нового пользователя WordPress, назначения ему роли администратора, генерации URL-адреса для входа без пароля и отправки его на удаленную систему.
После перехода по этому URL-адресу злоумышленник автоматически авторизуется в созданной учетной записи администратора, без необходимости ввода пароля или какой-либо другой проверки.
Исследователи Defiant обнаружили, что злоумышленники пытаются использовать эту уязвимость. Только за последние 24 часа заблокировали более 3600 попыток.
Как пояснили исследователи, когда запрос выполняется с параметром check_temp, установленным в значение false, функция создает нового пользователя WordPress с помощью wp_insert_user() с жестко заданной ролью администратора, случайно сгенерированным именем пользователя и жестко заданным адресом электронной почты support@flippercode.com.
Затем функция генерирует специальный URL-адрес для входа с помощью функции generate_login_link(), сохраняет его в качестве метаданных пользователя и возвращает в теле ответа».
Наличие прав администратора на сайте означает, что злоумышленники могут внедрять постоянные бэкдоры, изменять контент, получать доступ к конфиденциальным данным, развертывать веб-оболочки, устанавливать вредоносные плагины и захватывать контроль над веб-сайтом.
Браун сообщил о проблеме Wordfence 24 марта, а поставщик был уведомлен 16 мая после подтверждения уязвимости. 20 мая был выпущен WP Maps Pro 6.1.1 с исправлением уязвимости CVE-2026-8732.
Администраторам сайтов рекомендуется как можно скорее обновить свои плагины, дабы не стать жертвуй новой атаки на цепочку мудаков.
CVE-2026-8732 имеет критический уровень серьезности и затрагивает версии WP Maps Pro 6.1.0 и более ранние, была обнаружена и раскрыта исследователем Дэвидом Брауном.
WP Maps Pro - это премиальный плагин для WordPress, предназначенный для создания интерактивных, настраиваемых карт и локаций магазинов, поддерживает множество поставщиков карт, таких как Google Maps и OpenStreetMap.
Уязвимость вызвана функцией «временного доступа» в плагине, предназначенной для предоставления сотрудникам службы поддержки поставщика доступа к сайтам клиентов для устранения неполадок.
Браун обнаружил, что AJAX-интерфейс, используемый для этой функции, был доступен неаутентифицированным пользователям и полагался исключительно на общедоступную проверку nonce во фронтенд-JavaScript, что делало защиту неэффективной.
Это позволяет отправлять специально сформированный запрос, который запускает код для создания нового пользователя WordPress, назначения ему роли администратора, генерации URL-адреса для входа без пароля и отправки его на удаленную систему.
После перехода по этому URL-адресу злоумышленник автоматически авторизуется в созданной учетной записи администратора, без необходимости ввода пароля или какой-либо другой проверки.
Исследователи Defiant обнаружили, что злоумышленники пытаются использовать эту уязвимость. Только за последние 24 часа заблокировали более 3600 попыток.
Как пояснили исследователи, когда запрос выполняется с параметром check_temp, установленным в значение false, функция создает нового пользователя WordPress с помощью wp_insert_user() с жестко заданной ролью администратора, случайно сгенерированным именем пользователя и жестко заданным адресом электронной почты support@flippercode.com.
Затем функция генерирует специальный URL-адрес для входа с помощью функции generate_login_link(), сохраняет его в качестве метаданных пользователя и возвращает в теле ответа».
Наличие прав администратора на сайте означает, что злоумышленники могут внедрять постоянные бэкдоры, изменять контент, получать доступ к конфиденциальным данным, развертывать веб-оболочки, устанавливать вредоносные плагины и захватывать контроль над веб-сайтом.
Браун сообщил о проблеме Wordfence 24 марта, а поставщик был уведомлен 16 мая после подтверждения уязвимости. 20 мая был выпущен WP Maps Pro 6.1.1 с исправлением уязвимости CVE-2026-8732.
Администраторам сайтов рекомендуется как можно скорее обновить свои плагины, дабы не стать жертвуй новой атаки на цепочку мудаков.
Wordfence
WP Maps Pro vulnerability lets attackers create admin accounts on 15,000 WordPress sites
On March 24th, 2026, we received a submission for an Unauthenticated Administrator Account Creation vulnerability in WP Maps Pro, a WordPress plugin with more than 15,000 sales.
Российские силовики вскрыли и скомпрометировали схему прослушки, которую иностранные спецслужбы развернули в отношении высокопоставленных российских госслужащих, используя смартфоны и вредоносное ПО.
Согласно официальному заявлению ЦОС ФСБ России, чувствительную информацию добывали через вредоносное ПО, связанное с разработками американских IT-компаний Fastly и Cloudflare.
