За последние две недели специалисты Trend Micro обнаружили SORVEPOTEL, червя WhatsApp, массово распространяющегося по всей Бразилии через ZIP-файлы, содержащие вредоносный LNK-файл, который не блокируется на платформе обмена сообщениями.

В свою очередь, исследователи из Лаборатории Касперского, в своем отчете отмечают, что этот червь в настоящее время используется для распространения нового банковского трояна Maverick.

Согласно телеметрии ЛК, все жертвы находились в Бразилии, но троян потенциально может распространяться и на другие страны.

Тем не менее, вредоносная ПО в настоящее время нацелена только на бразильцев.

Чтобы избежать обнаружения, C2 проверяет каждую загрузку, чтобы убедиться, что она исходит от самого вредоносного ПО.

Выявленная цепочка заражения полностью бесфайловая и представляет собой одну из самых сложных цепочек заражения, когда-либо обнаруженных ЛК, предназначенная для загрузки банковского трояна.

Конечная полезная нагрузка имеет множество совпадений и сходств кода с банковским трояном Coyote, который исследователи ЛК задокументировали в 2024 году.

Весьма вероятно, что Maverick - это новый банковский троян, использующий общий код Coyote, что может указывать на то, что разработчики последнего полностью рефакторили и переписали значительную часть своих компонентов.

После установки троян использует проект с открытым исходным кодом WPPConnect для автоматизации отправки сообщений в взломанные аккаунты через WhatsApp Web, используя этот доступ для отправки вредоносного сообщения контактам.

Maverick проверяет часовой пояс, язык, регион, а также формат даты и времени на зараженных компьютерах, чтобы убедиться, что жертва находится в Бразилии, в противном случае вредоносное ПО не будет установлено.

Банковский троян способен полностью контролировать зараженный компьютер, делая снимки экрана, следя за браузерами и сайтами, устанавливая кейлоггер, управляя мышью, блокируя экран при посещении банковского сайта, завершая процессы и открывая фишинговые страницы в оверлее.

Его цель - перехват банковских учётных данных.

После активации Maverick отслеживает доступ жертв к 26 сайтам бразильских банков, 6 сайтам обмена криптовалют и 1 платежной платформе.

Все заражения являются модульными и выполняются в памяти с минимальной дисковой активностью, с использованием PowerShell, .NET и шелл-кода, зашифрованного с помощью Donut.

Новый троян задействует ИИ в процессе написания кода, особенно при расшифровке сертификатов и общей разработке кода.

Исследователи отмечают, что Maverick работает как любой другой банковский троян, но при этом выделяют весьма тревожные факторы: червеобразная природа позволяет ему распространяться экспоненциально и, соответственно, оказывать значительное воздействие.

Только за первые 10 дней октября на территории одной Бразилии решения Лаборатории Касперского обеспечили блокировку 62 тысяч попыток заражений с использованием вредоносного LNK-файла.

Все технические подробности - как всегда, в отчете.

И несколько интригующих инцидентов в ленту:

1. Хакеры Scattered LAPSUS$ Hunters раскрыли личные данные сотен сотрудников Министерства внутренней безопасности, ICE, ФБР и Министерства юстиции США.

В перечне украденных данных - установочные данные, номера телефонов и даже домашние адреса.

Пока, неясно откуда группа получила эти данные. Так что коллектив может отметиться куда более серьезной атакой, нежели в случае с Salesforce.

2. Хакеры взломали закрытую платформу, используемую южнокорейским правительством для обмена документами, а также государственную инфраструктуру открытых ключей (GPKI).

Разведывательное управление страны подтвердило инцидент через два месяца после публикации в специализированном журнале Phrack информации о предполагаемом взломе.

В статье обвинения адресовались Северной Корее, однако новые данные указывают на то, что за взломом могли стоять китайские хакеры.

Власти переживают, что украденные цифровые сертификаты могли быть использованы для компрометации других ведомств. И, вероятно, так оно и есть.

3. Как передают ABC News, Китай обвинил АНБ США во взломе своего Национального центра службы времени (NTSC).

По данным китайской стороны, АНБ проникла в сеть учреждения и шпионило за сотрудниками как минимум с марта 2022 года.

В ходе операции АНБ задействовала новую «платформу кибервойны» с активацией 42 специализированных инструментов для проведения высокоинтенсивных и многоэтапных атак на внутренние сетевые системы NTSC.

Изначально, АНБ воспользовалась уязвимостями SMS-сервиса неназванного иностранного бренда, скрытно взломав мобильные устройства сотрудников NTSC.

