Исследователи из F6 в своем новом отчете представили аналитику по недавним атакам группировки Cloud Atlas на предприятия в сфере агропромышленного и оборонно-промышленного комплексов.

В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.

Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.

В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.

В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.

Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.

В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона  RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.

В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.

Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».

Запуск инициировал цепочку с  загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.

Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.

В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.

Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.

Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.

Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.

Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.

В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.

Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.

В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.

Технические подробности и IOCs - в отчете.

Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.

Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.

Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.

Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора. 

Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.

Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями. 

Midnight - один из таких вариантов.

Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.

В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.

В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».

Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.

Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.

Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.

Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.

Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.

Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.

Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.

Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.

Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.

Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.

Другие технические подробности и практическое руководство по дешифратор - в отчете.

Группа ученых-исследователей раскрыла подробности нового метода атаки по побочным каналам, которая позволяет извлекать секреты из доверенной среды выполнения (TEE) в ЦП, высокозащищенной области системы SGX и TDX от Intel и SEV-SNP от AMD.

Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.

Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.

Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.

Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE. 

Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании. 

Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов. 

TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.

Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.

Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).

Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.

Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).

Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.

По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.

Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.

По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.

Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.

Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.

Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.

Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.

Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.

При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.

Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.

Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.

Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.

Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.

Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.

При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.

Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).

Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.

Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.

Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.

Тем временем, под легендой якобы хакерской группы KittenBusters продолжается публикация на GitHub новых документов, связанных с деятельностью иранской Charming Kitten (APT35).

Очередной слив включает сведения по бюджетированию группы и финансам.

В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.

Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.

Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.

Канадский центр кибербезопасности сообщает о возросшей хакерской активности, нацеленной на промышленные системы управления (ICS), доступные через Интернет.

Как отмечают специалисты, хакеры неоднократно взламывали критически важные инфраструктурные системы по всей стране, что позволяло им вносить коррективы в параметры управления ICS, что потенциально могло привести к возникновению опасных ситуаций.

В частности, в своем бюллетене, регулятор упоминает о трех недавних инцидентах, в ходе которых хактивисты вмешались в работу критически важных систем водоочистных сооружений, в нефтегазовой компании и на сельскохозяйственном предприятии.

Названные инциденты привели к сбоям в работе, ложным срабатываниям и риску возникновения аварийных ситуаций.

В результате атаки на водопроводную станцию были изменены показатели давления воды, что не привело поденную качества оказания услуг для населения.

Другой случай произошел в канадской нефтегазовой компании, где были выявлены нарушения в работе автоматизированного уровнемера резервуаров (ATG), что привело к срабатыванию ложной тревоги.

Третий случай произошел в зерносушилке на канадской ферме, где регулировались температура и влажность, что могло привести к чрезвычайно опасной ситуации, если бы проблема своевременно не была устранена.

При этом, как полагают власти Канады, все эти атаки не были спланированными или как-то сложно организаованны, скорее носили оппортунистический характер и были направлены, прежде всего, на ажиотаж в СМИ, подрыв доверия к властям и нанесение ущерба имиджу страны.

Несмотря на то, что ни одна из атакованных организаций в Канаде не понесла катастрофических последствий, атаки указывают на серьезные риски, возникающие вследствие низкой защищенности компонентов ICS, включая ПЛК, SCADA, HMI и промышленные IoT-устройства, что на практике характерно не только для Канады.

Более 50 000 сайтов с установленным плавном Anti-Malware Security and Brute-Force Firewall для Wordfence остаются уязвимыми для CVE-2025-11705, которая позволяет подписчикам считывать любой файл на сервере и ведет к раскрытию конфиденциальной информации.

Имеющий более 100 000 загрузок плагин обеспечивает сканирование на предмет наличия вредоносных ПО, защиту от брута, использования известных уязвимостей и попыток внедрения в базу данных.

Уязвимость была раскрыта Wordfence исследователем Дмитрием Игнатьевым и затрагивает версии плагина 4.23.81 и более ранние.

Проблема возникает из-за отсутствия проверок возможностей в функции GOTMLS_ajax_scan(), которая обрабатывает запросы AJAX с использованием одноразового номера, который могут получить злоумышленники.

Эта ошибка позволяет пользователю с низкими привилегиями, который может вызвать функцию, читать произвольные файлы на сервере, включая конфиденциальные данные, включая файл конфигурации wp-config.php.

