Уязвимость высокой степени серьезности в унифицированном декодере Dolby может быть использована для удаленного выполнения кода, в некоторых случаях в ходе ZeroClick-атак.

Созданный на основе стандарта Dolby Digital Plus (DD+), Unified Decoder представляет собой программно-аппаратный компонент, используемый для обработки DD+, Dolby AC-4 и других аудиоформатов, преобразуя их в форматы, которые можно воспроизводить через динамики.

Исследователи Иван Фратрик и Натали Сильванович из Google Project Zero обнаружили, что в процессе обработки медиафайлов на устройствах Android проблема записи за пределами допустимого диапазона.

Декодер записывает информацию в большой, непрерывный буфер, похожий на кучу, содержащийся в более крупной структуре, и расчет длины для одной записи может привести к переполнению из-за целочисленного переноса.

По словам исследователей, это приводит к тому, что выделенный буфер оказывается слишком маленьким, а проверка выхода за пределы последующей записи оказывается неэффективной.

В совокупности это позволяет перезаписывать последующие члены структуры, включая указатель, который записывается при обработке следующего синхрокадра.

Ошибка отслеживается как CVE-2025-54957 (CVSS 7,0) и может быть активирована с помощью вредоносных звуковых сообщений, что приводит к удаленному выполнению кода.

При этом на устройствах Android уязвимость может эксплуатироваться удаленно без взаимодействия с пользователем, поскольку все аудиосообщения и вложения декодируются локально с помощью унифицированного декодера Dolby.

В общем, исследуя возможность эксплуатации этой ошибки на Android, ресерчерам удалось добиться выполнения кода в формате ZeroClick в контексте медиакодека на Pixel 9 под управлением версии 16 BP2A.250605.031.A2.

По итогу исследователи представили прототип PoC, который демонстрирует, как можно задействовать уязвимость для вызова сбоя процесса на устройствах Android (Pixel 9 и Samsung S24), а также на macOS и iOS.

Google Project Zero сообщила об уязвимости компании Dolby Laboratories еще в июне и опубликовала информацию о ней по истечении 90-дневного срока раскрытия.

Microsoft устранила уязвимость в рамках октябрьского PatchTuesday, отметив, что для успешной эксплуатации уязвимости в Windows требуется взаимодействие с пользователем.

В свою очередь, Google на прошлой неделе также заявила, что исправления включены в последние обновления ChromeOS.

Спустя месяц после того, как Shai Hulud стал первым самораспространяющимся червем в экосистеме npm, исследователи Koi Security обнаружили первого в мире червя, нацеленного на расширения VS Code в ходе сложной атаки на цепочку поставок через торговую площадку OpenVSX.

Однако GlassWorm, - это не просто очередная атака на цепочку поставок.

Вредоносное ПО использует скрытные методы, которые ранее не встречались.

Koi Security отмечает, что особенностью этого червя является использование невидимых символов Unicode, благодаря которым вредоносный код буквально исчезает из редакторов кода.

Как объясняют исследователи, для разработчика, проводящего проверку кода, все выглядит как пустые строки или пробелы, а для инструментов статанализа подозрительного кода - это вообще ничего не значит.

Но для интерпретатора JavaScript - это исполняемый код.

GlassWorm разработан для кражи конфиденциальной информации с компьютеров жертв, включая учетные данные NPM, GitHub и Git, а также средств из 49 расширений криптовалюты.

Кроме того, он развертывает прокси SOCKS на зараженных машинах, устанавливает скрытые серверы VNC для предоставления злоумышленникам удаленного доступа к системам и распространяется, компрометируя пакеты и расширения через украденные креды.

GlassWorm задействует блокчейн Solana для инфраструктуры С2: он ищет в блокчейне определенные транзакции, содержащие в поле memo инструкции относительно местоположения полезной нагрузки следующего этапа.

Это, в свою очередь, гарантирует сохранность инфраструктуры, поскольку транзакции невозможно изменить или удалить из блокчейна, а также обеспечивает злоумышленникам анонимность.

Более того, злоумышленники могут легко изменить полезную нагрузку или её местоположение, просто опубликовав новую транзакцию для вредоносной ПО.

В целом, это реальная, готовая к использованию инфраструктура С2, которую буквально невозможно обезвредить.

