SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
TGlist рейтингі
0
0
ТүріҚоғамдық
Растау
РасталмағанСенімділік
СенімсізОрналасқан жеріРосія
ТілБасқа
Канал құрылған күніNov 30, 2019
TGlist-ке қосылған күні
May 21, 2024Қосылған топ
Жазылушылар
40 278
24 сағат00%Апта
160%Ай
270.1%
Дәйексөз индексі
33
Ескертулер1Каналдарда қайта жазылу0Каналдарда ескерту1
1 жазбаның орташа қамтуы
5 665
12 сағат3 226
33.2%24 сағат5 665
54.6%48 сағат13 678
92%
Қатысу деңгейі (ER)
0.3%
Қайта жазылды26Пікірлер1Реакциялар0
Қамту бойынша қатысу деңгейі (ERR)
30.7%
24 сағат
0.28%Апта
0.17%Ай
5.19%
1 жарнамалық жазбаның қамтуы
5 662
1 сағат1 33423.56%1 – 4 сағат2 02235.71%4 - 24 сағат00%
24 сағаттағы жазбалар саны
2
Динамика
3
"SecAtor" тобындағы соңғы жазбалар
15.05.202518:00
В США крупнейшая сталелитейная корпорация Nucor, входящая в десятку лидеров отрасли в мире, вынуждена была остановить работу в результате инцидента кибербезопасности.
В компании трудоустроено более 32 000 сотрудников на боле чем 20 заводах в США, Мексике и Канаде, а ее выручка за первый квартал года составила 7,83 миллиарда долларов.
Продукция широко реализуется в строительстве, мостостроении, дорожном хозяйстве, обеспечивая функционирования критически важной инфраструктуры страны.
Об инциденте стало известно после направления в Комиссию по ценным бумагам и биржам США (SEC) официального уведомления по форме 8-K.
Согласно сообщению инцидент затронул «определённые информационные системы», однако подробности и масштабы бедствия не раскрываются.
Известно, что инцидент был связан с несанкционированным доступом третьих лиц к определенным системам IT-инфраструктуры, используемой Nucor.
После обнаружения инцидента незамедлительно были предприняты меры сдерживания и реагирования, включая упреждающее отключение потенциально затронутых систем и локализацию последствий.
Кроме того, Nucor привлекла правоохранительный блок и сторонних экспертов по кибербезопасности для проведения всестороннего расследования.
Тем не менее, производственные операции в различных локациях корпорации были остановлены и к настоящему времени, как сообщают в Nucor, компания находится в процессе их постепенного перезапуска.
Никаких подробностей о точной дате или характера атаки не разглашается, но судя по всему речь идет об участии банд вымогателей, ни одна из которых, правда, пока на себя ответственность за нападение.
В компании трудоустроено более 32 000 сотрудников на боле чем 20 заводах в США, Мексике и Канаде, а ее выручка за первый квартал года составила 7,83 миллиарда долларов.
Продукция широко реализуется в строительстве, мостостроении, дорожном хозяйстве, обеспечивая функционирования критически важной инфраструктуры страны.
Об инциденте стало известно после направления в Комиссию по ценным бумагам и биржам США (SEC) официального уведомления по форме 8-K.
Согласно сообщению инцидент затронул «определённые информационные системы», однако подробности и масштабы бедствия не раскрываются.
Известно, что инцидент был связан с несанкционированным доступом третьих лиц к определенным системам IT-инфраструктуры, используемой Nucor.
После обнаружения инцидента незамедлительно были предприняты меры сдерживания и реагирования, включая упреждающее отключение потенциально затронутых систем и локализацию последствий.
Кроме того, Nucor привлекла правоохранительный блок и сторонних экспертов по кибербезопасности для проведения всестороннего расследования.
Тем не менее, производственные операции в различных локациях корпорации были остановлены и к настоящему времени, как сообщают в Nucor, компания находится в процессе их постепенного перезапуска.
Никаких подробностей о точной дате или характера атаки не разглашается, но судя по всему речь идет об участии банд вымогателей, ни одна из которых, правда, пока на себя ответственность за нападение.
15.05.202510:51
Google выпустила экстренные обновления для устранения четырех проблем безопасности в браузере Chrome, для одной из которых, по данным поставщика, существует эксплойт в дикой природе.
Уязвимость высокой серьезности отслеживается как CVE-2025-4664 (CVSS: 4,3) и связана с недостаточно неэффективным механизмом применения политики в компоненте под названием Loader в Google Chrome до 136.0.7103.113.
Уязвимость может быть использована удаленным злоумышленником «для утечки данных из разных источников через специально созданную HTML-страницу» и привести к полному захвату аккаунта в случае успешной эксплуатации.
Google приписывает раскрытие недостатка исследователю Solidlab Всеволоду Кокорину (slonser_), представившего описание проблемы в X 5 мая 2025 года, отметив свои осведомленность в существовании эксплойта для CVE-2025-4664 в дикой природе.
Несмотря на отсутствие подробностей, именно такую формулировку Google обычно использует, когда уязвимость Chrome используется для вредоносных атак.
Так что можно считать CVE-2025-4664 второй уязвимостью после CVE-2025-2783, попававшей под «активную эксплуатацию».
Slonser пояснил, что злоумышленник может изменить заголовок Link, который Chrome разрешает в запросах подресурсов, чтобы захватить параметры запроса, содержащие конфиденциальную информацию.
При этом разработчики редко рассматривают возможность кражи параметров запроса через изображение со стороннего ресурса, что делает этот трюк иногда удивительно полезным.
Для защиты от потенциальных угроз рекомендуется обновить браузер Chrome до версий 136.0.7103.113/.114 для Windows и Mac и 136.0.7103.113 для Linux.
Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.
Уязвимость высокой серьезности отслеживается как CVE-2025-4664 (CVSS: 4,3) и связана с недостаточно неэффективным механизмом применения политики в компоненте под названием Loader в Google Chrome до 136.0.7103.113.
Уязвимость может быть использована удаленным злоумышленником «для утечки данных из разных источников через специально созданную HTML-страницу» и привести к полному захвату аккаунта в случае успешной эксплуатации.
Google приписывает раскрытие недостатка исследователю Solidlab Всеволоду Кокорину (slonser_), представившего описание проблемы в X 5 мая 2025 года, отметив свои осведомленность в существовании эксплойта для CVE-2025-4664 в дикой природе.
Несмотря на отсутствие подробностей, именно такую формулировку Google обычно использует, когда уязвимость Chrome используется для вредоносных атак.
Так что можно считать CVE-2025-4664 второй уязвимостью после CVE-2025-2783, попававшей под «активную эксплуатацию».
Slonser пояснил, что злоумышленник может изменить заголовок Link, который Chrome разрешает в запросах подресурсов, чтобы захватить параметры запроса, содержащие конфиденциальную информацию.
При этом разработчики редко рассматривают возможность кражи параметров запроса через изображение со стороннего ресурса, что делает этот трюк иногда удивительно полезным.
Для защиты от потенциальных угроз рекомендуется обновить браузер Chrome до версий 136.0.7103.113/.114 для Windows и Mac и 136.0.7103.113 для Linux.
Пользователям других браузеров на базе Chromium, таких как Microsoft Edge, Brave, Opera и Vivaldi, также рекомендуется применить исправления по мере их появления.
14.05.202517:14
Microsoft выкатила майские обновления PatchTuesday с исправлениями в общей сложности 78 уязвимостей во всей линейке своего ПО, включая 5 0-day, которые подвергались активной эксплуатации.
11 из закрытых уязвимостей относятся к критическим, 66 - к важным и лишь одна имеет рейтинг низкой степени серьезности. 28 приводят к RCE , 21 - EoP, а 16 - раскрыти. информации.
Среди нулей, которые активно эксплуатируются в реальных условиях:
- CVE-2025-30397 (CVSS: 7,5): уязвимость повреждения памяти Scripting Engine;
В Action1 отмечают, что злоумышленники могут воспользоваться уязвимостью через вредоносную веб-страницу или скрипт, который заставляет скриптовый движок неправильно интерпретировать типы объектов, что приводит к повреждению памяти и RCE в контексте текущего пользователя.
Если у пользователя есть административные привилегии, злоумышленники могут получить полный контроль над системой со всеми вытекающими последствиями.
- CVE-2025-30400 (CVSS: 7,8): уязвимость базовой библиотеки Microsoft Desktop Window Manager (DWM), приводящая к EoP;
CVE-2025-30400 - это третья EoP-уязвимость повышения привилегий в DWM Core Library, которая использовалась в дикой природе, начиная с 2023 года.
Год назад Microsoft выпустила исправления для CVE-2024-30051, которая, по данным Лаборатории Касперского, использовалась в атаках, связанных с распространением вредоносного ПО QakBot (Qwaking Mantis).
Годом ранее в качестве нуля задействовалась CVE-2023-36033.
