Новая функция Microsoft Teams позволит организациям отслеживать сотрудников по ближайшим сетям Wi-Fi.
Случится это в декабре 2025 года, когда выйдет обновление.
Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.
Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.
Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.
Технических подробностей пока не так много.
В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.
Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.
Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.
Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей.
При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.
По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.
Случится это в декабре 2025 года, когда выйдет обновление.
Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.
Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.
Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.
Технических подробностей пока не так много.
В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.
Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.
Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.
Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей.
При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.
По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.
tom's guide
Microsoft Teams will start snitching to your boss when you’re not in the office — and this update is coming in December
Microsoft Teams is about to deal a heavy blow to those who like to work from home for peace and quiet. In a new feature update rolling out December 2025, the platform will track a worker’s location using the office Wi-Fi, to see whether you’re actually there…
Журналисты сообщают об обширной утечке данных на учащихся Академии Равин, секретной школы Министерства разведки, которую, как предполагается, взломали.
Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.
Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.
Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.
На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.
Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.
Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.
Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.
В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.
Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.
Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.
Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.
Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.
На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.
Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.
Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.
Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.
В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.
Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.
Iranintl
حمله سایبری به آکادمی راوین؛ نشت گسترده اطلاعات دانشجویان آموزشگاه وزارت اطلاعات
پایگاه داده جامع حاوی اطلاعات شخصی دانشجویان آکادمی راوین، آموزشگاه مخفی وزارت اطلاعات که ایراناینترنشنال پیشتر هویت اعضای آن را افشا کرده بود، به صورت گسترده منتشر شده است.
Анонсированный на Pwn2Own Ireland 2025 взлом WhatsApp на $1 млн провалился: после вывода средств в MetaCard были раскрыты только уязвимости с низким уровнем риска.
В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода.
Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.
Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.
Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).
Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.
Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.
Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.
Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.
Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.
В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода.
Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.
Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.
Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).
Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.
Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.
Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.
Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.
Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.
Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.
ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.
Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.
Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.
Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.
Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.
Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.
При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, которое могло получать написанные на языке leetspeak команды по HTTPS, регистрировать нажатия клавиш и красть файлы.
На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.
Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО
По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).
Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.
Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.
В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.
Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.
При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.
В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.
Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.
По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.
В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.
Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.
Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.
Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.
ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.
Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.
Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.
Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.
Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.
Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.
При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, которое могло получать написанные на языке leetspeak команды по HTTPS, регистрировать нажатия клавиш и красть файлы.
На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.
Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО
По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).
Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.
Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.
В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.
Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.
При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.
В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.
Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.
По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.
В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.
Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.
Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.
Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.
Securelist
Mem3nt0 mori – The Hacking Team is back!
Kaspersky researchers discovered previously unidentified commercial Dante spyware developed by Memento Labs (formerly Hacking Team) and linked it to the ForumTroll APT attacks.
Forwarded from Russian OSINT
Как пишут специалисты компании, подобные программы стоят миллионы долларов, используются для шпионажа, а защищены обычно на высшем уровне — поймать их за работой или найти следы вмешательства практически невозможно.
В марте 2025 года «Лаборатория Касперского» выявила волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Единственным действием, которое требовалось от пользователя, было открыть ссылку в Chrome или другом браузере на базе Chromium.
Все ссылки были персонализированными и имели очень короткий срок жизни. Тем не менее, технологиям «Лаборатории Касперского» удалось идентифицировать
Проблема была исправлена как CVE-2025-2783.
Мы назвали эту кампанию операцией «Форумный тролль», поскольку злоумышленники маскировали персонализированные фишинговые письма под приглашения на научно-экспертный форум «Примаковские чтения». Целями были СМИ, университеты, научно-исследовательские центры, государственные, финансовые и прочие организации в России. Судя по функциональности доставляемого вредоносного ПО, основной целью кампании был кибершпионаж.
— cчитают эксперты.
Анализируя арсенал злоумышленников, команда Kaspersky GReAT обнаружила ранее неизвестное вредоносное ПО, которое удалось идентифицировать как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs, ранее известной как Hacking Team.
Дальнейший анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
Заключение:
В этот раз мы хотим сделать не один, а сразу три вывода.
1) DuplicateHandle — это опасная API-функция. Если процесс привилегированный, и пользователь может передать ему дескриптор, необходимо отвечать ошибкой, если вместо дескриптора передается псевдодескриптор.
2) Атрибуция — самая сложная часть анализа вредоносного ПО и разведки киберугроз, но она же доставляет больше всего удовлетворения, когда все кусочки пазла ложатся на свои места. Если в детстве вы мечтали стать детективом и разгадывать тайны (как Шерлок Холмс, мисс Марпл, Коломбо, Скуби-Ду и ребята из Mystery Inc.), аналитика угроз может быть подходящей работой для вас!
3) В 2019 году новый владелец Hacking Team заявил, что хочет поменять абсолютно все и начать с чистого листа. Это потребовало время, но к 2022 году практически все продукты Hacking Team были переделаны. Возможно, теперь, когда Dante обнаружен, пора опять начинать с нуля?