Кроме того, вредоносная ПО использует Google Calendar в качестве резервного сервера С2, из которого она извлекает другую полезную нагрузку для превращения зараженных систем в узлы в инфраструктуре злоумышленника, развертывая прокси-сервер SOCKS, модули WebRTC для одноранговой связи и скрытый VNC для удаленного управления.

По данным Koi Security, кампания стартовала 17 октября: были скомпрометированы семь расширений VS Code для OpenVSX.

Учитывая способность вредоносного ПО к самораспространению, после установки зараженных пакетов пользователями были скомпрометированы и другие расширения.

18 октября, после того как двое изначально скомпрометированных разработчиков опубликовали чистые версии своих пакетов, Koi обнаружила 10 расширений, которые по-прежнему содержали вредоносное ПО.

Ещё одно расширение было обнаружено на следующий день в Microsoft VS Code.

К настоящему времени инфраструктура C2 злоумышленника полностью работоспособна - серверы полезной нагрузки отвечают, а украденные учетные данные используются для компрометации дополнительных пакетов.

По данным Koi, заражённые расширения были установлены более 35 800 раз.

Учитывая, что расширения VS Code обновляются автоматически, скомпрометированные пакеты заразили всех разработчиков, у которых они были установлены, без взаимодействия с пользователем.

Стартовал Pwn2Own Ireland 2025 и в первый день соревнований исследователи продемонстрировали 34 уникальные 0-day, заработав 522 500 долл.

Главным событием стал взлом беспроводного Ethernet-маршрутизатора QNAP Qhora-322 через WAN-интерфейс исследователями Бонын Ку и Эвангелос Даравигкас из Team DDOS, которые задействовали для этого восемь нулей.

По результатам они получили доступ к сетевому хранилищу QNAP TS-453E и выиграли 100 000 долл. в качестве вознаграждения.

Команда Synacktiv, Сина Кхейркха из Summoning Team, команда DEVCORE Team и Стивен Фьюэр из Rapid7 также вынесли по 40 000 долл. каждый, получив root-права на Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E и Home Assistant Green соответственно.

Исследователи STARLabs, Team PetoWorks, Team ANHTUD и Ierae четыре раза взломали МФУ Canon imageCLASS MF654Cdw, в то время как STARLabs также смогли похакать смарт-колонку Sonos Era 300, заработав 50 000 долл.,

Представители ANHTUD воспользовалась уязвимостью моста Phillips Hue Bridge и получили 40 000 долл. наличными.

Сина Хейркха и Макколей Хадсон из Summoning Team использовали цепочку эксплойтов, объединяющую две 0-day для получения прав root на устройстве Synology ActiveProtect Appliance DP320, выиграв еще 50 000 долл.

Команда Summoning Team выиграла в общей сложности 102 500 долларов за первый день соревнований и возглавила рейтинг Master of Pwn с 11,5 очками.

Хакерский конкурс Pwn2Own Ireland 2025 включает восемь категорий: флагманские смартфоны (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), мессенджеры, устройства для умного дома, принтеры, сетевое оборудование, сетевые системы хранения данных, оборудование для видеонаблюдения и носимые устройства (включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S).

В этом году ZDI также расширил векторы атак для мобильных устройств, включив в них использование USB-портов мобильных телефонов. Однако традиционные беспроводные протоколы, Bluetooth, Wi-Fi и NFC также остаются допустимыми векторами атак.

Согласно ранее озвученным заявлениям, ZDI впервые предлагает вознаграждение в размере 1 млн. долл. тем исследователям, которые продемонстрируют Zero-Click-эксплойт для WhatsApp, позволяющий выполнять код без взаимодействия с пользователем.

Meta (признана в России экстремистской) наряду с QNAP и Synology выступает соорганизатором хакерского конкурса Pwn2Own Ireland 2025, который стартовал 21 октября в Корке, Ирландия, и продлится до 24 включительно.

Как обычно, после демонстрации нулей на Pwn2Own вендорам предоставляется 90 дней на выпуск обновлений, прежде чем Zero Day Initiative от Trend Micro публично их раскроет.

Совсем недавно мы уже сообщали про слив хакерами Scattered LAPSUS$ Hunters конфиденциальных данных в отношении сотрудников Министерства внутренней безопасности (DHS) и Службы иммиграционного и таможенного контроля (ICE).

Однако на этом группа не остановилась и продолжила сливать данные госслужащих США.

На этот раз хакеры раскрыли установочные и иные чувствительные данные десятков тысяч сотрудников спецслужб.