- CVE-2025-32701 (CVSS: 7,8): уязвимость драйвера общей файловой системы журнала Windows (CLFS), приводящая к EoP;
- CVE-2025-32706 (CVSS: 7,8): уязвимость драйвера файловой системы Windows Common Log, приводящая к EoP;
Обе представляют собой седьмую и восьмую EoP-уязвимости, обнаруженные в компоненте CLFS и использовавшиеся в реальных атаках с 2022 года.
Буквально месяц назад другая CVE-2025-29824 в качестве нуля также применялась в атаках, нацеленных на компании в США, Венесуэле, Испании и Саудовской Аравии, в том числе бандой вымогателей Play.
- CVE-2025-32709 (CVSS: 7,8): уязвимость драйвера вспомогательной функции Windows для WinSock, приводящая к EoP.
Аналогично, CVE-2025-32709 - это третья EoP-уязвимость в компоненте Ancillary Function Driver for WinSock, которая подверглась злоупотреблению в течение года после CVE-2024-38193 (со стороны Lazarus) и CVE-2025-21418.
Обнаружение первых трех приписывается исследователям Microsoft, CVE-2025-32706 - исследователям Google Threat Intelligence Group и CrowdStrike Advanced Research Team, а последняя - анонимному исследователю.
Новый Patch Tuesday также включает исправления для EoP-ошибки в Microsoft Defender для Endpoint для Linux (CVE-2025-26684, CVSS: 6,7), которая позволяет авторизованному злоумышленнику локально повысить привилегии. Раскрыта исследователями Stratascale.
Другим серьезным недостатком можно назвать CVE-2025-26685 (CVSS: 6,5) в Microsoft Defender for Identity, которая позволяет злоумышленнику с доступом к локальной сети выполнять спуфинг через соседнюю сеть.
И, наконец, нельзя не упомянуть про уязвимость с CVSS: 10,0 - CVE-2025-29813, которая приводит к EoP в Azure DevOps Server, позволяя неавторизованному злоумышленнику повышать привилегии по сети.
Microsoft исправила недостаток, вмешательства клиентов не требуется.
11 из закрытых уязвимостей относятся к критическим, 66 - к важным и лишь одна имеет рейтинг низкой степени серьезности. 28 приводят к RCE , 21 - EoP, а 16 - раскрыти. информации.
Среди нулей, которые активно эксплуатируются в реальных условиях:
- CVE-2025-30397 (CVSS: 7,5): уязвимость повреждения памяти Scripting Engine;
В Action1 отмечают, что злоумышленники могут воспользоваться уязвимостью через вредоносную веб-страницу или скрипт, который заставляет скриптовый движок неправильно интерпретировать типы объектов, что приводит к повреждению памяти и RCE в контексте текущего пользователя.
Если у пользователя есть административные привилегии, злоумышленники могут получить полный контроль над системой со всеми вытекающими последствиями.
- CVE-2025-30400 (CVSS: 7,8): уязвимость базовой библиотеки Microsoft Desktop Window Manager (DWM), приводящая к EoP;
CVE-2025-30400 - это третья EoP-уязвимость повышения привилегий в DWM Core Library, которая использовалась в дикой природе, начиная с 2023 года.
Год назад Microsoft выпустила исправления для CVE-2024-30051, которая, по данным Лаборатории Касперского, использовалась в атаках, связанных с распространением вредоносного ПО QakBot (Qwaking Mantis).
Годом ранее в качестве нуля задействовалась CVE-2023-36033.
- CVE-2025-32701 (CVSS: 7,8): уязвимость драйвера общей файловой системы журнала Windows (CLFS), приводящая к EoP;
- CVE-2025-32706 (CVSS: 7,8): уязвимость драйвера файловой системы Windows Common Log, приводящая к EoP;
Обе представляют собой седьмую и восьмую EoP-уязвимости, обнаруженные в компоненте CLFS и использовавшиеся в реальных атаках с 2022 года.
Буквально месяц назад другая CVE-2025-29824 в качестве нуля также применялась в атаках, нацеленных на компании в США, Венесуэле, Испании и Саудовской Аравии, в том числе бандой вымогателей Play.
- CVE-2025-32709 (CVSS: 7,8): уязвимость драйвера вспомогательной функции Windows для WinSock, приводящая к EoP.
Аналогично, CVE-2025-32709 - это третья EoP-уязвимость в компоненте Ancillary Function Driver for WinSock, которая подверглась злоупотреблению в течение года после CVE-2024-38193 (со стороны Lazarus) и CVE-2025-21418.
Обнаружение первых трех приписывается исследователям Microsoft, CVE-2025-32706 - исследователям Google Threat Intelligence Group и CrowdStrike Advanced Research Team, а последняя - анонимному исследователю.
Новый Patch Tuesday также включает исправления для EoP-ошибки в Microsoft Defender для Endpoint для Linux (CVE-2025-26684, CVSS: 6,7), которая позволяет авторизованному злоумышленнику локально повысить привилегии. Раскрыта исследователями Stratascale.
Другим серьезным недостатком можно назвать CVE-2025-26685 (CVSS: 6,5) в Microsoft Defender for Identity, которая позволяет злоумышленнику с доступом к локальной сети выполнять спуфинг через соседнюю сеть.
И, наконец, нельзя не упомянуть про уязвимость с CVSS: 10,0 - CVE-2025-29813, которая приводит к EoP в Azure DevOps Server, позволяя неавторизованному злоумышленнику повышать привилегии по сети.
Microsoft исправила недостаток, вмешательства клиентов не требуется.
14.05.202514:30
После проблем с финансированием CVE и демаршем членов совета MITRE, решивших выйти из-под Министерства внутренней безопасности США и работать как самостоятельный незаивисмый фонд, в Европе также решили «импортозаместиться» в этом вопросе.
Агентство ЕС по кибербезопасности ENISA запустило собственную базу данных уязвимостей, предназначенную для сбора информации об ошибках ПО в европейской экосистеме.
При этом свое решение по учреждению новой базы данных EUVD в руководстве ЕС никак не связывают с недавними проблемами финансирования MITRE в США.
ЕС фактически обязал ENISA создать новую базу данных посредством директивы NIS2, принятой в декабре 2022 года (пункты 62 и 63).
С самого начала ЕС знал о существовании подобных баз данных уязвимостей, но хотел, чтобы одна из них находилась под его прямым контролем и подчинялась его правилам прозрачности.
Чиновники ЕС, возможно, этого не говорят, но они подозревают, что их коллеги из США и Китая могут задерживать публикацию ряда уязвимостей в своих национальных базах данных, задействуя их в атаках.
Наличие собственной базы данных позволит ENISA находить пробелы в отчетности своих коллег и, по всей видимости, заниматься аналогичным промыслом.
При этом начиная с сентября этого года благодаря Закону ЕС о киберустойчивости поставщики программного обеспечения будут обязаны информировать об уязвимостях.
EUVD также будет уполномочена присваивать собственные CVE, поскольку орган является авторизованным CNA MITRE, но в распоряжении будет и собственная система нумерации и идентификации уязвимостей.
По мнению исследователей, к настоящему времени EUVD явно не дотягивает до уровня CVE MITRE, но ожидается, что NIS2 и CRA все же изменят ситуацию.
Будем, конечно, посмотреть.
Агентство ЕС по кибербезопасности ENISA запустило собственную базу данных уязвимостей, предназначенную для сбора информации об ошибках ПО в европейской экосистеме.
При этом свое решение по учреждению новой базы данных EUVD в руководстве ЕС никак не связывают с недавними проблемами финансирования MITRE в США.
ЕС фактически обязал ENISA создать новую базу данных посредством директивы NIS2, принятой в декабре 2022 года (пункты 62 и 63).
С самого начала ЕС знал о существовании подобных баз данных уязвимостей, но хотел, чтобы одна из них находилась под его прямым контролем и подчинялась его правилам прозрачности.
Чиновники ЕС, возможно, этого не говорят, но они подозревают, что их коллеги из США и Китая могут задерживать публикацию ряда уязвимостей в своих национальных базах данных, задействуя их в атаках.
Наличие собственной базы данных позволит ENISA находить пробелы в отчетности своих коллег и, по всей видимости, заниматься аналогичным промыслом.
При этом начиная с сентября этого года благодаря Закону ЕС о киберустойчивости поставщики программного обеспечения будут обязаны информировать об уязвимостях.
EUVD также будет уполномочена присваивать собственные CVE, поскольку орган является авторизованным CNA MITRE, но в распоряжении будет и собственная система нумерации и идентификации уязвимостей.
По мнению исследователей, к настоящему времени EUVD явно не дотягивает до уровня CVE MITRE, но ожидается, что NIS2 и CRA все же изменят ситуацию.
Будем, конечно, посмотреть.
14.05.202512:30
Fortinet исправила критическую 0-day, которая активно задействуется в атаках на корпоративные телефонные системы FortiVoice.
Проблема представляет собой стековую уязвимость переполнения, отлеживаемую как CVE-2025-32756 (CVSS 9,6 из 10,0), которая также затрагивает FortiMail, FortiNDR, FortiRecorder и FortiCamera.
