Канал 🔨 SecAtor — @true_secator пишет интересное
Исследователям из Лаборатории Касперского удалось задетектить целевую APT-атаку на представителей российских СМИ и образовательных учреждений, в которой задействовалось ранее неизвестное сложное вредоносное ПО наряду с весьма интересным 0-day в Chrome.
Изощренная вредоносная кампания теперь отслеживается как Операция «Форумный тролль», а нулю присвоен идентификатор CVE-2025-2783.
Как отмечают исследователи, жертв из числа пользователей Windows заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium.
После открытия фишинговой ссылки в браузере Google Chrome реализуется заражение вредоносном, предположительно, с целью шпионажа.
При этом никаких дополнительных действий от жертвы не требовалось.
Для обмана жертв использовался целевой фишинг с приманкой в виде приглашения на научный форум Примаковские чтения.
Несмотря на то, что все вредоносные ссылки имели очень короткий срок жизни, технологии ЛК позволили идентифицировать 0-day эксплойт, который использовался для побега из песочницы Google Chrome.
Анализ кода и логики работы эксплойта привел исследователей ЛК к обнаружению нуля (присутствующего в том числе в последней версии Chrome), о чем немедленно уведомили Google.
Представленные в отчете ЛК технические подробности позволили Google оперативно исправить проблему и выпустить к 25 марта обновлённую версию Chrome 134.0.6998.177/.178
При этом CVE-2025-2783 заставила исследователей изрядно поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных действий.
Причиной этого оказалась логическая ошибка на стыке песочницы и ОС Windows.
Исследование в рамках Операции «Форумный тролль» к настоящему времени еще продолжается и обещает много интригующих подробностей.
Обнаруженный эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код, который ЛК не удалось получить, поскольку тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения.
Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.
Все проанализированные на данный момент артефакты атак указывают на весьма серьезный технический уровень злоумышленников.
Подробный отчет с данными в отношении 0-day эксплойты, задействуемого злоумышленниками вредоносного ПО и их TTPs в ЛК намерены представить в скором времени.
Будем следить.
Исследователям из Лаборатории Касперского удалось задетектить целевую APT-атаку на представителей российских СМИ и образовательных учреждений, в которой задействовалось ранее неизвестное сложное вредоносное ПО наряду с весьма интересным 0-day в Chrome.
Изощренная вредоносная кампания теперь отслеживается как Операция «Форумный тролль», а нулю присвоен идентификатор CVE-2025-2783.
Как отмечают исследователи, жертв из числа пользователей Windows заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium.
После открытия фишинговой ссылки в браузере Google Chrome реализуется заражение вредоносном, предположительно, с целью шпионажа.
При этом никаких дополнительных действий от жертвы не требовалось.
Для обмана жертв использовался целевой фишинг с приманкой в виде приглашения на научный форум Примаковские чтения.
Несмотря на то, что все вредоносные ссылки имели очень короткий срок жизни, технологии ЛК позволили идентифицировать 0-day эксплойт, который использовался для побега из песочницы Google Chrome.
Анализ кода и логики работы эксплойта привел исследователей ЛК к обнаружению нуля (присутствующего в том числе в последней версии Chrome), о чем немедленно уведомили Google.
Представленные в отчете ЛК технические подробности позволили Google оперативно исправить проблему и выпустить к 25 марта обновлённую версию Chrome 134.0.6998.177/.178
При этом CVE-2025-2783 заставила исследователей изрядно поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных действий.
Причиной этого оказалась логическая ошибка на стыке песочницы и ОС Windows.
Исследование в рамках Операции «Форумный тролль» к настоящему времени еще продолжается и обещает много интригующих подробностей.
Обнаруженный эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код, который ЛК не удалось получить, поскольку тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения.
Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.
Все проанализированные на данный момент артефакты атак указывают на весьма серьезный технический уровень злоумышленников.
Подробный отчет с данными в отношении 0-day эксплойты, задействуемого злоумышленниками вредоносного ПО и их TTPs в ЛК намерены представить в скором времени.