Получив доступ к базе данных, злоумышленник может извлечь хэши паролей, адреса электронной почты пользователей, сообщения и другие личные данные (а также ключи и соли для безопасной аутентификации).

Рейтинг критичности уязвимости относится к низкому уровню, поскольку для ее эксплуатации требуется аутентификация, тем не менее многие сайты позволяют пользователям подписываться и расширять свой доступ к различным разделам сайта, например к комментариям.

Сайты с любым видом членства или подписки, позволяющие пользователям создавать учетные записи, соответствуют необходимым требованиям для эксплуатации и уязвимы для атак с использованием CVE-2025-11705.

14 октября Wordfence сообщила об этой проблеме поставщику Eli, предоставив проверенный PoC через службу безопасности WordPress.org.

На следующий день разработчики выпустили версию 4.23.83 плагина с исправлением CVE-2025-11705, добавив надлежащую проверку прав пользователя с помощью новой функции GOTMLS_kill_invalid_user().

Но к настоящему времени, по статистике WordPress.org, лишь половина из всех сайтов с установленным плагином безопасности перешла на последнюю версию, оставшаяся половина рискует словить атаку не цепочку мудаков.

Пока Wordfence не обнаружила признаков эксплуатации уязвимости, но это вовсе не повод недооценивать киберподполье, особенно после публичного раскрытия потенциальных возможностей для реализации названной атаки.

Исследователи из Лаборатории Касперского выкатили подробнейший и весьма богатый по технической части отчет с результатами исследования двух кампаний северокорейской APT в рамках операции SnatchCrypto, которые получили названия GhostCall и GhostHire.

Активность приписывается подкластеру Lazarus Group - BlueNoroff, которая также известна как APT38, CageyChameleon, CryptoCore, Genie Spider, Nickel Gladstone, Sapphire Sleet (Copernicium) и Stardust Chollima.

С момента своего появления группа была ориентирована на финансовую выгоду и активно нацеливается на разработчиков блокчейнов, руководителей высшего звена и менеджеров в индустрии Web3/блокчейна в рамках операции SnatchCrypto, начиная с 2017 года.

Жертвами кампании GhostCall стали несколько зараженных хостов macOS, расположенных в Японии, Италии, Франции, Сингапуре, Турции, Испании, Швеции, Индии и Гонконге, тогда как Япония и Австралия были названы основными локациями активности для GhostHire.

GhostCall активно атакует устройства macOS руководителей технологических компаний и инвестиционные фирмы, взаимодействуя напрямую с жертвами через Telegram под предлогом приглашений на встречи, связанные с фишинговыми сайтами, мимикрирующими под Zoom.

Жертва присоединяется к фейковому звонку с подлинными записями разговоров других жертв (не к дипфейкам). Звонок проходит согласно плану, но затем пользователю неожиданно предлагается обновить клиент Zoom с помощью скрипта.

В конечном итоге скрипт загружает ZIP-файлы, которые приводят к цепочкам заражения, развёртываемым на заражённом хосте.

В свою очередь, GhostHire предполагает нацеливание на разработчиков Web3 с использованием репозитория GitHub, содержащего вредоносное ПО, под легендой оценки навыков в процессе найма.

После первоначального контакта и краткой проверки рекрутер добавляет пользователя в Telegram-бот, который отправляет либо ZIP-файл, либо ссылку на GitHub, а также ограниченное 30 минутами на выполнение задание с требованием как можно скорее запустить вредоносный проект.

После запуска проекта в систему пользователя загружается вредоносная полезная нагрузка, состав которой определяется в соответствии с пользовательским агентом, который идентифицирует операционную систему жертвы.

Исследователи ЛК отслеживают обе кампании с апреля 2025 года, хотя, по оценкам, GhostCall активен с середины 2023 года, вероятно, после кампании RustBucket.

Причем последний ознаменовал собой основной поворотный момент в атаке на системы macOS, после чего в других кампаниях задействовались такие семейства вредоносных ПО, как KANDYKORN, ObjCShellz и TodoSwift.

Различные аспекты GhostCall также были подробно задокументированы за последний год Microsoft, Huntress, Field Effect, Huntabil.IT, Validin и SentinelOne.