Затем с использованием украденных данных хакерам удалось проникнуть в инфраструктуру, где в период с августа 2023 года по июнь 2024 года и было развернуто новейшее кибероружие.

Для маршрутизации вредоносного трафика и сокрытия его происхождения использовались VPS в США, Европе и Азии.

Применялись также такие приемы, как подделка цифровых сертификатов для обхода антивирусного ПО, высоконадежные алгоритмы шифрования для полного удаления следов атак.

Атаки также включали попытки бокового перемещения к высокоточной наземной системе синхронизации времени с предполагаемой конечной целью - созданию условий для вывода системы из строя.

При этом отмечается, что любая кибератака на NTSC способна поставить под угрозу безопасную и стабильную работу Пекинского времени, вызвав серьезные последствия в работе сетей связи, систем финансов, логистики, электроснабжения и космической отрасли.

Новая атака на цепочку мудаков охватывает более 75 000 устройств безопасности WatchGuard Firebox, которые остаются уязвимыми к критической уязвимости (CVE-2025-9242), позволяющей удаленному злоумышленнику выполнить код без аутентификации.

Устройства Firebox выступают в роли центрального защитного узла, который контролирует трафик между внутренними и внешними сетями, обеспечивая защиту посредством политик, служб безопасности, VPN и мониторинга в реальном времени через WatchGuard Cloud.

По данным Shadowserver Foundation, в настоящее время по всему миру обнаружено 75 835 уязвимых устройств Firebox, большинство из которых находится в Европе и Северной Америке.

В частности, США возглавляют список с 24 500 конечными точками, далее следует Германия (7 300), Италия (6 800), Великобритания (5 400), Канада (4 100) и Франция (2 000). В России их тоже имеется, хоть и немного - до 300 единиц.

WatchGuard сообщила о CVE-2025-9242 в бюллетене безопасности от 17 сентября и присвоила ей критический уровень серьёзности 9,3.

Она связана с записью данных за пределами допустимого диапазона в процессе Fireware OS iked, который отвечает за согласование VPN по протоколу IKEv2.

Уязвимость можно эксплуатировать без аутентификации, отправляя специально созданные пакеты IKEv2 на уязвимые конечные точки Firebox, заставляя его записывать данные в непреднамеренные области памяти.

CVE-2025-9242 влияет только на устройства Firebox, использующие IKEv2 VPN с динамическими шлюзами, в версиях с 11.10.2 по 11.12.4_Update1, с 12.0 по 12.11.3 и 2025.1.

Поставщик рекомендует обновиться до одной из следующих версий: 2025.1.1, 12.11.4, 12.5.13 или 12.3.1_update3 (B722811). При этом поддержка версии 11.x прекращена и для нее обновлений не планируется.

Для устройств, настроенных только с использованием VPN к статическим одноранговым шлюзам, поставщик указывает на документацию по защите соединения с использованием протоколов IPSec и IKEv2 в качестве временного решения.

Несмотря на то, что сообщений об активной эксплуатации CVE-2025-9242 пока не фиксировалось, это определенно случится в самой ближайшей перспективе, если принимать во внимание столь широкий и доступный для отработки горизонт потенциальных жертв.

Исследователи Seqrite Labs отследили новую кампанию Operation MotorBeacon, которая, вероятно, нацелена на российский автомобильный сектор и сектор электронной коммерции с использованием ранее незадокументированного вредоносного ПО .NET, получившего название CAPI Backdoor.

Цепочка атак включает в себя распространение фишинговых писем с ZIP-архивом (загружен на VirusTotal 3 октября 2025 года) для запуска заражения.

В архиве находится фейковый русскоязычный документ, выдаваемый за уведомление, связанное с налоговым законодательством, с файлом ярлыка Windows (LNK).

В нем подробно описывается повышение НДФЛ с 13% до 15% для доходов свыше 3 млн рублей, объясняется влияние на заработную плату и содержится призыв к сотрудникам планировать бюджеты и консультироваться с отделом кадров.

LNK, имеющий то же имя, что и архив ZIP («Перерасчет заработной платы 01.10.2025»), отвечает за выполнение импланта .NET (adobe.dll) с использованием легитимного двоичного файла Microsoft rundll32.exe, техники LotL, которая, как известно, используется злоумышленниками.

Seqrite отметила, что бэкдор оснащен функциями проверки, запущен ли он с правами администратора, сбора списка установленных антивирусных продуктов и открытия обманного документа в качестве уловки.