— тонко подмечают
https://securelist.ru/forumtroll-apt-hacking-team-dante-spyware/113890
И ещё у
Please open Telegram to view this post
VIEW IN TELEGRAM
Google в очередной раз вынуждена оправдываться по поводу новой утечки со сливом 183 млн. аккаунтов Gmail, широко анонсированной многими ведущими информационными изданиями.
Компания в минувшие выходные официально опровергла все заявления и отметила фейковый характер «сенсационной» истории с о взломом Gmail.
При этом представленные в качестве утечки данные, по мнению компании, являются результатом компиляции слитых за последние годы данных, прежде всего, с логов инфостилеров.
Кроме того, Google назвала фейковыми сообщения о якобы имевшей место рассылке от ее имени предупреждений всем пользователям Gmail о серьёзной проблеме безопасности.
Подобные инсинуации, как оказалось, последовали после того, как Have I Been Pwned (HIBP) подгрузила огромный массив из 183 млн. скомпрометированных учетных данных на платформу уведомлений об утечках, используемую Synthient.
Все они были получены в результате отработки различных логов со стилеров, локальных утечек и фишинговых кампаний. Более того, все эти слитые креды связаны с различными ресурсами и платформами.
Причем, после загрузки данных в HIBP 91% из 183 млн. учетных данных уже были введены ранее, что свидетельствует о том, что многие из них циркулируют в течение нескольких лет. Лишь а 16,4 млн. оказались уникальными.
Многие пользователи HIBP, включая Google, обычно используют подобные выборки для предупреждения своих клиентов о скомпрометированных паролях или их принудительного сброса для защиты акаунтов.
Безусловно, данные может и подгрузили в HIBP и предупреждения могли быть на их основе разосланы, но вспоминая про недавний инцидент в Google с Salesloft, затронувший аккаунты Workspace, можно полагать, что дыма без огня все же не бывает. Но будем посмотреть.
Компания в минувшие выходные официально опровергла все заявления и отметила фейковый характер «сенсационной» истории с о взломом Gmail.
При этом представленные в качестве утечки данные, по мнению компании, являются результатом компиляции слитых за последние годы данных, прежде всего, с логов инфостилеров.
Кроме того, Google назвала фейковыми сообщения о якобы имевшей место рассылке от ее имени предупреждений всем пользователям Gmail о серьёзной проблеме безопасности.
Подобные инсинуации, как оказалось, последовали после того, как Have I Been Pwned (HIBP) подгрузила огромный массив из 183 млн. скомпрометированных учетных данных на платформу уведомлений об утечках, используемую Synthient.
Все они были получены в результате отработки различных логов со стилеров, локальных утечек и фишинговых кампаний. Более того, все эти слитые креды связаны с различными ресурсами и платформами.
Причем, после загрузки данных в HIBP 91% из 183 млн. учетных данных уже были введены ранее, что свидетельствует о том, что многие из них циркулируют в течение нескольких лет. Лишь а 16,4 млн. оказались уникальными.
Многие пользователи HIBP, включая Google, обычно используют подобные выборки для предупреждения своих клиентов о скомпрометированных паролях или их принудительного сброса для защиты акаунтов.
Безусловно, данные может и подгрузили в HIBP и предупреждения могли быть на их основе разосланы, но вспоминая про недавний инцидент в Google с Salesloft, затронувший аккаунты Workspace, можно полагать, что дыма без огня все же не бывает. Но будем посмотреть.
www.google.com
🔎 gmail data breach – Google Search
Промышленные гиганты пополнили ряды жертв масштабного инцидента Oracle E-Business Suite (EBS), ответственность за который на себя взяла банда вымогателей Cl0p.
По завершении переговорного трека хакеры приступили к опубличиванию имен жертв на своем DLS, а в некоторых случаях - сразу к сливу украденных данных, которые, судя по всему, являются подлинными.
Обе предполагаемые жертвы - Schneider Electric и Emerson, никак не отреагировали на неоднократные просьбы журналистов прокомментировать ситуацию.
Все дело в том, что на cайте утечки Cl0p появились ссылки на 2,7 ТБ архивных файлов, содержащих информацию, предположительно полученную от Emerson, и еще 116 ГБ архивов с данными Schneider Electric.
Результаты предварительного расследования и анализа дерева файлов, а также связанных метаданных, свидетельствует о том, что в обоих случаях данные, вероятно, получены в результате взлома Oracle.
Пока одни замалчивают инцидент, другие крупные компании, включая Гарвардский университет, Южноафриканский университет Витс, Airlines Envoy Air и многие другие, уже публично подтвердили атаки.
Впрочем Schneider Electric и Emerson не привыкать, обе компании уже сталкивались с аналогичными инцидентами.
На этот раз стали свидетелями очередного триумфа банды Cl0p, которая успешно реализовала аналогичные кампании, нацеленные на Cleo, MOVEit и Fortra.