Предпринятая широкомасштабная акция открыла иностранным спецслужбам доступ к имеющимся данным на устройствах, прослушиванию ведущихся переговоров и контролю переписки, а также позволяла осуществлять негласный акустический и видеоконтроль обстановки в непосредственном окружении.
Операция по прослушке была многоуровневой с координацией через несколько стран и нацелена, в том числе на получение разведданных о настроениях в российском обществе. После сбора компромата чиновники, за которыми велась слежка, попадали в санкционные списки США и ЕС.
Причем, как отметили в ведомстве, западные спецслужбы полагали, что им будет проще и дешевле в массовом порядке взламывать сотовые телефоны, чем вербовать дорогостоящих информаторов среди носителей государственной тайны.
По факту выявления данной противоправной деятельности СУ ФСБ России возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 272 и 273 УК РФ.
Начато расследование, ожидаем технических подробностей.
Согласно официальному заявлению ЦОС ФСБ России, чувствительную информацию добывали через вредоносное ПО, связанное с разработками американских IT-компаний Fastly и Cloudflare.
Предпринятая широкомасштабная акция открыла иностранным спецслужбам доступ к имеющимся данным на устройствах, прослушиванию ведущихся переговоров и контролю переписки, а также позволяла осуществлять негласный акустический и видеоконтроль обстановки в непосредственном окружении.
Операция по прослушке была многоуровневой с координацией через несколько стран и нацелена, в том числе на получение разведданных о настроениях в российском обществе. После сбора компромата чиновники, за которыми велась слежка, попадали в санкционные списки США и ЕС.
Причем, как отметили в ведомстве, западные спецслужбы полагали, что им будет проще и дешевле в массовом порядке взламывать сотовые телефоны, чем вербовать дорогостоящих информаторов среди носителей государственной тайны.
По факту выявления данной противоправной деятельности СУ ФСБ России возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 272 и 273 УК РФ.
Начато расследование, ожидаем технических подробностей.
TACC
ФСБ вскрыла схему внедрения шпионских программ в телефоны чиновников. Главное
По данным ведомства, это была многоуровневая операция с далеко идущими последствиями и серьезными рисками, которая предполагает координацию нескольких государств
Исследователи из Лаборатории Касперского этот тренд достаточно основательно расчехлили еще в ходе расследования «Операции Триангуляция».
В контексте новых разоблачений в ЛК рассказали о сложной атаке через скрытое сообщение.
Как отметил директор центра исследования и анализа угроз ЛК Игорь Кузнецов, взломать айфон могут путем установки вредоносной программы через "невидимое" сообщение iMessage.
По его словам, в 2023 году во время стандартного мониторинга Wi-Fi сети в офисе лаборатории эксперты обнаружили подозрительную активность.
Дальнейший анализ позволил мноступенчатую цепочку заражения и задействованные компоненты уникального программного обеспечения, позволявшего снимать ограничения, совершенно незаметно для пользователя. В результате злоумышленник получал контроль над смартфоном.
Вредоносная ПО попадала на устройство сразу же, как начиналась обработка полученного сообщения. С ее помощью злоумышленники получали полный контроль над устройством, включая запись звука.
Устройство запускало аудиозапись на следующие три часа, и неважно, телефон был ли в сети. Как только у появлялась связь эта аудиозапись уже уходила на атакующий сервер.
В целом, со слов Кузнецова, было очень много различных компонентов.
В контексте новых разоблачений в ЛК рассказали о сложной атаке через скрытое сообщение.
Как отметил директор центра исследования и анализа угроз ЛК Игорь Кузнецов, взломать айфон могут путем установки вредоносной программы через "невидимое" сообщение iMessage.
По его словам, в 2023 году во время стандартного мониторинга Wi-Fi сети в офисе лаборатории эксперты обнаружили подозрительную активность.
Дальнейший анализ позволил мноступенчатую цепочку заражения и задействованные компоненты уникального программного обеспечения, позволявшего снимать ограничения, совершенно незаметно для пользователя. В результате злоумышленник получал контроль над смартфоном.
Вредоносная ПО попадала на устройство сразу же, как начиналась обработка полученного сообщения. С ее помощью злоумышленники получали полный контроль над устройством, включая запись звука.
Устройство запускало аудиозапись на следующие три часа, и неважно, телефон был ли в сети. Как только у появлялась связь эта аудиозапись уже уходила на атакующий сервер.
В целом, со слов Кузнецова, было очень много различных компонентов.
Telegram
SecAtor
Российские силовики вскрыли и скомпрометировали схему прослушки, которую иностранные спецслужбы развернули в отношении высокопоставленных российских госслужащих, используя смартфоны и вредоносное ПО.