Стоит также отметить, что схема заражения, обнаруженная в GhostHire, имеет структурное сходство с цепочками заражений в кампании GhostCall, Кроме того, в обеих кампаниях было обнаружено идентичное вредоносное ПО.

Как отмечают в ЛК, исследование свидетельствует о постоянных усилиях BlueNoroff по разработке вредоносного ПО, нацеленного как на Windows, так и на macOS, через единую инфраструктуру С2.

При этом использование генеративного ИИ в различных аспектах атак значительно ускорило этот процесс, обеспечив более эффективную разработку ПО при снижении операционных издержек, а также позволило повысить производительность и серьезно усовершенствовать атаки.

Подробный разбор двух кампании - дадим в отдельном материале.

В США нарисовался новый резонансный инцидент, затронувший крупнейшую национальную телекоммуникационную компанию Ribbon Communications.

Американская компания предоставляет коммуникационные и сетевые решения, а также магистральные технологии для сетей связи. На ее решения полагаются ведущие поставщики услуг, предприятия и объекты критической инфраструктуры.

В числе клиентов Ribbon Communications фигурируют BT, Verizon, Deutsche Telekom, CenturyLink, TalkTalk, Softbank и Tata, а также Министерство обороны США и город Лос-Анджелес.

В квартальном финансовом отчете, предоставленном в Комиссию по ценным бумагам и биржам (SEC), Ribbon сообщила, что в начале сентября текущего года обнаружила несанкционированный доступ к своей ИТ-сети.

Расследование инцидента все еще продолжается, однако предварительные результаты указывают на то, что хакеры могли получить первоначальный доступ еще в декабре 2024 года.

На момент подачи квартального отчета Ribbon, согласно официальной версии, не нашла никаких доказательств того, что хакеры получили доступ или выкрали какую-либо важную информацию.

Однако Ribbon признала, что «несколько файлов клиентов, сохраненных за пределами основной сети на двух ноутбуках, по всей видимости, попали в руки злоумышленников».

Пострадавшую клиентуру соответствующем образом уже уведомили.

В целом, в Ribbon полагают, что обнаруженный взлом не окажет существенного влияния на ее деятельность.

Ribbon не раскрыла каких-либо технических подробностей взлома, но полагает, что к атаке причастна неназванная APT-группировка, предположительно, связанная с китайской стороной.

На фоне последних скандалов вокруг вездесущих китайских хакеров, в особенности кейса с F5, подобная атрибуция формируется уже «по инерции».

Так или иначе расследование еще не закончено и вполне вероятно, что двумя буками это дело не ограничится.

Но будем посмотреть.

Исследователи Zimperium предупреждают о крайне негативной тенденции, связанной с широким распространением вредоносного ПО для ретрансляции данных на основе технологии NFC (Near-Field Communication), которое приобрело огромную популярность в Восточной Европе.

В связи с быстрым ростом числа транзакций Tap-to-Pay технология NFC становится всё более привлекательной целью для киберпреступников.

Вредоносные приложения используют разрешение Android на NFC для кражи платёжных данных непосредственно с устройств жертв, подчёркивая, насколько быстро злоумышленники развивают свои методы монетизации систем бесконтактной
оплаты.

В отличие от традиционных банковских троянов, использующих оверлеи или перехват SMS, эти вредоносные приложения используют возможности эмуляции хост-карт (HCE) Android, выдавая себя за легитимные платёжные приложения и передавая конфиденциальные данные о транзакциях в режиме реального времени.

Реализуя захват поля EMV, злоумышленники реализуют подконтрольный ответ на команды APDU от POS-терминала или пересылают запросы терминала на удаленный сервер, формирующий соответствующие ответы APDU для совершения платежей на терминале без физического присутствия держателя карты.

К настоящему времени злоумышленники реализуют множество методов, основанных на разных практических подходах, в том числе:

- сборщики данных, которые переносят поля EMV в Telegram или другие конечные точки;

- наборы инструментов для ретрансляции, которые пересылают APDU на удаленные сопряженные устройства;

- платежи с использованием «фантомного касания», при которых ответы HCE обрабатываются для авторизации POS-транзакций в режиме реального времени;

- PWA или поддельные банковские приложения, которые установлены в качестве обработчика платежей по умолчанию на Android.