Как поясняет поставщик, успешная эксплуатация уязвимости может позволить удаленным неаутентифицированным злоумышленникам выполнять произвольный код или команды с помощью вредоносных HTTP-запросов.
Fortinet смогла вычленить CVE-2025-32756 на основе данных о действиях злоумышленников, включая сканирование сети, удаление журналов сбоев системы для сокрытия следов и включение «fcgi debugging» для регистрации учетных данных из системы или попыток входа по протоколу SSH.
Согласно бюллетеню по безопасности, злоумышленники реализовали атаки с IP 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 и 218.187.69[.]59.
Индикаторы компрометации, обнаруженные Fortinet в ходе анализа атак, включают параметр отладки fcgi (который не включен по умолчанию), включенный на скомпрометированных системах.
Расследуя атаки, Fortinet обнаружила, что злоумышленники развертывают вредоносное ПО на взломанных устройствах, добавляют задания cron, предназначенные для сбора учетных данных, и размещают скрипты для сканирования сетей жертв.
Несмотря на представленные обстоятельства, поставщик не раскрыл реальный масштаб масштаб атак и личности стоящих за ними злоумышленников.
Пользователям FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera рекомендуется применить необходимые исправления для защиты своих устройств от активных попыток эксплуатации.
Компания также поделилась рекомендациями по смягчению последствий: для этого необходимо отключить административный интерфейс HTTP/HTTPS на уязвимых устройствах.
Проблема представляет собой стековую уязвимость переполнения, отлеживаемую как CVE-2025-32756 (CVSS 9,6 из 10,0), которая также затрагивает FortiMail, FortiNDR, FortiRecorder и FortiCamera.
Как поясняет поставщик, успешная эксплуатация уязвимости может позволить удаленным неаутентифицированным злоумышленникам выполнять произвольный код или команды с помощью вредоносных HTTP-запросов.
Fortinet смогла вычленить CVE-2025-32756 на основе данных о действиях злоумышленников, включая сканирование сети, удаление журналов сбоев системы для сокрытия следов и включение «fcgi debugging» для регистрации учетных данных из системы или попыток входа по протоколу SSH.
Согласно бюллетеню по безопасности, злоумышленники реализовали атаки с IP 198.105.127[.]124, 43.228.217[.]173, 43.228.217[.]82, 156.236.76[.]90, 218.187.69[.]244 и 218.187.69[.]59.
Индикаторы компрометации, обнаруженные Fortinet в ходе анализа атак, включают параметр отладки fcgi (который не включен по умолчанию), включенный на скомпрометированных системах.
Расследуя атаки, Fortinet обнаружила, что злоумышленники развертывают вредоносное ПО на взломанных устройствах, добавляют задания cron, предназначенные для сбора учетных данных, и размещают скрипты для сканирования сетей жертв.
Несмотря на представленные обстоятельства, поставщик не раскрыл реальный масштаб масштаб атак и личности стоящих за ними злоумышленников.
Пользователям FortiVoice, FortiMail, FortiNDR, FortiRecorder и FortiCamera рекомендуется применить необходимые исправления для защиты своих устройств от активных попыток эксплуатации.
Компания также поделилась рекомендациями по смягчению последствий: для этого необходимо отключить административный интерфейс HTTP/HTTPS на уязвимых устройствах.
14.05.202510:30
SAP выпустила исправления для устранения второй уязвимости, которая использовалась в недавних атаках на серверы SAP NetWeaver в качестве 0-day.
Компания выпустила обновления для новой CVE-2025-42999 в понедельник, после того, как она вскрылась в ходе расследования 0-day атак, нацеленных на другую уязвимость неаутентифицированной загрузки файлов (CVE-2025-31324) в SAP NetWeaver Visual Composer, которая была исправлена в апреле.
ReliaQuest впервые обнаружила атаки, ориентированные CVE-2025-31324 еще в апреле.
Тогда злоумышленники загружали веб-оболочки JSP в общедоступные каталоги и инструмент Brute Ratel red team после взлома систем клиентов.
Причем все скомпрометированные экземпляры были полностью исправлены, что указывает на то, что злоумышленники использовали 0-day эксплойт.
Целями кампании стали предприятия газа и водоснабжения, управления отходами в Великобритании, заводы по производству медтехники, компании в сфере ТЭК США, а также правительственные учреждения в Саудовской Аравии в сфере финансов.
Результаты основаны на общедоступном каталоге, обнаруженном в контролируемой злоумышленником инфраструктуре («15.204.56[.]106»), который содержал журналы событий, фиксирующие действия в нескольких скомпрометированных системах:
- CVE-2025-31324-results.txt, в котором отмечено 581 скомпрометированных экземпляров SAP NetWeaver и бэкдор с веб-оболочкой;
- 服务数据_20250427_212229.txt, в нем перечислено 800 доменов, работающих под управлением SAP NetWeaver, которые, вероятно, будут атакованы в будущем.
Ранее атаки также были замечены исследователями watchTowr и Onapsis, а Vedere Labs из Forescout связали некоторые из этих атак с китайским злоумышленником Chaya_004, который развертывал SuperShell на основе Go.
EclecticIQ связывает вторжения с китайскими кластерами угроз, отслеживаемыми как UNC5221, UNC5174 и CL-STA-0048.
В Onyphe также выяснили, что по состоянию на конец апреля примерно 20 компаний из списка Fortune 500/Global 500 были уязвимы, а многие даже скомпрометированы.
В общем на тот момент в сети было выявлено 1284 уязвимых экземпляра, 474 из которых уже были скомпрометированы.
В настоящее время Shadowserver Foundation отслеживает более 2040 серверов SAP Netweaver, размещенных в Интернете и уязвимых для атак.
Несмотря на то, что SAP не подтверждает эксплуатацию CVE-2025-42999 в реальных условиях, исследователи Onapsis фиксировали, как злоумышленники объединяли обе уязвимости (CVE-2025-31324 и CVE-2025-42999) в атаках еще с января.
Эта комбинация позволяла злоумышленникам выполнять произвольные команды удаленно и без каких-либо привилегий в системе.
Администраторам SAP рекомендуется немедленно исправить свои экземпляры NetWeaver до последней версии и рассмотреть возможность отключения службы Visual Composer, а также ограничить доступ к службам загрузки метаданных и отслеживать подозрительную активность.
Компания выпустила обновления для новой CVE-2025-42999 в понедельник, после того, как она вскрылась в ходе расследования 0-day атак, нацеленных на другую уязвимость неаутентифицированной загрузки файлов (CVE-2025-31324) в SAP NetWeaver Visual Composer, которая была исправлена в апреле.
ReliaQuest впервые обнаружила атаки, ориентированные CVE-2025-31324 еще в апреле.
Тогда злоумышленники загружали веб-оболочки JSP в общедоступные каталоги и инструмент Brute Ratel red team после взлома систем клиентов.
Причем все скомпрометированные экземпляры были полностью исправлены, что указывает на то, что злоумышленники использовали 0-day эксплойт.
Целями кампании стали предприятия газа и водоснабжения, управления отходами в Великобритании, заводы по производству медтехники, компании в сфере ТЭК США, а также правительственные учреждения в Саудовской Аравии в сфере финансов.
Результаты основаны на общедоступном каталоге, обнаруженном в контролируемой злоумышленником инфраструктуре («15.204.56[.]106»), который содержал журналы событий, фиксирующие действия в нескольких скомпрометированных системах:
- CVE-2025-31324-results.txt, в котором отмечено 581 скомпрометированных экземпляров SAP NetWeaver и бэкдор с веб-оболочкой;
- 服务数据_20250427_212229.txt, в нем перечислено 800 доменов, работающих под управлением SAP NetWeaver, которые, вероятно, будут атакованы в будущем.
Ранее атаки также были замечены исследователями watchTowr и Onapsis, а Vedere Labs из Forescout связали некоторые из этих атак с китайским злоумышленником Chaya_004, который развертывал SuperShell на основе Go.
EclecticIQ связывает вторжения с китайскими кластерами угроз, отслеживаемыми как UNC5221, UNC5174 и CL-STA-0048.
В Onyphe также выяснили, что по состоянию на конец апреля примерно 20 компаний из списка Fortune 500/Global 500 были уязвимы, а многие даже скомпрометированы.
В общем на тот момент в сети было выявлено 1284 уязвимых экземпляра, 474 из которых уже были скомпрометированы.
В настоящее время Shadowserver Foundation отслеживает более 2040 серверов SAP Netweaver, размещенных в Интернете и уязвимых для атак.
Несмотря на то, что SAP не подтверждает эксплуатацию CVE-2025-42999 в реальных условиях, исследователи Onapsis фиксировали, как злоумышленники объединяли обе уязвимости (CVE-2025-31324 и CVE-2025-42999) в атаках еще с января.
Эта комбинация позволяла злоумышленникам выполнять произвольные команды удаленно и без каких-либо привилегий в системе.
Администраторам SAP рекомендуется немедленно исправить свои экземпляры NetWeaver до последней версии и рассмотреть возможность отключения службы Visual Composer, а также ограничить доступ к службам загрузки метаданных и отслеживать подозрительную активность.