Будем следить.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - [email protected]
Для связи - [email protected]
BleepingComputer совместно с другими компаниями подтвердили часть утечки данных, которая связана со взломом 6 миллионов пользователей. Некто
Ключевой уликой взлома стало обнаружение файла на сервере login.us2[.]oraclecloud[.]com, где находился адрес электронной почты злоумышленника. Факт указывает на то, что атакующий мог создавать файлы на сервере Oraclе. Хотя компания настаивает на том, что инцидент не затронул Oracle Cloud и якобы опубликованные учётные данные не имеют отношения к её сервисам, реальность демонстрирует обратное.
В частности, хакер утверждает, что использовал уязвимость CVE-2021-35587, затрагивающую Oracle Access Manager. Этот эксплойт позволяет неаутентифицированным пользователям получить контроль над системой. По данным компании Cloudsek, на момент февраля 2025 года на указанном сервере действительно работал устаревший Oracle Fusion Middleware 11g.
Злумышленник уведомил Oracle о взломе через официальный канал secalert_us@oracle[.]com. Утверждается, что в ответ он получил письмо от представителя Oracle с почты ProtonMail: "Мы получили ваши письма. Давайте вести переписку через этот email."
Тем временем Oracle продолжает утверждать, что «никакой утечки не было», и отказывается отвечать запросы журналистов. Отсутствие внятного диалога и адекватных комментариев даёт повод усомниться в правдивости утверждений Oracle.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
11
Всё-таки 👩💻 OpenAI умеют удивлять своими обновлениями. Генерацию изображений добавили на сайт Sora.
🙃Кто-то на русском сгенерировал промпт:
🤠 Сразу видно — наши подтянулись. Креативности не занимать)
✋ @Russian_OSINT
🙃Кто-то на русском сгенерировал промпт:
Инопланетянен в русской народной косынке смотрит в зрачек в обычном русском подъезде, эффект рыбьего глаза.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
7
Эксперты ГК «Солар» проанализировали 230 инцидентов ИБ, выявленных при пилотировании DLP-системы Solar Dozor в организациях промышленного, финансового, фармацевтического, IT-, госсектора и других отраслей экономики за 2024 год. Анализ показал, что
Согласно данным экспертов «Солара», в 38% случаев увольняющиеся сотрудники пытаются
Please open Telegram to view this post
VIEW IN TELEGRAM
Компания Google объявила о радикальном изменении своего подхода к разработке операционной системы
Согласно заявлению Google, такое решение продиктовано необходимостью упрощения процесса разработки. Долгое время Google поддерживала сразу две ветки Android — внутреннюю закрытую и открытую AOSP. Это приводило к постоянному возникновению конфликтов при интеграции новых функций и обновлений между ветками, замедляя процесс и усложняя работу. Перенос всей разработки в закрытый режим позволит устранить текущие проблемы и сократить затраты времени на объединение всех изменений в единое целое.В AOSP будет поступать только финальный исходный код уже выпущенных версий. То есть изменится лишь форма взаимодействия, где вместо постоянного обновления в реальном времени разработчики получат доступ ко всем изменениям единовременно после релиза.
Доступ в закрытые внутренние ветки останется только у партнёров с лицензией Google Mobile Services (например, Samsung и Motorola). Ранее именно через коммиты в AOSP можно было выявить ранние признаки новых устройств, функций или изменений в API. Теперь инсайдерский поток информации о нововведениях иссякнет. Журналисты и специалисты отрасли лишатся возможности получать предварительную информацию о будущих нововведениях.
Для сторонних разработчиков платформ и кастомных прошивок, таких как LineageOS, данный переход может стать серьёзным вызовом. Если ранее они могли отслеживать изменения в коде постепенно, то теперь им предстоит адаптироваться сразу к большим объёмам изменений. Потеря прозрачности также лишит техническое сообщество возможности заранее оценивать нововведения и корректировать собственные разработки.
По мнению Google, переход к закрытой разработке это не столько шаг против открытости, сколько вынужденная инженерная оптимизация в условиях сложной экосистемы, где существуют тысячи OEM, SoC-вендоров и операторов. Большинство функций Android и ранее разрабатывались в закрытом режиме, а переход полностью во внутреннюю разработку скорее формализует уже сложившуюся практику.
Некоторые пользователи в комментариях социальных сетей выражают мнение, что несмотря на формальное сохранение open-source модели, Android постепенно отдаляется от принципов прозрачности, которые изначально лежали в основе философии платформы.
