SecAtor
06.05.202515:30
Исследователи из Лаборатории Касперского в своем новом отчете поделились разбором реального инцидента в Бразилии, связанного с относительно простой, но крайне эффективной угрозой, нацеленной на Linux-системы.
Outlaw (также известный как Dota) - это ботнет для криптомайнинга, написанный на Perl.
Как правило, он заражает системы, где используются слабые или стандартные учетные данные SSH.
Ранее полученные с помощью ловушек образцы Outlaw также описывались в исследованиях ([1], [2]).
В своем отчете ЛК подробно изучили основные TTPs, а также проанализировали данные телеметрии по странам, которые привлекли наибольшее внимание операторов Outlaw.
Как отмечают исследователи, сосредоточив внимание на слабых или стандартных SSH-учетных данных, Outlaw продолжает улучшать и расширять свой инструментарий для платформы Linux.
Задействуются различные методы обхода защиты, включая сокрытие файлов и папок, обфускацию кода, а также скомпрометированные SSH-ключи, чтобы как можно дольше сохранять свое присутствие.
Жертвы Outlaw в основном находятся в США, однако также есть пострадавшие в Германии, Италии, Таиланде, Сингапуре, Тайване, Канаде и Бразилии.
Причем группа приостановила операции с декабря 2024 года по февраль 2025 года, а в марте 2025 года произошел резкий скачок числа жертв.
IRC-клиент ботнета действует как бэкдор в скомпрометированной системе и поддерживает широкий спектр вредоносных операций, включая выполнение команд, DDoS-атаки, сканирование портов, загрузку и выгрузку файлов через HTTP.
Также операторы эксплуатируют вычислительные ресурсы зараженных систем для добычи крипты с помощью специальной версии майнера XMRig.
Он работает в фоновом режиме, сильно нагружая процессор, подключается к нескольким майнинговым пулам, один из которых доступен через Tor.
Чтобы значительно снизить риск заражения, системным администраторам рекомендуется принимать проактивные меры для защиты своих серверов. Для этого нужно уделить внимание правильной конфигурации сервера и поддерживать службы в актуальном состоянии.
Технические подробности расследования, широкий перечень рекомендаций по защите и индикаторы компрометации - в отчете.
Outlaw (также известный как Dota) - это ботнет для криптомайнинга, написанный на Perl.
Как правило, он заражает системы, где используются слабые или стандартные учетные данные SSH.
Ранее полученные с помощью ловушек образцы Outlaw также описывались в исследованиях ([1], [2]).
В своем отчете ЛК подробно изучили основные TTPs, а также проанализировали данные телеметрии по странам, которые привлекли наибольшее внимание операторов Outlaw.
Как отмечают исследователи, сосредоточив внимание на слабых или стандартных SSH-учетных данных, Outlaw продолжает улучшать и расширять свой инструментарий для платформы Linux.
Задействуются различные методы обхода защиты, включая сокрытие файлов и папок, обфускацию кода, а также скомпрометированные SSH-ключи, чтобы как можно дольше сохранять свое присутствие.
Жертвы Outlaw в основном находятся в США, однако также есть пострадавшие в Германии, Италии, Таиланде, Сингапуре, Тайване, Канаде и Бразилии.
Причем группа приостановила операции с декабря 2024 года по февраль 2025 года, а в марте 2025 года произошел резкий скачок числа жертв.
IRC-клиент ботнета действует как бэкдор в скомпрометированной системе и поддерживает широкий спектр вредоносных операций, включая выполнение команд, DDoS-атаки, сканирование портов, загрузку и выгрузку файлов через HTTP.
Также операторы эксплуатируют вычислительные ресурсы зараженных систем для добычи крипты с помощью специальной версии майнера XMRig.
Он работает в фоновом режиме, сильно нагружая процессор, подключается к нескольким майнинговым пулам, один из которых доступен через Tor.
Чтобы значительно снизить риск заражения, системным администраторам рекомендуется принимать проактивные меры для защиты своих серверов. Для этого нужно уделить внимание правильной конфигурации сервера и поддерживать службы в актуальном состоянии.
Технические подробности расследования, широкий перечень рекомендаций по защите и индикаторы компрометации - в отчете.
05.05.202518:02
Исследователь Чжинян Пэн опубликовал PoC и подробности для ошибки DoS до аутентификации в удаленных службах на основе UDP, в том числе службе развертывания Windows (WDS) в качестве примера.
WDS широко применяется в корпоративных средах и весьма демонстративно иллюстрирует, как удаленный DoS в подобном случае может позволить злоумышленнику вывести из строя сеть WDS без аутентификации (preauth) или взаимодействия с пользователем (0-click).
WDS реализует роль сервера Microsoft, позволяя выполнять оптимизированное и безопасное сетевое развертывание ОС Windows (например, Windows 10/11, Windows Server) на нескольких компьютерах без физических носителей.
Служба развертывания Windows предоставляет удаленному пользователю простую службу FTP для загрузки некоторых ресурсов.
Каждый раз, когда пользователь отправляет пакет в службу FTP через порт 69, служба создает объект CTftpSession для управления сеансом и переключает на EndpointSessionMapEntry.
Основная проблема заключается в том, что EndpointSessionMapEntry не накладывает ограничений на количество сеансов.
Следовательно, злоумышленник может подделывать поддельные клиентские IP-адреса и номера портов, многократно создавая новые сеансы до тех пор, пока системные ресурсы не будут исчерпаны.
Фактически обнаруженная ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой систем Windows с помощью некорректных FTP-запросов.
В тестовой среде при достижении показателя использования памяти достигало в 15 ГБ система выходила из строя, что приводило к DoS.
Весь процесс занял всего лишь 7 минут, при этом многопоточность могла значительно ускорить атаку.
Теперь самое интересное: после уведомления об ошибке 8 февраля Microsoft спустя месяц подтвердила проблему, но оперативно уже 8 марта поменяла регламент вознаграждения за Preauth DOS.
23 апреля Microsoft посчитала эту ошибку умеренной и не соответствующей стандартам безопасности, прекратив дальнейшие коммуникации, после чего исследователь решил обнародовать свои результаты.
WDS широко применяется в корпоративных средах и весьма демонстративно иллюстрирует, как удаленный DoS в подобном случае может позволить злоумышленнику вывести из строя сеть WDS без аутентификации (preauth) или взаимодействия с пользователем (0-click).
WDS реализует роль сервера Microsoft, позволяя выполнять оптимизированное и безопасное сетевое развертывание ОС Windows (например, Windows 10/11, Windows Server) на нескольких компьютерах без физических носителей.
Служба развертывания Windows предоставляет удаленному пользователю простую службу FTP для загрузки некоторых ресурсов.
Каждый раз, когда пользователь отправляет пакет в службу FTP через порт 69, служба создает объект CTftpSession для управления сеансом и переключает на EndpointSessionMapEntry.
Основная проблема заключается в том, что EndpointSessionMapEntry не накладывает ограничений на количество сеансов.
Следовательно, злоумышленник может подделывать поддельные клиентские IP-адреса и номера портов, многократно создавая новые сеансы до тех пор, пока системные ресурсы не будут исчерпаны.
Фактически обнаруженная ошибка позволяет неаутентифицированным злоумышленникам вызывать сбой систем Windows с помощью некорректных FTP-запросов.
В тестовой среде при достижении показателя использования памяти достигало в 15 ГБ система выходила из строя, что приводило к DoS.
Весь процесс занял всего лишь 7 минут, при этом многопоточность могла значительно ускорить атаку.
Теперь самое интересное: после уведомления об ошибке 8 февраля Microsoft спустя месяц подтвердила проблему, но оперативно уже 8 марта поменяла регламент вознаграждения за Preauth DOS.
23 апреля Microsoft посчитала эту ошибку умеренной и не соответствующей стандартам безопасности, прекратив дальнейшие коммуникации, после чего исследователь решил обнародовать свои результаты.
से पुनः पोस्ट किया:
Russian OSINT
05.05.202511:11
🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
30.04.202514:20
GreyNoise предупреждают о том, что злоумышленники резко активизировали поиски файлов конфигурации Git, которые потенциально раскрывают секреты и токены аутентификации, для компрометации облачных сервисов и репозиториев исходного кода.
Файлы конфигурации Git - это файлы конфигурации для проектов Git, которые могут включать информацию о ветках, URL-адреса удаленных репозиториев, хуки и скрипты автоматизации и, что самое важное, учетные данные и токены доступа.
Разработчики или компании развертывают веб-приложения, не исключая правильно каталоги .git/ из публичного доступа, непреднамеренно раскрывая эти файлы кому-либо.
Сканирование таких файлов является стандартной разведкой со стороны киберподполья, которая предоставляет множество возможностей для злоумышленников.
Так, в октябре 2024 года Sysdig выявила крупномасштабную кампанию EmeraldWhale, в ходе которой было проведено сканирование на предмет наличия уязвимых файлов конфигурации Git и извлечено 15 000 учетных данных облачных аккаунтов из тысяч частных репозиториев.
Кража учетных данных, ключей API, закрытых ключей SSH или даже доступ к внутренним URL-адресам позволяет злоумышленникам получать доступ к конфиденциальным данным, разрабатывать специализированные атаки и захватывать привилегированные учетные записи.
Именно этот метод злоумышленники задействовали для взлома The Wayback Machine в октябре 2024 года.
В своем новом отчете исследователи зафиксировали резкий всплеск попыток сканирования уязвимых конфигураций Git в период с 20 по 21 апреля 2025 года.
GreyNoise ежедневно регистрировала около 4800 уникальных IP-адресов с 20 по 21 апреля, что значительно превышает среднестатистические показатели.
GreyNoise сообщает, что последняя наблюдавшаяся активность в основном была нацелена на Сингапур, США, Испанию, Германию, Великобританию и Индию и стала самой масштабной волной атак, зафиксированной исследователями.
Для снижения рисков рекомендуется заблокировать доступ к каталогам .git/, настроить веб-серверы для предотвращения доступа к скрытым файлам, отслеживать журналы на предмет подозрительного доступа к .git/config и ротировать потенциально уязвимые учетные данные.
Файлы конфигурации Git - это файлы конфигурации для проектов Git, которые могут включать информацию о ветках, URL-адреса удаленных репозиториев, хуки и скрипты автоматизации и, что самое важное, учетные данные и токены доступа.
Разработчики или компании развертывают веб-приложения, не исключая правильно каталоги .git/ из публичного доступа, непреднамеренно раскрывая эти файлы кому-либо.
Сканирование таких файлов является стандартной разведкой со стороны киберподполья, которая предоставляет множество возможностей для злоумышленников.
Так, в октябре 2024 года Sysdig выявила крупномасштабную кампанию EmeraldWhale, в ходе которой было проведено сканирование на предмет наличия уязвимых файлов конфигурации Git и извлечено 15 000 учетных данных облачных аккаунтов из тысяч частных репозиториев.