В результате возникает новый класс угроз, сочетающий финансовое мошенничество с несанкционированным использованием NFC на уровне устройства, что часто игнорируется традиционными средствами защиты.

По данным Zimperium, за последние несколько месяцев исследователи обнаружили более 760 вредоносных приложений для Android, использующих эту технологию для кражи данных платежных карт пользователей.

Впервые эта техника была замечена в 2023 году в Польше, заза ней последовали кампании в Чехии, а позднее более масштабные волны атак накрыли Россию, Словакию и др.

Компания выявила более 70 серверов C2 и центров распространения приложений, поддерживающих подобные кампании, а также десятки ботов Telegram и частных каналов, используемых для кражи украденных данных или координации мошеннических операций.

При этом приложения, которые задействуются для распространения вредоносного ПО, выдают себя за Google Pay или такие финансовые учреждения, как Santander Bank, ВТБ Банк, Тинькофф Банк, ING Bank, Bradesco Bank, Промсвязьбанк (ПСБ) и ряд других.

Полный список APK, обнаруженных Zimperium в дикой природе, доступен здесь.

Генеральный директор итальянского поставщика spyware Memento Labs (Hacking Team) подтвердил выводы расследования Лаборатория Касперского в отношении кампании Operation ForumTroll, нацеленной на объекты в частном и государственном секторах Белоруссии и России.

Как мы уже упоминали, цепочка атак включала задействование уязвимости нулевого дня Google Chrome (CVE-2025-2783), а также шпионского арсенала платформы Dante, включая инфраструктуру, эксплойты и полезную нагрузку - имплант/агент LeetAgent.

Причем деятельность Memento Labs детектировалась по всей России в том или ином объеме также исследователями других ИБ-компаний.

Dr.Web обнаружила одну из фишинговых операций Memento Labs в сентябре 2024 года.

F6 упоминала атаки Dante APT в своем аналитическом отчете «Киберугрозы в России и СНГ 2024/25».

Positive Technologies изначально отслеживала группу как TaxOff и Team46, а затем связала эти две операции после выхода отчёта ЛК по ForumTroll в марте.

Гендир Паоло Лецци сообщил изданию TechCrunch, что шпионское ПО было установлено одним из его клиентов - государственным заказчиком, который задействовал в операции старую версию Dante, поддержку которого Memento планирует прекратить к концу года.

Соответственно, конкретного клиента Лецци не назвал, вообще удивился, что кто-то использует эту версию Dante, пообещав во всем разобраться и разослать всем своим клиентам сообщение с просьбой прекратить использование шпионского ПО для Windows.

При этом якобы Memento уже обращалась ко всем своим клиентам с просьбой прекратить использование вредоносного ПО для Windows, предупреждая также о том, что представители ЛК обнаружили заражения шпионским ПО Dante ещё в декабре 2024 года.

Руководитель Memento также отметил, что в настоящее время компания разрабатывает шпионское ПО исключительно для мобильных платформ.

Компания также ведет работу по поиску 0-day и разработке соответствующих эксплойтов для их использования в работе своего шпионского софта. Но, как он признался, в основном приобретает эксплойты от сторонних разработчиков. 

Безусловно, не можем не согласиться, что с Лецци по поводу теперь уже однозначно «устаревшего» софта, который после отчета ЛК и коллег можно действительно выкидывать в урну.

Судя по активности ForumTroll, по всей видимости, никаких предупреждений могло и не быть (до выхода отчета ЛК).

Ведь вложенные инвестиции в начальную разработку и затем новую иттерацию флагманского софта нужно же отбивать до последнего евро (а еще и заработать).

Исследователи F6 препарировали обновленную версию вредоносного ПО DeliveryRAT, который распространялся злоумышленниками во второй половине 2025 года.

Впервые Android-троян DeliveryRAT исследователи упоминали еще в годовом отчете F6 за 2024 год, а в апреле 2025 года удалось задетектить обновленную версию, дополненную различным новым функционалом.

Способы распространения трояна F6 детально описывала в недавнем исследовании.

Тогда сообщалось, что F6 и RuStore заблокировали более 600 доменов, распространявших Аndroid-троян DeliveryRAT.

Кроме того, был разобран Telegram-бот Bonvi Team, посредтсвом которого генерировались либо ссылки на фейковые страницы, мимикрирующие под сервис загрузки приложений, либо генерировался непосредственно образец вредоносного ПО.