По завершении переговорного трека хакеры приступили к опубличиванию имен жертв на своем DLS, а в некоторых случаях - сразу к сливу украденных данных, которые, судя по всему, являются подлинными.
Обе предполагаемые жертвы - Schneider Electric и Emerson, никак не отреагировали на неоднократные просьбы журналистов прокомментировать ситуацию.
Все дело в том, что на cайте утечки Cl0p появились ссылки на 2,7 ТБ архивных файлов, содержащих информацию, предположительно полученную от Emerson, и еще 116 ГБ архивов с данными Schneider Electric.
Результаты предварительного расследования и анализа дерева файлов, а также связанных метаданных, свидетельствует о том, что в обоих случаях данные, вероятно, получены в результате взлома Oracle.
Пока одни замалчивают инцидент, другие крупные компании, включая Гарвардский университет, Южноафриканский университет Витс, Airlines Envoy Air и многие другие, уже публично подтвердили атаки.
Впрочем Schneider Electric и Emerson не привыкать, обе компании уже сталкивались с аналогичными инцидентами.
На этот раз стали свидетелями очередного триумфа банды Cl0p, которая успешно реализовала аналогичные кампании, нацеленные на Cleo, MOVEit и Fortra.
Исследователи из Лаборатории Касперского расчехлили многоуровневую атаку с использованием сложного эксплойта, нацеленную на DeFi-протокол BetterBank в сети PulseChain, в результате которой атакующие смогли украсть примерно в 5 млн долл. (часть активов позже вернули).
Тем не менее, результирующие потери после переговоров с киберпреступниками и возвращением 550 млн токенов DAI составили около 1,4 млн долл.
Так или иначе частичное возвращение средств является довольно редким явление в случаях эксплойтов в DeFi-протоколах.
Как говорят, везет понятно кому и в данном случае - это вполне соответствует действительности, и вот почему.
Результаты расследования атаки на BetterBank, состоявшейся 26–27 августа 2025 года, указывают на задействование уязвимости, связанной с фундаментальной недоработкой в механизме системы бонусных вознаграждений, а именно - в swapExactTokensForFavorAndTrackBonus.
Эта функция предназначалась для выпуска бонусных токенов ESTEEM в качестве вознаграждения за каждую операцию обмена (свопа) на токены FAVOR.
Однако в ее реализации отсутствовал механизм валидации, проверяющий, что своп осуществляется в рамках легитимного и разрешенного пула ликвидности.
Связав начисление вознаграждения с типовым, невалидируемым условием - появлением токена FAVOR на выходе свопа, - разработчики непреднамеренно создали брешь, пригодную для эксплуатации.
Так что уязвимость заключалась даже не в ошибке программирования, а в фундаментальном архитектурном просчете.
Это позволяло создавать поддельные пары ликвидности и сгенерировать неограниченное количество бонусных токенов ESTEEM.
В общем, в рамках реализации схемы злоумышленники:
- взяли мгновенные займы на 50 млн токенов DAI и 7,14 млрд токенов PLP, опустошив реальные пулы DAI-PDAIF;
- создали фиктивные пулы с минимальной ликвидностью на основе пары «подставной токен - PDAIF»;
- выполнили около 20 итераций фальшивых торговых операций, чтобы спровоцировать массовый выпуск бонусных токенов ESTEEM;
- сконвертировали полученные вознаграждения в дополнительные токены PDAIF;
- пополнили пулы ликвидности с выгодными для себя дисбалансами и в результате извлекли прибыль примерно 891 млн DAI через арбитражные операции.
Но основная проблема даже не в этом.
Описанная уязвимость в системе бонусных вознаграждений протокола была выявлена и зафиксирована ресерчерами Zokyo в ходе аудита безопасности BetterBank, проведенного примерно за месяц до атаки.
Однако в виду документально подтвержденных ошибок в информировании и присвоения угрозе низкой степени критичности команда разработчиков BetterBank не внедрила рекомендованное исправление безопасности, формально пометив ее как устраненная (Resolved).
Как отмечает исследователи ЛК, данный инцидент является ярким примером того, как недоработки на этапе проектирования, в сочетании с бездействием в ответ на предупреждения специалистов могут привести к серьезным финансовым последствиям в сфере блокчейн-сервисов.
Успешная реализация эксплойта злоумышленниками подчеркивает необходимость проведения тщательного аудита безопасности, четкого формулирования результатов и внедрения многоуровневых механизмов защиты, ориентированных на наиболее изощренные векторы атак.
Пошаговая реконструкция и технический разбор атаки, включая PoC, стратегии противодействия и ончейн-аналитику - в отчете.
Тем не менее, результирующие потери после переговоров с киберпреступниками и возвращением 550 млн токенов DAI составили около 1,4 млн долл.
Так или иначе частичное возвращение средств является довольно редким явление в случаях эксплойтов в DeFi-протоколах.