Кража учетных данных, ключей API, закрытых ключей SSH или даже доступ к внутренним URL-адресам позволяет злоумышленникам получать доступ к конфиденциальным данным, разрабатывать специализированные атаки и захватывать привилегированные учетные записи.
Именно этот метод злоумышленники задействовали для взлома The Wayback Machine в октябре 2024 года.
В своем новом отчете исследователи зафиксировали резкий всплеск попыток сканирования уязвимых конфигураций Git в период с 20 по 21 апреля 2025 года.
GreyNoise ежедневно регистрировала около 4800 уникальных IP-адресов с 20 по 21 апреля, что значительно превышает среднестатистические показатели.
GreyNoise сообщает, что последняя наблюдавшаяся активность в основном была нацелена на Сингапур, США, Испанию, Германию, Великобританию и Индию и стала самой масштабной волной атак, зафиксированной исследователями.
Для снижения рисков рекомендуется заблокировать доступ к каталогам .git/, настроить веб-серверы для предотвращения доступа к скрытым файлам, отслеживать журналы на предмет подозрительного доступа к .git/config и ротировать потенциально уязвимые учетные данные.
से पुनः पोस्ट किया:Russian OSINT
29.04.202517:59
🥷 Вирус-шифровальщик обрушил рыночную стоимость Marks & Spencer почти на 77 миллиардов рублей
Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.
Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.
Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).
M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.
По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.
За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.
29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.
✋ @Russian_OSINT
Как пишет FT, предполагается, что недавняя кибератака обесценила компанию Marks and Spencer почти на 700 миллионов фунтов стерлингов. Ритейлер уже почти неделю пытается восстановиться после серьёзных перебоев.
Сбой вынудил Marks and Spencer прекратить приём онлайн-заказов одежды и товаров для дома, а также затруднил обработку бесконтактных платежей в магазинах. В ряде торговых точек приём возвратов товаров оказался невозможным.
Эксперты по кибербезопасности заявили, что инцидент с M&S носит характерные признаки использования программ-вымогателей (ransomware).
M&S сообщила о произошедшем в Управление уполномоченного по информации Великобритании (ICO) и сотрудничает с Национальным центром кибербезопасности для устранения последствий инцидента.
По данным BleepingComputer, Marks and Spencer обратилась за помощью к компаниям CrowdStrike, Microsoft и Fenix24.
За атакой якобы стоит хакерская группировка, известная под названием Scattered Spider, которую Microsoft также называет Octo Tempest.
29 апреля 2025 года онлайн-заказы остаются приостановленными, и компания продолжает работу над восстановлением. Сама атака, исходя из сообщений в СМИ, могла быть осуществлена 21 апреля.
✋ @Russian_OSINT
28.04.202518:14
Ransomware-индустрия также развивается: банда вымогателей DragonForce кардинально обновила свою программу RaaS и теперь формирует структуру, напоминающую картель.
Теперь DragonForce поддерживает услугу сдачи в аренду коллегам своей инфраструктуры, что позволяет другим бандам запускать собственные RaaS на более крупной платформе DragonForce, но под другим именем/брендом.
Такая распределенная модель партнерского брендинга реализует возможность другим владельцам RaaS вести свой бизнес без затрат и усилий на обслуживание инфраструктуры.
Представитель DragonForce при этом заявляют, что руководствуются исключительно финансовыми мотивами, но также следуют моральным принципам, выступая против атак на организации в сфере здравоохранения.
Обычно у рядовой RaaS-операции есть собственные операторы, а разработчик предоставляет вредоносное ПО для шифрования файлов и инфраструктуру.
Оператор создает вариант шифровального пакета, взламывает сети жертв и запускает программу-вымогатель. Он также ведет управление ключами дешифрования и переговоры с жертвой о выплате выкупа.
Разработчик также поддерживает так называемый сайт DLS, где публикует информацию, украденную у жертв, которые не заплатили злоумышленнику.
В обмен на использование своего вредоносного ПО и инфраструктуры разработчик взимает с партнеров комиссию от полученных выкупов, которая обычно составляет до 30%.
Но можно считать, что появилась новая категория: DragonForce называет себя картелем вымогателей и забирает свою долю в размере 20% от выплаченных выкупов.
В рамках этой модели операторы получают доступ к инфраструктуре (инструменты для ведения переговоров, хранилище для украденных данных, администрирование вредоносного ПО) и используют шифратор DragonForce под собственным брендом.
Группа объявила о новом направлении в марте, заявив, что операторы могут создавать свой «собственный бренд под эгидой уже проверенного партнера».
Как отмечают представители банды, DragonForce стремится управлять «неограниченным числом брендов», которые могут быть нацелены на системы ESXi, NAS, BSD и Windows.
DragonForce также сообщила, что их структура представляет собой рыночную площадку, где партнеры могут выбирать, проводить ли атаки под брендом DragonForce или под собственным.
По сути, банды вымогателей могут использовать сервис и White Label под своим собственным именем, создавая впечатление своей уникальности.
Кто того, им не придется заморачиваться с управлением сайтами DLS и переговоров, как и самими переговорами, а также разработкой вредоносного ПО.
Сама банда заявляет, что в числе ее клиентов - уже присутствуют именитые группы. Кто именно и сколько их она данный момент - DragonForce не сообщает.
Как отмечают исследователи Secureworks, увеличивая партнерскую базу, DragonForce потенциально может рассчитывать на увеличение прибыли за счет гибкости предлагаемой модели.
Но будем посмотреть.
Теперь DragonForce поддерживает услугу сдачи в аренду коллегам своей инфраструктуры, что позволяет другим бандам запускать собственные RaaS на более крупной платформе DragonForce, но под другим именем/брендом.
Такая распределенная модель партнерского брендинга реализует возможность другим владельцам RaaS вести свой бизнес без затрат и усилий на обслуживание инфраструктуры.
Представитель DragonForce при этом заявляют, что руководствуются исключительно финансовыми мотивами, но также следуют моральным принципам, выступая против атак на организации в сфере здравоохранения.
Обычно у рядовой RaaS-операции есть собственные операторы, а разработчик предоставляет вредоносное ПО для шифрования файлов и инфраструктуру.
Оператор создает вариант шифровального пакета, взламывает сети жертв и запускает программу-вымогатель. Он также ведет управление ключами дешифрования и переговоры с жертвой о выплате выкупа.
Разработчик также поддерживает так называемый сайт DLS, где публикует информацию, украденную у жертв, которые не заплатили злоумышленнику.
В обмен на использование своего вредоносного ПО и инфраструктуры разработчик взимает с партнеров комиссию от полученных выкупов, которая обычно составляет до 30%.
Но можно считать, что появилась новая категория: DragonForce называет себя картелем вымогателей и забирает свою долю в размере 20% от выплаченных выкупов.
В рамках этой модели операторы получают доступ к инфраструктуре (инструменты для ведения переговоров, хранилище для украденных данных, администрирование вредоносного ПО) и используют шифратор DragonForce под собственным брендом.
Группа объявила о новом направлении в марте, заявив, что операторы могут создавать свой «собственный бренд под эгидой уже проверенного партнера».
Как отмечают представители банды, DragonForce стремится управлять «неограниченным числом брендов», которые могут быть нацелены на системы ESXi, NAS, BSD и Windows.
DragonForce также сообщила, что их структура представляет собой рыночную площадку, где партнеры могут выбирать, проводить ли атаки под брендом DragonForce или под собственным.
По сути, банды вымогателей могут использовать сервис и White Label под своим собственным именем, создавая впечатление своей уникальности.
Кто того, им не придется заморачиваться с управлением сайтами DLS и переговоров, как и самими переговорами, а также разработкой вредоносного ПО.
Сама банда заявляет, что в числе ее клиентов - уже присутствуют именитые группы. Кто именно и сколько их она данный момент - DragonForce не сообщает.
Как отмечают исследователи Secureworks, увеличивая партнерскую базу, DragonForce потенциально может рассчитывать на увеличение прибыли за счет гибкости предлагаемой модели.
Но будем посмотреть.
06.05.202513:30
Google выкатила ежемесячные обновления безопасности для Android с исправлениями 46 уязвимостей, включая одну, которая, по данным поставщика, была использована в реальных целях.
CVE-2025-27363 имеет оценку CVSS: 8,1, затрагивает компонент System и может привести к локальному выполнению кода без необходимости получения дополнительных привилегий на выполнение.
Для эксплуатации не требуется взаимодействия с пользователем.
Уязвимость связана с библиотекой рендеринга шрифтов FreeType с открытым исходным кодом.
Впервые о проблеме сообщила Meta (признана в РФ экстремистской) в марте 2025 года, когда ее эксплуатировали в дикой природе.
Недостаток был описан как ошибка записи за пределами границ, которая могла привести к выполнению кода при разборе файлов TrueType GX и переменных шрифтов. Проблема была устранена в версиях FreeType выше 2.13.0.
Как отмечают в Google, были выявлены признаки того, что CVE-2025-27363 может подвергаться ограниченной целенаправленной эксплуатации, однако точные характеристики и обстоятельства атак в настоящее время неизвестны.
Майское обновление Google также устраняет восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могут быть использованы для повышения привилегий, раскрытия информации и DoS.
Несмотря на то, что эксплуатация многих проблем в Android затрудняется улучшениями в новых версиях платформы, Google призывает всех пользователей скорее обновиться до последней версии.
CVE-2025-27363 имеет оценку CVSS: 8,1, затрагивает компонент System и может привести к локальному выполнению кода без необходимости получения дополнительных привилегий на выполнение.
Для эксплуатации не требуется взаимодействия с пользователем.
Уязвимость связана с библиотекой рендеринга шрифтов FreeType с открытым исходным кодом.
Впервые о проблеме сообщила Meta (признана в РФ экстремистской) в марте 2025 года, когда ее эксплуатировали в дикой природе.
Недостаток был описан как ошибка записи за пределами границ, которая могла привести к выполнению кода при разборе файлов TrueType GX и переменных шрифтов. Проблема была устранена в версиях FreeType выше 2.13.0.
Как отмечают в Google, были выявлены признаки того, что CVE-2025-27363 может подвергаться ограниченной целенаправленной эксплуатации, однако точные характеристики и обстоятельства атак в настоящее время неизвестны.
Майское обновление Google также устраняет восемь других уязвимостей в системе Android и 15 уязвимостей в модуле Framework, которые могут быть использованы для повышения привилегий, раскрытия информации и DoS.
Несмотря на то, что эксплуатация многих проблем в Android затрудняется улучшениями в новых версиях платформы, Google призывает всех пользователей скорее обновиться до последней версии.
05.05.202517:00
Исследователи Socket обнаружили три вредоносных модуля Go, которые включают в себя запутанный код для извлечения полезных нагрузок следующего этапа, способные безвозвратно перезаписать основной системный диск Linux.