Согласно официальному заявлению ЦОС ФСБ России, чувствительную…
Согласно официальному заявлению ЦОС ФСБ России, чувствительную…
В результате атаки на цепочку поставок скомпрометированы npm-пакеты в экосистеме Red Hat, распространивших новый вариант вредоносного ПО Shai-Hulud, получившего название Miasma.
Инцидент был обнаружен Aikido и OX Security (1 и 2), которые выявили десятки версий пакетов, содержащих бэкдоры с вредоносным ПО, предназначенным для кражи учетных данных разработчиков, секретов из облачных сервисов, ключей SSH, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, взломанные пакеты скачиваются примерно 117 000 раз в неделю. Как отметили в Red Hat, затронутые пакеты были удалены после того, как ей стало известно об инциденте.
Скомпрометированные пакеты предназначены исключительно для внутренней разработки, вредоносный код не получил распространения среди клиентов через систему console.redhat.com.
Расследование инцидента продолжается, но, предварительно, влияния на среды клиентов или партнеров, а также на производственные системы Red Hat выявлено не было.
По данным Aikido, злоумышленники, по всей видимости, взломали учетную запись GitHub сотрудника Red Hat и использовали ее для прямой отправки вредоносных коммитов в несколько репозиториев.
Инициированные изменения добавили рабочий процесс GitHub Actions и скрипт, который использовал механизм публикации npm для выпуска пакетов с бэкдорами.
Когда запускался рабочий процесс, он устанавливал Bun и выполнял команду _index.js, передавая ей список целевых пакетов через переменную среды OIDC_PACKAGES.
Скрипт использует id-token: разрешение на запись для запроса кратковременного токена OIDC от GitHub, затем использует этот токен для прямой аутентификации с доверенной конечной точкой публикации npm и публикации версий каждого пакета из списка с бэкдорами.
Скомпрометированные пакеты содержали вредоносный скрипт предварительной установки, который автоматически запускал сильно обфусцированный вредоносный файл index.js при установке пакетов разработчиками.
Размер полезной нагрузки в файле index.js составлял приблизительно 4,2 МБ и использовался для кражи секретов GitHub Actions, учетных данных AWS, учетных данных Google Cloud и Docker, субъекта службы Azure, токенов HashiCorp Vault, записи службы Kubernetes, публикации npm и PyPI, ключей SSH и GPG и файлов .env.
Исследователи утверждают, что вредоносная ПО, использованная при взломе Red Hat, имеет много общего с Mini Shai-Hulud, но теперь использует строку «Miasma: The Spreading Blight» в качестве комментариев во взломанных репозиториях GitHub.
Вредоносная ПО хоть и напоминает Mini Shai-Hulud от TeamPCP, но неясно, проводилась ли кампания именно этим злоумышленником либо другим, который модифицировал исходный код просочившейся вредоносной ПО.
OX Security полагает, что вредоносная ПО сохраняет ту же функциональность по краже учетных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоступенчатые механизмы доставки полезной нагрузки, а также расширенные функции кражи данных и сбора учетных данных.
На текущий момент вредоносной ПО Miasma были скомпрометированы 309 репозиториев GitHub. Установившим затронутые версии вредоносного ПО рекомендуется немедленно обновить все учетные данные, секреты и токены.
Инцидент был обнаружен Aikido и OX Security (1 и 2), которые выявили десятки версий пакетов, содержащих бэкдоры с вредоносным ПО, предназначенным для кражи учетных данных разработчиков, секретов из облачных сервисов, ключей SSH, токенов CI/CD и другой конфиденциальной информации.
По данным Aikido, взломанные пакеты скачиваются примерно 117 000 раз в неделю. Как отметили в Red Hat, затронутые пакеты были удалены после того, как ей стало известно об инциденте.
Скомпрометированные пакеты предназначены исключительно для внутренней разработки, вредоносный код не получил распространения среди клиентов через систему console.redhat.com.
Расследование инцидента продолжается, но, предварительно, влияния на среды клиентов или партнеров, а также на производственные системы Red Hat выявлено не было.
По данным Aikido, злоумышленники, по всей видимости, взломали учетную запись GitHub сотрудника Red Hat и использовали ее для прямой отправки вредоносных коммитов в несколько репозиториев.
Инициированные изменения добавили рабочий процесс GitHub Actions и скрипт, который использовал механизм публикации npm для выпуска пакетов с бэкдорами.
Когда запускался рабочий процесс, он устанавливал Bun и выполнял команду _index.js, передавая ей список целевых пакетов через переменную среды OIDC_PACKAGES.