13.05.202517:47
К Международному дню борьбы с шифровальщиками исследователи Лаборатории Касперского выкатили отчет об эволюции угроз ransomware и их влиянии на сферу кибербезопасности.
По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.
В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.
С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.
Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.
В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:
1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.
По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.
RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.
2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.
Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.
3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.
При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.
Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года.
4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.
5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.
При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.
6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.
Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.
7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.
8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.
Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.
По данным Kaspersky Security Network, с 2023 по 2024 год количество детектов по шифровальщикам сократилось на 18% - с 5 715 892 до 4 668 229.
В то же время доля пользователей, пострадавших от атак шифровальщиков, увеличилась на 0,02 п.п. до 0,44%.
С другой стороны, статистика по реагированиям на киберинциденты указывает на то, что в 2024 году 41,6% из них были связаны с шифровальщиками, при этом в 2023 году таких случаев было 33,3%.
Так что, можно полагать: целевые атаки шифровальщиков останутся главной угрозой для организаций по всему миру в обозримом будущем.
В целом, в отчете исследователи ЛК выделяют ряд глобальных тенденций, которые наблюдались в отношении шифровальщиков в 2024 году:
1. Модель RaaS по-прежнему остается основным способом организации атак шифровальщиков, способствуя их распространению за счет снижения технического порога для злоумышленников.
По итогам 2024 года отметились RansomHub со схемой распределения выкупа в 90/10 для операторов. За ними - Play.
RaaS-платформы продолжают развиваться, предлагая услуги брокеров первоначального доступа и эксфильтрации данных, что обеспечит их доминирование в 2025 году.
2. Большинство атак шифровальщиков по-прежнему нацелены на компьютеры на базе Windows, что обусловлено широким распространением этой системы в корпоративной среде.
Тем не менее в последние годы злоумышленники начали диверсифицировать свою деятельность: такие группы, как RansomHub и Akira, разрабатывают версии своих вредоносных программ для Linux и VMware, нацеливаясь, в частности, на облачные и виртуализированные среды.
3. По данным Chainalysis, в 2024 году общая сумма выплат значительно сократилась - до 813,55 млн долл. США, что на 35% меньше рекордного показателя 2023 года в 1,25 млрд долл.
При этом, согласно отчету Sophos, средний размер выкупа подскочил с 1 542 333 долларов в 2023 году до 3 960 917 долларов в 2024 году.
Тем не менее, доля организаций, заплативших выкуп в 4 квартале 2024, упала до рекордно низких 25% в сравнении с 29% за тот же период 2023 года.
4. В 2024 году киберпреступники все чаще наряду с шифрованием, а то и вместо него, выполняли эксфильтрацию данных, стремясь извлечь максимальную выгоду из похищенной конфиденциальной информации, оказывая давление на жертв.
5. В 2024 году несколько крупных операторов ransomware столкнулись с серьезными перебоями в своей деятельности, однако устойчивость экосистемы вымогателей сохраняется.
При этом LockBit после удара спецслужб смогла вернуться, чего не скажешь про ALPHV/BlackCat, чьи участники перекочевали в другие группы, включая RansomHub.
6. Одни группы исчезли, другие продолжили их дело: вредоносный код и тактики таких групп, как BlackMatter или REvil, оказавшихся под давлением силовиков, были впоследствии переняты их преемниками, в частности BlackCat, а затем и Cicada3301.
Кроме того, иногда вредоносные инструменты «утекают» в сеть, как это произошло с LockBit 3.0.
7. Банды вымогателей все чаще разрабатывают свои уникальные наборы инструментов, также фиксируются попытки задействования ИИ в операциях, как в случае с FunkSec.
8. Техника Bring Your Own Vulnerable Driver (BYOVD) все чаще применяется в атаках для обхода защитных механизмов и получения доступа на уровне ядра в системах Windows.
Подробная статистика по угрозам, перспективы ransomware-индустрии и рекомендации исследователей ЛК - в отчете.
13.05.202514:40
Исследователи Microsoft раскрывают новую кампанию турецкой APT Marbled Dust, нацеленную на курдских военных, действующих в Ираке.
Для реализации своих целей турецкие хакеры с апреля 2024 года задействовали 0-day в индийской корпоративной коммуникационной платформе Output Messenger для доставки бэкдоров Golang на целевые серверы.
Разработанные эксплойты позволили осуществить сбору связанных пользовательских данных с целей в Ираке, которые имели отношение курдским военным, что вполне соответствует ранее замеченным устремлениям Marbled Dust.
Наблюдаемую активность исследователи приписали Marbled Dust (ранее Silicon), которая также известна как Cosmic Wolf, Sea Turtle, Teal Kurma и UNC1326.
Считается, что хакерская группа активна по крайней мере с 2017 года, при том, что задокументировать на Ближнем Востоке и в Северной Африке удалось лишь спустя два года исследователям Cisco Talos.
В начале прошлого года APT нацеливалась на телеком, СМИ, поставщиков ISP, IT и курдские ресурсы в Нидерландах.
Последние атаки, связанные с 0-day Output Messenger, по всей видимости, включали этап заблаговременной разведки, по результатам которой был сформирован пул целей из числа пользователей мессенджера.
Уязвимость, о которой упоминает Microsoft, - CVE-2025-27920, которая связана с обходом каталога и затрагивает версию 2.0.62, позволяя удаленным злоумышленникам получать доступ к произвольным файлам или выполнять их.
Проблема была устранена Srimax в конце декабря 2024 года в версии 2.0.63. Однако компания в своем сообщении о какой-либо эксплуатации уязвимости в реальных условиях не сообщает.
Цепочка атак начинается с того, что злоумышленник получает доступ к приложению Output Messenger Server Manager как аутентифицированный пользователь.
Считается, что Marbled Dust полагалась на DNS-перехват или тайпсквоттинг доменов, чтобы перехватить учетные данные, необходимые для аутентификации.
Затем доступ задействовался для сбора учетных данных пользователя Output Messenger и эксплуатации уязвимости CVE-2025-27920 с целью размещения полезных нагрузок OM.vbs и OMServerService.vbs, в папке запуска сервера, а OMServerService.exe - в каталоге Users/public/videos сервера.
На следующем этапе злоумышленник использовал OMServerService.vbs для вызова OM.vbs и OMServerService.exe, последний из которых представляет собой бэкдор Golang, который связывается с жестко запрограммированным доменом (api.wordinfos[.]com) для извлечения данных.
На стороне клиента установщик извлекает и запускает как легитимный файл OutputMessenger.exe, так и OMClientService.exe, еще один бэкдор Golang, который подключается к С2 домену Marbled Dust.
Этот бэкдор сначала выполняет проверку подключения с помощью запроса GET к домену C2 api.wordinfos[.]com.
В случае успеха на тот же C2 отправляется второй запрос GET, содержащий информацию об имени хоста для уникальной идентификации жертвы.
Затем ответ от C2 напрямую выполняется с помощью командной строки Windows, после чего работа завершается.
В одном случае устройство жертвы с установленным клиентским программным обеспечением Output Messenger подключалось к IP-адресу, который ранее был идентифицирован как используемый Marbled Dust для эксфильтрации данных.
Microsoft также обнаружила вторую уязвимость межсайтового скриптинга (XSS) в той же версии (CVE-2025-27921), но не нашла никаких доказательств ее использования в реальных атаках.
Новые активности, связанные с использованием 0-day эксплойта, сигнализируют о заметном усилении технических возможностей Marbled Dust и сложности предпринимаемых атак при сохранении их общего курса в кибершпионаже.
Для реализации своих целей турецкие хакеры с апреля 2024 года задействовали 0-day в индийской корпоративной коммуникационной платформе Output Messenger для доставки бэкдоров Golang на целевые серверы.
Разработанные эксплойты позволили осуществить сбору связанных пользовательских данных с целей в Ираке, которые имели отношение курдским военным, что вполне соответствует ранее замеченным устремлениям Marbled Dust.
Наблюдаемую активность исследователи приписали Marbled Dust (ранее Silicon), которая также известна как Cosmic Wolf, Sea Turtle, Teal Kurma и UNC1326.
Считается, что хакерская группа активна по крайней мере с 2017 года, при том, что задокументировать на Ближнем Востоке и в Северной Африке удалось лишь спустя два года исследователям Cisco Talos.
В начале прошлого года APT нацеливалась на телеком, СМИ, поставщиков ISP, IT и курдские ресурсы в Нидерландах.
Последние атаки, связанные с 0-day Output Messenger, по всей видимости, включали этап заблаговременной разведки, по результатам которой был сформирован пул целей из числа пользователей мессенджера.
Уязвимость, о которой упоминает Microsoft, - CVE-2025-27920, которая связана с обходом каталога и затрагивает версию 2.0.62, позволяя удаленным злоумышленникам получать доступ к произвольным файлам или выполнять их.
Проблема была устранена Srimax в конце декабря 2024 года в версии 2.0.63. Однако компания в своем сообщении о какой-либо эксплуатации уязвимости в реальных условиях не сообщает.