В новом отчете F6 раскрывает технические подробности в отношении обновленной версии DeliveryRAT.

В некоторых случаях злоумышленники использовали приложение-загрузчик для распространения трояна.

Все обнаруженные загрузчики имеют имя пакета com.harry.loader. DeliveryRAT расположен внутри секции ресурсов загрузчика в директории raw.

После того как пользователь нажмет на кнопку, приложение запросит права установки сторонних приложений на устройство.

После выдачи пользователем запрашиваемых прав будет установлен DeliveryRAT.

Кроме того, в ходе исследования удалось найти множество образцов DeliveryRAT, мимикрирующих под различные сервисы, доступные в России.

В обновленную версию были добавлены дополнительные функциональные возможности (помимо тех, что были реализованы в первой обнаруженной версии), в том числе:

- запуск по команде различных видов активностей для пользователя, в контексте ввода информации о банковской карте, выбора фотографии, сканирование QR-кода и так далее;
- выполнение DDOS-атак путем осуществления одновременных запросов к переданной командой URL-ссылке;
- эксфильтрация списка контактов;
- рассылка SMS всем контактам;
- возможность обмениваться сообщениями с жертвой под видом поддержки.

Исследователи отмечают, что DeliveryRAT продолжает атаковать цели в России, активизировавшись с середины 2024 года.

Троян обновляется и пополняет набор своих функциональных возможностей, несущих новые риски для пользователей Android-устройств.

Подробнейший технический разбор DeliveryRAT и обновленный перечень IOCs - в отчете.

Исследователи из Positive Technologies выкатили аналитику с обзором активности APT-групп на российском направлении за третий квартал 2025 года.

Ключевой тенденцией за все 9 месяцев наблюдений остается повсеместное задействование фишинга в качестве первоначального вектора атаки.

Злоумышленники применяют его как в типовых сценариях, так и в атаках с использованием 0-day.

Кроме того, отмечается увеличение числа распространяемых вредоносных файлов и усложнение методов доставки вредоносного ПО. 

В сравнении со вторым кварталом 2025 года по итогам третьего Позитивы зафиксировали заметный рост числа уникальных семплов.

Активизировались почти все отслеживаемые группировки.

При этом наиболее выраженной динамикой отметились кибершпионские группы Goffee и IAmTheKing, а также финансово мотивированная Fluffy Wolf.

Цепочка атак рассматриваемых APT-группировок начиналась с фишинговых писем.

Вложения преимущественно включали архивы с замаскированными под официальную переписку вредоносными исполняемыми файлами или скриптами.

Причем представители PhantomCore также использовали фишинговые страницы с поддельной CAPTCHA.

Исследователи Positive Technologies в своем отчете отдельно отметили возросшую активность APT-групп, нацеленных на кибершпионаж.

В их числе Telemancon - группа кибершпионов, атаки которой ориентированы на российскую промышленность, - ранее использовала самописный TMCDropper с отдельными зашифрованными сегментами кода.

Теперь же хакеры перешли на многослойное шифрование, что сильно затрудняет анализ их программ средствами защиты.

Другой инструмент группировки - бэкдор TMCShell, стал детектировать, запустили ли в его песочнице, а не на реальном компьютере. В таком случае вредонос не активируется и остается незамеченным.

Кроме того, в отчете также подробно описана деятельность таких кибершпионских APT, как PseudoGamaredon, TA Tolik, XDSpy и Rare Werewolf.

Сдвиг тактики отмечен и у финансово мотивированной группировки Fluffy Wolf.

В конце сентября и начале октября хакеры стали прикладывать в фишинговые рассылки не документы, а их значки со встроенным URL.

При переходе по ссылке пользователи скачивали архив с вредоносной нагрузкой. При этом главная страница сайта создавала впечатление легитимного ресурса, что помогало злоумышленникам дольше оставаться незамеченными.

В течение третьего квартала также фиксировалась устойчивая активность DarkGaboon, таргетированная на финансовые подразделения российских компаний.

Под прицелом исследователей также оказался фишинг DarkWatchman с прежней цепочкой атаки.

Кроме того, вновь наблюдалась высокая частота атак хактивистской группировки Black Owl на компании в транспортно-логистической сфере.