Как говорят, везет понятно кому и в данном случае - это вполне соответствует действительности, и вот почему.
Результаты расследования атаки на BetterBank, состоявшейся 26–27 августа 2025 года, указывают на задействование уязвимости, связанной с фундаментальной недоработкой в механизме системы бонусных вознаграждений, а именно - в swapExactTokensForFavorAndTrackBonus.
Эта функция предназначалась для выпуска бонусных токенов ESTEEM в качестве вознаграждения за каждую операцию обмена (свопа) на токены FAVOR.
Однако в ее реализации отсутствовал механизм валидации, проверяющий, что своп осуществляется в рамках легитимного и разрешенного пула ликвидности.
Связав начисление вознаграждения с типовым, невалидируемым условием - появлением токена FAVOR на выходе свопа, - разработчики непреднамеренно создали брешь, пригодную для эксплуатации.
Так что уязвимость заключалась даже не в ошибке программирования, а в фундаментальном архитектурном просчете.
Это позволяло создавать поддельные пары ликвидности и сгенерировать неограниченное количество бонусных токенов ESTEEM.
В общем, в рамках реализации схемы злоумышленники:
- взяли мгновенные займы на 50 млн токенов DAI и 7,14 млрд токенов PLP, опустошив реальные пулы DAI-PDAIF;
- создали фиктивные пулы с минимальной ликвидностью на основе пары «подставной токен - PDAIF»;
- выполнили около 20 итераций фальшивых торговых операций, чтобы спровоцировать массовый выпуск бонусных токенов ESTEEM;
- сконвертировали полученные вознаграждения в дополнительные токены PDAIF;
- пополнили пулы ликвидности с выгодными для себя дисбалансами и в результате извлекли прибыль примерно 891 млн DAI через арбитражные операции.
Но основная проблема даже не в этом.
Описанная уязвимость в системе бонусных вознаграждений протокола была выявлена и зафиксирована ресерчерами Zokyo в ходе аудита безопасности BetterBank, проведенного примерно за месяц до атаки.
Однако в виду документально подтвержденных ошибок в информировании и присвоения угрозе низкой степени критичности команда разработчиков BetterBank не внедрила рекомендованное исправление безопасности, формально пометив ее как устраненная (Resolved).
Как отмечает исследователи ЛК, данный инцидент является ярким примером того, как недоработки на этапе проектирования, в сочетании с бездействием в ответ на предупреждения специалистов могут привести к серьезным финансовым последствиям в сфере блокчейн-сервисов.
Успешная реализация эксплойта злоумышленниками подчеркивает необходимость проведения тщательного аудита безопасности, четкого формулирования результатов и внедрения многоуровневых механизмов защиты, ориентированных на наиболее изощренные векторы атак.
Пошаговая реконструкция и технический разбор атаки, включая PoC, стратегии противодействия и ончейн-аналитику - в отчете.
securelist.ru
Инцидент с DeFi-протоколом BetterBank: несанкционированный выпуск бонусных токенов
Эксперты «Лаборатории Касперского» анализируют недавний инцидент, связанный с протоколом BetterBank и выпуском бонусных токенов ESTEEM. Разбираем механизм валидации пула ликвидности.
This media is not supported in your browser
VIEW IN TELEGRAM
Наш CISO всегда начеку
Исследователи из F6 в своем новом отчете представили аналитику по недавним атакам группировки Cloud Atlas на предприятия в сфере агропромышленного и оборонно-промышленного комплексов.
В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.
Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.
В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.
В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.
Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.
В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.
В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.
Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».
Запуск инициировал цепочку с загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.
Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.
В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.
Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.
Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.
Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.
Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.
В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.
Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.
В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.
Технические подробности и IOCs - в отчете.
В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.
Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.
В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.
В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.
Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.
В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.
В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.
Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».
Запуск инициировал цепочку с загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.
Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.
В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.
Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.
Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.
Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.
Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.
В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.
Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.
В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.
Технические подробности и IOCs - в отчете.
F6
Полевые испытания: эксперты F6 проанализировали новые атаки группы Cloud Atlas - F6
В новом блоге специалисты F6 проанализировали недавние атаки Cloud Atlas на предприятия из сферы агропромышленного и оборонно-промышленного комплексов.
Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.
Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.
Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.
Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора.
Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.
Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями.
Midnight - один из таких вариантов.
Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.
В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.
В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».
Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.
Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.
Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.
Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.
Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.
Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.
Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.
Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.
Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.
Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.
Другие технические подробности и практическое руководство по дешифратор - в отчете.
Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.
Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.
Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора.
Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.
Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями.
Midnight - один из таких вариантов.
Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.
В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.
В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».
Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.
Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.
Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.
Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.
Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.
Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.
Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.
Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.
Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.
Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.
Другие технические подробности и практическое руководство по дешифратор - в отчете.
Gendigital
Decrypted: Midnight Ransomware
Midnight ransomware echoes Babuk’s tactics but stumbles in its code. Gen researchers explain how those mistakes make decryption and recovery possible
Группа ученых-исследователей раскрыла подробности нового метода атаки по побочным каналам, которая позволяет извлекать секреты из доверенной среды выполнения (TEE) в ЦП, высокозащищенной области системы SGX и TDX от Intel и SEV-SNP от AMD.
Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.
Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.
Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.
Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.
Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.
Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.
TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.
Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.
Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).
Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.
Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).
Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.
По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.
Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.
Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.
Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.
Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.
Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.
Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.
TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.
Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.
Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).
Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.
Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).
Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.
По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.
tee.fail
TEE.fail: Breaking Trusted Execution Environments via DDR5 Memory Bus Interposition
Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
NETSCOUT
ASERT Threat Summary: Aisuru and Related TurboMirai Botnet DDoS Attack Mitigation and Suppression—October 2025—v1.0 | NETSCOUT
This document is intended for general public distribution. Note that it is marked TLP: CLEAR.
Тем временем, под легендой якобы хакерской группы KittenBusters продолжается публикация на GitHub новых документов, связанных с деятельностью иранской Charming Kitten (APT35).
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
GitHub
CharmingKitten/Episode 4 at main · KittenBusters/CharmingKitten
Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500) - KittenBusters/CharmingKitten
Forwarded from Russian OSINT
Media is too big
VIEW IN TELEGRAM
Трое молодых IT-специалистов подозреваются в создании, использовании и распространении вредоносных компьютерных программ.
Следователем Следственного управления УМВД России по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного частью 2 статьи 273 УК РФ.
Фигурантам избраны различные меры пресечения. Устанавливаются все соучастники и эпизоды противоправной деятельности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Канадский центр кибербезопасности сообщает о возросшей хакерской активности, нацеленной на промышленные системы управления (ICS), доступные через Интернет.
Как отмечают специалисты, хакеры неоднократно взламывали критически важные инфраструктурные системы по всей стране, что позволяло им вносить коррективы в параметры управления ICS, что потенциально могло привести к возникновению опасных ситуаций.
В частности, в своем бюллетене, регулятор упоминает о трех недавних инцидентах, в ходе которых хактивисты вмешались в работу критически важных систем водоочистных сооружений, в нефтегазовой компании и на сельскохозяйственном предприятии.
Названные инциденты привели к сбоям в работе, ложным срабатываниям и риску возникновения аварийных ситуаций.
В результате атаки на водопроводную станцию были изменены показатели давления воды, что не привело поденную качества оказания услуг для населения.
Другой случай произошел в канадской нефтегазовой компании, где были выявлены нарушения в работе автоматизированного уровнемера резервуаров (ATG), что привело к срабатыванию ложной тревоги.
Третий случай произошел в зерносушилке на канадской ферме, где регулировались температура и влажность, что могло привести к чрезвычайно опасной ситуации, если бы проблема своевременно не была устранена.
При этом, как полагают власти Канады, все эти атаки не были спланированными или как-то сложно организаованны, скорее носили оппортунистический характер и были направлены, прежде всего, на ажиотаж в СМИ, подрыв доверия к властям и нанесение ущерба имиджу страны.
Несмотря на то, что ни одна из атакованных организаций в Канаде не понесла катастрофических последствий, атаки указывают на серьезные риски, возникающие вследствие низкой защищенности компонентов ICS, включая ПЛК, SCADA, HMI и промышленные IoT-устройства, что на практике характерно не только для Канады.
Как отмечают специалисты, хакеры неоднократно взламывали критически важные инфраструктурные системы по всей стране, что позволяло им вносить коррективы в параметры управления ICS, что потенциально могло привести к возникновению опасных ситуаций.
В частности, в своем бюллетене, регулятор упоминает о трех недавних инцидентах, в ходе которых хактивисты вмешались в работу критически важных систем водоочистных сооружений, в нефтегазовой компании и на сельскохозяйственном предприятии.
Названные инциденты привели к сбоям в работе, ложным срабатываниям и риску возникновения аварийных ситуаций.
В результате атаки на водопроводную станцию были изменены показатели давления воды, что не привело поденную качества оказания услуг для населения.
Другой случай произошел в канадской нефтегазовой компании, где были выявлены нарушения в работе автоматизированного уровнемера резервуаров (ATG), что привело к срабатыванию ложной тревоги.
Третий случай произошел в зерносушилке на канадской ферме, где регулировались температура и влажность, что могло привести к чрезвычайно опасной ситуации, если бы проблема своевременно не была устранена.
При этом, как полагают власти Канады, все эти атаки не были спланированными или как-то сложно организаованны, скорее носили оппортунистический характер и были направлены, прежде всего, на ажиотаж в СМИ, подрыв доверия к властям и нанесение ущерба имиджу страны.
Несмотря на то, что ни одна из атакованных организаций в Канаде не понесла катастрофических последствий, атаки указывают на серьезные риски, возникающие вследствие низкой защищенности компонентов ICS, включая ПЛК, SCADA, HMI и промышленные IoT-устройства, что на практике характерно не только для Канады.