Цепочка атак начинается с того, что злоумышленник получает доступ к приложению Output Messenger Server Manager как аутентифицированный пользователь.
Считается, что Marbled Dust полагалась на DNS-перехват или тайпсквоттинг доменов, чтобы перехватить учетные данные, необходимые для аутентификации.
Затем доступ задействовался для сбора учетных данных пользователя Output Messenger и эксплуатации уязвимости CVE-2025-27920 с целью размещения полезных нагрузок OM.vbs и OMServerService.vbs, в папке запуска сервера, а OMServerService.exe - в каталоге Users/public/videos сервера.
На следующем этапе злоумышленник использовал OMServerService.vbs для вызова OM.vbs и OMServerService.exe, последний из которых представляет собой бэкдор Golang, который связывается с жестко запрограммированным доменом (api.wordinfos[.]com) для извлечения данных.
На стороне клиента установщик извлекает и запускает как легитимный файл OutputMessenger.exe, так и OMClientService.exe, еще один бэкдор Golang, который подключается к С2 домену Marbled Dust.
Этот бэкдор сначала выполняет проверку подключения с помощью запроса GET к домену C2 api.wordinfos[.]com.
В случае успеха на тот же C2 отправляется второй запрос GET, содержащий информацию об имени хоста для уникальной идентификации жертвы.
Затем ответ от C2 напрямую выполняется с помощью командной строки Windows, после чего работа завершается.
В одном случае устройство жертвы с установленным клиентским программным обеспечением Output Messenger подключалось к IP-адресу, который ранее был идентифицирован как используемый Marbled Dust для эксфильтрации данных.
Microsoft также обнаружила вторую уязвимость межсайтового скриптинга (XSS) в той же версии (CVE-2025-27921), но не нашла никаких доказательств ее использования в реальных атаках.
Новые активности, связанные с использованием 0-day эксплойта, сигнализируют о заметном усилении технических возможностей Marbled Dust и сложности предпринимаемых атак при сохранении их общего курса в кибершпионаже.
13.05.202512:40
Cisco устранила уязвимость максимальной степени серьезности в ПО IOS XE для контроллеров беспроводной локальной сети, связанную с жестко запрограммированным JSON Web Token (JWT), который позволяет неаутентифицированному удаленному злоумышленнику захватывать устройства.
JWT предназначен для аутентификации запросов к функции загрузки образа точки доступа по внешнему каналу.
Она позволяет точкам доступа (ТД) загружать образы ОС через HTTPS, а не по протоколу CAPWAP, что обеспечивает более гибкий и прямой способ загрузки прошивки.
Поскольку токен жестко запрограммирован, любой может выдать себя за авторизованного пользователя без учетных данных.
По данным производителя, уязвимость отслеживается как CVE-2025-20188 и имеет максимальную оценку CVSS 10,0.
Злоумышленник может воспользоваться уязвимостью, отправив специально созданные HTTPS-запросы на интерфейс загрузки образов точки доступа.
Успешный эксплойт может позволить злоумышленнику загружать файлы, выполнять обход пути и произвольные команды с привилегиями root.
При этом CVE-2025-20188 может быть использована только в том случае, если на устройстве включена упоминаемая функция (по умолчанию она отключена).
Тем не менее, практика показывает, что некоторые крупные корпоративные пользователи задействуют ее для более быстрой подготовки или восстановления точек доступа.
Ошибка затрагивает:
- беспроводные контроллеры Catalyst 9800-CL for Cloud;
- встроенный беспроводной контроллер Catalyst 9800 для коммутаторов серий Catalyst 9300, 9400 и 9500;
- беспроводные контроллеры серии Catalyst 9800;
- встроенный беспроводной контроллер на Catalyst APs.
При этом проблема с жестко запрограммированным JWT обошла стороной Cisco IOS (не XE), Cisco IOS XR, Cisco Meraki, Cisco NX-OS и WLC на базе Cisco AireOS.
Cisco выпустила обновления с исправлением критической уязвимости, системным администраторам рекомендуется применить их как можно скорее.
Несмотря на отсутствие мер по смягчению последствий или обходных путей для CVE-2025-20188, отключение функции загрузки образа точки доступа по внешнему каналу обеспечит надежную защиту.
Как заявляет Cisco, каких-либо случаев активной эксплуатации CVE-2025-20188 не фиксировалось.
Однако, учитывая серьезность проблемы, киберподполье, скорее всего, будут предпринимать попытки сканирования уязвимых конечных точек.
Но будем посмотреть.
JWT предназначен для аутентификации запросов к функции загрузки образа точки доступа по внешнему каналу.
Она позволяет точкам доступа (ТД) загружать образы ОС через HTTPS, а не по протоколу CAPWAP, что обеспечивает более гибкий и прямой способ загрузки прошивки.
Поскольку токен жестко запрограммирован, любой может выдать себя за авторизованного пользователя без учетных данных.
По данным производителя, уязвимость отслеживается как CVE-2025-20188 и имеет максимальную оценку CVSS 10,0.
Злоумышленник может воспользоваться уязвимостью, отправив специально созданные HTTPS-запросы на интерфейс загрузки образов точки доступа.
Успешный эксплойт может позволить злоумышленнику загружать файлы, выполнять обход пути и произвольные команды с привилегиями root.
При этом CVE-2025-20188 может быть использована только в том случае, если на устройстве включена упоминаемая функция (по умолчанию она отключена).
Тем не менее, практика показывает, что некоторые крупные корпоративные пользователи задействуют ее для более быстрой подготовки или восстановления точек доступа.
Ошибка затрагивает:
- беспроводные контроллеры Catalyst 9800-CL for Cloud;
- встроенный беспроводной контроллер Catalyst 9800 для коммутаторов серий Catalyst 9300, 9400 и 9500;
- беспроводные контроллеры серии Catalyst 9800;
- встроенный беспроводной контроллер на Catalyst APs.
При этом проблема с жестко запрограммированным JWT обошла стороной Cisco IOS (не XE), Cisco IOS XR, Cisco Meraki, Cisco NX-OS и WLC на базе Cisco AireOS.
Cisco выпустила обновления с исправлением критической уязвимости, системным администраторам рекомендуется применить их как можно скорее.
Несмотря на отсутствие мер по смягчению последствий или обходных путей для CVE-2025-20188, отключение функции загрузки образа точки доступа по внешнему каналу обеспечит надежную защиту.
Как заявляет Cisco, каких-либо случаев активной эксплуатации CVE-2025-20188 не фиксировалось.
Однако, учитывая серьезность проблемы, киберподполье, скорее всего, будут предпринимать попытки сканирования уязвимых конечных точек.
Но будем посмотреть.
13.05.202510:40
Apple выкатила исправления для уязвимостей в стеке macOS, iPhone и iPad, в том числе ряда критических RCE.
Обновленная iOS 18.5, выпущенная вместе с патчами для iPadOS, закрывает критические проблемы в AppleJPEG и CoreMedia, позволяющие злоумышленникам создавать вредоносные медиафайлы для запуска произвольного кода с привилегиями целевого приложения.
Компания также пофиксила серьезные уязвимости в CoreAudio, CoreGraphics и ImageIO, каждая из которых способна привести к сбою приложений или утечке данных при открытии специализированного контента.
Обновление iOS 18.5 также устраняет 9 других уязвимостей
WebKit, эксплуатация которых может быть реализована через вредоносный веб-сайт, привести к выполнению кода или сбою движка Safari.
Компания также исправила серьезную ошибку «кнопки отключения звука» в FaceTime, из-за которой аудиозапись разговора могла оставаться доступной даже после отключения микрофона.
По данным Apple, в iOS 18.5 усилена защита ядра в части двух проблем с повреждением памяти и устранена уязвимость libexpat (CVE-2024-8176), которая затрагивает широкий спектр программных решений.
Среди других важных исправлении:
- CVE-2025-31214 в Baseband, которая позволяет злоумышленникам, находящимся в привилегированном положении в сети, перехватывать трафик на новой линейке iPhone 16e;
- EoP-уязвимость в mDNSResponder (CVE-2025-31222);
- проблема в Notes, которая раскрывает данные с заблокированного экрана iPhone;
- а также недостатки в FrontBoard, iCloud Document Sharing и Mail Addressing.
Apple не упоминает о том, что какие-либо ошибки были использованы в реальных условиях.
Обновление iOS 18.5 доступно для iPhone XS и более поздних версий; сопутствующий выпуск iPadOS охватывает iPad Pro (2018 и новее), iPad Air 3, iPad 7, iPad mini 5 и более поздние модели.
Компания также представила крупные обновления для macOS Sequoia, macOS Sonoma, macOS Ventura, WatchOS, tvOS и visionOS.
Обновленная iOS 18.5, выпущенная вместе с патчами для iPadOS, закрывает критические проблемы в AppleJPEG и CoreMedia, позволяющие злоумышленникам создавать вредоносные медиафайлы для запуска произвольного кода с привилегиями целевого приложения.