Скрипт использует id-token: разрешение на запись для запроса кратковременного токена OIDC от GitHub, затем использует этот токен для прямой аутентификации с доверенной конечной точкой публикации npm и публикации версий каждого пакета из списка с бэкдорами.
Скомпрометированные пакеты содержали вредоносный скрипт предварительной установки, который автоматически запускал сильно обфусцированный вредоносный файл index.js при установке пакетов разработчиками.
Размер полезной нагрузки в файле index.js составлял приблизительно 4,2 МБ и использовался для кражи секретов GitHub Actions, учетных данных AWS, учетных данных Google Cloud и Docker, субъекта службы Azure, токенов HashiCorp Vault, записи службы Kubernetes, публикации npm и PyPI, ключей SSH и GPG и файлов .env.
Исследователи утверждают, что вредоносная ПО, использованная при взломе Red Hat, имеет много общего с Mini Shai-Hulud, но теперь использует строку «Miasma: The Spreading Blight» в качестве комментариев во взломанных репозиториях GitHub.
Вредоносная ПО хоть и напоминает Mini Shai-Hulud от TeamPCP, но неясно, проводилась ли кампания именно этим злоумышленником либо другим, который модифицировал исходный код просочившейся вредоносной ПО.
OX Security полагает, что вредоносная ПО сохраняет ту же функциональность по краже учетных данных, что и Mini Shai-Hulud, но добавляет дополнительные уровни обфускации, многоступенчатые механизмы доставки полезной нагрузки, а также расширенные функции кражи данных и сбора учетных данных.
На текущий момент вредоносной ПО Miasma были скомпрометированы 309 репозиториев GitHub. Установившим затронутые версии вредоносного ПО рекомендуется немедленно обновить все учетные данные, секреты и токены.
www.aikido.dev
Red Hat npm Packages Compromised to Spread a Credential-Stealing Worm
Multiple official @redhat-cloud-services npm packages were compromised with a credential-stealing worm derived from the open-sourced Mini Shai-Hulud malware, targeting cloud credentials, and developer tooling across CI/CD pipelines.
Google выпустила июньские обновления для Android за 2026 год с исправлением 124 уязвимостей, включая одну 0-day, используемую в таргетированных атаках.
Злоумышленники, использующие локальные сети, могут эксплуатировать активно используемую уязвимость высокой степени серьезности в Android Framework (CVE-2025-48595) для получения RCE и EoP на устройствах под управлением Android 14 или более поздних версий.
Несмотря на отмеченные в своем бюллетене по безопасности Android за март 2025 года признаки того, что CVE-2025-48595 может быть использована в ограниченных атаках, Google не представила какой-либо дополнительной информации.
Однако стоит отметить, что подобные уязвимости ранее использовались коммерческими шпионскими ПО и APT-группами, нацеленными на высокопоставленных или представляющих большой интерес лиц.
В этом месяце в обновлениях безопасности для Android компания исправила 18 критических уязвимостей в компонентах System, Framework и Qualcomm с закрытым исходным кодом, которые злоумышленники могут использовать для атак типа DoS и EoP на незащищенных устройствах.
Наиболее серьезной из этих проблем является критическая уязвимость в компоненте Framework, которая может привести к RCE без необходимости получения дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем.
Традиционно Google представила два набора исправлений: уровни от 1 июня 2026 года и от 5 июня 2026 года. Последний включает в себя все исправления из первого набора, а также для закрытых сторонних компонентов, которые могут не применяться ко всем устройствам Android.
Злоумышленники, использующие локальные сети, могут эксплуатировать активно используемую уязвимость высокой степени серьезности в Android Framework (CVE-2025-48595) для получения RCE и EoP на устройствах под управлением Android 14 или более поздних версий.
Несмотря на отмеченные в своем бюллетене по безопасности Android за март 2025 года признаки того, что CVE-2025-48595 может быть использована в ограниченных атаках, Google не представила какой-либо дополнительной информации.
Однако стоит отметить, что подобные уязвимости ранее использовались коммерческими шпионскими ПО и APT-группами, нацеленными на высокопоставленных или представляющих большой интерес лиц.
В этом месяце в обновлениях безопасности для Android компания исправила 18 критических уязвимостей в компонентах System, Framework и Qualcomm с закрытым исходным кодом, которые злоумышленники могут использовать для атак типа DoS и EoP на незащищенных устройствах.
Наиболее серьезной из этих проблем является критическая уязвимость в компоненте Framework, которая может привести к RCE без необходимости получения дополнительных прав на выполнение. Для эксплуатации не требуется взаимодействие с пользователем.