Под удар попали АНБ (NSA), Агентство военной разведки (DIA), Федеральная торговая комиссия (FTC), Федеральное управление гражданской авиации (FAA), Центр по контролю и профилактике заболеваний (CDC), Бюро по контролю за оборотом алкоголя, табака, огнестрельного оружия и взрывчатых веществ (ATF), а также военнослужащие ВВС и сотрудники ряда других ведомств.

Scattered LAPSUS$ Hunters заявили, что в их распоряжении находятся личные данные более чем 22 000 государственных служащих.

По словам хакеров, им удалось собрать столь внушительный массив в результате анализа украденных в рамках инцидента с Salesforce данных.

Анализ предоставленных хакерами пруфов свидетельствует об их подлинности. Сами потенциально пострадавшие ведомства пока никак не комментируют заявления группировки.

При этом сразу после анонсированной утечки, канал Scattered LAPSUS$ Hunters в телеге был нейтрализован, по всей видимости, в результате действий третьей стороны.

Но будем, конечно, посмотреть, чем обернется для Scattered LAPSUS$ Hunters посягательство на штатовский силовой блок.

По данным Лаборатории Касперского, правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке стали целью новой кампании под названием PassiveNeuron.

Впервые задетектить кибершпионскую деятельность ЛК удалось еще в июне 2024 года в ходе расследования серии атак на госсектор структуры в Латинской Америке и Восточной Азии с использованием ранее недокументированных вредоносных ПО, известных как Neursite и NeuralExecutor.

При этом операция отличалась высокой степенью сложности: злоумышленники использовали уже скомпрометированные внутренние серверы в качестве промежуточной инфраструктуры C2, чтобы оставаться незамеченными.

Злоумышленник способен перемещаться по инфраструктуре и извлекать данные, при необходимости создавая виртуальные сети, которые позволяют злоумышленникам красть нужные файлы даже с машин, изолированных от интернета.

С тех пор исследователи выявили новую волну заражений, связанных с PassiveNeuron, начиная с декабря 2024 года и вплоть до августа 2025 года.

В рамках кампании злоумышленник в основном фокусируется на машинах под управлением Windows Server, получая удаленное выполнение кода (RCE) для развертывания веб-оболочек, а затем различные импланты.

На данном этапе источник кампании не установлен, хотя некоторые признаки указывают на то, что за ней стоят китайские хакеры.

Как минимум в одном инциденте злоумышленник, получил возможность удалённого выполнения команд на скомпрометированном компьютере под управлением Windows Server через Microsoft SQL.

Однако понять, каким образом не представилось возможным.

Вероятно, злоумышленник либо подбирает пароль к учётной записи администратора, либо используют уязвимость SQL-инъекции в приложении на сервере, либо пока не выявленную уязвимость в серверном ПО.

Сначала злоумышленники попытались развернуть веб-шелл ASPX для получения базовых возможностей выполнения команд, но потерпели неудачу. Затем реализовали сложные импланты через ряд DLL-загрузчиков, размещённых в каталоге System32:

- Neursite, специализированный модульный бэкдор C++;
- NeuralExecutor - это специализированный имплант .NET для загрузки дополнительных полезных данных по протоколам TCP, HTTP/HTTPS, именованным каналам или WebSockets и их выполнения.
- легитимный фреймворк Cobalt Strike.

Neursite использует встроенную конфигурацию для подключения к серверу C2 и протоколы TCP, SSL, HTTP и HTTPS для связи.

По умолчанию поддерживает сбор системной информации, управление запущенными процессами и проксирование трафика через другие машины, зараженные бэкдором, для обеспечения горизонтального распространения.

Вредоносное ПО также оснащено компонентом для загрузки вспомогательных плагинов с целью выполнения команд оболочки, управления файловой системой и операций с сокетами TCP.

В ЛК также отметили, что образцы NeuralExecutor, обнаруженные в 2024 году, были разработаны для извлечения адресов серверов C2 непосредственно из конфигурации.

Последние образцы Neursite и NeuralExecutor получали адреса C2-серверов с GitHub, что является популярной методикой среди китайскоязычных злоумышленников (APT31 и APT27), а строка PDB в одной из проанализированных DLL указывала на APT41, что в совокупности позволило Лаборатории Касперского приписать кампанию PassiveNeuron китайскоязычной APT-группе.

Pwn2Own Ireland 2025 продолжается: по итогам двух дней соревнований хакеры проэксплуатировали 56 0-day, заработав 792 750 долл.