Отныне ключевые элементы ОС Android переходят в закрытую разработку. Они будут разрабатываться приватно до официального релиза:
«Some components like the build system, update engine, Bluetooth stack, Virtualization framework, and SELinux configuration are currently AOSP-first, meaning they’re developed fully in public. [...] Beginning next week, all Android development will occur within Google’s internal branches, and the source code for changes will only be released when Google publishes a new branch containing those changes.»
— Android Authority.
Please open Telegram to view this post
VIEW IN TELEGRAM
Разразившийся скандал вокруг Signal в очередной раз демонстрирует серьезные проблемы с кибергигиеной у людей в высших эшелонах власти США при обсуждении суперконфиденциальных вопросов.
На этот раз в центре внимания оказались ключевые фигуры администрации Дональда Трампа, которые решили обсудить военную операцию и
По словам журналиста, он подумал, что это всё розыгрыш, поскольку идея о том, что высокопоставленные чиновники обсуждают секретные вопросы через Signal, казалась ему абсурдной. Согласно опубликованным скринам переписки из чата, участники обменивались подробностями будущей операции и даже отправляли 👊🇺🇸🔥огонёчки в виде эмодзи друг другу. Журналист, радуясь как ребёнок госпоже удаче, начал все 📸фиксировать. Позже The Atlantic выложили скрины переписки.
1️⃣ По одной из версий, его номер мог быть записан в 📱контактах одного из подчинённых Майка Уолца. Журналиста добавили по ошибке. Помощник, по своей невнимательности, когда организовывал группу для начальства, с дуру добавил журналиста в групповой чат для оперативного обсуждения вопросов. Гипотетически он админил от аккаунта Уолтца при создании группы, поэтому и отобразилось добавление от самого Уолтца.
2️⃣ По другой версии, сам Уолтц ошибочно добавил журналиста. Возможно торопился или случайно.
3️⃣ Обманом или через уязвимость журналист добавился в чат (маловероятно).
* На выложенных скринах видно, как в "Houthi PC small group" добавляется журналист по приглашению Уолтца —
Michael Waltz added you to the group.🤔 Уолтц отрицает:
"Я могу сказать со стопроцентной уверенностью, что я не знаком с этим парнем. Я знаю о его ужасной репутации. Среди журналистов он на самом дне", - заверил Уолтц в интервью телеканалу Fox News, говоря о Голдберге. "Я не пишу ему сообщений. Он попал в мой телефон. И мы выясним, как это произошло", - добавил помощник президента США Дональда Трампа.
"Конечно, я не видел, что этот неудачник в группе", - добавил Уолтц, имея в виду Голдберга. - Выглядело так, что это кто-то другой. Сделал ли он это намеренно, произошло ли это каким-то иным техническим путем? Мы пытаемся это выяснить", - подчеркнул он.
Пользователи в
The Atlantic признал: это НЕ были «военные планы». Вся эта история — очередной вымысел, написанный ненавистником Трампа, который хорошо известен своей склонностью к сенсациям.
— заявила пресс-секретарь Белого дома Кэролайн Левитт.
Глава ЦРУ Джон Рэтклифф и директор нацразведки Тулси Габбард настаивают на том, что ничего секретного в группе не обсуждали. Кто прав, а кто виноват? — на этот вопрос должно будет ответить следствие.
Как пишет Defensescoop, согласно действующему меморандуму Минобороны, мессенджеры iMessage, Signal и WhatsApp не могут использоваться для передачи служебной информации. Но многие ведомства, как это часто бывает, пренебрегают правилами, ибо лень.
В кулуарах чиновники стали обсуждать создание единой
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
11
Глава
Если спросить пресловутый
Совокупность этих изображений и символов позволяет предположить, что человек, носящий эти татуировки, идентифицирует себя с воинской культурой. Выражает явную приверженность консервативным, патриотическим и христианским ценностям, а также подчёркивает готовность к противостоянию религиозным, культурным или идеологическим противникам. Фраза «Deus Vult» (лат. «Такова воля Божья» или буквально «Бог хочет этого») напрямую связана с эпохой крестовых походов и является одним из ключевых лозунгов крестоносцев XI–XIII веков.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3