Среди найденных репозиториев: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy.
Как отмечают исследователи, несмотря на то, что эти модули выглядели легитимными, они содержали сильно запутанный код, предназначенный для извлечения и выполнения удаленных полезных нагрузок.
Пакеты разработаны для проверки относимости ОС к Linux и дальнейшего извлечения полезной нагрузки следующего этапа с удаленного сервера с помощью wget.
Последняя представляет собой разрушительный скрипт оболочки, который перезаписывает весь основной диск (/dev/sda) нулями, фактически предотвращая загрузку машины.
Причем применяемый метод гарантирует, что ни один инструмент восстановления или криминалистическая экспертиза не позволит восстановить данные, поскольку напрямую и необратимо перезаписывает их.
Вредоносный скрипт полностью парализует работу целевых серверов Linux или сред разработки, подчеркивая чрезвычайную опасность современных атак на цепочки поставок, которые могут превратить, казалось бы, надежный код в разрушительную угрозу.
Среди найденных репозиториев: github[.]com/truthfulpharm/prototransform, github[.]com/blankloggia/go-mcp и github[.]com/steelpoor/tlsproxy.
Как отмечают исследователи, несмотря на то, что эти модули выглядели легитимными, они содержали сильно запутанный код, предназначенный для извлечения и выполнения удаленных полезных нагрузок.
Пакеты разработаны для проверки относимости ОС к Linux и дальнейшего извлечения полезной нагрузки следующего этапа с удаленного сервера с помощью wget.
Последняя представляет собой разрушительный скрипт оболочки, который перезаписывает весь основной диск (/dev/sda) нулями, фактически предотвращая загрузку машины.
Причем применяемый метод гарантирует, что ни один инструмент восстановления или криминалистическая экспертиза не позволит восстановить данные, поскольку напрямую и необратимо перезаписывает их.
Вредоносный скрипт полностью парализует работу целевых серверов Linux или сред разработки, подчеркивая чрезвычайную опасность современных атак на цепочки поставок, которые могут превратить, казалось бы, надежный код в разрушительную угрозу.
30.04.202520:15
Каждый раз, когда ИБ засылает тестовый фишинг сотрудникам после их обучения
30.04.202512:51
Исследователи Oligo Security раскрыли уязвимости в протоколе AirPlay и SDK, в совокупности названные AirBorne, которые подвергают Zero-click RCE, MITM и DoS атакам неисправленные устройства Apple и сторонних производителей.
Кроме того, ошибки могут быть задействованы для обхода списков контроля доступа (ACL), получения доступа к конфиденциальной информации и произвольным локальным файлам.
В общей сложности Oligo обнаружила 23 уязвимости, о чем уведомила Apple, которая 31 марта выпустила обновления для устранения этих уязвимостей в iPhone и iPad (iOS 18.4 и iPadOS 18.4), Mac (macOS Ventura 13.7.5, macOS Sonoma 14.7.5 и macOS Sequoia 15.4) и Vision Pro (visionOS 2.4).
Компания также внесла исправления в AirPlay audio SDK, AirPlay video SDK и CarPlay Communication Plug-in.
Всего было выпущено 17 идентификаторов CVE для выявленных проблем, и Apple совместно с Oligo работала над их устранением в последних выпусках iOS, iPadOS и macOS.
Несмотря на то, что AirBorne могут быть использованы злоумышленниками только в той же сети через беспроводные или одноранговые соединения, они позволяют захватывать уязвимые устройства и использовать доступ в качестве стартовой площадки для взлома других устройств с поддержкой AirPlay (в той же сети).
Исследователи Oligo смогли продемонстрировать, как именно злоумышленники могут реализовать CVE-2025-24252 и CVE-2025-24132 для RCE с возможностью червя.
При этом CVE-2025-24206 (обход взаимодействия с пользователем) позволяет злоумышленнику обходить требования нажатия кнопки «принять» в запросах AirPlay и может быть объединена с другими уязвимостями для запуска атак без нажатия кнопки.
Злоумышленник потенциально может захватить определенные устройства с поддержкой AirPlay и выполнить развертывание вредоносного ПО, которое может распространяться на устройства в любой локальной сети, к которой подключается зараженное.
Это может привести к осуществлению других сложных атак, связанных с кибершпионажем, ransomware, атаками на цепочки поставок и др.
CVE-2025-24271, уязвимость ACL, позволяющая неаутентифицированным злоумышленникам отправлять команды AirPlay без сопряжения, может быть связана с CVE-2025-24137 (исправлена в январе 2025 года) для RCE в один клик.
Уязвимость CVE-2025-24132, связанная с переполнением буфера в стеке, может быть использована для RCE без щелчка на динамиках и ресиверах с использованием AirPlay SDK, независимо от их конфигурации, а также может быть использована для создания вредоносных программ-червей.
Поскольку AirPlay является основополагающим ПО для устройств Apple (Mac, iPhone, iPad, AppleTV и т.д.), а также для сторонних девайсов, использующих AirPlay SDK, этот класс уязвимостей может иметь далеко идущие последствия, особенно если учесть их широкое распространение.
При этом по данным Apple, в мире представлено более 2,35 млрд. активных яблочных устройств, а по оценкам Oligo - также десятки млн. сторонних стройств с поддержкой AirPlay, не считая автомобильных информационно-развлекательных систем с поддержкой CarPlay.
Кроме того, ошибки могут быть задействованы для обхода списков контроля доступа (ACL), получения доступа к конфиденциальной информации и произвольным локальным файлам.
В общей сложности Oligo обнаружила 23 уязвимости, о чем уведомила Apple, которая 31 марта выпустила обновления для устранения этих уязвимостей в iPhone и iPad (iOS 18.4 и iPadOS 18.4), Mac (macOS Ventura 13.7.5, macOS Sonoma 14.7.5 и macOS Sequoia 15.4) и Vision Pro (visionOS 2.4).
Компания также внесла исправления в AirPlay audio SDK, AirPlay video SDK и CarPlay Communication Plug-in.
Всего было выпущено 17 идентификаторов CVE для выявленных проблем, и Apple совместно с Oligo работала над их устранением в последних выпусках iOS, iPadOS и macOS.
Несмотря на то, что AirBorne могут быть использованы злоумышленниками только в той же сети через беспроводные или одноранговые соединения, они позволяют захватывать уязвимые устройства и использовать доступ в качестве стартовой площадки для взлома других устройств с поддержкой AirPlay (в той же сети).
Исследователи Oligo смогли продемонстрировать, как именно злоумышленники могут реализовать CVE-2025-24252 и CVE-2025-24132 для RCE с возможностью червя.
При этом CVE-2025-24206 (обход взаимодействия с пользователем) позволяет злоумышленнику обходить требования нажатия кнопки «принять» в запросах AirPlay и может быть объединена с другими уязвимостями для запуска атак без нажатия кнопки.
Злоумышленник потенциально может захватить определенные устройства с поддержкой AirPlay и выполнить развертывание вредоносного ПО, которое может распространяться на устройства в любой локальной сети, к которой подключается зараженное.
Это может привести к осуществлению других сложных атак, связанных с кибершпионажем, ransomware, атаками на цепочки поставок и др.
CVE-2025-24271, уязвимость ACL, позволяющая неаутентифицированным злоумышленникам отправлять команды AirPlay без сопряжения, может быть связана с CVE-2025-24137 (исправлена в январе 2025 года) для RCE в один клик.
Уязвимость CVE-2025-24132, связанная с переполнением буфера в стеке, может быть использована для RCE без щелчка на динамиках и ресиверах с использованием AirPlay SDK, независимо от их конфигурации, а также может быть использована для создания вредоносных программ-червей.
Поскольку AirPlay является основополагающим ПО для устройств Apple (Mac, iPhone, iPad, AppleTV и т.д.), а также для сторонних девайсов, использующих AirPlay SDK, этот класс уязвимостей может иметь далеко идущие последствия, особенно если учесть их широкое распространение.
При этом по данным Apple, в мире представлено более 2,35 млрд. активных яблочных устройств, а по оценкам Oligo - также десятки млн. сторонних стройств с поддержкой AirPlay, не считая автомобильных информационно-развлекательных систем с поддержкой CarPlay.
29.04.202516:06
Промышленные коммутаторы и продукты сетевого управления, производимые тайваньской компанией Planet Technology, подвержены нескольким критическим уязвимостям.
По этому поводу на прошлой неделе вышла отдельная рекомендация CISA с описанием пяти уязвимостей, обнаруженных в системах управления сетями UNI-NMS-Lite, NMS-500 и NMS-1000V, а также в коммутаторах WGS-804HPT-V2 и WGS-4215-8T2S.
Всем уязвимостям присвоен критический уровень серьезности.
Они могут быть использованы удаленными, неаутентифицированными злоумышленниками для получения прав администратора для уязвимого продукта (через жестко закодированные учетные данные), создания учетной записи администратора из-за отсутствия аутентификации и проведения инъекции для выполнения команд ОС или манипулирования данными устройства.
CISA отметила, что затронутые устройства используются по всему миру, в том числе в критически важных производственных секторах.
Кевин Брин из Immersive, которому приписывают сообщение об уязвимостях, раскрыл технические подробности на следующий день после того, как CISA опубликовала предупреждение.
Исследователь обнаружил уязвимости в ходе анализа нескольких проблем в устройствах Planet Technology, о которых в прошлом году сообщила Claroty.
По словам Брина, результаты сканирования Censys показывают сотни, а возможно, и тысячи потенциально уязвимых устройств Planet Technology, которые имеют выход в Интернет.
Planet Technology устранила все уязвимости. Поставщик был уведомлен об этом 6 марта через CISA, а исправления выпущены - 16 апреля.
В CISA отметили, что им пока неизвестно о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях.
По этому поводу на прошлой неделе вышла отдельная рекомендация CISA с описанием пяти уязвимостей, обнаруженных в системах управления сетями UNI-NMS-Lite, NMS-500 и NMS-1000V, а также в коммутаторах WGS-804HPT-V2 и WGS-4215-8T2S.
Всем уязвимостям присвоен критический уровень серьезности.
Они могут быть использованы удаленными, неаутентифицированными злоумышленниками для получения прав администратора для уязвимого продукта (через жестко закодированные учетные данные), создания учетной записи администратора из-за отсутствия аутентификации и проведения инъекции для выполнения команд ОС или манипулирования данными устройства.
CISA отметила, что затронутые устройства используются по всему миру, в том числе в критически важных производственных секторах.
Кевин Брин из Immersive, которому приписывают сообщение об уязвимостях, раскрыл технические подробности на следующий день после того, как CISA опубликовала предупреждение.
Исследователь обнаружил уязвимости в ходе анализа нескольких проблем в устройствах Planet Technology, о которых в прошлом году сообщила Claroty.
По словам Брина, результаты сканирования Censys показывают сотни, а возможно, и тысячи потенциально уязвимых устройств Planet Technology, которые имеют выход в Интернет.