Параллельно он скрытно подключается к удаленному серверу (91.223.75[.]96) для получения дальнейших команд и их выполнения.

Они позволяют CAPI Backdoor красть данные из браузеров Google Chrome, Microsoft Edge и Mozilla Firefox, делать снимки экрана, собирать информацию о системе, перечислять содержимое папок и передавать результаты обратно на сервер.

Он также пытается выполнить длинный список проверок, чтобы определить, является ли система законным хостом или виртуальной машиной, и использует два метода для обеспечения устойчивости, включая настройку запланированной задачи и создание LNK-файла в папке автозагрузки Windows для автоматического запуска бэкдор-библиотеки DLL, скопированной в папку Windows Roaming.

Предположение Seqrite о нацеливании именно на российский автомобильный сектор, основана на том факте, что один из доменов, связанных с кампанией, имеет название carprlce[.]ru, что, по-видимому, выдает себя за законный carprice[.]ru.

В целом исследователи обнаружили два сетевых артефакта, связанных с CAPI Backdoor, включая домен, сгенерированный DGA.

Кампания, активизировавшаяся с 3 октября, изначально использовала поддельный домен, который впоследствии был перенаправлен на легитимный сайт.

Вредоносное ПО размещалось на порту 443 и использовалось в фишинговой приманке. Первоначальная инфраструктура имела номер ASN 197695 (AS-REG), а слив данных осуществлялась через ASN 39087 (Pakt LLC).

Вредоносная полезная нагрузка представляет собой .NET DLL-библиотеку, которая выполняет функцию похитителя и обеспечивает устойчивость для будущих вредоносных действий.

Все технические подробности - в отчете.

Исследователи из Лаборатории Касперского выкатили отчет с описанием инцидента, связанного с AdaptixC2, который демонстрирует растущую тенденцию использования экосистем открытого программного обеспечения, таких как npm, в качестве вектора атак.

В начале 2025 года в открытом доступе была опубликована первая версия фреймворка для постэксплуатации AdaptixC2, который можно назвать альтернативой известному Cobalt Strike.

Весной 2025 года были зафиксированы первые случаи применения этого фреймворка злоумышленниками во вредоносных целях.

В октябре 2025 года ресерчеры ЛК обнаружили вредоносный пакет npm с достаточно убедительным именем https-proxy-utils, который был представлен как инструмент для использования прокси в проектах.

На данный момент этот пакет уже был удален из реестра.

Название пакета напоминает популярные легитимные пакеты: http-proxy-agent с приблизительно 70 млн. загрузок в неделю и https-proxy-agent с 90 млн.

Заявленная функциональность для работы с прокси полностью скопирована из другого популярного легитимного пакета, proxy-from-env, с 50 миллионами загрузок в неделю.

Однако, помимо этого, злоумышленники внедрили в пакет https-proxy-utils постинсталляционный скрипт, который загружает и запускает полезную нагрузку с агентом AdaptixC2.

Причем злоумышленники предусмотрели в скрипте различные способы загрузки полезной нагрузки в зависимости от ОС жертвы: в каждой системе имплант загружается и запускается определенным образом при помощи системных или пользовательских директорий.

Так, на Windows агент AdaptixC2 загружается в качестве DLL-файла в системную директорию C:\Windows\Tasks и запускается в системе при помощи DLL Sideloading.

Для этого JS-скрипт копирует легитимный файл msdtc.exe в ту же директорию и выполняет его, что, в свою очередь, загружает вредоносную библиотеку.

На macOS скрипт загружает полезную нагрузку в виде исполняемого файла в пользовательскую директорию автозапуска Library/LaunchAgents.

В эту же директорию postinstall.js загружает файл конфигурации для автозапуска plist.

Перед загрузкой AdaptixC2 скрипт проверяет целевую архитектуру - x64 или ARM - и в зависимости от нее скачивает соответствующую полезную нагрузку.

На Linux агент фреймворка загружается во временную директорию /tmp/.fonts-unix.

Скрипт обеспечивает доставку бинарного файла, ориентированного под конкретную архитектуру (x64 или ARM), после чего присваивает ему права на исполнение.

Установив агент фреймворка AdaptixC2 на устройстве жертвы, злоумышленники получают возможности удаленного доступа, выполнения команд, управления файлами и процессами, а также различные способы закрепления в системе.

Это позволяет атакующим не только сохранять устойчивый доступ, но и проводить анализ сети и разворачивать последующие стадии атаки.