Традиционно Google представила два набора исправлений: уровни от 1 июня 2026 года и от 5 июня 2026 года. Последний включает в себя все исправления из первого набора, а также для закрытых сторонних компонентов, которые могут не применяться ко всем устройствам Android.
Forwarded from Social Engineering
• Если говорить простыми словами, то Maltrail является легковесной системой обнаружения вторжений (IDS). Принцип работы следующий:
• При использовании нужно учитывать:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость Oracle WebLogic используется в реальных условиях без аутентификации для взлома затронутых серверов.
Предупреждение вынесла CISA, уведомляя организации о том, что уязвимость в Oracle WebLogic, исправленная почти два года назад, теперь используется злоумышленниками в реальных условиях.
Уязвимость отслеживается как CVE-2024-21182 и была исправлена Oracle в Java-сервере приложений в рамках обновления от июля 2024 года. В уведомлении Oracle указано, что уязвимость была обнаружена и раскрыта независимо несколькими исследователями.
С момента обнаружения уязвимости CVE-2024-21182 в открытом доступе появилось несколько демонстрационных PoC, но CISA, похоже, первой предупредила о её использовании в реальных условиях.
1 июня американский регулятор добавил CVE-2024-21182 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Она может быть использована удаленными, неавторизованными хакерами для полной компрометации уязвимых экземпляров Oracle WebLogic Server.
Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или к полному доступу ко всем данным, доступным через Oracle WebLogic Server, как отмечает CISA.
По всей видимости, никакой информации об атаках, использующих эту уязвимость, пока нет. В целом, в каталоге KEV CISA содержится еще около десятка уязвимостей WebLogic Server.
Причем большинство из них имеют CVE, присвоенные в 2020 году или ранее, но большинство были добавлены в каталог спустя несколько лет после того, как Oracle выпустила для них исправления.
Предупреждение вынесла CISA, уведомляя организации о том, что уязвимость в Oracle WebLogic, исправленная почти два года назад, теперь используется злоумышленниками в реальных условиях.
Уязвимость отслеживается как CVE-2024-21182 и была исправлена Oracle в Java-сервере приложений в рамках обновления от июля 2024 года. В уведомлении Oracle указано, что уязвимость была обнаружена и раскрыта независимо несколькими исследователями.
С момента обнаружения уязвимости CVE-2024-21182 в открытом доступе появилось несколько демонстрационных PoC, но CISA, похоже, первой предупредила о её использовании в реальных условиях.
1 июня американский регулятор добавил CVE-2024-21182 в свой каталог известных эксплуатируемых уязвимостей (KEV).
Она может быть использована удаленными, неавторизованными хакерами для полной компрометации уязвимых экземпляров Oracle WebLogic Server.
Успешные атаки с использованием этой уязвимости могут привести к несанкционированному доступу к критически важным данным или к полному доступу ко всем данным, доступным через Oracle WebLogic Server, как отмечает CISA.
По всей видимости, никакой информации об атаках, использующих эту уязвимость, пока нет. В целом, в каталоге KEV CISA содержится еще около десятка уязвимостей WebLogic Server.
Причем большинство из них имеют CVE, присвоенные в 2020 году или ранее, но большинство были добавлены в каталог спустя несколько лет после того, как Oracle выпустила для них исправления.
Cybersecurity and Infrastructure Security Agency CISA
CISA Adds One Known Exploited Vulnerability to Catalog | CISA
CISA has added one new vulnerability to its KEV Catalog based on evidence of active exploitation.
Согласно отчету Interisle, каждый десятый новый домен, зарегистрированный в 2025 году, был связан со вредоносной деятельностью и в конечном итоге был добавлен в один или несколько списков блокировки в сфере ИБ.
В общей в прошлом году было создано сложности 84 961 989 доменов, а 8 496 811 из них впоследствии попали в блеклисты.
Исследователи полагают, что фактическое число вредоносных доменов может быть вдвое больше и составлять около 16,8 миллионов, при этом ожидается, что новые домены будут внесены в черный список после их развертывания в реальных условиях.
Это объясняется практикой киберподполья, называемой «старение доменов», когда злоумышленники покупают новые домены и оставляют их неиспользованными на месяцы или даже годы, дабы избежать их быстрого попадания в черный список после. перенаправления трафика на вновь зарегистрированные домены.
Большинство вредоносных доменов, приобретенных в прошлом году, были куплены оптом у нескольких (известных) сомнительных регистраторов. В прошлом году на долю пяти регистраторов приходилось половина заблокированных доменов.
Если расширить это число до восьми регистраторов, то на эти компании приходилось 92% всех заблокированных доменов, что показывает, насколько емко они сосредоточены в нескольких точках злоупотреблений.