Planet Technology устранила все уязвимости. Поставщик был уведомлен об этом 6 марта через CISA, а исправления выпущены - 16 апреля.
В CISA отметили, что им пока неизвестно о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях.
28.04.202515:58
Исследователи обращают внимание на набирающий все большую популярность тревожный тренд, связанный с активным злоупотреблением NFC в схемах банковского мошенничества.
Как мы ранее отмечали, одной из последних фишек хакеров стала принципиально новая схема краж, получившая название обратный NFCGate, о которой сообщили исследователи F6 в своем недавнем отчетом.
Она подразумевает взаимодействие с жертвой, по результатам которого последнюю побуждают установить вредоносное приложение, включающее в себя набор инструментов NFCGate с жестко запрограммированными данными карты злоумышленника.
В ходе пополнения счета банковской карты, жертва вместо собственной зачисляет денежные средства на карту злоумышленника, которому теперь не нужно окучивать банкоматы для их снятия, как в случае с обычным NFCGate.
Вслед за F6 проблематику также затронули исследователи Cleafy, обнаружившие SuperCard X, платформу MaaS, созданную китайскоязычным разработчиком, которая позволяет клиентам легко распространять и контролировать вредоносное ПО, вдохновленное NFCGate.
Также отметился KrebsOnSecurity, сообщая в своем отчете о том, что китайские банды добавляют данные фишинговых карт в свои собственные кошельки Apple и Google, откуда они инициируют операции по снятию наличных с помощью бесконтактных транзакций через банкоматы.
В отчете Resecurity также рассматривается китайская даркнет-площадка, специализирующаяся на реализации POS-терминалов с поддержкой NFC для обработки мошеннических бесконтактных платежей, поступающих от хакерских групп, злоупотребляющих NFC и кошельками Apple/Google.
Исследователи констатируют, что складывающаяся ситуация указывает на то, что все больше преступных групп начинают фокусировать свое внимание на NFC и экосистему бесконтактных платежей.
Причем передовой опыт в киберподполье активно ретранслируется: в Россию NFCGate перекочевал из Чехии, а теперь распространился и на Китай.
Учитывая, что бесконтактные платежи работают примерно одинаково везде, в обозримой перспективе новая волна банковского мошенничества будет расширяться географически, экономически и технологически.
Как мы ранее отмечали, одной из последних фишек хакеров стала принципиально новая схема краж, получившая название обратный NFCGate, о которой сообщили исследователи F6 в своем недавнем отчетом.
Она подразумевает взаимодействие с жертвой, по результатам которого последнюю побуждают установить вредоносное приложение, включающее в себя набор инструментов NFCGate с жестко запрограммированными данными карты злоумышленника.
В ходе пополнения счета банковской карты, жертва вместо собственной зачисляет денежные средства на карту злоумышленника, которому теперь не нужно окучивать банкоматы для их снятия, как в случае с обычным NFCGate.
Вслед за F6 проблематику также затронули исследователи Cleafy, обнаружившие SuperCard X, платформу MaaS, созданную китайскоязычным разработчиком, которая позволяет клиентам легко распространять и контролировать вредоносное ПО, вдохновленное NFCGate.
Также отметился KrebsOnSecurity, сообщая в своем отчете о том, что китайские банды добавляют данные фишинговых карт в свои собственные кошельки Apple и Google, откуда они инициируют операции по снятию наличных с помощью бесконтактных транзакций через банкоматы.
В отчете Resecurity также рассматривается китайская даркнет-площадка, специализирующаяся на реализации POS-терминалов с поддержкой NFC для обработки мошеннических бесконтактных платежей, поступающих от хакерских групп, злоупотребляющих NFC и кошельками Apple/Google.
Исследователи констатируют, что складывающаяся ситуация указывает на то, что все больше преступных групп начинают фокусировать свое внимание на NFC и экосистему бесконтактных платежей.
Причем передовой опыт в киберподполье активно ретранслируется: в Россию NFCGate перекочевал из Чехии, а теперь распространился и на Китай.
Учитывая, что бесконтактные платежи работают примерно одинаково везде, в обозримой перспективе новая волна банковского мошенничества будет расширяться географически, экономически и технологически.
06.05.202511:40
Исследователи из F6 продолжают отслеживать хакерскую активность, на этот под прицелом оказались Core Werewolf (отчет) и Hive0117 (отчет).
Первая имя них практикует кибершпионаж и нацелена на организации, связанные с ОПК, объекты КИИ.
Впервые в поле зрения попала еще в августе 2021 года и задействует ПО UltraVNC и MeshCentral.
2 мая в общедоступную онлайн-песочницу был загружен .eml-файл.
Электронное письмо было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение - защищенный паролем архив с именем Списки_на_нагр.7z, который F6 отнесли к арсеналу группы Core Werewolf.
Внутри архива находился 7z-архив с exe-шником под видом наградных списков.
Запуск файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа, запуску CMD-скрипта и в результате - активации на устройстве жертвы UltraVNC.
Ранее 17 апреля F6 обнаружили еще один вредоносный исполняемый файл - undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf.
PDF-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.
Помимо него, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с exception.bat и divine.bat.
В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
В свою очередь, Hive0117 засветилась в ходе реализации масштабной фишинговой кампании с использованием DarkWatchman.
29 апреля специалисты F6 задетектили активность группировки, нацеленную на российские компании с сфере медиа, туризма, финансов и страхования, производства, ритейла, энергетики, телекома, транспорта, биотехнологий.
Hive0117 - это финансово-мотивированная группировка, проводит атаки с февраля 2022 года с использованием DarkWatchman.
Как правило, рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
Основные цели - в России, Беларуси, Литве, Эстонии, Казахстане.
Новая массовая рассылка писем с темой «Документы от 29.04.2025» исходила с адреса manager@alliance-s[.]ru на 550+ адресов.
Внутри располагалось вложение в виде защищенного паролем архива, распространяемого под именами «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar».
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные, что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году.
Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru - «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
Первая имя них практикует кибершпионаж и нацелена на организации, связанные с ОПК, объекты КИИ.
Впервые в поле зрения попала еще в августе 2021 года и задействует ПО UltraVNC и MeshCentral.
2 мая в общедоступную онлайн-песочницу был загружен .eml-файл.
Электронное письмо было отправлено 29 апреля с адреса al.gursckj@mail[.]ru и содержало вложение - защищенный паролем архив с именем Списки_на_нагр.7z, который F6 отнесли к арсеналу группы Core Werewolf.
Внутри архива находился 7z-архив с exe-шником под видом наградных списков.
Запуск файла приводил к распаковке файлов во временный каталог, инициации отображения PDF-документа, запуску CMD-скрипта и в результате - активации на устройстве жертвы UltraVNC.
Ранее 17 апреля F6 обнаружили еще один вредоносный исполняемый файл - undoubtedly.exe, загруженный на сервис VirusTotal и приписанный группе Core Werewolf.
PDF-приманка «Отсканированные документы_785_Выписка по противнику_по_состоянию_на_04_14_к_докладу.pdf» в архиве содержал информацию военного характера, поэтому вредонос, вероятно, применяли в атаках на российские военные организации.
Помимо него, дроппер извлекал скрипт conscience.cmd, который запускал аналогичную с вышеописанной цепочку с exception.bat и divine.bat.
В результате запускался тот же исполняемый файл UltraVNC, обеспечивая злоумышленникам удаленный доступ к системе жертвы.
В свою очередь, Hive0117 засветилась в ходе реализации масштабной фишинговой кампании с использованием DarkWatchman.
29 апреля специалисты F6 задетектили активность группировки, нацеленную на российские компании с сфере медиа, туризма, финансов и страхования, производства, ритейла, энергетики, телекома, транспорта, биотехнологий.
Hive0117 - это финансово-мотивированная группировка, проводит атаки с февраля 2022 года с использованием DarkWatchman.
Как правило, рассылки носят массовый характер.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно.
Основные цели - в России, Беларуси, Литве, Эстонии, Казахстане.
Новая массовая рассылка писем с темой «Документы от 29.04.2025» исходила с адреса manager@alliance-s[.]ru на 550+ адресов.
Внутри располагалось вложение в виде защищенного паролем архива, распространяемого под именами «Док-ты от 29.04.2025.rar», «Документы от 29.04.2025.rar» и «Документация от 29.04.2025.rar».
Открытие архива запускало вредоносную цепочку, ведущую к заражению системы модифицированной версией DarkWatchman, способной действовать скрытно и избегать обнаружения традиционными средствами защиты.
Дополнительный анализ позволил заключить, что домен alliance-s[.]ru был зарегистрирован на те же данные, что и домены voenkomat-mil[.]ru и absolut-ooo[.]ru, используемые группировкой в рассылках в 2023 году.
Тогда с домена voenkomat-mil[.]ru рассылались письма с вложением «Мобилизационное предписание №5010421409-ВВК от 10.05.2023[.]zip», а с домена absolut-ooo[.]ru - «Акт сверки №114-23 от 29.09.2023[.]zip».
Повторное использование регистрационных данных и C2 доменов свидетельствует о приверженности группировки к использованию привычных инфраструктур и инструментов.
05.05.202515:48
FGIR Fortinet сообщают о долгосрочной кампании иранской APT, нацеленной на критически важную национальную инфраструктуру на Ближнем Востоке.
Выявленная активность продолжалась как минимум с мая 2023 года по февраль 2025 года и включала в себя масштабные шпионские операции, реализуемые с сохранением постоянного доступа к сети жертв.
Fortinet приписала атаку Lemon Sandstorm (ранее Rubidium), которая также отслеживается как Parisite, Pioneer Kitten и UNC757.
APT активна с 2017 года и фокусируется на аэрокосмической, нефтегазовой, водной и электроэнергетической сферах в США, на Ближнем Востоке, в Европе и Австралии.
По данным Dragos, злоумышленник использует известные уязвимости безопасности VPN в Fortinet, Pulse Secure и Palo Alto Networks для получения первоначального доступа.
В прошлом году американские спецслужбы обвиняли Lemon Sandstorm в развертывании программ-вымогателей в сетях компаний из США, Израиля, Азербайджана и ОАЭ.
Наблюдаемая Fortinet атака в отношении организации CNI осуществлялась в четыре этапа с использованием постоянно меняющегося арсенала инструментов по мере того, как жертва принимала контрмеры.
15 мая 2023 – 29 апреля 2024: создан плацдарм с использованием украденных учетных данных для доступа к системе SSL VPN жертвы, размещены веб-оболочки на общедоступных серверах и развернуты бэкдоры Havoc, HanifNet и HXLibrary для обеспечения долгосрочного доступа.
30 апреля 2024 – 22 ноября 2024: укрепление позиций путем внедрения дополнительных веб-оболочек и бэкдора NeoExpressRAT с задействованием инструментов plink и Ngrok для более глубокого проникновения в сеть, выполнения целенаправленной эксфильтрации электронных писем жертвы и осуществления горизонтального перемещения в инфраструктуре виртуализации.