Компания также пофиксила серьезные уязвимости в CoreAudio, CoreGraphics и ImageIO, каждая из которых способна привести к сбою приложений или утечке данных при открытии специализированного контента.
Обновление iOS 18.5 также устраняет 9 других уязвимостей
WebKit, эксплуатация которых может быть реализована через вредоносный веб-сайт, привести к выполнению кода или сбою движка Safari.
Компания также исправила серьезную ошибку «кнопки отключения звука» в FaceTime, из-за которой аудиозапись разговора могла оставаться доступной даже после отключения микрофона.
По данным Apple, в iOS 18.5 усилена защита ядра в части двух проблем с повреждением памяти и устранена уязвимость libexpat (CVE-2024-8176), которая затрагивает широкий спектр программных решений.
Среди других важных исправлении:
- CVE-2025-31214 в Baseband, которая позволяет злоумышленникам, находящимся в привилегированном положении в сети, перехватывать трафик на новой линейке iPhone 16e;
- EoP-уязвимость в mDNSResponder (CVE-2025-31222);
- проблема в Notes, которая раскрывает данные с заблокированного экрана iPhone;
- а также недостатки в FrontBoard, iCloud Document Sharing и Mail Addressing.
Apple не упоминает о том, что какие-либо ошибки были использованы в реальных условиях.
Обновление iOS 18.5 доступно для iPhone XS и более поздних версий; сопутствующий выпуск iPadOS охватывает iPad Pro (2018 и новее), iPad Air 3, iPad 7, iPad mini 5 и более поздние модели.
Компания также представила крупные обновления для macOS Sequoia, macOS Sonoma, macOS Ventura, WatchOS, tvOS и visionOS.
12.05.202517:28
ASUS выпустила обновления для исправления двух уязвимостей, влияющих на ASUS DriverHub, которые в случае успешной эксплуатации могут позволить злоумышленнику использовать программное обеспечение для удаленного выполнения кода.
DriverHub - это инструмент, предназначенный для автоматизации необходимых обновлений драйверов для последующей установки путем взаимодействия со специальным сайтом, размещенным по адресу driverhub.asus[.]com.
Обнаруженные проблемы отслеживаются как:
- CVE-2025-3462 (CVSS: 8,4): связана с ошибкой проверки источника, которая позволяет неавторизованным источникам взаимодействовать с функциями программного обеспечения с помощью специально созданных HTTP-запросов.
- CVE-2025-3463 (CVSS: 9,4): уязвимость неправильной проверки сертификата, которая может позволить ненадежным источникам влиять на поведение системы с помощью специально созданных HTTP-запросов.
Сообщивший об ошибках исследователь MrBruh отметил, что их можно использовать для удаленного выполнения кода в рамках атаки в один клик.
Для этого необходимо обманом заманить ничего не подозревающего пользователя на поддомен driverhub.asus[.]com (например, driverhub.asus.com.<random>.com), а затем использовать конечную точку UpdateApp DriverHub для запуска легитимной версии двоичного файла «AsusSetup.exe» с опцией запуска любого файла, размещенного на поддельном домене.
При запуске AsusSetup.exe сначала считывает данные из AsusSetup.ini. Если запускается AsusSetup.exe с флагом -s (DriverHub вызывает его, используя этот параметр для выполнения тихой установки), реализуется выполнение всего, что указано в SilentInstallRun.
Все, что нужно злоумышленнику для успешной реализации эксплойта, - это создать домен и разместить три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, в которой свойство SilentInstallRun установлено на вредоносный двоичный файл, и AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
Уведомление об уязвимостях было направлено в ASUS 8 апреля 2025 года, после чего к 9 мая все ошибки были устранены.
Свидетельств эксплуатации уязвимостей в реальных условиях не получено. Тем не менее обновиться следует.
DriverHub - это инструмент, предназначенный для автоматизации необходимых обновлений драйверов для последующей установки путем взаимодействия со специальным сайтом, размещенным по адресу driverhub.asus[.]com.
Обнаруженные проблемы отслеживаются как:
- CVE-2025-3462 (CVSS: 8,4): связана с ошибкой проверки источника, которая позволяет неавторизованным источникам взаимодействовать с функциями программного обеспечения с помощью специально созданных HTTP-запросов.
- CVE-2025-3463 (CVSS: 9,4): уязвимость неправильной проверки сертификата, которая может позволить ненадежным источникам влиять на поведение системы с помощью специально созданных HTTP-запросов.
Сообщивший об ошибках исследователь MrBruh отметил, что их можно использовать для удаленного выполнения кода в рамках атаки в один клик.
Для этого необходимо обманом заманить ничего не подозревающего пользователя на поддомен driverhub.asus[.]com (например, driverhub.asus.com.<random>.com), а затем использовать конечную точку UpdateApp DriverHub для запуска легитимной версии двоичного файла «AsusSetup.exe» с опцией запуска любого файла, размещенного на поддельном домене.
При запуске AsusSetup.exe сначала считывает данные из AsusSetup.ini. Если запускается AsusSetup.exe с флагом -s (DriverHub вызывает его, используя этот параметр для выполнения тихой установки), реализуется выполнение всего, что указано в SilentInstallRun.
Все, что нужно злоумышленнику для успешной реализации эксплойта, - это создать домен и разместить три файла: вредоносную полезную нагрузку для запуска, измененную версию AsusSetup.ini, в которой свойство SilentInstallRun установлено на вредоносный двоичный файл, и AsusSetup.exe, который затем использует это свойство для запуска полезной нагрузки.
Уведомление об уязвимостях было направлено в ASUS 8 апреля 2025 года, после чего к 9 мая все ошибки были устранены.
Свидетельств эксплуатации уязвимостей в реальных условиях не получено. Тем не менее обновиться следует.
12.05.202515:15
Исследователи WatchTowr Labs обнаружили три ошибки удаленного выполнения кода в локальной версии ПО ИТ-поддержки SysAid.
Проблемы отслеживаются как CVE-2025-2775 и CVE-2025-2776 (предварительно аутентифицированный XXE в конечной точке /mdm/checkin), CVE-2025-2777 (предварительно аутентифицированный XXE в конечной точке /lshw).
По данным watchTowr Labs, уязвимости легко эксплуатируются с помощью специально созданного HTTP-запроса POST к соответствующим конечным точкам.
Успешная эксплуатация уязвимостей позволяет злоумышленнику получить доступ к локальным файлам с конфиденциальной информацией, включая InitAccount.cmd, содержащий информацию об учетной записи администратора и текстовый пароль.
Получив соответствующий доступ, злоумышленник без труда может реализовать полный административный доступ к SysAid.
При этом XXE-уязвимости могут быть связаны с другой уязвимостью внедрения команд ОС, отлеживаемой CVE-2025-2778, для удаленного выполнения кода.
Все четыре уязвимости были устранены SysAid с выпуском локальной версии 24.4.60 b16 в начале марта 2025 года.
Учитывая давнюю практику нацеливание на уязвимости SysAid со стороны банд вымогателей (в числе которых отметились Cl0p) и доступности PoC, объединяющего все четыре уязвимости, пользователям настоятельно рекомендуется накатить исправления.
Проблемы отслеживаются как CVE-2025-2775 и CVE-2025-2776 (предварительно аутентифицированный XXE в конечной точке /mdm/checkin), CVE-2025-2777 (предварительно аутентифицированный XXE в конечной точке /lshw).
По данным watchTowr Labs, уязвимости легко эксплуатируются с помощью специально созданного HTTP-запроса POST к соответствующим конечным точкам.
Успешная эксплуатация уязвимостей позволяет злоумышленнику получить доступ к локальным файлам с конфиденциальной информацией, включая InitAccount.cmd, содержащий информацию об учетной записи администратора и текстовый пароль.
Получив соответствующий доступ, злоумышленник без труда может реализовать полный административный доступ к SysAid.
При этом XXE-уязвимости могут быть связаны с другой уязвимостью внедрения команд ОС, отлеживаемой CVE-2025-2778, для удаленного выполнения кода.
Все четыре уязвимости были устранены SysAid с выпуском локальной версии 24.4.60 b16 в начале марта 2025 года.
Учитывая давнюю практику нацеливание на уязвимости SysAid со стороны банд вымогателей (в числе которых отметились Cl0p) и доступности PoC, объединяющего все четыре уязвимости, пользователям настоятельно рекомендуется накатить исправления.
12.05.202513:00
Неизвестные взломали инфраструктуру банды вымогателей LockBit и слили всю конфиденциальную информацию хакеров подчистую.
Утечка включает в себя переписку, используемые BTC-адреса, данные жертв и чаты с ними по поводу выкупа, учетные записи операторов и другие весьма щекотливые данные, в том числе по атакам, софту и инфраструктуре, которые весьма пригодится силовикам и ИБ-сообществу.
Инцидент произошел 7 мая, когда вместо привычного DLS стала отображаться страница с приветом из Праги.
Помимо текстовки имелась и ссылка на архив, который содержал информацию, украденную со взломанного сервера.