К концу года более 80% всех доменов, зарегистрированных у трех других регистраторов на 2025 год, были внесены в черный список, что заставляет задуматься, зачем они вообще существуют, если не для продажи доменов в даркнет. Хотя это, достаточно спорно.
Продолжая тенденцию, отмеченную в предыдущие годы Interisle заявляет, что большинство вредоносных доменов были зарегистрированы для нового класса gTLD, или глобальных доменов верхнего уровня.
Это класс пользовательских доменов, который был добавлен десять лет назад для расширения стандартных доменов .com, .net и .org, доступных в то время.
Примерно две трети всех новых вредоносных доменов в прошлом году были зарегистрированы через один из этих пользовательских gTLD, таких как .top, .bond, .vip, .xyz, .shop и многие другие.
В общей в прошлом году было создано сложности 84 961 989 доменов, а 8 496 811 из них впоследствии попали в блеклисты.
Исследователи полагают, что фактическое число вредоносных доменов может быть вдвое больше и составлять около 16,8 миллионов, при этом ожидается, что новые домены будут внесены в черный список после их развертывания в реальных условиях.
Это объясняется практикой киберподполья, называемой «старение доменов», когда злоумышленники покупают новые домены и оставляют их неиспользованными на месяцы или даже годы, дабы избежать их быстрого попадания в черный список после. перенаправления трафика на вновь зарегистрированные домены.
Большинство вредоносных доменов, приобретенных в прошлом году, были куплены оптом у нескольких (известных) сомнительных регистраторов. В прошлом году на долю пяти регистраторов приходилось половина заблокированных доменов.
Если расширить это число до восьми регистраторов, то на эти компании приходилось 92% всех заблокированных доменов, что показывает, насколько емко они сосредоточены в нескольких точках злоупотреблений.
К концу года более 80% всех доменов, зарегистрированных у трех других регистраторов на 2025 год, были внесены в черный список, что заставляет задуматься, зачем они вообще существуют, если не для продажи доменов в даркнет. Хотя это, достаточно спорно.
Продолжая тенденцию, отмеченную в предыдущие годы Interisle заявляет, что большинство вредоносных доменов были зарегистрированы для нового класса gTLD, или глобальных доменов верхнего уровня.
Это класс пользовательских доменов, который был добавлен десять лет назад для расширения стандартных доменов .com, .net и .org, доступных в то время.
Примерно две трети всех новых вредоносных доменов в прошлом году были зарегистрированы через один из этих пользовательских gTLD, таких как .top, .bond, .vip, .xyz, .shop и многие другие.
Interisle Consulting Group
Malicious Registrations in the Domain Name Market: An Analysis of 2025 gTLD Registrations and Cybercriminal Demand — Interisle…
A new analysis by Interisle Consulting Group finds that cybercriminals registered a significant share of new domain name registrations in 2025, representing a substantial percentage of the generic Top-Level Domain (gTLD) market. The study establishes that…
Исследователи Лаборатории Касперского в своем новом отчете рассмотрели основные векторы атак на контейнеры, которые остаются наиболее актуальными на сегодняшний день.
Современные инфраструктуры повсеместно используют контейнеризацию для развертывания приложений, масштабирования сервисов и построения облачных платформ. Docker, Kubernetes и другие технологии стали стандартом эффективной автоматизации для корпоративных сред.
Но вместе с ростом популярности контейнеров увеличивается и интерес злоумышленников к этой технологии, что прослеживается исследователями ЛК в рамках исследований сложных киберугроз.
В частности, APT-группа TeamPCP в одной из своих недавних атак скомпрометировала Checkmarx KICS в контексте сразу нескольких цепочек для разных векторов, включая заражение репозитория Docker Hub для дальнейшей кражи секретов Kubernetes и чувствительной информации. В зараженных образах распространялся стилер, который загружался в процессе сканирования KICS.
На сегодняшний день атаки на контейнерные среды представляют собой полноценные многоэтапные сценарии, включающие атаку на цепочку поставок, кражу секретов Kubernetes, злоупотребление API оркестрации и попытки побега из контейнера.
В целом современные атаки на контейнерные среды показывают, что основная угроза возникает не только внутри самого контейнера, но и в реализации контейнерной инфраструктуры.
Контейнеры часто используются как промежуточная среда для закрепления внутри системы: после первоначальной компрометации злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API контейнеризации и оркестрации.
Для этого эксплуатируются слабые конфигурации, избыточные привилегии и ошибки в изоляции. Кроме того, наблюдается тенденция смещения атак в сторону конвейеров CI/CD, где компрометация одной части может привести к захвату всей инфраструктуры.
Поэтому безопасность контейнерных сред в текущих реалиях включает в себя защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и валидацию всей цепочки поставки.