23 ноября 2024 – 13 декабря 2024: развертывание новых веб-оболочек и двух дополнительных бэкдоров MeshCentral Agent и SystemBC в ответ на предпринимаемые меры по локализации инцидента со стороны жертвы.
14 декабря 2024 – по настоящее время: попытки повторного проникновения в сеть с использованием уязвимостей Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и фишинговых атак на 11 сотрудников с целью сбора учетных данных Microsoft 365.
Среди других семейств вредоносных ПО и инструментов с открытым исходным кодом, которые использовались в атаке: HanifNet, HXLibrary, CredInterceptor, RemoteInjector, RecShell, NeoExpressRAT, DropShell, DarkLoadLibrary.
Атрибуция базируется на анализе инфраструктуры C2 (apps.gist.githubapp[.]net и gupdate[.]net), которая ранее была отмечена как связанная с операциями APT, проводившимися в тот же период.
Fortinet полагает, что ключевой целью атаки была ограниченная OT-сеть жертвы, судя по характеру разведдеятельности субъекта угрозы и взломе соседних с OT систем.
При этом доказательств того, что противник проник в сеть OT, получено не было.
Большая часть вредоносной активности включала ручные операции, выполняемые разными операторами, учитывая ошибки команд и регулярный график работ.
Кроме того, более глубокое изучение инцидента показало, что злоумышленник мог иметь доступ к сети еще 15 мая 2021 года.
В ходе вторжения злоумышленник использовал цепочку прокси и пользовательские импланты, чтобы обойти сегментацию сети и перемещаться в пределах среды.
На более поздних этапах хакеры последовательно объединяли четыре различных инструмента прокси для доступа к внутренним сегментам сети, демонстрируя сложный подход к поддержанию устойчивости и уклонению от обнаружения.
Выявленная активность продолжалась как минимум с мая 2023 года по февраль 2025 года и включала в себя масштабные шпионские операции, реализуемые с сохранением постоянного доступа к сети жертв.
Fortinet приписала атаку Lemon Sandstorm (ранее Rubidium), которая также отслеживается как Parisite, Pioneer Kitten и UNC757.
APT активна с 2017 года и фокусируется на аэрокосмической, нефтегазовой, водной и электроэнергетической сферах в США, на Ближнем Востоке, в Европе и Австралии.
По данным Dragos, злоумышленник использует известные уязвимости безопасности VPN в Fortinet, Pulse Secure и Palo Alto Networks для получения первоначального доступа.
В прошлом году американские спецслужбы обвиняли Lemon Sandstorm в развертывании программ-вымогателей в сетях компаний из США, Израиля, Азербайджана и ОАЭ.
Наблюдаемая Fortinet атака в отношении организации CNI осуществлялась в четыре этапа с использованием постоянно меняющегося арсенала инструментов по мере того, как жертва принимала контрмеры.
15 мая 2023 – 29 апреля 2024: создан плацдарм с использованием украденных учетных данных для доступа к системе SSL VPN жертвы, размещены веб-оболочки на общедоступных серверах и развернуты бэкдоры Havoc, HanifNet и HXLibrary для обеспечения долгосрочного доступа.
30 апреля 2024 – 22 ноября 2024: укрепление позиций путем внедрения дополнительных веб-оболочек и бэкдора NeoExpressRAT с задействованием инструментов plink и Ngrok для более глубокого проникновения в сеть, выполнения целенаправленной эксфильтрации электронных писем жертвы и осуществления горизонтального перемещения в инфраструктуре виртуализации.
23 ноября 2024 – 13 декабря 2024: развертывание новых веб-оболочек и двух дополнительных бэкдоров MeshCentral Agent и SystemBC в ответ на предпринимаемые меры по локализации инцидента со стороны жертвы.
14 декабря 2024 – по настоящее время: попытки повторного проникновения в сеть с использованием уязвимостей Biotime (CVE-2023-38950, CVE-2023-38951 и CVE-2023-38952) и фишинговых атак на 11 сотрудников с целью сбора учетных данных Microsoft 365.
Среди других семейств вредоносных ПО и инструментов с открытым исходным кодом, которые использовались в атаке: HanifNet, HXLibrary, CredInterceptor, RemoteInjector, RecShell, NeoExpressRAT, DropShell, DarkLoadLibrary.
Атрибуция базируется на анализе инфраструктуры C2 (apps.gist.githubapp[.]net и gupdate[.]net), которая ранее была отмечена как связанная с операциями APT, проводившимися в тот же период.
Fortinet полагает, что ключевой целью атаки была ограниченная OT-сеть жертвы, судя по характеру разведдеятельности субъекта угрозы и взломе соседних с OT систем.
При этом доказательств того, что противник проник в сеть OT, получено не было.
Большая часть вредоносной активности включала ручные операции, выполняемые разными операторами, учитывая ошибки команд и регулярный график работ.
Кроме того, более глубокое изучение инцидента показало, что злоумышленник мог иметь доступ к сети еще 15 мая 2021 года.
В ходе вторжения злоумышленник использовал цепочку прокси и пользовательские импланты, чтобы обойти сегментацию сети и перемещаться в пределах среды.
На более поздних этапах хакеры последовательно объединяли четыре различных инструмента прокси для доступа к внутренним сегментам сети, демонстрируя сложный подход к поддержанию устойчивости и уклонению от обнаружения.
30.04.202517:30
Продолжаем мониторить наиболее трендовые уязвимости и исследования в сфере ИБ:
1. Группа ученых из Технического университета Граца разработала атаку под названием ChoiceJacking (PDF), которая реализует обход защиты juice jacking в современных смартфонах.
ChoiceJacking позволяет вредоносному зарядному устройству получать доступ к данным на подключенном смартфоне, используя проблемы в реализации Android и iOS.
В прошлом году Google и Apple выпустили обновления безопасности.
2. Анонимный ИБ-исследователь из России обнаружил критическую уязвимость в мессенджере Telegram, которая позволяет получить доступ к учетным записям пользователей без пароля или проверки MFA, о чем уведомил разработчиков.
Проблема возникает при авторизации через Telegram-виджет на сторонних сайтах, прежде всего во встроенном браузере мессенджера. Такие авторизации могли создавать сессии с повышенными правами, оставаясь незамеченными для владельцев аккаунтов.
Однако Telegram официально опроверг наличие уязвимости, утверждая, что автор исследования неправильно интерпретировал механизм различных типов авторизаций. Но, есть нюанс.
3. Исследователи BI.ZONE проанализировали две уязвимости Vaultwarden, которые были раскрыты исследователем Дани Гарсия в начале этого года. Обе, EoP и RCE, можно объединить, чтобы захватить сервер менеджера паролей, который имеет высокую популярность в России.
4. Исследователи AquaSec обнаружили, что несколько сервисов AWS развертывают роли сервисов с чрезмерно широкими разрешениями для CDK, Glue, Lightsail, EMR и SageMager, включая полный доступ к S3 buckets.
Amazon ограничила некоторые роли и обновила документацию.
5. Поставщик ПО MSP ConnectWise выпустил обновление для утилиты ScreenConnect, чтобы устранить уязвимость, которая могла привести к взлому всего сервера.
6. Модели восьми крупнейших компаний ИИ уязвимы для новой техники внедрения подсказок под названием Policy Puppetry.
Атака использует специально созданные подсказки, чтобы обмануть LLM, интерпретируя их как политику LLM, позволяя обходить ограничения безопасности и доступа.
Атака затрагивает модели OpenAI, Microsoft, Google, Meta, Anthropic, Mistral, Deepseek и Qwen.
7. Исследователи из Positive Technologies выкатили отчет с отражением актуальной практики выстраивания компаниями процессов управления цифровыми активами, возникающих при этом проблем и задействуемого инструментария.
8. Группа анализа угроз Google (GTIG) представили аналитику по результатам 2024 года, сообщая об использовании злоумышленниками 75 0-day, более 50% из которых были связаны с атаками шпионского ПО.
9. Исследователи OPSWAT сообщают об обнаружении трех уязвимостей в интерфейсе веб-сервера Rack Ruby, которые позволяюь злоумышленникам получить несанкционированный доступ к файлам, внедрить вредоносные данные и подделать журналы.
10. Исследовательская группа Cybernews провела комплексное исследование недавно утекших учетных данных, дабы изучить практику использования паролей в 2025 году.
Результаты вас точно не обрадуют: только 6% из 19 030 305 929 оказались уникальны.
1. Группа ученых из Технического университета Граца разработала атаку под названием ChoiceJacking (PDF), которая реализует обход защиты juice jacking в современных смартфонах.
ChoiceJacking позволяет вредоносному зарядному устройству получать доступ к данным на подключенном смартфоне, используя проблемы в реализации Android и iOS.
В прошлом году Google и Apple выпустили обновления безопасности.
2. Анонимный ИБ-исследователь из России обнаружил критическую уязвимость в мессенджере Telegram, которая позволяет получить доступ к учетным записям пользователей без пароля или проверки MFA, о чем уведомил разработчиков.
Проблема возникает при авторизации через Telegram-виджет на сторонних сайтах, прежде всего во встроенном браузере мессенджера. Такие авторизации могли создавать сессии с повышенными правами, оставаясь незамеченными для владельцев аккаунтов.
Однако Telegram официально опроверг наличие уязвимости, утверждая, что автор исследования неправильно интерпретировал механизм различных типов авторизаций. Но, есть нюанс.
3. Исследователи BI.ZONE проанализировали две уязвимости Vaultwarden, которые были раскрыты исследователем Дани Гарсия в начале этого года. Обе, EoP и RCE, можно объединить, чтобы захватить сервер менеджера паролей, который имеет высокую популярность в России.
4. Исследователи AquaSec обнаружили, что несколько сервисов AWS развертывают роли сервисов с чрезмерно широкими разрешениями для CDK, Glue, Lightsail, EMR и SageMager, включая полный доступ к S3 buckets.
Amazon ограничила некоторые роли и обновила документацию.
5. Поставщик ПО MSP ConnectWise выпустил обновление для утилиты ScreenConnect, чтобы устранить уязвимость, которая могла привести к взлому всего сервера.
6. Модели восьми крупнейших компаний ИИ уязвимы для новой техники внедрения подсказок под названием Policy Puppetry.
Атака использует специально созданные подсказки, чтобы обмануть LLM, интерпретируя их как политику LLM, позволяя обходить ограничения безопасности и доступа.
Атака затрагивает модели OpenAI, Microsoft, Google, Meta, Anthropic, Mistral, Deepseek и Qwen.
7. Исследователи из Positive Technologies выкатили отчет с отражением актуальной практики выстраивания компаниями процессов управления цифровыми активами, возникающих при этом проблем и задействуемого инструментария.