Для повышения шансов на успешный запуск ВПО операторы стали чаще вкладывать в один архив сразу несколько идентичных образцов, различающихся только документами-приманками.

Благодаря легитимным инструментам, позволяющим отследить прочтение писем, злоумышленники оценивали вовлеченность адресатов и приоритизировали дальнейшие действия в отношении тех контактов, которые вероятнее всего открыли бы вложение.

Подробный разбор обновленных TTPs, виктимологии и арсенала APT, а также обзор их активности в 3 квартале - в отчете.

Основанную в 1960 году и финансируемую немецким правительством международную телерадиокомпанию Deutsche Welle взломали.

По цене в 2500 долл. в крипте на просторах киберподполья реализуется дамп SQL базы данных с 15 поддоменов новостной компании (пруфы прилагаются).

По словам селлера, слитые данные включают: адреса электронной почты пользователей, полные имена пользователей, учетные данные (в том числе, пароли почтового сервера и FTP), а также данные и параметры конфигурации ресурсов DW.

Власти Австралии предупреждает об активной APT-кампании, нацеленной на неисправленные устройства Cisco IOS XE с целью заражения маршрутизаторов веб-шеллом BadCandy на базе Lua.

Задействуемая в атаках CVE-2023-20198 имеет максимальный уровень серьезности и позволяет удаленным злоумышленникам без аутентификации создавать локальную учетную запись администратора через веб-интерфейс пользователя и захватывать устройства.

Cisco устранила уязвимость в октябре 2023 года, после чего она была помечена как активно эксплуатируемая.

Публичный эксплойт появился две недели спустя, что способствовало массовому использованию уязвимости для установки бэкдоров на устройства, подключенные к Интернету.

После установки BadCandy позволяет удаленным злоумышленникам выполнять команды с правами root на скомпрометированных устройствах.

При этом он удаляется с устройств после перезагрузки.

Однако, учитывая отсутствие патча на этих устройствах и предполагая, что веб-интерфейс остаётся доступным, злоумышленники могут легко установить его снова.

По оценкам Австралийского управления радиотехнической обороны, с июля 2025 года более 400 устройств в Австралии были потенциально подвержены атаке BadCandy, к настоящему времени их осталось еще более 150.

Несмотря на то, что число заражений стабильно снижается, ASD обнаружила признаки повторной эксплуатации уязвимости тех же конечных точек, даже несмотря на то, что субъекты, ответственные за нарушение, были должным образом уведомлены.

По данным агентства, злоумышленники способны оперативно отслеживать момент удаления имплантата BadCandy и использовать то же устройство для его повторной установки.

По данным ASD, ранее этой уязвимостью уже пользовались APT-субъекты, включая повсеместно распаренную Salt Typhoon, которая считается ответственной за серию атак в отношении крупных поставщиков телекоммуникационных услуг в США и Канаде.

В настоящее время угроза пока не имеет четкой атрибуции, тем не менее в ASD недавние всплески активности приписывает спонсируемым государством киберпреступникам.

Администраторам систем Cisco IOS XE по всему миру необходимо следовать рекомендациям поставщика по снижению рисков, изложенным в соответствующем бюллетене, а также в руководстве по усилению защиты устройств IOS XE.

Однажды летом мы сообщали об одной из самых масштабных в современной истории Соединенного Королевства утечек, которая произошла по вине представителей британских спецслужб.

Тогда через отдельный судебный акт обстоятельства инцидента засекретили.

Однако журналистам вскоре стало известно, что в сеть слили базу данных с более 33 000 афганских граждан, которые оказывали содействие британским войскам во время войны в Афганистане.

Кроме того, там также содержались личные данные почти 19 000 афганцев, подавших заявки на переселение в Великобританию после того, как Талибан восстановил контроль над страной в 2021 году.

Помимо этого были раскрыты личности более сотни сотрудников британской разведки MI-6, военнослужащих засекреченных подразедлений специального назначения SAS и SBS.

Сама утечка произошла в феврале 2022 года, когда сотрудник штаб-квартиры британских сил специального назначения в Лондоне случайно отправил по электронной почте базу данных за пределы правительственного учреждения, а затем она ушла в тиражи Интернет-ресурсов.