Судя стилистике дефейса сайта LockBit, злоумышленник, по-видимому, также был причастен и к атаке на инфру банды вымогателей Everest, о которой мы сообщали в прошлом
Исследователи тем временем уже активно анализируют утечку.
В Rapid7 сфокусировались на Bitcoin-адресах, а в Searchlight Cyber начали деанонить операторов (пока установлены 76) по их TOX ID и аккаунтам на хакерских площадках.
Кроме того, Searchlight Cyber активно изучают 208 чатов операторов LockBit с жертвами атак.
Сообщения датируются периодом с декабря 2024 года по апрель 2025 года. Суммы выкупа варьируются от нескольких тысяч долларов до сотен тысяч.
Пока сложно утверждать, что за атаками на LockBit и Everest стоит один и тот же актор, точно понятно: новая утечка - свидетельство нарастающих конфликтов внутри киберподполья.
В свою очередь, LockBit подтверждила факт взлома административной панели, однако приуменьшила масштаб последствий, утверждая, что дешифраторы или конфиденциальные данные жертв не пострадали.
Кроме того, LockBitSupp объявил вознаграждение за информацию о личности человека, совершившего атаку.
Пережившая нападки спецслужб банда LockBit вновь под ударом, но их опыт позволяет предположить, что удар они все же могут держать.
Тем не менее, будем посмотреть.
Утечка включает в себя переписку, используемые BTC-адреса, данные жертв и чаты с ними по поводу выкупа, учетные записи операторов и другие весьма щекотливые данные, в том числе по атакам, софту и инфраструктуре, которые весьма пригодится силовикам и ИБ-сообществу.
Инцидент произошел 7 мая, когда вместо привычного DLS стала отображаться страница с приветом из Праги.
Помимо текстовки имелась и ссылка на архив, который содержал информацию, украденную со взломанного сервера.
Судя стилистике дефейса сайта LockBit, злоумышленник, по-видимому, также был причастен и к атаке на инфру банды вымогателей Everest, о которой мы сообщали в прошлом
Исследователи тем временем уже активно анализируют утечку.
В Rapid7 сфокусировались на Bitcoin-адресах, а в Searchlight Cyber начали деанонить операторов (пока установлены 76) по их TOX ID и аккаунтам на хакерских площадках.
Кроме того, Searchlight Cyber активно изучают 208 чатов операторов LockBit с жертвами атак.
Сообщения датируются периодом с декабря 2024 года по апрель 2025 года. Суммы выкупа варьируются от нескольких тысяч долларов до сотен тысяч.
Пока сложно утверждать, что за атаками на LockBit и Everest стоит один и тот же актор, точно понятно: новая утечка - свидетельство нарастающих конфликтов внутри киберподполья.
В свою очередь, LockBit подтверждила факт взлома административной панели, однако приуменьшила масштаб последствий, утверждая, что дешифраторы или конфиденциальные данные жертв не пострадали.
Кроме того, LockBitSupp объявил вознаграждение за информацию о личности человека, совершившего атаку.
Пережившая нападки спецслужб банда LockBit вновь под ударом, но их опыт позволяет предположить, что удар они все же могут держать.
Тем не менее, будем посмотреть.
12.05.202510:58
Штатовские силовики прикрыли ботнет, который за последние 20 лет заразил тысячи маршрутизаторов и задействовался в работе двух сетей резидентных прокси-серверов, известных как Anyproxy и 5socks.
Международная операция под кодовым названием Moonlander была реализована при участии Национальной полиции Нидерландов, Службы государственного обвинения Нидерландов и Королевской полиции Таиланда, а также экспертов из Black Lotus Labs Lumen Technologies.
Согласно судебным материалам, ботнет заражал устаревшие модели Интернет-маршрутизаторов (достигших EoL) по всему миру вредоносным ПО, начиная с 2004 года, обеспечивая дальнейшую продажу доступа к взломанным устройствам в качестве прокси-серверов на Anyproxy.net и 5socks.net.
Оба домена управлялись компанией из Вирджинии и размещались на серверах по всему миру.
Сайты админились с использованием серверов, размещенных на JCS Fedora Communications, а инфраструктура C2 ботнета располагалсь в Нидерландах и Турции.
Как отмечают в Black Lotus Labs, оплата проводилась в крипте, а клиентам было разрешено подключаться напрямую к прокси-серверам без аутентификации, открывая свободный доступ широкому кругу злоумышленников.
Lumen заявила, что скомпрометированные устройства были заражены вредоносным ПО под названием TheMoon.
Более половины зараженных устройств находились в Соединенных Штатах, за ними следовали - Канада и Эквадор.
Клиенты оплачивали ежемесячную подписку в размере от 9,95 до 110 долларов в месяц в зависимости от запрашиваемых услуг.
При этом лишь 10% из них детектировались в качестве вредоносных.
Как показали исследования, прокси-серверы задействовались в дальнейшем для сокрытия ряда киберпреступлений, включая мошенничество с рекламой, DDoS, брутфорс или эксплуатацию данных жертв.
Четверо обвиняемых, причастных к продвижению этих двух сервисов (с более 7000 прокси-серверами) в киберподполье смогли, предположительно заработать на этом более 46 млн. долл.
Всем им были предъявлены обвинения в сговоре и совершении компьютерных преступлений, а двум - также в подложной регистрации доменного имени.
Международная операция под кодовым названием Moonlander была реализована при участии Национальной полиции Нидерландов, Службы государственного обвинения Нидерландов и Королевской полиции Таиланда, а также экспертов из Black Lotus Labs Lumen Technologies.
Согласно судебным материалам, ботнет заражал устаревшие модели Интернет-маршрутизаторов (достигших EoL) по всему миру вредоносным ПО, начиная с 2004 года, обеспечивая дальнейшую продажу доступа к взломанным устройствам в качестве прокси-серверов на Anyproxy.net и 5socks.net.
Оба домена управлялись компанией из Вирджинии и размещались на серверах по всему миру.
Сайты админились с использованием серверов, размещенных на JCS Fedora Communications, а инфраструктура C2 ботнета располагалсь в Нидерландах и Турции.
Как отмечают в Black Lotus Labs, оплата проводилась в крипте, а клиентам было разрешено подключаться напрямую к прокси-серверам без аутентификации, открывая свободный доступ широкому кругу злоумышленников.
Lumen заявила, что скомпрометированные устройства были заражены вредоносным ПО под названием TheMoon.
Более половины зараженных устройств находились в Соединенных Штатах, за ними следовали - Канада и Эквадор.
Клиенты оплачивали ежемесячную подписку в размере от 9,95 до 110 долларов в месяц в зависимости от запрашиваемых услуг.
При этом лишь 10% из них детектировались в качестве вредоносных.
Как показали исследования, прокси-серверы задействовались в дальнейшем для сокрытия ряда киберпреступлений, включая мошенничество с рекламой, DDoS, брутфорс или эксплуатацию данных жертв.
Четверо обвиняемых, причастных к продвижению этих двух сервисов (с более 7000 прокси-серверами) в киберподполье смогли, предположительно заработать на этом более 46 млн. долл.
Всем им были предъявлены обвинения в сговоре и совершении компьютерных преступлений, а двум - также в подложной регистрации доменного имени.
09.05.202513:34
Рекордтар
15.05.202523:59
40.3KЖазылушылар05.04.202523:59
200Дәйексөз индексі20.03.202503:27
32.7K1 жазбаның қамтуы08.05.202518:07
6.3KЖарнамалық жазбаның қамтуы16.01.202523:59
1.93%ER19.03.202518:21
81.52%ERR
29.04.202519:20
Когда решили импортозаместить IT-инфраструктуру
Қайта жіберілді:
Russian OSINT
24.04.202511:33
🛑 Критическая уязвимость CVE-2025-32434 обнаружена в PyTorch
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
ИБ-исследователь Цзянь Чжоу сообщил о критической уязвимости (CVE-2025-32434), затрагивающей все версии PyTorch до 2.5.1 включительно. Ошибка устраняется только с выходом версии 2.6.0. Уязвимость имеет CVSS-оценку 9.3, что соответствует критическому уровню риска, и позволяет злоумышленнику выполнить произвольный код на стороне жертвы без какого-либо взаимодействия пользователя. Единственным условием является факт загрузки модели, созданной атакующим, даже при якобы безопасном параметре weights_only=True.
Долгое время weights_only=True воспринимался как надежная альтернатива небезопасной десериализации с использованием pickle, на чём PyTorch делал акцент в официальной документации. Тем не менее, обнаруженный эксплойт показывает, что даже в этом режиме сохраняется возможность внедрения и исполнения кода. Новость особенно тревожна на фоне того, что многие разработчики полагались на данную настройку, как на основной рубеж защиты при работе с моделями из непроверенных источников.
На фоне инцидента команда PyTorch настоятельно рекомендует незамедлительно обновить 🟢библиотеку до версии 2.6.0, а при невозможности обновления постараться избежать использования torch.load() с внешними файлами и внедрить дополнительную проверку содержимого моделей.