8. Группа анализа угроз Google (GTIG) представили аналитику по результатам 2024 года, сообщая об использовании злоумышленниками 75 0-day, более 50% из которых были связаны с атаками шпионского ПО.
9. Исследователи OPSWAT сообщают об обнаружении трех уязвимостей в интерфейсе веб-сервера Rack Ruby, которые позволяюь злоумышленникам получить несанкционированный доступ к файлам, внедрить вредоносные данные и подделать журналы.
10. Исследовательская группа Cybernews провела комплексное исследование недавно утекших учетных данных, дабы изучить практику использования паролей в 2025 году.
Результаты вас точно не обрадуют: только 6% из 19 030 305 929 оказались уникальны.
30.04.202509:49
Исследователи из Лаборатории Касперского cообщают об обнаружении новой версии трояна Triada для Android, уже заразившего не менее 4500 устройств, большая часть из которых приходится на Россию (другие - в Великобритании, Нидерландах, Германии и Бразилии).
С развитием Android в прошивках стали добавляться ограничения, прежде всего, по части редактирования системных разделов, в том числе даже с правами суперпользователя.
В связи с чем, злоумышленники стали задействовать предустановленные зловреды в системных разделах, которые в отличие от попавших извне стали неудаляемыми.
Например, таким образом действовал загрузчик Dwphon, который был встроен в системные приложения для OTA-обновлений (over-the-air).
Новое исследование показало, что Triada теперь тоже адаптировался к сложностям с повышением привилегий в новых версиях Android.
Для этого злоумышленники встроили новый многоуровневый загрузчик в прошивки ряда устройств, что привело к заражению процесса Zygote и, как следствие, - любого запущенного приложения в системе.
Отчет по части описания модулей и функциональности вредоноснго ПО глубоко технически детализирован, отмечены подозрительные нативные библиотеки в прошивках, отражены основные особенности кампании, вектор распространения и цепочка заражения.
Основные выводы вкратце:
- Новые версии троянца Triada были обнаружены в устройствах, прошивки которых оказались заражены еще перед продажей. Это подделки под смартфоны известных брендов, и на момент исследования они по-прежнему были доступны на различных маркетплейсах.
- Копия троянца попадает в каждое приложение при его запуске на зараженном устройстве.
- Поскольку в основе зловреда - модульная архитектура, атакующие получают практически неограниченный контроль над системой, включая возможность адаптировать функциональность под конкретные приложения.
- Полезные нагрузки в текущей версии Triada, в зависимости от приложения, в котором они работают, меняют адреса криптокошельков при попытке перевода криптовалюты, подменяют ссылки в браузерах, отправляют и перехватывают SMS, крадут учетные данные мессенджеров и соцсетей.
- Архитектура зловреда предоставляет операторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений.
Индикаторы компрометации - в отчете.
С развитием Android в прошивках стали добавляться ограничения, прежде всего, по части редактирования системных разделов, в том числе даже с правами суперпользователя.
В связи с чем, злоумышленники стали задействовать предустановленные зловреды в системных разделах, которые в отличие от попавших извне стали неудаляемыми.
Например, таким образом действовал загрузчик Dwphon, который был встроен в системные приложения для OTA-обновлений (over-the-air).
Новое исследование показало, что Triada теперь тоже адаптировался к сложностям с повышением привилегий в новых версиях Android.
Для этого злоумышленники встроили новый многоуровневый загрузчик в прошивки ряда устройств, что привело к заражению процесса Zygote и, как следствие, - любого запущенного приложения в системе.
Отчет по части описания модулей и функциональности вредоноснго ПО глубоко технически детализирован, отмечены подозрительные нативные библиотеки в прошивках, отражены основные особенности кампании, вектор распространения и цепочка заражения.
Основные выводы вкратце:
- Новые версии троянца Triada были обнаружены в устройствах, прошивки которых оказались заражены еще перед продажей. Это подделки под смартфоны известных брендов, и на момент исследования они по-прежнему были доступны на различных маркетплейсах.
- Копия троянца попадает в каждое приложение при его запуске на зараженном устройстве.
- Поскольку в основе зловреда - модульная архитектура, атакующие получают практически неограниченный контроль над системой, включая возможность адаптировать функциональность под конкретные приложения.
- Полезные нагрузки в текущей версии Triada, в зависимости от приложения, в котором они работают, меняют адреса криптокошельков при попытке перевода криптовалюты, подменяют ссылки в браузерах, отправляют и перехватывают SMS, крадут учетные данные мессенджеров и соцсетей.
- Архитектура зловреда предоставляет операторам различные возможности для осуществления вредоносной деятельности, в том числе целевой доставки новых модулей и массового заражения конкретных приложений.
Индикаторы компрометации - в отчете.
29.04.202513:52
Подкатили подробности недавно обнаруженной уязвимости iOS, которая позволяла злоумышленникам удаленно выводить из строя iPhone с помощью всего одной строки кода и была скрыта глубоко во внутренней системе обмена сообщениями.
Найти и устранить серьезную уязвимость помог Apple разработчик приложений и исследователь Гильерме Рамбо, который выкатил соответствующий PoC - приложение под названием EvilNotify.
Проблема была связана с уведомлениями Darwin - низкоуровневым механизмом межпроцессного взаимодействия в операционных системах Apple.
При этом не требовалось никаких специальных привилегий для отправки и получения уведомлений Darwin, а механизм проверки отправителя вовсе отсутствовал.
Они были доступны как публичный API и любой процесс на iOS, включая изолированные приложения, мог отправлять эти уведомления для базовых обновлений и изменений статуса.
Несмотря на весьма ограниченный объем данных, которые можно было передать, исследователь понял, что уведомления Darwin могут помешать работе системы, поскольку некоторые компоненты реагируют на них таким образом, что нарушает нормальную работу устройства.
Это может привести к тому, что устройство будет отображать определенные значки в строке состояния, например, для «обнаружения жидкости», активировать состояние подключения Display Port в Dynamic Island и блокировать общесистемные жесты для открытия Центра управления, Центра уведомлений и экрана блокировки.
Помимо прочего, вредоносное приложение может игнорировать сети Wi-Fi, заставляя систему использовать сотовое соединение, блокировать экран и переводить устройство в режим «процесса восстановления».
Последний вариант (режим «восстановление в процессе») стал идеальным вектором атаки типа DoS, поскольку из этого состояния не было иного выхода, кроме как нажать кнопку «перезагрузить», что всегда приводило к перезагрузке устройства.
Чтобы вызвать такой сбой, достаточно было включить в приложение всего одну строку кода.
Причем уведомления работали, даже когда приложение не отображалось на переднем плане, что приводило к неоднократной перезагрузке устройства.
Рамбо также создал расширение виджета VeryEvilNotify, которое фактически превращало устройство iOS в мягкий кирпич, требуя стирания и восстановления из резервной копии.
Причем, если бы приложение попало в резервную копию и устройство было восстановлено из нее, ошибка в конечном итоге сработала бы снова, что сделало бы ее еще более эффективной в качестве DoS.
Исследователь сообщил о проблеме в Apple 26 июня 2024 года.
Компания признала ошибку и исправила ее в последующих выпусках обновлений.
Конфиденциальные уведомления теперь требуют ограниченных прав.
Рэмбо подтвердил, что с выпуском iOS 18.3 все проблемы, продемонстрированные в PoC, были устранены, а исследователю выплачена премия в размере 17 500 долл.
Найти и устранить серьезную уязвимость помог Apple разработчик приложений и исследователь Гильерме Рамбо, который выкатил соответствующий PoC - приложение под названием EvilNotify.
Проблема была связана с уведомлениями Darwin - низкоуровневым механизмом межпроцессного взаимодействия в операционных системах Apple.
При этом не требовалось никаких специальных привилегий для отправки и получения уведомлений Darwin, а механизм проверки отправителя вовсе отсутствовал.
Они были доступны как публичный API и любой процесс на iOS, включая изолированные приложения, мог отправлять эти уведомления для базовых обновлений и изменений статуса.
Несмотря на весьма ограниченный объем данных, которые можно было передать, исследователь понял, что уведомления Darwin могут помешать работе системы, поскольку некоторые компоненты реагируют на них таким образом, что нарушает нормальную работу устройства.
Это может привести к тому, что устройство будет отображать определенные значки в строке состояния, например, для «обнаружения жидкости», активировать состояние подключения Display Port в Dynamic Island и блокировать общесистемные жесты для открытия Центра управления, Центра уведомлений и экрана блокировки.
Помимо прочего, вредоносное приложение может игнорировать сети Wi-Fi, заставляя систему использовать сотовое соединение, блокировать экран и переводить устройство в режим «процесса восстановления».
Последний вариант (режим «восстановление в процессе») стал идеальным вектором атаки типа DoS, поскольку из этого состояния не было иного выхода, кроме как нажать кнопку «перезагрузить», что всегда приводило к перезагрузке устройства.
Чтобы вызвать такой сбой, достаточно было включить в приложение всего одну строку кода.
Причем уведомления работали, даже когда приложение не отображалось на переднем плане, что приводило к неоднократной перезагрузке устройства.
Рамбо также создал расширение виджета VeryEvilNotify, которое фактически превращало устройство iOS в мягкий кирпич, требуя стирания и восстановления из резервной копии.
Причем, если бы приложение попало в резервную копию и устройство было восстановлено из нее, ошибка в конечном итоге сработала бы снова, что сделало бы ее еще более эффективной в качестве DoS.
Исследователь сообщил о проблеме в Apple 26 июня 2024 года.
Компания признала ошибку и исправила ее в последующих выпусках обновлений.
Конфиденциальные уведомления теперь требуют ограниченных прав.
Рэмбо подтвердил, что с выпуском iOS 18.3 все проблемы, продемонстрированные в PoC, были устранены, а исследователю выплачена премия в размере 17 500 долл.
28.04.202513:30
Исследователи Trend Micro обнаружили новую APT под названием Earth Kurma, которая в рамках сложной кампании с июня 2024 года нацелена на государственный и телеком секторы в Юго-Восточной Азии (Филиппины, Вьетнам, Таиланд и Малайзия).
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
По данным Trend Micro, в ходе атак хакеры задействовали вредоносное ПО, руткиты и облачные сервисы хранения данных для эксфильтрации.
Наблюдаемая кампания несет высокие риски в виду целенаправленного шпионажа, кражи учетных данных, четкого закрепления с помощью руткитов на уровне ядра и извлечения данных через доверенные облачные платформы.
Действия злоумышленников активизировались в ноябре 2020 года, при этом атаки в основном осуществлялись с использованием таких сервисов, как Dropbox и Microsoft OneDrive, для кражи конфиденциальных данных с использованием таких инструментов, как TESDAT и SIMPOBOXSPY.
Два других заслуживающих внимания семейства вредоносных ПО в арсенале APT - такие руткиты, как KRNRAT и Moriya, последний из которых ранее был замечен в атаках на известные организации в Азии и Африке в рамках шпионской кампании TunnelSnake.