Рекомендации и IOCs - в отчете.

Уязвимость высокой степени серьезности в унифицированном декодере Dolby может быть использована для удаленного выполнения кода, в некоторых случаях в ходе ZeroClick-атак.

Созданный на основе стандарта Dolby Digital Plus (DD+), Unified Decoder представляет собой программно-аппаратный компонент, используемый для обработки DD+, Dolby AC-4 и других аудиоформатов, преобразуя их в форматы, которые можно воспроизводить через динамики.

Исследователи Иван Фратрик и Натали Сильванович из Google Project Zero обнаружили, что в процессе обработки медиафайлов на устройствах Android проблема записи за пределами допустимого диапазона.

Декодер записывает информацию в большой, непрерывный буфер, похожий на кучу, содержащийся в более крупной структуре, и расчет длины для одной записи может привести к переполнению из-за целочисленного переноса.

По словам исследователей, это приводит к тому, что выделенный буфер оказывается слишком маленьким, а проверка выхода за пределы последующей записи оказывается неэффективной.

В совокупности это позволяет перезаписывать последующие члены структуры, включая указатель, который записывается при обработке следующего синхрокадра.

Ошибка отслеживается как CVE-2025-54957 (CVSS 7,0) и может быть активирована с помощью вредоносных звуковых сообщений, что приводит к удаленному выполнению кода.

При этом на устройствах Android уязвимость может эксплуатироваться удаленно без взаимодействия с пользователем, поскольку все аудиосообщения и вложения декодируются локально с помощью унифицированного декодера Dolby.

В общем, исследуя возможность эксплуатации этой ошибки на Android, ресерчерам удалось добиться выполнения кода в формате ZeroClick в контексте медиакодека на Pixel 9 под управлением версии 16 BP2A.250605.031.A2.

По итогу исследователи представили прототип PoC, который демонстрирует, как можно задействовать уязвимость для вызова сбоя процесса на устройствах Android (Pixel 9 и Samsung S24), а также на macOS и iOS.

Google Project Zero сообщила об уязвимости компании Dolby Laboratories еще в июне и опубликовала информацию о ней по истечении 90-дневного срока раскрытия.

Microsoft устранила уязвимость в рамках октябрьского PatchTuesday, отметив, что для успешной эксплуатации уязвимости в Windows требуется взаимодействие с пользователем.

В свою очередь, Google на прошлой неделе также заявила, что исправления включены в последние обновления ChromeOS.

Спустя месяц после того, как Shai Hulud стал первым самораспространяющимся червем в экосистеме npm, исследователи Koi Security обнаружили первого в мире червя, нацеленного на расширения VS Code в ходе сложной атаки на цепочку поставок через торговую площадку OpenVSX.

Однако GlassWorm, - это не просто очередная атака на цепочку поставок.

Вредоносное ПО использует скрытные методы, которые ранее не встречались.

Koi Security отмечает, что особенностью этого червя является использование невидимых символов Unicode, благодаря которым вредоносный код буквально исчезает из редакторов кода.

Как объясняют исследователи, для разработчика, проводящего проверку кода, все выглядит как пустые строки или пробелы, а для инструментов статанализа подозрительного кода - это вообще ничего не значит.

Но для интерпретатора JavaScript - это исполняемый код.

GlassWorm разработан для кражи конфиденциальной информации с компьютеров жертв, включая учетные данные NPM, GitHub и Git, а также средств из 49 расширений криптовалюты.

Кроме того, он развертывает прокси SOCKS на зараженных машинах, устанавливает скрытые серверы VNC для предоставления злоумышленникам удаленного доступа к системам и распространяется, компрометируя пакеты и расширения через украденные креды.

GlassWorm задействует блокчейн Solana для инфраструктуры С2: он ищет в блокчейне определенные транзакции, содержащие в поле memo инструкции относительно местоположения полезной нагрузки следующего этапа.

Это, в свою очередь, гарантирует сохранность инфраструктуры, поскольку транзакции невозможно изменить или удалить из блокчейна, а также обеспечивает злоумышленникам анонимность.

Более того, злоумышленники могут легко изменить полезную нагрузку или её местоположение, просто опубликовав новую транзакцию для вредоносной ПО.

В целом, это реальная, готовая к использованию инфраструктура С2, которую буквально невозможно обезвредить.