Далее был инициирован особый протокол и втайне от общественности власти пытались локализовать последствия инцидента, потратив на это более 2 млрд. фунтов стерлингов и переселив более 20 тысяч афганцев в Великобританию.

Однако этого оказалось недостаточно.

Как сообщает Arab News, в результате утечки 49 афганцев стали жертвами нападений и лишились жизни.

При этом 40% из числа фигурирующих в слитой базе также заявили о получении угроз расправы от Талибана, представители которого смогли идентифицировать их после публикации личных данных, а некоторые подверглись избиениям и даже пыткам.

В общем, это наглядное свидетельство трансформации, казалось бы, виртуальных угроз во вполне реальные последствия. И, безусловно, - показатель уровня работы британской спецуры.

По всей видимости не обошлось без агента 00,7 (и по ходу 00,5 тоже приложился).

Исследователи BI.ZONE сообщают о выявленной активности ранее неизвестного актора, который в период с октября 2024 года по октябрь 2025 нападал на российские компании в сфере финансов, энергетики, инженерии, обрабатывающей промышленности, транспорта, наука и госуправления.

Цепочка заражений традиционно начиналась с таргетированных фишинговых рассылок, обеспечивающих атакующим возможности получения первоначального доступа.

Причем атакующие могут распространять вредоносное ПО во вложениях письма в виде архивов по двум сценариям.

В первом случае, он содержит легитимный EXE‑файл и вредоносную DLL с атрибутом «скрытый», являющуюся загрузчиком, который подгружается в момент запуска легитимного EXE‑файла с помощью техники DLL side-loading.

Иногда в архиве также мог находиться отвлекающий PDF‑документ, в котором отсутствует ссылка для загрузки с сетевого ресурса атакующих архива с вредоносной ПО.

Во втором варианте архив содержит вредоносный LNK‑файл и скрытые файлы: легитимный EXE, загрузчик в виде вредоносной DLL, отвлекающий PDF‑документ.

Кроме того, были обнаружены атаки с использованием отвлекающих PDF‑документов, замаскированных под руководства по установке программы видео-конференц-связи или веб-клиента мессенджера. В PDF содержалась ссылка на сетевой ресурс атакующих для загрузки архива.

В одном из случаев атакующие скомпрометировали легитимный сетевой ресурс крупной российской инвестиционной компании, с сайта которой они распространяли архив с вредоносной ПО.

Хакеры использовали многоступенчатый загрузчик собственной разработки, который разворачивал в системе сложные, не документированные ранее TunnelRAT и EmojiRAT - вместе с модифицированным клиентом Secure Socket Funneling (SSF).

Также была обнаружена другая версия этого загрузчика, которая расшифровывала и запускала вредоносное .NET‑приложение httptun, защищенное VMProtect.

На момент исследования данную ПО не удалось точно классифицировать и полностью проанализировать.

Первая стадия загрузчика реализована в виде DLL, которая запускается с помощью техники DLL side-loading легитимным исполняемым EXE‑файлом.

Вторая - в виде DLL, которая расшифровывается первой стадией и извлекается на диск. Она запускается с помощью техники COM hijacking в адресном пространстве легитимного процесса getmac.exe.

TunnelRAT представляет собой обфусцированное вредоносное ПО с многопоточной архитектурой (каждая новая задача, поступающая от C2‑сервера, запускается в отдельном потоке).

TunnelRAT позволяет выполнять различные команды, поступающие от C2‑сервера, на скомпрометированном хосте и способен использовать для коммуникации с C2‑сервером как DNS‑туннель, так и HTTP.

В свою очередь, EmojiRAT задействует пять телеграм-ботов, причем один из них используется для приема команд, а остальные - для отправки результатов их выполнения.

Что примечательно, в EmojiRAT передача данных кодируется набором специальных эмодзи.

Бизоны отмечают одну интересную особенность атакующих - они в основном используют домены в зоне .team.

Похожее наблюдалось у Prosperous Werewolf (Team46, TaxOff).

В октябре 2025 года атакующие стали использовать GitHub вместо специально подготовленных сетевых ресурсов для размещения ZIP‑архивов с вредоносным ПО.

При этом атакующие размещают ZIP‑архивы в разделе Issues, а не в самом репозитории в виде файлов.

Технические подробности и IOCs - в отчете.