Trend Micro также полагает, что SIMPOBOXSPY и скрипт эксфильтрации имеют общие черты с другой APT-группой, известной как ToddyCat. Однако окончательная атрибуция остается неубедительной.
В настоящее время неизвестно, как злоумышленники получают первоначальный доступ к целевым средам.
Однако затем первоначальный плацдарм используется для сканирования и бокового перемещения с использованием инструментов: NBTSCAN, Ladon, FRPC, WMIHACKER и ICMPinger.
Также используется кейлоггер, называемый KMLOG, для сбора учетных данных. При этом использование фреймворка Ladon с открытым исходным кодом ранее приписывалось связанной с Китаем хакерской группе TA428 (Vicious Panda).
Устойчивость на хостах достигается тремя различными штаммами загрузчиков - DUNLOADER, TESDAT и DMLOADER, которые способны загружать полезные нагрузки следующего этапа в память и выполнять их.
Они включат Cobalt Strike Beacons, руткиты KRNRAT и Moriya, а также ПО для извлечения данных.
Отличительной чертой этих атак является использование методов LotL для установки руткитов, при которых хакеры используют легальные системные инструменты и функции, в данном случае syssetup.dll, а не внедряют легко обнаруживаемое вредоносное ПО.
Moriya разработан для проверки входящих TCP-пакетов на наличие вредоносной нагрузки и внедрения шелл-кода в процесс svchost.exe.
В свою очередь, KRNRAT представляет собой объединение пяти различных проектов с открытым исходным кодом с такими возможностями, как манипулирование процессами, сокрытие файлов, выполнение шелл-кода, сокрытие трафика и связь с C2.
KRNRAT, как и Moriya, также предназначен для загрузки агента пользовательского режима руткита и внедрения его в svchost.exe.
Агент пользовательского режима служит в качестве бэкдора для извлечения последующей полезной нагрузки с сервера C2.
Перед тем как извлечь файлы, ряд команд, выполняемых загрузчиком TESDAT, приводили к сбору файлов документов со следующими расширениями: pdf, doc, docx, xls, xlsx, ppt и pptx.
Сначала документы помещаются вов вновь создаваемую папку с именем tmp, которая затем архивируется с помощью WinRAR с определенным паролем.
Одним из специальных инструментов для эксфильтрации данных выступает SIMPOBOXSPY, который способен загружать архив RAR в Dropbox с помощью специального токена доступа.
Согласно отчету Лаборатории Касперского от октября 2023 года, универсальный загрузчик DropBox, вероятно, используется не только ToddyCat.
ODRIZ, другая ПО, используемая для той же цели, загружает собранную информацию в OneDrive, указывая токен обновления в качестве входного параметра.
Как отмечают исследователи, Earth Kurma проявляет себя достаточно активным злоумышленником, продолжая атаковать страны Юго-Восточной Азии, обладая способностью адаптироваться к среде жертвы и обеспечивать уверенное скрытное присутствие.
06.05.202509:41
Исследователи из команды реагирования на инциденты Stroz Friedberg из Aon раскрыли новый метод обхода EDR под условным наименованием Bring Your Own Installer, который задействуется в атаках с использованием ransomware Babuk.
В основе метода лежит брешь в процессе обновления агента, которая позволяет злоумышленникам завершить работу агентов EDR, оставляя устройства незащищенными.
Атака была обнаружена в ходе расследования инцидента у одного из клиентов с решением SentinelOne, который в начале этого года подвергся атаке с целью программ-вымогателей.
В реализации замеченного метода не используются сторонние инструменты или драйверы, как обычно это бывает при обходе EDR, вместо этого использовался сам установщик SentinelOne.
Исследователи пояснили, что SentinelOne защищает своего агента EDR с помощью функции защиты от несанкционированного доступа, которая требует ручного действия в консоли управления SentinelOne или уникального кода для удаления агента.
Однако, как и многие другие установщики ПО, при установке другой версии агента установщик SentinelOne завершает все связанные процессы Windows непосредственно перед тем, как существующие файлы будут перезаписаны новой версией.
Злоумышленники смогли воспользоваться этим небольшим окном, запустив легитимный установщик SentinelOne, а затем принудительно прервав процесс установки после того, как он завершит работу служб запущенного агента, оставив устройства незащищенными.
В рамках расследования атаки на сеть клиента Aon проанализировали журналы и выяснили, что злоумышленники получили административный доступ к сети клиента через уязвимость.
Затем злоумышленники использовали этот новый обходной путь, завершив msiexec.exe процесс SentinelOne Windows Installer (" ") до того, как он смог установить и запустить новую версию агента. После отключения защиты злоумышленники смогли развернуть программу-вымогатель.
При этом злоумышленники могут использовать новые или старые версии агента для проведения этой атаки, поэтому даже если на устройствах запущена последняя версия, они все равно уязвимы.
Aon ответственно уведомили об этой атаке SentinelOne, которая в частном порядке поделилась с клиентами способами ее устранения в январе 2025 года.
Для смягчения последствий необходимо включить функцию «онлайн-авторизация» в настройках политики Sentinel. Если эта функция включена, перед локальными обновлениями, понижениями или удалениями агента требуется одобрение консоли управления SentinelOne.
В свою очередь, SentinelOne также поделилась рекомендациями исследователей относительно новой техники со всеми другими крупными поставщиками EDR.
В основе метода лежит брешь в процессе обновления агента, которая позволяет злоумышленникам завершить работу агентов EDR, оставляя устройства незащищенными.
Атака была обнаружена в ходе расследования инцидента у одного из клиентов с решением SentinelOne, который в начале этого года подвергся атаке с целью программ-вымогателей.
В реализации замеченного метода не используются сторонние инструменты или драйверы, как обычно это бывает при обходе EDR, вместо этого использовался сам установщик SentinelOne.
Исследователи пояснили, что SentinelOne защищает своего агента EDR с помощью функции защиты от несанкционированного доступа, которая требует ручного действия в консоли управления SentinelOne или уникального кода для удаления агента.
Однако, как и многие другие установщики ПО, при установке другой версии агента установщик SentinelOne завершает все связанные процессы Windows непосредственно перед тем, как существующие файлы будут перезаписаны новой версией.
Злоумышленники смогли воспользоваться этим небольшим окном, запустив легитимный установщик SentinelOne, а затем принудительно прервав процесс установки после того, как он завершит работу служб запущенного агента, оставив устройства незащищенными.
В рамках расследования атаки на сеть клиента Aon проанализировали журналы и выяснили, что злоумышленники получили административный доступ к сети клиента через уязвимость.
Затем злоумышленники использовали этот новый обходной путь, завершив msiexec.exe процесс SentinelOne Windows Installer (" ") до того, как он смог установить и запустить новую версию агента. После отключения защиты злоумышленники смогли развернуть программу-вымогатель.
При этом злоумышленники могут использовать новые или старые версии агента для проведения этой атаки, поэтому даже если на устройствах запущена последняя версия, они все равно уязвимы.
Aon ответственно уведомили об этой атаке SentinelOne, которая в частном порядке поделилась с клиентами способами ее устранения в январе 2025 года.
Для смягчения последствий необходимо включить функцию «онлайн-авторизация» в настройках политики Sentinel. Если эта функция включена, перед локальными обновлениями, понижениями или удалениями агента требуется одобрение консоли управления SentinelOne.
В свою очередь, SentinelOne также поделилась рекомендациями исследователей относительно новой техники со всеми другими крупными поставщиками EDR.
05.05.202514:17
Хакеры активировали секретные бэкдоры, которые им удалось внедрить еще шесть лет назад в плагины Magento, что позволило взломать почти 1000 Интернет-магазинов.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
Первые взломы произошли в 2019 году, когда злоумышленники, предположительно, получили доступ к серверам трех разработчиков программного обеспечения Magento - Magesolution, Meetanshi и Tigren.
По данным Sansec, хакеры модифицировали исходный код 21 плагина.
Бэкдор был спрятан в файле License.php, который обычно включается в большинство плагинов для проверки наличия у пользователя действительной лицензии.
Sansec полагает, что вредоносный код оставался неактивным в течение шести лет до апреля, после чего злоумышленники приступили к его использованию для развертывания вредоносного кода в магазинах Magento, устанавливающих плагины.
Код бэкдора проверял наличие секретного ключа во входящих запросах и позволял владельцу ключа выполнять команды на сервере.
Несмотря на то, что удаление вредоносных плагинов удалит первоначальную запись для злоумышленников, админам все же потребуется тщательная проверка, дабы убедиться в отсутствии дополнительных веб-оболочек для вторичного доступа.
На данный момент атаки, по всей видимости, затронули несколько крупных клиентов и, как отмечает Sansec, одним из них является «транснациональная корпорация стоимостью 40 миллиардов долларов».
Компания также уведомила разработчиков плагина, однако, по всей видимости, проблема их особо не волнует:
- Magesolution не отреагировала, но по состоянию на 30 апреля пакеты с бэкдором все еще можно было загрузить с их сайта;
- Tigren отрицает факт взлома, по состоянию на 30 апреля пакеты с бэкдором все еще доступны на их сайте;
- Meetanshi утверждает, что их ПО не было затронуто, но подтвердила, что их сервер был взломан.
से पुनः पोस्ट किया:
Social Engineering
30.04.202515:00
👾 Уязвимости online.
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
29.04.202519:20
Когда решили импортозаместить IT-инфраструктуру
29.04.202512:30
BreachForums, в очередной раз, пал, на этот раз результате атаки с использованием 0-day PHP, которая позволила скомпрометировать «устаревшее и неисправленное ПО» форума (если верить сообщениям админов).
После того, как на прошлой неделе BreachForums (BF) ушел в оффлайн, новый админ, по всей видимости, взял на себя управление, обещая возродить сайт независимо от любых «подозрительных личностей» из прошлых версий.
Новый владелец - пользователь Momondo - также утверждает, что является представителем «первоначальной» команды, что подразумевает прямую связь с основателем рынка и администратором OG Pompompurin.
Помпомпурин же, 20-летний Конор Брайан Фицпатрик из Нью-Йорка, был арестован в 2023 году в ходе операции ФБР, что привело к дальнейшей чехарде администраторов и адресов сайта, ни один из которых не смог продержаться на длительное время.
Momondo попытался представил объяснение тому, с чем столкнулись сотни тысяч пользователей BF, опубликовав пояснения на очередном новом адресе веб-сайта, на этот раз с расширением .SX.
Из объяснений стало известно, что BreachForums (breachforums.st) использовал устаревшую и неисправленную версию ПО форума MyBB.
В виду игнорирования критических обновлений безопасности и исправлений инфраструктура могла оказаться уязвимой, что позволило третьим лицам или правоохранительным органам получить потенциальный несанкционированный доступ.