В первый день конкурса Pwn2Own Ireland исследователи обнаружили 34 уникальных нуля и забрали денежный приз в размере 522 500 долл.

Главный событием второго дня стал взлом Samsung Galaxy S25 Кеном Гэнноном из Mobile Hacking Lab и Димитриосом Вальсамарасом из Summoning Team с помощью цепочки из пяти уязвимостей, за что они получили 50 000 долларов и 5 очков Master of Pwn.

Кроме того, хотя PHP Hooligans понадобилась всего одна секунда, чтобы взломать NAS-устройство QNAP TS-453E, уязвимость, которой они воспользовались, уже была использована в конкурсе.

Чуми Цай из CyCraft Technology, Ле Тронг Фук и Као Нгок Куи из Verichains Cyber Force, а также Мехди и Матье из Synacktiv Team также получили по 20 000 долларов за взлом QNAP TS-453E, Synology DS925+ и моста Phillips Hue.

Участники конкурса также продемонстрировали 0-day в принтере Canon imageCLASS MF654Cdw, Home Automation Green, камере Synology CC400W, NAS-устройстве Synology DS925+, умной розетке Amazon и принтере Lexmark CX532adwe.

Summoning Team, по-прежнему лидирует в турнирной таблице Master of Pwn с 18 очками, заработав $167 500 за первые два дня мероприятия.

В прошлом году на Pwn2Own Ireland 2024 хакеры сорвали куш в размере 1 078 750 долл. за более чем 70 нулей.

В последний третий день конкурса они будут атаковать Samsung Galaxy S25, несколько устройств NAS и принтеров.

Кроме того, Юджин из Team Z3 также попытается продемонстрировать уязвимость WhatsApp Zero-Click для удалённого выполнения кода, за которую можно получить вознаграждение в размере 1 млн. долл. 

Так что участники имеют все шансы превзойти прошлогодние результаты.

Но будем посмотреть.

Bloomberg раскрывает новые скандальные подробности масштабного инцидента, связанного взломом американской технологической компании F5, который произошел еще раньше, чем предполагалось ранее - в конце 2023 года.

Хакеры проникли в инфраструктуру компании, взломав её собственные продукты.

При этом, как сообщает издание, сотрудники F5, по всей видимости, клали на рекомендациям по кибербезопасности, которые компания передавала клиентам.

Обнаружить взлом удалось лишь в августе этого года. И спустя несколько дней после взлома компания объявила о завершении срока службы двух своих продуктов BIG-IP.

Кроме того, дополнительные сведения об участии китайских злоумышленников в кейсе F5 выкатили исследователи из Resecurity, которые провели анализ задействовавшегося в кампании бэкдора Brickstorm.

Кибершпионский бэкдор Brickstorm связан с кластером угроз UNC5221, который использует сложные TTPs и 0-day, нацеленные на сетевые устройства.

Resecurity удалось собрать ряд артефактов из арсенала злоумышленников, включая сам бэкдор Go ELF (исполняемый файл, скомпилированный для Linux), сценарии развертывания и модуль для сбора учетных данных.

Бэкдор представляет собой самостоятельный, независимый исполняемый файл (Go, linux/amd64), упакованный для устройств с ограниченным пользовательским пространством.

Он поддерживает все веб-протоколы для передачи трафика (TLS-клиент, пути HTTP/1.1/HTTP/2, обновление и обработку сеансов WebSocket).

Она может выступать в роли SOCKS-прокси для маршрутизации вредоносного трафика, а также скрывает передачу данных внутри POST-запросов, используя тот же формат multipart/form-data, который браузеры используют для загрузки.

В ходе атаки на F5 злоумышленник, получив возможность выполнить код, настроил бэкдор для реализации зашифрованного исходящего соединения TLS, которое согласует HTTP/2 и обновляет соединение до WebSocket для обеспечения постоянного туннеля C2.

Хакеры задействовали это соединение в формате прокси-сервера в стиле SOCKS для доступа к внутренним приложениям с IP-адреса устройства, передавая данные по тому же каналу, используя multipart/form-data с base64/quoted-printable и сжатие, поэтому эксфильтрация была схожа с обычным веб-трафиком.

Причем в файле ELF нет жестко прописанных доменов или учетных данных, что позволяет предположить, что злоумышленники использовали уязвимость нулевого дня для получения доступа и безпроблемного подключения к цели.

В ходе анализа было обнаружено, что злоумышленники использовали общедоступные репозитории.