Кроме того, вредоносная ПО использует Google Calendar в качестве резервного сервера С2, из которого она извлекает другую полезную нагрузку для превращения зараженных систем в узлы в инфраструктуре злоумышленника, развертывая прокси-сервер SOCKS, модули WebRTC для одноранговой связи и скрытый VNC для удаленного управления.

По данным Koi Security, кампания стартовала 17 октября: были скомпрометированы семь расширений VS Code для OpenVSX.

Учитывая способность вредоносного ПО к самораспространению, после установки зараженных пакетов пользователями были скомпрометированы и другие расширения.

18 октября, после того как двое изначально скомпрометированных разработчиков опубликовали чистые версии своих пакетов, Koi обнаружила 10 расширений, которые по-прежнему содержали вредоносное ПО.

Ещё одно расширение было обнаружено на следующий день в Microsoft VS Code.

К настоящему времени инфраструктура C2 злоумышленника полностью работоспособна - серверы полезной нагрузки отвечают, а украденные учетные данные используются для компрометации дополнительных пакетов.

По данным Koi, заражённые расширения были установлены более 35 800 раз.

Учитывая, что расширения VS Code обновляются автоматически, скомпрометированные пакеты заразили всех разработчиков, у которых они были установлены, без взаимодействия с пользователем.

Стартовал Pwn2Own Ireland 2025 и в первый день соревнований исследователи продемонстрировали 34 уникальные 0-day, заработав 522 500 долл.

Главным событием стал взлом беспроводного Ethernet-маршрутизатора QNAP Qhora-322 через WAN-интерфейс исследователями Бонын Ку и Эвангелос Даравигкас из Team DDOS, которые задействовали для этого восемь нулей.

По результатам они получили доступ к сетевому хранилищу QNAP TS-453E и выиграли 100 000 долл. в качестве вознаграждения.

Команда Synacktiv, Сина Кхейркха из Summoning Team, команда DEVCORE Team и Стивен Фьюэр из Rapid7 также вынесли по 40 000 долл. каждый, получив root-права на Synology BeeStation Plus, Synology DiskStation DS925+, QNAP TS-453E и Home Assistant Green соответственно.

Исследователи STARLabs, Team PetoWorks, Team ANHTUD и Ierae четыре раза взломали МФУ Canon imageCLASS MF654Cdw, в то время как STARLabs также смогли похакать смарт-колонку Sonos Era 300, заработав 50 000 долл.,

Представители ANHTUD воспользовалась уязвимостью моста Phillips Hue Bridge и получили 40 000 долл. наличными.

Сина Хейркха и Макколей Хадсон из Summoning Team использовали цепочку эксплойтов, объединяющую две 0-day для получения прав root на устройстве Synology ActiveProtect Appliance DP320, выиграв еще 50 000 долл.

Команда Summoning Team выиграла в общей сложности 102 500 долларов за первый день соревнований и возглавила рейтинг Master of Pwn с 11,5 очками.

Хакерский конкурс Pwn2Own Ireland 2025 включает восемь категорий: флагманские смартфоны (Apple iPhone 16, Samsung Galaxy S25 и Google Pixel 9), мессенджеры, устройства для умного дома, принтеры, сетевое оборудование, сетевые системы хранения данных, оборудование для видеонаблюдения и носимые устройства (включая умные очки Ray-Ban от Meta и гарнитуры Quest 3/3S).

В этом году ZDI также расширил векторы атак для мобильных устройств, включив в них использование USB-портов мобильных телефонов. Однако традиционные беспроводные протоколы, Bluetooth, Wi-Fi и NFC также остаются допустимыми векторами атак.

Согласно ранее озвученным заявлениям, ZDI впервые предлагает вознаграждение в размере 1 млн. долл. тем исследователям, которые продемонстрируют Zero-Click-эксплойт для WhatsApp, позволяющий выполнять код без взаимодействия с пользователем.

Meta (признана в России экстремистской) наряду с QNAP и Synology выступает соорганизатором хакерского конкурса Pwn2Own Ireland 2025, который стартовал 21 октября в Корке, Ирландия, и продлится до 24 включительно.

Как обычно, после демонстрации нулей на Pwn2Own вендорам предоставляется 90 дней на выпуск обновлений, прежде чем Zero Day Initiative от Trend Micro публично их раскроет.

Совсем недавно мы уже сообщали про слив хакерами Scattered LAPSUS$ Hunters конфиденциальных данных в отношении сотрудников Министерства внутренней безопасности (DHS) и Службы иммиграционного и таможенного контроля (ICE).

Однако на этом группа не остановилась и продолжила сливать данные госслужащих США.