Momondo также дал понять, что он дистанцирован от последней команды админов сайта, включая недавнего владельца BreachForum «Anastasia», которая с треском провалила запуск четвертой версии рынка, обещанный на прошлый четверг, 24 апреля.
Фактически, вместо перезагрузки BreachForums на целевой странице сайта в четверг появилось уведомление, якобы от Анастасии, с предложением продать резервную копию базы данных BreachForums (от 10 апреля) и исходный код всего за 2000 долларов.
Возвращаясь к последним событиям, и Momondo, и Anastasia так или иначе упоминали о возможной причастности ФБР к атаке, однако исследователи Cybernews полагают виновной Dark Storm Team, которая периодически атаковала сайт BF незадолго до ожидаемого перезапуска.
Dark Storm Team, пропалестинская хактивистская банда, предположительно Script Kiddies, известная своими недавними DDoS-атаками на аккаунт Илона Маска X, допускала публичные нападки на Anastasia, транслируя все в Telegram.
Тем не менее, Momondo, дабы еще больше прояснить ситуацию, во втором посте раскрыл уязвимость PHP и объяснил, почему решил выйти из нынешней команды, выражая крайнюю неблагонадежность нынешнего руководства и мер безопасности.
Кроме того, Momondo отказался также от сотрудничества с представителями Shiny Hunters, действия которых, по его мнению, ставят под угрозу целостность и безопасность всего сообщества BF.
Напомним, ранее BreachForums после первого захвата ФБР в 2023 году был реанимировал его вторым админом, Блафометом, но в мае 2024 года ФБР снова прикрыли его.
С тех пор за третью версию Breached взялись Shiny Hunters и еще один известный завсегдатай форума, USDoD.
Потом все они исчезли из поля зрения и, по всей видимости, также были арестованы ФБР.
Сами спецслужбы пока ника мне комментируют ситуацию.
В свою очередь, администраторы BreachForums публично заверили, что ни один член команды не был арестован, а инфраструктура остается в безопасности.
Но будем посмотреть.
После того, как на прошлой неделе BreachForums (BF) ушел в оффлайн, новый админ, по всей видимости, взял на себя управление, обещая возродить сайт независимо от любых «подозрительных личностей» из прошлых версий.
Новый владелец - пользователь Momondo - также утверждает, что является представителем «первоначальной» команды, что подразумевает прямую связь с основателем рынка и администратором OG Pompompurin.
Помпомпурин же, 20-летний Конор Брайан Фицпатрик из Нью-Йорка, был арестован в 2023 году в ходе операции ФБР, что привело к дальнейшей чехарде администраторов и адресов сайта, ни один из которых не смог продержаться на длительное время.
Momondo попытался представил объяснение тому, с чем столкнулись сотни тысяч пользователей BF, опубликовав пояснения на очередном новом адресе веб-сайта, на этот раз с расширением .SX.
Из объяснений стало известно, что BreachForums (breachforums.st) использовал устаревшую и неисправленную версию ПО форума MyBB.
В виду игнорирования критических обновлений безопасности и исправлений инфраструктура могла оказаться уязвимой, что позволило третьим лицам или правоохранительным органам получить потенциальный несанкционированный доступ.
Momondo также дал понять, что он дистанцирован от последней команды админов сайта, включая недавнего владельца BreachForum «Anastasia», которая с треском провалила запуск четвертой версии рынка, обещанный на прошлый четверг, 24 апреля.
Фактически, вместо перезагрузки BreachForums на целевой странице сайта в четверг появилось уведомление, якобы от Анастасии, с предложением продать резервную копию базы данных BreachForums (от 10 апреля) и исходный код всего за 2000 долларов.
Возвращаясь к последним событиям, и Momondo, и Anastasia так или иначе упоминали о возможной причастности ФБР к атаке, однако исследователи Cybernews полагают виновной Dark Storm Team, которая периодически атаковала сайт BF незадолго до ожидаемого перезапуска.
Dark Storm Team, пропалестинская хактивистская банда, предположительно Script Kiddies, известная своими недавними DDoS-атаками на аккаунт Илона Маска X, допускала публичные нападки на Anastasia, транслируя все в Telegram.
Тем не менее, Momondo, дабы еще больше прояснить ситуацию, во втором посте раскрыл уязвимость PHP и объяснил, почему решил выйти из нынешней команды, выражая крайнюю неблагонадежность нынешнего руководства и мер безопасности.
Кроме того, Momondo отказался также от сотрудничества с представителями Shiny Hunters, действия которых, по его мнению, ставят под угрозу целостность и безопасность всего сообщества BF.
Напомним, ранее BreachForums после первого захвата ФБР в 2023 году был реанимировал его вторым админом, Блафометом, но в мае 2024 года ФБР снова прикрыли его.
С тех пор за третью версию Breached взялись Shiny Hunters и еще один известный завсегдатай форума, USDoD.
Потом все они исчезли из поля зрения и, по всей видимости, также были арестованы ФБР.
Сами спецслужбы пока ника мне комментируют ситуацию.
В свою очередь, администраторы BreachForums публично заверили, что ни один член команды не был арестован, а инфраструктура остается в безопасности.
Но будем посмотреть.
28.04.202512:19
Киберподполье активно взялось за Craft CMS, успев, по всей видимости, скомпрометировать сотни серверов.
Злоумышленники нацелились на две недавно обнаруженные критические уязвимости для реализации 0-day атак с целью получения несанкционированного доступа.
Атаки, впервые обнаруженные Orange Cyberdefense SensePost 14 февраля 2025 года, включают в себя цепочку следующих уязвимостей:
- CVE-2024-58136 (CVSS: 9,0): ненадлежащая защита от ошибки альтернативного пути в фреймворке Yii PHP, используемом Craft CMS, которая может быть использована для доступа к ограниченным функциям или ресурсам (регресс CVE-2024-4990).
- CVE-2025-32432 (CVSS: 10,0): уязвимость удаленного выполнения кода в Craft CMS (исправлено в версиях 3.9.15, 4.14.15 и 5.6.17).
По данным компании, CVE-2025-32432 кроется во встроенной функции преобразования изображений, которая позволяет администраторам сайтов сохранять изображения в определенном формате.
CVE-2025-32432 связана с тем, что неаутентифицированный пользователь может отправить запрос POST на конечную точку, ответственную за преобразование изображения, и данные в POST будут интерпретированы сервером.
В версиях 3.x Craft CMS идентификатор актива проверяется до создания объекта преобразования, тогда как в версиях 4.x и 5.x идентификатор проверяется после.
Таким образом, для того чтобы эксплойт функционировал с каждой версией Craft CMS, злоумышленнику необходимо найти действительный идентификатор актива.
Идентификатор актива в контексте Craft CMS относится к способу управления файлами документов и медиафайлами, при этом каждому активу присваивается уникальный идентификатор.
Злоумышленники, стоящие за кампанией, запускают несколько POST-запросов до тех пор, пока не будет обнаружен действительный идентификатор актива, после чего выполняется скрипт Python, определяя уязвимость сервера и загружая PHP-файл на сервер из репозитория GitHub.
В период с 10 по 11 февраля злоумышленники заметно отточили свои скрипты, многократно протестировав загрузку filemanager.php на веб-сервер с помощью скрипта Python.
Файл filemanager.php был переименован в autoload_classmap.php 12 февраля и впервые был использован 14 февраля.
По состоянию на 18 апреля 2025 года выявлено около 13 000 уязвимых экземпляров Craft CMS, из которых около 300 предположительно были взломаны.
Как отмечают разработчики Craft CMS, если при проверке журналов брандмауэра или веб-сервера обнаружатся подозрительные запросы POST к конечной точке контроллера Craft actions/assets/generate-transform, в частности, со строкой __class в теле, то можно полагать, что сайт сканировался на наличие этой уязвимости.
При наличии доказательств компрометации пользователям рекомендуется обновить ключи безопасности, сменить учетные данные базы данных, сбросить пароли пользователей в целях предосторожности и заблокировать вредоносные запросы на уровне брандмауэра.
Злоумышленники нацелились на две недавно обнаруженные критические уязвимости для реализации 0-day атак с целью получения несанкционированного доступа.
Атаки, впервые обнаруженные Orange Cyberdefense SensePost 14 февраля 2025 года, включают в себя цепочку следующих уязвимостей:
- CVE-2024-58136 (CVSS: 9,0): ненадлежащая защита от ошибки альтернативного пути в фреймворке Yii PHP, используемом Craft CMS, которая может быть использована для доступа к ограниченным функциям или ресурсам (регресс CVE-2024-4990).
- CVE-2025-32432 (CVSS: 10,0): уязвимость удаленного выполнения кода в Craft CMS (исправлено в версиях 3.9.15, 4.14.15 и 5.6.17).
По данным компании, CVE-2025-32432 кроется во встроенной функции преобразования изображений, которая позволяет администраторам сайтов сохранять изображения в определенном формате.
CVE-2025-32432 связана с тем, что неаутентифицированный пользователь может отправить запрос POST на конечную точку, ответственную за преобразование изображения, и данные в POST будут интерпретированы сервером.
В версиях 3.x Craft CMS идентификатор актива проверяется до создания объекта преобразования, тогда как в версиях 4.x и 5.x идентификатор проверяется после.
Таким образом, для того чтобы эксплойт функционировал с каждой версией Craft CMS, злоумышленнику необходимо найти действительный идентификатор актива.
Идентификатор актива в контексте Craft CMS относится к способу управления файлами документов и медиафайлами, при этом каждому активу присваивается уникальный идентификатор.
Злоумышленники, стоящие за кампанией, запускают несколько POST-запросов до тех пор, пока не будет обнаружен действительный идентификатор актива, после чего выполняется скрипт Python, определяя уязвимость сервера и загружая PHP-файл на сервер из репозитория GitHub.
В период с 10 по 11 февраля злоумышленники заметно отточили свои скрипты, многократно протестировав загрузку filemanager.php на веб-сервер с помощью скрипта Python.
Файл filemanager.php был переименован в autoload_classmap.php 12 февраля и впервые был использован 14 февраля.
По состоянию на 18 апреля 2025 года выявлено около 13 000 уязвимых экземпляров Craft CMS, из которых около 300 предположительно были взломаны.
Как отмечают разработчики Craft CMS, если при проверке журналов брандмауэра или веб-сервера обнаружатся подозрительные запросы POST к конечной точке контроллера Craft actions/assets/generate-transform, в частности, со строкой __class в теле, то можно полагать, что сайт сканировался на наличие этой уязвимости.
При наличии доказательств компрометации пользователям рекомендуется обновить ключи безопасности, сменить учетные данные базы данных, сбросить пароли пользователей в целях предосторожности и заблокировать вредоносные запросы на уровне брандмауэра.
दिखाया गया 1 - 24 का 449
अधिक कार्यक्षमता अनलॉक करने के लिए लॉगिन करें।