При этом часть кодовой базы, по всей видимости, была получена из репозиториев, находящихся в Китае и разработанных вредоносным образом для атак на пользовательские системы.

В свою очередь, исследователи Rubrik, вооружившись результатами исследования Google по части UNC5221 и BRICKSTORM, задетектили следы бэкдора в резервных копиях своих клиентов.

Так что помимо Mandiant соответствующие IOCs теперь можно найти также в отчетах Resecurity и Rubrik - 1 и 2 (соответственно).

Коллеги из Russian OSINT обратили внимание на отчет iVerify, в котором исследователи сообщают о появлении в iOS 26 функции перезаписи shutdown.log при каждой перезагрузке устройства.

Фактически Apple лишает исследователей и пользователей возможности обнаружить важные криминалистические артефакты и, прежде всего, следы spyware, включая Pegasus и Predator, которые активно использовали этот лог в своих операциях.

Столь неоднозначное нововведение со стороны Apple определенно является опасным прецедентом в условиях все более изощренных угроз, связанных с использованием шпионского ПО.

Причем безотносительно того, будь это целенаправленная задумка или же случайная ошибка.

Хотя в последнее вериться с трудом: исследователи из Лаборатории Касперского не дадут соврать.

В рамках расследования Операции Триангуляция все ответы, на наш взгляд, уже были получены.

Чтобы вовсе развеять все сомнения, достаточно внимательно ознакомиться с отчетом китайского CERT в отношении расследования атаки АНБ США на Национальный центр службы времени (NTSC).

Общую картину инцидента мы уже давали ранее, однако не могли пройти мимо одной важной детали.

Согласно полученным МГБ КНР артефактам, iOS-устройства сотрудников NTSC в апреле 2023 года были взломаны с использованием уязвимостей и эксплойтов, раскрытых в ходе расследования Операции Триангуляция тремя месяцами позже в отчете ЛК.

Исследователи Лаборатории цифровой криминалистики F6 в эфире онлайн-разбора тренд-репорта обсудили текущие параметры активности банд вымогателей в 2025 году.

Если резюмировать, то можно сказать, что аппетиты растут: рекорд по жадности вымогателей в 2025 году составил 400 000 000 рублей или $5 000 000 (на 67% больше, чем в прошлом году).

В общей сложности по году F6 зафиксировала более 450 атак различных банд вымогателей на российские компании.

Суммы первоначального выкупа за расшифровку данных в 2025 году варьировались от 4 000 000 до 40 000 000 рублей ($50000-$500000).

При этом финансовая мотивация была только в 85% атак, в 15% инцидентов целью киберпреступников была диверсия и нанесение максимального ущерба российским организациям.

Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (18,9%), организации из сфер оптовой (17%) и розничной (15,1%) торговли.

Также в 2025 году были громкие атаки на крупные транспортные компании, топливно-энергетического комплекс, в числе пострадавших были и медицинские организации.

Среди наиболее активных в этом году проукраинских групп исследователи отметили: Bearlyfy (не менее 35 атак), THOR (не менее 7 атак) и ЛАБУБУ (не менее 4 атак), 3119/TR4CK (не менее 4 атак), Blackjack/Mordor (не менее 4 атак), Shadow/DarkStar (не менее 3 атак).

Такие группы, как Mimic/Pay2Key, Proton/Shinra и C77L, нацелились на малый и средний российский бизнес, атакуя с целью получения выкупа.

В эфира оэксперты F6 также поделились тем, как злоумышленники получали первоначальный доступ, какие техники использовали для закрепления в инфраструктуре, а также разобрали экосистему групп, атаковавших российские компании в последние годы.

Подробный разбор атак с использованием программ-вымогателей в 2025 году на российские компании F6 обещают дать в своем ежегодном отчете в начале 2026 года.

Хакерский поединок Pwn2Own Ireland 2025 завершился: исследователи сорвали куш в размере 1 024 750 долл. после демонстрации 73 0-day.

Команда Summoning Team стала победителем, набрав 22 очка и заработав 187 500 долл., взломав Samsung Galaxy S25, NAS-устройство Synology DiskStation DS925+, Home Assistant Green, NAS-накопитель Synology ActiveProtect Appliance DP320, камеру Synology CC400W и NAS-устройство QNAP TS-453E.

Команда ANHTUD заняла второе место, получив $76 750 и 11,5 очков, а Synactiv - третье место с $90 000 призовых и 11 очками.