Разбор актуальных векторов атак - в отчете.
Современные инфраструктуры повсеместно используют контейнеризацию для развертывания приложений, масштабирования сервисов и построения облачных платформ. Docker, Kubernetes и другие технологии стали стандартом эффективной автоматизации для корпоративных сред.
Но вместе с ростом популярности контейнеров увеличивается и интерес злоумышленников к этой технологии, что прослеживается исследователями ЛК в рамках исследований сложных киберугроз.
В частности, APT-группа TeamPCP в одной из своих недавних атак скомпрометировала Checkmarx KICS в контексте сразу нескольких цепочек для разных векторов, включая заражение репозитория Docker Hub для дальнейшей кражи секретов Kubernetes и чувствительной информации. В зараженных образах распространялся стилер, который загружался в процессе сканирования KICS.
На сегодняшний день атаки на контейнерные среды представляют собой полноценные многоэтапные сценарии, включающие атаку на цепочку поставок, кражу секретов Kubernetes, злоупотребление API оркестрации и попытки побега из контейнера.
В целом современные атаки на контейнерные среды показывают, что основная угроза возникает не только внутри самого контейнера, но и в реализации контейнерной инфраструктуры.
Контейнеры часто используются как промежуточная среда для закрепления внутри системы: после первоначальной компрометации злоумышленники стремятся либо выйти на уровень хостовой ОС, либо получить доступ к управлению инфраструктурой через API контейнеризации и оркестрации.
Для этого эксплуатируются слабые конфигурации, избыточные привилегии и ошибки в изоляции. Кроме того, наблюдается тенденция смещения атак в сторону конвейеров CI/CD, где компрометация одной части может привести к захвату всей инфраструктуры.
Поэтому безопасность контейнерных сред в текущих реалиях включает в себя защиту хоста, строгий контроль прав в оркестраторе, минимизацию привилегий контейнеров и валидацию всей цепочки поставки.
Разбор актуальных векторов атак - в отчете.
Исследователи Sophos заметили злоумышленника, который использует набор инструментов для атаки с использованием ransomware на основе ИИ, который автоматизируюет обнаружение в Active Directory и помогает обходить EDR-решения на конечных устройствах.
При разработке инструментов и полезной нагрузки агенты Cursor и Claude Opus применялись на различных этапах, включая первоначальное кодирование, анализ и внесение изменений. Кроме того, некоторым агентам было поручено проверять публикации исследователей на предмет различных методов обхода защиты.
Часть вредоносного ПО, созданного таким образом, была протестирована в виртуальных средах с использованием инструментов EDR от Sophos, CrowdStrike и Microsoft.
Несмотря на то, что исследования и разработки вредоносного ПО проводятся с использованием технологий ИИ, исследователи отмечают, что весь рабочий процесс полностью управляется человеком.
Исследователи Sophos обнаружили активность инструментария на системе одного из клиентов, которая вызвала оповещения о полезных нагрузках, хранящихся в папке C:\Users\User\Documents\test.
Вредоносные файлы указывали на то, что они являлись частью схемы атаки, направленной на уклонение от обнаружения. В частности:
- Профили Cobalt Strike, разработанные для того, чтобы трафик маяков имитировал легитимные веб-запросы.
- Механизм C2 для ботов Telegram, основанный на API, который маршрутизировал обмен данными через инфраструктуру Telegram, а не использовал прямые соединения.
- Скрипты для разработки вредоносного ПО на основе Python, предназначенные для внедрения шеллкода в легитимные исполняемые файлы Windows с сохранением исходной функциональности.
- Cloudflare Worker выступает в роли перенаправителя на стороне клиента, чтобы скрыть фактический сервер C2 на стороне бэкэнда.
Исследователи утверждают, что, хотя этот инструмент может выглядеть как фреймворк для постэксплуатации, используемый Red Team, но применяется в деятельности, связанной с вымогателями.
В ходе расследования исследователи обнаружили репозиторий Git с компонентами, связанными с автоматизированной панелью обнаружения Active Directory (AD) и лабораторией, использующей итеративный подход к разработке и тестированию вредоносного ПО в отношении EDR-агентов на конечных точках Sophos, CrowdStrike и Windows Defender.
Обнаружение AD происходит путем сбора наблюдений за выполненными задачами и выбора следующего действия из заранее определенных вариантов. Следующий шаг делегируется удаленным агентам, а результаты переоцениваются.
В этой системе используется множество агентов ИИ, каждый из которых выполняет свою уникальную роль и функцию.
Например, Claude Opus 4.5 выступает в роли координатора процесса исследований и разработок, в то время как другие занимаются тестированием, повышением безопасности операционной системы, документированием, стресс-тестированием прокси-серверов, развертыванием виртуальных машин и другими связанными задачами.