На этот раз хакеры раскрыли установочные и иные чувствительные данные десятков тысяч сотрудников спецслужб.

Под удар попали АНБ (NSA), Агентство военной разведки (DIA), Федеральная торговая комиссия (FTC), Федеральное управление гражданской авиации (FAA), Центр по контролю и профилактике заболеваний (CDC), Бюро по контролю за оборотом алкоголя, табака, огнестрельного оружия и взрывчатых веществ (ATF), а также военнослужащие ВВС и сотрудники ряда других ведомств.

Scattered LAPSUS$ Hunters заявили, что в их распоряжении находятся личные данные более чем 22 000 государственных служащих.

По словам хакеров, им удалось собрать столь внушительный массив в результате анализа украденных в рамках инцидента с Salesforce данных.

Анализ предоставленных хакерами пруфов свидетельствует об их подлинности. Сами потенциально пострадавшие ведомства пока никак не комментируют заявления группировки.

При этом сразу после анонсированной утечки, канал Scattered LAPSUS$ Hunters в телеге был нейтрализован, по всей видимости, в результате действий третьей стороны.

Но будем, конечно, посмотреть, чем обернется для Scattered LAPSUS$ Hunters посягательство на штатовский силовой блок.

По данным Лаборатории Касперского, правительственные, финансовые и промышленные организации в Азии, Африке и Латинской Америке стали целью новой кампании под названием PassiveNeuron.

Впервые задетектить кибершпионскую деятельность ЛК удалось еще в июне 2024 года в ходе расследования серии атак на госсектор структуры в Латинской Америке и Восточной Азии с использованием ранее недокументированных вредоносных ПО, известных как Neursite и NeuralExecutor.

При этом операция отличалась высокой степенью сложности: злоумышленники использовали уже скомпрометированные внутренние серверы в качестве промежуточной инфраструктуры C2, чтобы оставаться незамеченными.

Злоумышленник способен перемещаться по инфраструктуре и извлекать данные, при необходимости создавая виртуальные сети, которые позволяют злоумышленникам красть нужные файлы даже с машин, изолированных от интернета.

С тех пор исследователи выявили новую волну заражений, связанных с PassiveNeuron, начиная с декабря 2024 года и вплоть до августа 2025 года.

В рамках кампании злоумышленник в основном фокусируется на машинах под управлением Windows Server, получая удаленное выполнение кода (RCE) для развертывания веб-оболочек, а затем различные импланты.

На данном этапе источник кампании не установлен, хотя некоторые признаки указывают на то, что за ней стоят китайские хакеры.

Как минимум в одном инциденте злоумышленник, получил возможность удалённого выполнения команд на скомпрометированном компьютере под управлением Windows Server через Microsoft SQL.

Однако понять, каким образом не представилось возможным.

Вероятно, злоумышленник либо подбирает пароль к учётной записи администратора, либо используют уязвимость SQL-инъекции в приложении на сервере, либо пока не выявленную уязвимость в серверном ПО.

Сначала злоумышленники попытались развернуть веб-шелл ASPX для получения базовых возможностей выполнения команд, но потерпели неудачу. Затем реализовали сложные импланты через ряд DLL-загрузчиков, размещённых в каталоге System32:

- Neursite, специализированный модульный бэкдор C++;
- NeuralExecutor - это специализированный имплант .NET для загрузки дополнительных полезных данных по протоколам TCP, HTTP/HTTPS, именованным каналам или WebSockets и их выполнения.
- легитимный фреймворк Cobalt Strike.

Neursite использует встроенную конфигурацию для подключения к серверу C2 и протоколы TCP, SSL, HTTP и HTTPS для связи.

По умолчанию поддерживает сбор системной информации, управление запущенными процессами и проксирование трафика через другие машины, зараженные бэкдором, для обеспечения горизонтального распространения.

Вредоносное ПО также оснащено компонентом для загрузки вспомогательных плагинов с целью выполнения команд оболочки, управления файловой системой и операций с сокетами TCP.

В ЛК также отметили, что образцы NeuralExecutor, обнаруженные в 2024 году, были разработаны для извлечения адресов серверов C2 непосредственно из конфигурации.

Последние образцы Neursite и NeuralExecutor получали адреса C2-серверов с GitHub, что является популярной методикой среди китайскоязычных злоумышленников (APT31 и APT27), а строка PDB в одной из проанализированных DLL указывала на APT41, что в совокупности позволило Лаборатории Касперского приписать кампанию PassiveNeuron китайскоязычной APT-группе.