Canadian Centre for Cyber Security
AL25-016 Internet-accessible industrial control systems (ICS) abused by hacktivists - Canadian Centre for Cyber Security
Более 50 000 сайтов с установленным плавном Anti-Malware Security and Brute-Force Firewall для Wordfence остаются уязвимыми для CVE-2025-11705, которая позволяет подписчикам считывать любой файл на сервере и ведет к раскрытию конфиденциальной информации.
Имеющий более 100 000 загрузок плагин обеспечивает сканирование на предмет наличия вредоносных ПО, защиту от брута, использования известных уязвимостей и попыток внедрения в базу данных.
Уязвимость была раскрыта Wordfence исследователем Дмитрием Игнатьевым и затрагивает версии плагина 4.23.81 и более ранние.
Проблема возникает из-за отсутствия проверок возможностей в функции GOTMLS_ajax_scan(), которая обрабатывает запросы AJAX с использованием одноразового номера, который могут получить злоумышленники.
Эта ошибка позволяет пользователю с низкими привилегиями, который может вызвать функцию, читать произвольные файлы на сервере, включая конфиденциальные данные, включая файл конфигурации wp-config.php.
Получив доступ к базе данных, злоумышленник может извлечь хэши паролей, адреса электронной почты пользователей, сообщения и другие личные данные (а также ключи и соли для безопасной аутентификации).
Рейтинг критичности уязвимости относится к низкому уровню, поскольку для ее эксплуатации требуется аутентификация, тем не менее многие сайты позволяют пользователям подписываться и расширять свой доступ к различным разделам сайта, например к комментариям.
Сайты с любым видом членства или подписки, позволяющие пользователям создавать учетные записи, соответствуют необходимым требованиям для эксплуатации и уязвимы для атак с использованием CVE-2025-11705.
14 октября Wordfence сообщила об этой проблеме поставщику Eli, предоставив проверенный PoC через службу безопасности WordPress.org.
На следующий день разработчики выпустили версию 4.23.83 плагина с исправлением CVE-2025-11705, добавив надлежащую проверку прав пользователя с помощью новой функции GOTMLS_kill_invalid_user().
Но к настоящему времени, по статистике WordPress.org, лишь половина из всех сайтов с установленным плагином безопасности перешла на последнюю версию, оставшаяся половина рискует словить атаку не цепочку мудаков.
Пока Wordfence не обнаружила признаков эксплуатации уязвимости, но это вовсе не повод недооценивать киберподполье, особенно после публичного раскрытия потенциальных возможностей для реализации названной атаки.
Имеющий более 100 000 загрузок плагин обеспечивает сканирование на предмет наличия вредоносных ПО, защиту от брута, использования известных уязвимостей и попыток внедрения в базу данных.
Уязвимость была раскрыта Wordfence исследователем Дмитрием Игнатьевым и затрагивает версии плагина 4.23.81 и более ранние.
Проблема возникает из-за отсутствия проверок возможностей в функции GOTMLS_ajax_scan(), которая обрабатывает запросы AJAX с использованием одноразового номера, который могут получить злоумышленники.
Эта ошибка позволяет пользователю с низкими привилегиями, который может вызвать функцию, читать произвольные файлы на сервере, включая конфиденциальные данные, включая файл конфигурации wp-config.php.
Получив доступ к базе данных, злоумышленник может извлечь хэши паролей, адреса электронной почты пользователей, сообщения и другие личные данные (а также ключи и соли для безопасной аутентификации).
Рейтинг критичности уязвимости относится к низкому уровню, поскольку для ее эксплуатации требуется аутентификация, тем не менее многие сайты позволяют пользователям подписываться и расширять свой доступ к различным разделам сайта, например к комментариям.
Сайты с любым видом членства или подписки, позволяющие пользователям создавать учетные записи, соответствуют необходимым требованиям для эксплуатации и уязвимы для атак с использованием CVE-2025-11705.
14 октября Wordfence сообщила об этой проблеме поставщику Eli, предоставив проверенный PoC через службу безопасности WordPress.org.
На следующий день разработчики выпустили версию 4.23.83 плагина с исправлением CVE-2025-11705, добавив надлежащую проверку прав пользователя с помощью новой функции GOTMLS_kill_invalid_user().
Но к настоящему времени, по статистике WordPress.org, лишь половина из всех сайтов с установленным плагином безопасности перешла на последнюю версию, оставшаяся половина рискует словить атаку не цепочку мудаков.
Пока Wordfence не обнаружила признаков эксплуатации уязвимости, но это вовсе не повод недооценивать киберподполье, особенно после публичного раскрытия потенциальных возможностей для реализации названной атаки.
Исследователи из Лаборатории Касперского выкатили подробнейший и весьма богатый по технической части отчет с результатами исследования двух кампаний северокорейской APT в рамках операции SnatchCrypto, которые получили названия GhostCall и GhostHire.