На этапе разработки некоторые агенты задокументировали методы обхода защиты в исследованиях Лаборатории Касперского, Palo Alto Networks, Bishop Fox и SpecterOps, а также подробности, опубликованные в соцсетях.
Агенты извлекли полученные методы, сопоставили их с базой MITRE ATT&CK, определили, что необходимо для воспроизведения, подготовили тестовую лабораторию, выполнили применение метода и сообщили о результате.
Основной компонент вредоносной программы - это инструмент на Python, который генерирует полезные нагрузки, в основном на Rust и Go, с использованием методов обхода защиты. Всего было сгенерировано и протестировано около 80 модулей, которые были проверены на более чем 70 методах.
Sophos не нашла никаких доказательств того, что ИИ был встроен в развернутое вредоносное ПО или работал независимо в средах жертв.
Технология была использована для ускорения итеративного процесса разработки, тестирования и совершенствования полезных нагрузок.
При разработке инструментов и полезной нагрузки агенты Cursor и Claude Opus применялись на различных этапах, включая первоначальное кодирование, анализ и внесение изменений. Кроме того, некоторым агентам было поручено проверять публикации исследователей на предмет различных методов обхода защиты.
Часть вредоносного ПО, созданного таким образом, была протестирована в виртуальных средах с использованием инструментов EDR от Sophos, CrowdStrike и Microsoft.
Несмотря на то, что исследования и разработки вредоносного ПО проводятся с использованием технологий ИИ, исследователи отмечают, что весь рабочий процесс полностью управляется человеком.
Исследователи Sophos обнаружили активность инструментария на системе одного из клиентов, которая вызвала оповещения о полезных нагрузках, хранящихся в папке C:\Users\User\Documents\test.
Вредоносные файлы указывали на то, что они являлись частью схемы атаки, направленной на уклонение от обнаружения. В частности:
- Профили Cobalt Strike, разработанные для того, чтобы трафик маяков имитировал легитимные веб-запросы.
- Механизм C2 для ботов Telegram, основанный на API, который маршрутизировал обмен данными через инфраструктуру Telegram, а не использовал прямые соединения.
- Скрипты для разработки вредоносного ПО на основе Python, предназначенные для внедрения шеллкода в легитимные исполняемые файлы Windows с сохранением исходной функциональности.
- Cloudflare Worker выступает в роли перенаправителя на стороне клиента, чтобы скрыть фактический сервер C2 на стороне бэкэнда.
Исследователи утверждают, что, хотя этот инструмент может выглядеть как фреймворк для постэксплуатации, используемый Red Team, но применяется в деятельности, связанной с вымогателями.
В ходе расследования исследователи обнаружили репозиторий Git с компонентами, связанными с автоматизированной панелью обнаружения Active Directory (AD) и лабораторией, использующей итеративный подход к разработке и тестированию вредоносного ПО в отношении EDR-агентов на конечных точках Sophos, CrowdStrike и Windows Defender.
Обнаружение AD происходит путем сбора наблюдений за выполненными задачами и выбора следующего действия из заранее определенных вариантов. Следующий шаг делегируется удаленным агентам, а результаты переоцениваются.
В этой системе используется множество агентов ИИ, каждый из которых выполняет свою уникальную роль и функцию.
Например, Claude Opus 4.5 выступает в роли координатора процесса исследований и разработок, в то время как другие занимаются тестированием, повышением безопасности операционной системы, документированием, стресс-тестированием прокси-серверов, развертыванием виртуальных машин и другими связанными задачами.
На этапе разработки некоторые агенты задокументировали методы обхода защиты в исследованиях Лаборатории Касперского, Palo Alto Networks, Bishop Fox и SpecterOps, а также подробности, опубликованные в соцсетях.
Агенты извлекли полученные методы, сопоставили их с базой MITRE ATT&CK, определили, что необходимо для воспроизведения, подготовили тестовую лабораторию, выполнили применение метода и сообщили о результате.
Основной компонент вредоносной программы - это инструмент на Python, который генерирует полезные нагрузки, в основном на Rust и Go, с использованием методов обхода защиты. Всего было сгенерировано и протестировано около 80 модулей, которые были проверены на более чем 70 методах.
Sophos не нашла никаких доказательств того, что ИИ был встроен в развернутое вредоносное ПО или работал независимо в средах жертв.
Технология была использована для ускорения итеративного процесса разработки, тестирования и совершенствования полезных нагрузок.
SOPHOS
Pointing a Cursor at evading detection
AI accelerated tool development and testing, but humans drove the workflow