Pwn2Own Ireland 2025 продолжается: по итогам двух дней соревнований хакеры проэксплуатировали 56 0-day, заработав 792 750 долл.

В первый день конкурса Pwn2Own Ireland исследователи обнаружили 34 уникальных нуля и забрали денежный приз в размере 522 500 долл.

Главный событием второго дня стал взлом Samsung Galaxy S25 Кеном Гэнноном из Mobile Hacking Lab и Димитриосом Вальсамарасом из Summoning Team с помощью цепочки из пяти уязвимостей, за что они получили 50 000 долларов и 5 очков Master of Pwn.

Кроме того, хотя PHP Hooligans понадобилась всего одна секунда, чтобы взломать NAS-устройство QNAP TS-453E, уязвимость, которой они воспользовались, уже была использована в конкурсе.

Чуми Цай из CyCraft Technology, Ле Тронг Фук и Као Нгок Куи из Verichains Cyber Force, а также Мехди и Матье из Synacktiv Team также получили по 20 000 долларов за взлом QNAP TS-453E, Synology DS925+ и моста Phillips Hue.

Участники конкурса также продемонстрировали 0-day в принтере Canon imageCLASS MF654Cdw, Home Automation Green, камере Synology CC400W, NAS-устройстве Synology DS925+, умной розетке Amazon и принтере Lexmark CX532adwe.

Summoning Team, по-прежнему лидирует в турнирной таблице Master of Pwn с 18 очками, заработав $167 500 за первые два дня мероприятия.

В прошлом году на Pwn2Own Ireland 2024 хакеры сорвали куш в размере 1 078 750 долл. за более чем 70 нулей.

В последний третий день конкурса они будут атаковать Samsung Galaxy S25, несколько устройств NAS и принтеров.

Кроме того, Юджин из Team Z3 также попытается продемонстрировать уязвимость WhatsApp Zero-Click для удалённого выполнения кода, за которую можно получить вознаграждение в размере 1 млн. долл. 

Так что участники имеют все шансы превзойти прошлогодние результаты.

Но будем посмотреть.

Bloomberg раскрывает новые скандальные подробности масштабного инцидента, связанного взломом американской технологической компании F5, который произошел еще раньше, чем предполагалось ранее - в конце 2023 года.

Хакеры проникли в инфраструктуру компании, взломав её собственные продукты.

При этом, как сообщает издание, сотрудники F5, по всей видимости, клали на рекомендациям по кибербезопасности, которые компания передавала клиентам.

Обнаружить взлом удалось лишь в августе этого года. И спустя несколько дней после взлома компания объявила о завершении срока службы двух своих продуктов BIG-IP.

Кроме того, дополнительные сведения об участии китайских злоумышленников в кейсе F5 выкатили исследователи из Resecurity, которые провели анализ задействовавшегося в кампании бэкдора Brickstorm.

Кибершпионский бэкдор Brickstorm связан с кластером угроз UNC5221, который использует сложные TTPs и 0-day, нацеленные на сетевые устройства.

Resecurity удалось собрать ряд артефактов из арсенала злоумышленников, включая сам бэкдор Go ELF (исполняемый файл, скомпилированный для Linux), сценарии развертывания и модуль для сбора учетных данных.

Бэкдор представляет собой самостоятельный, независимый исполняемый файл (Go, linux/amd64), упакованный для устройств с ограниченным пользовательским пространством.

Он поддерживает все веб-протоколы для передачи трафика (TLS-клиент, пути HTTP/1.1/HTTP/2, обновление и обработку сеансов WebSocket).

Она может выступать в роли SOCKS-прокси для маршрутизации вредоносного трафика, а также скрывает передачу данных внутри POST-запросов, используя тот же формат multipart/form-data, который браузеры используют для загрузки.

В ходе атаки на F5 злоумышленник, получив возможность выполнить код, настроил бэкдор для реализации зашифрованного исходящего соединения TLS, которое согласует HTTP/2 и обновляет соединение до WebSocket для обеспечения постоянного туннеля C2.

Хакеры задействовали это соединение в формате прокси-сервера в стиле SOCKS для доступа к внутренним приложениям с IP-адреса устройства, передавая данные по тому же каналу, используя multipart/form-data с base64/quoted-printable и сжатие, поэтому эксфильтрация была схожа с обычным веб-трафиком.