В первый день Pwn2Own Ireland хакеры проэксплуатировали 34 уникальные 0-day, заработав 522 500 долл., во второй день - ещё 22 уникальных нуля и приз в размере 267 500 долл.

Самым ярким моментом последнего дня стал взлом Samsung Galaxy S25 командой Interrupt Labs с помощью ошибки проверки входных данных, за что команда заработала 5 очков и 50 000 долл., также сумев включить отслеживание местоположения и камеру.

Заявившаяся на WhatsApp Zero-Click и вместе с ним на 1 млн. долла. команда Z3 отказалась от публичной демонстрации в ходе конкурса, решив раскрыть свои результаты аналитикам ZDI в частном порядке, прежде чем поделиться с инженерной командой Meta (признана в РФ экстремистской).

Теперь после анонсирования 0-day на Pwn2Own у поставщиков есть 90 дней на выпуск исправлений, прежде чем Zero Day Initiative компании Trend Micro публично их раскроет.

В январе 2026 года ZDI намерена принимать участие в выставке технологий Automotive World в Токио (Япония) для организации и проведения третьего конкурса Pwn2Own Automotive, спонсором которого снова выступит Tesla.

Исследователи из Лаборатории Касперского отследили основные тренды развития фишинговых атак по электронной почте, рассказав как про новые методы обхода фильтров безопасности и обмана пользователей, так и про «вторую жизнь» даже давно забытых тактик.

Особый акцент в отчете сделан на анализе некоторых довольно необычных приёмов, которые злоумышленники задействовали в 2025 году.

Письма с PDF-вложениями становятся всё более распространёнными как в массовых, так и в целевых фишинговых кампаниях.

Если раньше большинство PDF-файлов содержало фишинговые ссылки, то сегодня основной тенденцией в таких атаках становится использование QR.

Рассылки по электронной почте, включающие фишинговые ссылки, встроенные в PDF-вложения, продолжают представлять серьёзную угрозу, но злоумышленники всё чаще используют дополнительные методы, чтобы избежать обнаружения, шифруя и защищая PDF паролем.

Использование событий в календаре как спам-метод, популярный в конце 2010-х годов, но постепенно сошедший на нет после 2019 года, - относительно старая тактика.

Идея проста: злоумышленники отправляют электронное письмо с записью встречи из календаря. Текст письма может быть пустым, но в описании события скрывается фишинговая ссылка.

В 2025 году фишеры возродили эту тактику.

Однако, в отличие от конца 2010-х, теперь они используются в B2B-фишинге и нацелены именно на офисных работников.

Злоумышленники обновляют не только методы распространения фишингового контента, но и сами фишинговые сайты.

Зачастую даже самые примитивные на первый взгляд email-кампании содержат ссылки на страницы, использующие новые методы.

Например, в ЛК наблюдали минималистичную email-кампанию, созданную под оповещение об оставленном пользователю голосовом сообщении.

Текст письма содержал всего пару предложений, часто с пробелом в слове «голос», и ссылку, которая вела на простую целевую страницу, предлагавшую получателю прослушать сообщение.

Однако если пользователь нажмёт на кнопку, путь ведёт не на одну страницу, а на цепочку страниц проверки, использующих CAPTCHA. Вероятно, это сделано для того, чтобы избежать обнаружения роботами безопасности.

После многочисленных доказательств того, что он не бот, пользователь наконец попадает на сайт, имитирующий форму входа Google, который проверяет введенный пользователем адрес Gmail и выводит ошибку, если это не зарегистрированный адрес электронной почты.

Если жертва введёт действительный адрес, то, независимо от того, верен ли пароль, фишинговый сайт отобразит другую похожую страницу с сообщением о том, что пароль недействителен.

В обоих случаях нажатие кнопки «Сбросить сеанс» снова открывает форму ввода адреса электронной почты. Если отвлечённый пользователь попытается войти в систему, используя разные учётные записи и пароли, все эти данные окажутся в руках злоумышленников.

Поскольку многие пользователи защищают свои аккаунты с помощью многофакторной аутентификации, мошенники пытаются найти способы украсть не только пароли, но и одноразовые коды и другие данные для подтверждения.

Учитывая, что схемы сбора учётных данных становятся всё более изощрёнными и убедительными, исследователи рекомендуют регулярно проводить обучение сотрудников по безопасности, а также внедрить надежное решение для защиты почтовых серверов.

Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.

Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.

Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.

В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.

Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.

При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.

В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.

Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.

Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.

Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов. 

Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.

Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.

При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.

Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.

Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.

Другие технические подробности и IOCs - в отчете.

Group-IB раскрыла масштабную кампанию иранской MuddyWater (aka Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm, Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix), нацеленную почти на сотню госструктур на Ближнем Востоке и в Северной Африке.

Большинство целей наблюдаемой кампании MuddyWater - это посольства, консульства, дипмиссии и подразделения министерств иностранных дел. Кроме того, среди жертв отмечены правительственные и международные организации, а также телеком-компании.

Конечной целью кампании является техническое проникновение в особо важные объекты и содействие сбору разведывательной информации.

Начиная с 19 августа хакеры запустили фишинговую кампанию среди указанного круга жертв со взломанной почты, доступ к которой они осуществляли с использованием NordVPN.

Причем, по данным исследователей, 24 августа злоумышленник вывел из строя инфраструктуру C2, что, вероятно, указывает на переход к новому этапу атаки, в ходе которой для сбора информации из скомпрометированных систем использовались уже другие инструменты и вредоносное ПО.

Цепочка атаки, по сути, включает распространение злоумышленником заражённых документов Microsoft Word, которые при открытии предлагают получателям электронной почты включить макросы для просмотра содержимого.

Как только ничего не подозревающий пользователь активирует эту функцию, документ запускает выполнение вредоносного кода Visual Basic for Application (VBA), что приводит к развертыванию бэкдора Phoenix версии 4.

Бэкдор запускается с помощью загрузчика FakeUpdate, который декодируется и записывается на диск с помощью VBA-дроппера. Загрузчик содержит полезную нагрузку Phoenix, зашифрованную с помощью AES.

Пока неясно, что побудило MuddyWater доставлять вредоносное ПО с помощью макрокода в документах Office, поскольку этот прием был популярен несколько лет назад, когда макросы запускались автоматически при открытии документа.

Поскольку Microsoft по умолчанию отключила макросы, злоумышленники перешли на другие методы, более актуальным из которых является ClickFix, также использовавшийся MuddyWater в прошлых кампаниях.

Вредоносное ПО записывается в C:\ProgramData\sysprocupdate.exe и обеспечивает себе стойкость, изменяя запись в реестре Windows с настройками для текущего пользователя, включая приложение, которое должно запускаться в качестве оболочки после входа в систему.

Бэкдор был задокументирован еще в прошлых атаках MuddyWater (описывался как облегченная версия BugSleep), однако вариант, используемый в этой кампании включает в себя дополнительный механизм персистентности на основе COM и несколько функциональных отличий.

Вредоносная ПО собирает информацию о системе, включая имя компьютера, домен, версию Windows и имя пользователя, для составления профиля жертвы. Она подключается к своему C2 через WinHTTP и начинает отправлять сигналы, запрашивая команды.

Как отмечает Group-IB, Phoenix v4 поддерживает возможности сбора системной информации, установления персистентности, запуска интерактивной оболочки и загрузки/выгрузки файлов.

Другой инструмент, который MuddyWater задействовала в этих атаках, представляет собой специализированный инфостилер, который извлекает базу данных из браузеров Chrome, Opera, Brave и Edge, учетные данные, а также главный ключ для их расшифровки.

В инфраструктуре командного сервера MuddyWater исследователи также обнаружили утилиту PDQ для развертывания и управления ПО, а также инструмент Action1 RMM (удалённый мониторинг и управление). При этом PDQ также использовался ранее в атаках, приписываемых иранским хакерам.

В целом, Group-IB отмечает, что используя обновлённые варианты вредоносного ПО (Phoenix v4, FakeUpdate и инфокрад), вместе с легитимными RMM-утилитами (PDQ и Action1) APT продемонстрировала эффективную интеграцию специального кода с коммерческими инструментами в части повышения скрытности и устойчивости.

Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними актуальные угрозы:

1. Уязвимость в библиотеке async-tar Rust потенциально может стать причиной RCE-атак.

CVE-2025-62518, получила название TARmageddon и позволяет злоумышленникам перезаписывать файлы конфигурации и перехватывать уязвимости бэкенда. Она имеет крайне широкое влияние из-за большого количества пакетов, в которые она встроена.

2. Microsoft выпустила внеочередные (OOB) обновления безопасности для исправления критической RCE-уязвимости службы обновлений Windows Server (WSUS), отлеживаемой как CVE-2025-59287.