✋ @Russian_OSINT
Қайта жіберілді:
Social Engineering
30.04.202515:00
👾 Уязвимости online.
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
• fedi sec feeds - очередной агрегатор обсуждаемых уязвимостей, который является аналогом cvecrowd. Формирует информацию в красивый список и выдает подробное описание уязвимости (оценка CVSS, описание, обсуждения, ну и т.д.): https://fedisecfeeds.github.io/
• Дополнительные ресурсы:
➡MITRE CVE — база данных, поисковик и классификатор уязвимостей.
➡opencve.io — поисковик CVE с функционалом оповещений о новых угрозах.
➡Vulnerability Database — ресурс для поиска информации об актуальных угрозах.
➡sploitus — поисковик по эксплойтам и необходимым инструментам.
➡CVE Trends — ресурс, который отслеживает популярность CVE в реальном времени.
➡GitHub Advisory Database — БД уязвимостей, включающая CVE и рекомендации по безопасности.
➡Exploit DB — CVE-совместимый архив общедоступных эксплойтов и уязвимого программного обеспечения.
➡Cloudvulndb — проект, который аккумулирует уязвимости и проблемы безопасности поставщиков облачных услуг.
➡osv.dev, VulDB, maltiverse — источники данных об уязвимостях и индикаторах компрометации.
➡security.snyk.io и Mend Vulnerability Database, Vulncode-DB — БД уязвимостей с открытым исходным кодом.
➡Rapid7 - DB — база данных, которая содержит детали более чем 180 тыс. уязвимостей и 4 тыс. эксплойтов. Все эксплойты включены в Metasploit.
S.E. ▪️ infosec.work ▪️ VT
Қайта жіберілді:Russian OSINT
05.05.202511:11
🇺🇸 Бывший сотрудник АНБ: ИИ вскоре будет мастерски разрабатывать🎩сложнейшие эксплойты
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
На конференции RSA в Сан-Франциско бывший директор Дирекции кибербезопасности АНБ Роб Джойс выразил "глубокую озабоченность" стремительной эволюцией генеративных моделей.
Ранее сотрудник АНБ занимался защитой национальных систем безопасности США и КИИ. Более того, с 2013 по 2017 год он возглавлял подразделение 👺Tailored Access Operations (TAO), отвечающее за проведение ❗️ наступательных киберопераций и сбор разведывательной информации.
Ещё год назад Джойс считал, что угроза использования ИИ для создания 0-day эксплойтов не более чем футуристическая страшилка журналистов, но сейчас его мнение кардинально поменялось на 180 градусов.
Современные ИИ-модели, подобные ChatGPT, почти достигли способности не только находить уязвимости, но и автоматически разрабатывать эксплойты для конкретной задачи. Вполне возможно, что "нулей" станет больше.
🤔 Приводится пример соревнования 🤖 AI vs Human CTF, организованное Hack The Box совместно с Palisade Research. В течение 48 часов автономные ИИ-агенты соперничали с 💻профессиональными хакерами и ИБ-специалистами, решая 20 сложных задач, посвящённых криптографии и реверс-инжинирингу.
▪️Из 5 из 8 ИИ-команд справились с 95 % заданий, отставая от идеального результата лишь на один флаг (19 из 20), что сравнимо с показателями лучших человеческих команд.
▪️Из числа людей лишь 12% участников сумели пройти всё задания CTF.
▪️Одну задачу ИИ-агенты не смог решить. Причины окончательно не установлены, но причина, cкорее всего, кроется в нетривиальном механизме обфускации, который требует нестандартных методик извлечения и реконструкции.
▪️Подчеркивается, что генеративные ИИ-модели, будучи снабжены подходящей инфраструктурой, способны выступать не только в роли ассистентов для человека, но и как самостоятельные участники в задачах наступательной кибербезопасности.
По мнению Джойса, ключевая угроза не в том, что скрипткидди с помощью ИИ имеют «волшебную кнопку» для атаки, а в том, что ИИ способен автоматизировать и масштабировать деятельность атакующих. ИИ может значительно ускорить процесс атаки, сокращая время на выполнение задач, которые ранее занимали часы или дни. Кроме этого, граница между выявлением уязвимости и её практической эксплуатацией стремительно стирается.
Если тренд сохранится, то уже в 2025 году ИИ станет универсальным оружием для акторов, участвующих в кибервойнах, так и для организованных преступных транснациональных кибергруппировок.
Кроме этого, злоумышленник стали более активно использовать нестандартные подходы в атаках. Сотрудник поделился кейсом который он охарактеризовал как одну из самых нетривиальных атак за последний год:
Используя похищенные легитимные учётные данные, злоумышленники получили доступ к корпоративному рабочему столу, но не смогли задействовать вредоносное ПО из-за наличия защитных решений. Тогда они проникли глубже в сеть компании и внедрили шифровальщик в 📸 камеру видеонаблюдения на базе Linux, которая оказалась незащищённой. Камера была использована для монтирования корпоративных хранилищ и последующего шифрования данных. Хакерам удалось всё пошифровать.
Примечательно, что IP-камера не была предназначена для обработки больших объёмов информации, но злоумышленники использовали её процессорные ресурсы для шифрования по максимуму, тем самым вызвав 🥵перегрев устройства.
Возвращаясь к ИИ-агентам: их деятельность постепенно выходит за рамки вспомогательной роли для человека. Они начинают худо-бедно конкурировать с профессионалами в области наступательной кибербезопасности, демонстрируя способность к автономной разработке эксплойтов и адаптивному обходу защитных систем. В этих условиях киберзащита должна ориентироваться не только на средства обнаружения, но и на проактивную проверку устойчивости систем к ИИ-ориентированным сценариям атак.
✋ @Russian_OSINT
24.04.202519:30
Ответственные органы бьются за информационную безопасность (иногда друг с другом)
30.04.202520:15
Каждый раз, когда ИБ засылает тестовый фишинг сотрудникам после их обучения
Қайта жіберілді:Social Engineering
07.05.202511:20
🔊 Акустические атаки.
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
• Сегодня поговорим на очень необычную и малоизвестную тему, о которой практически никто не говорит — акустические атаки на подводные центры хранения данных! Да, вы прочитали правильно! Дело в том, что существуют подводные ЦОД. Их мало, но они есть. И обеспечение безопасности таких ЦОДов является весьма нетривиальной задачей.
• Начнем с того, что в прошлом году учёные из Университета Флориды опубликовали крутое исследование, в котором говорится о том, каким образом можно организовать акустические атаки на подводные центры хранения данных, не прибегая к военным средствам.
• Обратите внимание на документ вот по этой ссылке, в нем подробно описывают, как звук на резонансной частоте жёстких дисков (HDD), установленных в погружных корпусах, может привести к снижению пропускной способности систем хранения RAID и даже к сбою приложений.
• Исследователи моделировали ситуации с воздействием атак как на системы только с HDD, так и на гибридные платформы с SSD и HDD. Они обнаружили, что звук правильной резонансной частоты вызывает вибрации в головке чтения-записи и дисках за счёт распространения вибрации, пропорциональной акустическому давлению или интенсивности звука. Это влияет на производительность чтения/записи диска.
• Учёные использовали сервер Supermicro CSE-823 с RAID5-массивом из SATA-накопителей Seagate Exos 7E2, дополненным SSD Intel D3-S4510. Его помещали в металлические контейнеры в лаборатории и открытых водоёмах, а звук генерировали с помощью подводного динамика. Пропускная способность RAID-массива снижалась при воздействии звуком с некоторыми частотами, в том числе с 2, 3,7, 5,1–5,3 и 8,9 кГц. Однако в диапазоне 5,1–5,3 кГц наблюдалось «постоянное ухудшение пропускной способности». Нарушения возникали уже после 2,4 минут устойчивого акустического воздействия, которое приводило к росту задержек доступа к базе данных на 92,7%. Некоторые жёсткие диски полностью выходили из строя.
• Подобные атаки можно выполнять с помощью модулей, подключаемых к лодкам или подводным аппаратам. Кроме того, подводные ЦОД могут пострадать и от случайных воздействий, например от взрыва гидролокатора подводной лодки.
• Чтобы смягчить угрозу такого рода исследователи рассмотрели несколько методов. Один из них заключался в использовании звукопоглощающих материалов для ослабления вибрации, вызванной звуком, но результатом стало повышение температуры сервера при выполнении рабочих нагрузок, и было обнаружено, что злоумышленник мог преодолеть эту защиту, увеличив громкость звука.
• Более продвинутый метод защиты, предложенный в документе, представляет собой модель машинного обучения для обнаружения нескольких одновременных снижений пропускной способности при небольших объемах путем анализа пропускной способности кластеров, находящихся в непосредственной физической близости внутри модуля ЦОД.
• В общем и целом, исследование оказалось весьма интересным и полезным для общего развития в области ИБ. Рекомендую изучить данный документ, который содержит 16 страниц информации. Если не знаете английский, то воспользуйтесь deepl.
S.E. ▪️ infosec.work ▪️ VT
Көбірек мүмкіндіктерді ашу үшін кіріңіз.