Как говорят за темной полосой начинается светлая.

Так и в деле NSO Group наступила звездно-полосатая, помимо того, что списали долги, в скором времени компания получит увесистый портфель заказов - целый вагон с маленькой тележкой.

Ведь как мы недавно сообщали, NSO была приобретена группой американских инвесторов во главе с голливудским продюсером Робертом Саймондсом в рамках сделки, стоимость которой, по имеющимся данным, составила несколько десятков миллионов долларов.

В последние годы состав владельцев NSO неоднократно менялся: от основателей к различным частным инвестиционным компаниям.

Однако последнее приобретение выводит контрольный пакет акций за пределы Израиля.

И даже теперь американское правосудие стало на чуточку добрее и трепетнее: как сообщает Reuters, в ходе состоявшейся апелляции судья снизила размер штрафных санкций, которые производитель шпионского ПО должен был уплатить Meta, со 167 млн. долл. до всего лишь 4 млн.

Напомним, что Meta признана в России экстремистской.

В постановлении от 17 октября судья окружного суда США Филлис Гамильтон также вынесла постоянный запрет, запрещающий NSO впредь взламывать WhatsApp.

NSO предписано прекратить обратную разработку WhatsApp и не создавать новые учётные записи.

Кроме того, NSO обязана удалить и уничтожить имеющийся у неё исходный код WhatsApp.

С другой стороны, запрет ограничивается только WhatsApp и не распространяется на другие сервисы, такие как Instagram и Facebook, как того требовалось изначально в жалобе, поданной против NSO в 2019 году.

Так что теперь шпионить с использованием Pegasus можно будет лишь по лицензии или по заданию куратора от дяди Сэма.

• Вот как выглядел первый жесткий диск размером 5 мегабайт 68 лет тому назад. Без автопогрузчика его было не поднять:

• Диск выпустила компания IBM в сентябре 1956-го года. Железо предназначалось для первого «SUPER» компьютера с жестким диском 305 RAMAC.

• Весила система около тонны, — получается по 0,2 грамма за байт (или 5 килобайт в 1 кг) и состояла из 50-ти дисков диаметром в 24 дюйма (610 мм). Каждый диск соответственно 100 килобайт. А частота вращения барабана — 1200 оборотов в минуту.

#Разное

• Красивая и наглядная Модель OSI в качестве шпаргалки для начинающих.

• А я напоминаю, что собрал для Вас необходимый материал для изучения компьютерных сетей вот в этом репозитории: https://github.com/SE-adm/Awesome-network/

• Если есть желание дополнить список полезного материала, то пишите по контактам в описании репо.

#Сети

Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.

Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.

Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.

В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.

Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.

При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.

В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.

Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.

Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.

Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов. 

Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.

Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.

При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.

Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.

Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.

Другие технические подробности и IOCs - в отчете.

Анонсированный на Pwn2Own Ireland 2025 взлом WhatsApp на $1 млн провалился: после вывода средств в MetaCard были раскрыты только уязвимости с низким уровнем риска.

В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода. 

Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.

Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.

Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).

Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.

Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.

Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.

Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.

Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.

Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.

ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.

Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.

Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.

Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.

Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.

Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.

При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, написанное на языке leetspeak, которое могло получать команды по HTTPS, регистрировать нажатия клавиш и красть файлы.

На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.

Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО

По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).

Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.

Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.

В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.

Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.

При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.

В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.

Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.

По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.

В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.

Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.

Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.

Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.

Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.

Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.

Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.

Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора. 

Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.

Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями. 

Midnight - один из таких вариантов.

Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.

В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.

В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».

Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.

Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.

Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.

Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.

Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.

Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.

Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.

Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.

Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.

Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.

Другие технические подробности и практическое руководство по дешифратор - в отчете.

Сразу два курса от Inseca для тех, кто не ждёт инцидентов, а действует на опережение.

Threat Intelligence — Практический курс по киберразведке.

Получите навыки, необходимые для проактивного реагирования на киберугрозы. Сможете на практике пройти весь жизненный цикл TI.

🗓 Старт курса: 8 ноября
Длительность 6 недель

Получить демодоступ

Threat Hunting — Практический курс по поиску киберугроз.

Получите навыки выявления аномалий в инфраструктуре с помощью формулировки гипотез и их дальнейшей проверки. Сможете на практике пройти весь жизненный цикл TH.

🗓Старт курса: 8 ноября
Длительность 5 недель

Получить демодоступ