Уязвимость может эксплуатироваться удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем, что позволяет злоумышленникам без привилегий атаковать уязвимые системы и запускать вредоносный код с привилегиями SYSTEM.

Как отметила Microsoft в обновлении к первоначальной рекомендации по безопасности, CVE-2025-59287 теперь обзавелась общедоступным PoC.

3. SEC Consult обнаружила ряд уязвимостей в ПО WorkExaminer Professional от EfficientLab для мониторинга сотрудников, включая те, которые могут позволить злоумышленнику в сети получить контроль над системой.

При этом, вероятно, ошибки не были устранены: поставщик сообщил, что они не попадают под действие BugBounty.

4. Исследователи Operant AI обнаружили Shadow Escape - скрытую ZeroClick-атаку, которая затрагивает организации, использующие MCP с любым ИИ-помощником.

Она использует внутреннее доверие к соединениям между ИИ-агентом и MCP для скрытного извлечения огромных объёмов конфиденциальных пользовательских данных из сети.

Поскольку программа использует стандартные настройки MCP и разрешения по умолчанию, потенциальный масштаб извлечения данных оценивается в колоссальные триллионы записей, по данным Operant.

5. TP-Link устранила два набора уязвимостей (1 и 2) в своём шлюзе Omada, позволявшие удалённое внедрение неаутентифицированных команд. Последние две уязвимости были обнаружены исследователями Forescout.

6. Хакеры приступили к эксплуатации уязвимости Magento, известной как SessionReaper (CVE-2025-54236).

Она была исправлена в сентябре и позволяет удалённым злоумышленникам захватывать интернет-магазины.

Однако, как сообщает Sansec, исправления были установлены у 38% магазинов Magento, что едва превышает показатель на момент выхода патча.

7. Злоумышленники используют 0-day на локальных серверах Motex Lanscope Endpoint Manager. Исправление вышло в понедельник после того, как поставщик получил сообщения об атаках.

CVE-2025-61932 позволяет злоумышленникам получить контроль над клиентом Lanscope, установленным на системах клиентов, с помощью вредоносных пакетов. CISA также добавила информацию об уязвимости в свою базу данных KEV.

8. SquareX предупреждает, что злоумышленники могут подделывать боковые панели для ИИ-помощников в интерфейсах браузеров для кражи данных, а также загрузки и запуска вредоносного ПО обманным путем. Среди уязвимых браузеров: Comet от Perplexity и Atlas от OpenAI.

9. Cursor и Windsurf, две среды IDE, клонированные из редактора VS Code от Microsoft, не смогли интегрировать исправления для 94 ошибок, связанных с Chromium, по данным Ox Security.

10. Личные данные всех пилотов Формулы-1 могли быть украдены через веб-портал FIA.

Сайт позволял любому пользователю назначить себе роль администратора. Портал хранил информацию о гонщиках, подавших заявки на получение лицензии Формулы-1, а также внутреннюю переписку FIA.

Автоспортивная организация устранила уязвимость в течение недели, но осадочек, как говорится, остался.

11. Исследователи NCC опубликовали исследование, раскрывая, как злоумышленники могут использовать бэкдор или красть данные из экземпляров Azure Fabric.

Новая функция Microsoft Teams позволит организациям отслеживать сотрудников по ближайшим сетям Wi-Fi.

Случится это в декабре 2025 года, когда выйдет обновление.

Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.

Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.

Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.

Технических подробностей пока не так много.

В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.

Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.

Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.

Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей. 

При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.

По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.

Журналисты сообщают об обширной утечке данных на учащихся Академии Равин, секретной школы Министерства разведки, которую, как предполагается, взломали.

Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.

Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.

Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.

На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.

Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.

Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.

Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.

В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.

Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.

Анонсированный на Pwn2Own Ireland 2025 взлом WhatsApp на $1 млн провалился: после вывода средств в MetaCard были раскрыты только уязвимости с низким уровнем риска.

В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода. 

Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.

Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.

Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).

Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.

Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.

Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.

Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.

Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.

Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.

ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.

Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.

Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.

Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.

Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.

Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.

При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, написанное на языке leetspeak, которое могло получать команды по HTTPS, регистрировать нажатия клавиш и красть файлы.

На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.

Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО

По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).

Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.

Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.

В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.

Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.

При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.

В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.

Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.

По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.

В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.

Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.

Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.

Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.

А на заборе файле "Расчет премии 2025" написано, а там дрова RAT лежит