Активность приписывается подкластеру Lazarus Group - BlueNoroff, которая также известна как APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (Copernicium) и Stardust Chollima.
С момента своего появления группа была ориентирована на финансовую выгоду и активно нацеливается на разработчиков блокчейнов, руководителей высшего звена и менеджеров в индустрии Web3/блокчейна в рамках операции SnatchCrypto, начиная с 2017 года.
Жертвами кампании GhostCall стали несколько зараженных хостов macOS, расположенных в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге, тогда как Япония и Австралия были названы основными локациями активности для GhostHire.
GhostCall активно атакует устройства macOS руководителей технологических компаний и инвестиционные фирмы, взаимодействуя напрямую с жертвами через Telegram под предлогом приглашений на встречи, связанные с фишинговыми сайтами, мимикрирующими под Zoom.
Жертва присоединяется к фейковому звонку с подлинными записями разговоров других жертв (не к дипфейкам). Звонок проходит согласно плану, но затем пользователю неожиданно предлагается обновить клиент Zoom с помощью скрипта.
В конечном итоге скрипт загружает ZIP-файлы, которые приводят к цепочкам заражения, развёртываемым на заражённом хосте.
В свою очередь, GhostHire предполагает нацеливание на разработчиков Web3 с использованием репозитория GitHub, содержащего вредоносное ПО, под легендой оценки навыков в процессе найма.
После первоначального контакта и краткой проверки рекрутер добавляет пользователя в Telegram-бот, который отправляет либо ZIP-файл, либо ссылку на GitHub, а также ограниченное 30 минутами на выполнение задание с требованием как можно скорее запустить вредоносный проект.
После запуска проекта в систему пользователя загружается вредоносная полезная нагрузка, состав которой определяется в соответствии с пользовательским агентом, который идентифицирует операционную систему жертвы.
Исследователи ЛК отслеживают обе кампании с апреля 2025 года, хотя, по оценкам, GhostCall активен с середины 2023 года, вероятно, после кампании RustBucket.
Причем последний ознаменовал собой основной поворотный момент в атаке на системы macOS, после чего в других кампаниях задействовались такие семейства вредоносных ПО, как KANDYKORN, ObjCShellz и TodoSwift.
Различные аспекты GhostCall также были подробно задокументированы за последний год Microsoft, Huntress, Field Effect, Huntabil.IT, Validin и SentinelOne.
Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall, Кроме того, в обеих кампаниях было обнаружено идентичное вредоносное ПО.
Как отмечают в ЛК, исследование свидетельствует о постоянных усилиях BlueNoroff по разработке вредоносного ПО, нацеленного как на Windows, так и на macOS, через единую инфраструктуру С2.
При этом использование генеративного ИИ в различных аспектах атак значительно ускорило этот процесс, обеспечив более эффективную разработку ПО при снижении операционных издержек, а также позволило повысить производительность и серьезно усовершенствовать атаки.
Подробный разбор двух кампании - дадим в отдельном материале.
Активность приписывается подкластеру Lazarus Group - BlueNoroff, которая также известна как APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (Copernicium) и Stardust Chollima.
С момента своего появления группа была ориентирована на финансовую выгоду и активно нацеливается на разработчиков блокчейнов, руководителей высшего звена и менеджеров в индустрии Web3/блокчейна в рамках операции SnatchCrypto, начиная с 2017 года.
Жертвами кампании GhostCall стали несколько зараженных хостов macOS, расположенных в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге, тогда как Япония и Австралия были названы основными локациями активности для GhostHire.
GhostCall активно атакует устройства macOS руководителей технологических компаний и инвестиционные фирмы, взаимодействуя напрямую с жертвами через Telegram под предлогом приглашений на встречи, связанные с фишинговыми сайтами, мимикрирующими под Zoom.
Жертва присоединяется к фейковому звонку с подлинными записями разговоров других жертв (не к дипфейкам). Звонок проходит согласно плану, но затем пользователю неожиданно предлагается обновить клиент Zoom с помощью скрипта.
В конечном итоге скрипт загружает ZIP-файлы, которые приводят к цепочкам заражения, развёртываемым на заражённом хосте.
В свою очередь, GhostHire предполагает нацеливание на разработчиков Web3 с использованием репозитория GitHub, содержащего вредоносное ПО, под легендой оценки навыков в процессе найма.
После первоначального контакта и краткой проверки рекрутер добавляет пользователя в Telegram-бот, который отправляет либо ZIP-файл, либо ссылку на GitHub, а также ограниченное 30 минутами на выполнение задание с требованием как можно скорее запустить вредоносный проект.
После запуска проекта в систему пользователя загружается вредоносная полезная нагрузка, состав которой определяется в соответствии с пользовательским агентом, который идентифицирует операционную систему жертвы.
Исследователи ЛК отслеживают обе кампании с апреля 2025 года, хотя, по оценкам, GhostCall активен с середины 2023 года, вероятно, после кампании RustBucket.