Как и обещали, продолжаем обзор отчета Лаборатории Касперского в отношении двух кампаний северокорейской APT BlueNoroff, которые получили названия GhostCall и GhostHire.

Жертвы GhostCall, которые попадают на поддельные страницы Zoom, сначала видят фальшивую страницу, создающую иллюзию живого звонка, но через три-пять секунд выводится сообщение об ошибке с просьбой обновить Zoom (SDK).

«Обновление» приводит к загрузке вредоносного файла AppleScript в систему. Если жертва использует компьютер с Windows - используется ClickFix для копирования и выполнения команды PowerShell.

На каждом этапе взаимодействие с фейковым сайтом регистрируется для отслеживания злоумышленниками действий жертвы.

Хакеры также задействуют Microsoft Teams, используя ту же тактику.

Независимо от приманки, AppleScript предназначен для установки поддельных Zoom или Microsoft Teams.

Он также загружает другой AppleScript, названный DownTroy, который проверяет сохранённые пароли и устанавливает дополнительное вредоносное ПО с правами root.

DownTroy, со своей стороны, разработан для реализации полезных нагрузок в рамках восьми отдельных цепочек атак, обходя TCC от Apple:

1. ZoomClutch или TeamsClutch, который использует Swift-имплант, маскирующийся под Zoom или Teams, но выполняющий функцию запроса системного пароля пользователя для завершения обновления приложения и отправки данных на внешний сервер.

2. DownTroy v1, использующий загрузчик Go для запуска DownTroy на базе AppleScript, которое отвечает за загрузку дополнительных скриптов с сервера до перезагрузки машины.

3. CosmicDoor, использующий двоичный загрузчик C++ GillyInjector (InjectWithDyld) для запуска Mach-O и внедрения в него вредоносной нагрузки во время выполнения. При запуске с флагом --d GillyInjector активирует свои возможности и стирает все файлы в текущем каталоге. Внедрённая полезная нагрузка представляет собой бэкдор CosmicDoor на Nim, способный взаимодействовать с С2. Предполагается, что злоумышленники сначала разработали бэкдор для Windows на Go, а затем перешли на варианты на Rust, Python и Nim. Он также загружает набор для кражи bash-скриптов SilentSiphon.

4. RooTroy, использующий загрузчик Nimcore для запуска GillyInjector, который затем внедряет бэкдор Go под названием RooTroy (Root Troy V4) для сбора информации об устройстве, сканирования запущенных процессов, чтения полезной нагрузки из определенного файла, а также загрузки дополнительных вредоносных ПО (включая RealTimeTroy) и их выполнения.

5. RealTimeTroy и загрузчик Nimcore для запуска GillyInjector, который внедряет бэкдор RealTimeTroy на Go, который взаимодействует с С2 по протоколу WSS, для чтения/записи файлов, получения информации о каталогах и процессах, загрузки/выгрузки файлов, завершения процесса и получения информации об устройстве.

6. SneakMain и Nimcore, запускающих полезную нагрузку Nim под названием SneakMain для получения и выполнения дополнительных команд AppleScript, полученных от внешнего сервера.

7. DownTroy v2, использующим дроппер CoreKitAgent для запуска Nimcore, а через него - DownTroy на базе AppleScript (NimDoor) для загрузки дополнительного вредоносного скрипта с внешнего сервера.

8. SysPhon, использующий облегченную версию RustBucket под названием SysPhon и SUGARLOADER, загрузчик, ранее применявшийся для доставки KANDYKORN. SysPhon, также используемый в кампании Hidden Risk, - это загрузчик, написанный на C++, который может проводить разведку и извлекать двоичные данные с С2.

В свою очередь, SilentSiphon способен собирать данные из Apple Notes, Telegram, расширений веб-браузеров, а также креды из браузеров и менеджеров паролей, а также секреты, хранящиеся в файлах конфигурации, относящихся к большому списку сервисов.

Исследователи также заметили, что видеозаписи демонстрируемых звонков записывались посредством фишинговых страниц Zoom, созданных злоумышленником, а фото профилей участников были взяты с рекрутинговых сайтов или соцсетей (LinkedIn, Crunchbase или X).

Причем, некоторые из этих изображений были обработаны с помощью OpenAI GPT-4o.