Причем последний ознаменовал собой основной поворотный момент в атаке на системы macOS, после чего в других кампаниях задействовались такие семейства вредоносных ПО, как KANDYKORN, ObjCShellz и TodoSwift.
Различные аспекты GhostCall также были подробно задокументированы за последний год Microsoft, Huntress, Field Effect, Huntabil.IT, Validin и SentinelOne.
Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall, Кроме того, в обеих кампаниях было обнаружено идентичное вредоносное ПО.
Как отмечают в ЛК, исследование свидетельствует о постоянных усилиях BlueNoroff по разработке вредоносного ПО, нацеленного как на Windows, так и на macOS, через единую инфраструктуру С2.
При этом использование генеративного ИИ в различных аспектах атак значительно ускорило этот процесс, обеспечив более эффективную разработку ПО при снижении операционных издержек, а также позволило повысить производительность и серьезно усовершенствовать атаки.
Подробный разбор двух кампании - дадим в отдельном материале.
Securelist
BlueNoroff's latest campaigns: GhostCall and GhostHire
Kaspersky GReAT experts dive deep into the BlueNoroff APT's GhostCall and GhostHire campaigns. Extensive research detailing multiple malware chains targeting macOS, including a stealer suite, fake Zoom and Microsoft Teams clients and ChatGPT-enhanced images.
В США нарисовался новый резонансный инцидент, затронувший крупнейшую национальную телекоммуникационную компанию Ribbon Communications.
Американская компания предоставляет коммуникационные и сетевые решения, а также магистральные технологии для сетей связи. На ее решения полагаются ведущие поставщики услуг, предприятия и объекты критической инфраструктуры.
В числе клиентов Ribbon Communications фигурируют BT, Verizon, Deutsche Telekom, CenturyLink, TalkTalk, Softbank и Tata, а также Министерство обороны США и город Лос-Анджелес.
В квартальном финансовом отчете, предоставленном в Комиссию по ценным бумагам и биржам (SEC), Ribbon сообщила, что в начале сентября текущего года обнаружила несанкционированный доступ к своей ИТ-сети.
Расследование инцидента все еще продолжается, однако предварительные результаты указывают на то, что хакеры могли получить первоначальный доступ еще в декабре 2024 года.
На момент подачи квартального отчета Ribbon, согласно официальной версии, не нашла никаких доказательств того, что хакеры получили доступ или выкрали какую-либо важную информацию.
Однако Ribbon признала, что «несколько файлов клиентов, сохраненных за пределами основной сети на двух ноутбуках, по всей видимости, попали в руки злоумышленников».
Пострадавшую клиентуру соответствующем образом уже уведомили.
В целом, в Ribbon полагают, что обнаруженный взлом не окажет существенного влияния на ее деятельность.
Ribbon не раскрыла каких-либо технических подробностей взлома, но полагает, что к атаке причастна неназванная APT-группировка, предположительно, связанная с китайской стороной.
На фоне последних скандалов вокруг вездесущих китайских хакеров, в особенности кейса с F5, подобная атрибуция формируется уже «по инерции».
Так или иначе расследование еще не закончено и вполне вероятно, что двумя буками это дело не ограничится.
Но будем посмотреть.
Американская компания предоставляет коммуникационные и сетевые решения, а также магистральные технологии для сетей связи. На ее решения полагаются ведущие поставщики услуг, предприятия и объекты критической инфраструктуры.
В числе клиентов Ribbon Communications фигурируют BT, Verizon, Deutsche Telekom, CenturyLink, TalkTalk, Softbank и Tata, а также Министерство обороны США и город Лос-Анджелес.
В квартальном финансовом отчете, предоставленном в Комиссию по ценным бумагам и биржам (SEC), Ribbon сообщила, что в начале сентября текущего года обнаружила несанкционированный доступ к своей ИТ-сети.
Расследование инцидента все еще продолжается, однако предварительные результаты указывают на то, что хакеры могли получить первоначальный доступ еще в декабре 2024 года.
На момент подачи квартального отчета Ribbon, согласно официальной версии, не нашла никаких доказательств того, что хакеры получили доступ или выкрали какую-либо важную информацию.
Однако Ribbon признала, что «несколько файлов клиентов, сохраненных за пределами основной сети на двух ноутбуках, по всей видимости, попали в руки злоумышленников».
Пострадавшую клиентуру соответствующем образом уже уведомили.
В целом, в Ribbon полагают, что обнаруженный взлом не окажет существенного влияния на ее деятельность.
Ribbon не раскрыла каких-либо технических подробностей взлома, но полагает, что к атаке причастна неназванная APT-группировка, предположительно, связанная с китайской стороной.
На фоне последних скандалов вокруг вездесущих китайских хакеров, в особенности кейса с F5, подобная атрибуция формируется уже «по инерции».
Так или иначе расследование еще не закончено и вполне вероятно, что двумя буками это дело не ограничится.
Но будем посмотреть.