Причем в файле ELF нет жестко прописанных доменов или учетных данных, что позволяет предположить, что злоумышленники использовали уязвимость нулевого дня для получения доступа и безпроблемного подключения к цели.

В ходе анализа было обнаружено, что злоумышленники использовали общедоступные репозитории.

При этом часть кодовой базы, по всей видимости, была получена из репозиториев, находящихся в Китае и разработанных вредоносным образом для атак на пользовательские системы.

В свою очередь, исследователи Rubrik, вооружившись результатами исследования Google по части UNC5221 и BRICKSTORM, задетектили следы бэкдора в резервных копиях своих клиентов.

Так что помимо Mandiant соответствующие IOCs теперь можно найти также в отчетах Resecurity и Rubrik - 1 и 2 (соответственно).

Коллеги из Russian OSINT обратили внимание на отчет iVerify, в котором исследователи сообщают о появлении в iOS 26 функции перезаписи shutdown.log при каждой перезагрузке устройства.

Фактически Apple лишает исследователей и пользователей возможности обнаружить важные криминалистические артефакты и, прежде всего, следы spyware, включая Pegasus и Predator, которые активно использовали этот лог в своих операциях.

Столь неоднозначное нововведение со стороны Apple определенно является опасным прецедентом в условиях все более изощренных угроз, связанных с использованием шпионского ПО.

Причем безотносительно того, будь это целенаправленная задумка или же случайная ошибка.

Хотя в последнее вериться с трудом: исследователи из Лаборатории Касперского не дадут соврать.

В рамках расследования Операции Триангуляция все ответы, на наш взгляд, уже были получены.

Чтобы вовсе развеять все сомнения, достаточно внимательно ознакомиться с отчетом китайского CERT в отношении расследования атаки АНБ США на Национальный центр службы времени (NTSC).

Общую картину инцидента мы уже давали ранее, однако не могли пройти мимо одной важной детали.

Согласно полученным МГБ КНР артефактам, iOS-устройства сотрудников NTSC в апреле 2023 года были взломаны с использованием уязвимостей и эксплойтов, раскрытых в ходе расследования Операции Триангуляция тремя месяцами позже в отчете ЛК.

Исследователи Лаборатории цифровой криминалистики F6 в эфире онлайн-разбора тренд-репорта обсудили текущие параметры активности банд вымогателей в 2025 году.

Если резюмировать, то можно сказать, что аппетиты растут: рекорд по жадности вымогателей в 2025 году составил 400 000 000 рублей или $5 000 000 (на 67% больше, чем в прошлом году).

В общей сложности по году F6 зафиксировала более 450 атак различных банд вымогателей на российские компании.

Суммы первоначального выкупа за расшифровку данных в 2025 году варьировались от 4 000 000 до 40 000 000 рублей ($50000-$500000).

При этом финансовая мотивация была только в 85% атак, в 15% инцидентов целью киберпреступников была диверсия и нанесение максимального ущерба российским организациям.

Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (18,9%), организации из сфер оптовой (17%) и розничной (15,1%) торговли.

Также в 2025 году были громкие атаки на крупные транспортные компании, топливно-энергетического комплекс, в числе пострадавших были и медицинские организации.

Среди наиболее активных в этом году проукраинских групп исследователи отметили: Bearlyfy (не менее 35 атак), THOR (не менее 7 атак) и ЛАБУБУ (не менее 4 атак), 3119/TR4CK (не менее 4 атак), Blackjack/Mordor (не менее 4 атак), Shadow/DarkStar (не менее 3 атак).

Такие группы, как Mimic/Pay2Key, Proton/Shinra и C77L, нацелились на малый и средний российский бизнес, атакуя с целью получения выкупа.

В эфира оэксперты F6 также поделились тем, как злоумышленники получали первоначальный доступ, какие техники использовали для закрепления в инфраструктуре, а также разобрали экосистему групп, атаковавших российские компании в последние годы.

Подробный разбор атак с использованием программ-вымогателей в 2025 году на российские компании F6 обещают дать в своем ежегодном отчете в начале 2026 года.

Хакерский поединок Pwn2Own Ireland 2025 завершился: исследователи сорвали куш в размере 1 024 750 долл. после демонстрации 73 0-day.

Команда Summoning Team стала победителем, набрав 22 очка и заработав 187 500 долл., взломав Samsung Galaxy S25, NAS-устройство Synology DiskStation DS925+, Home Assistant Green, NAS-накопитель Synology ActiveProtect Appliance DP320, камеру Synology CC400W и NAS-устройство QNAP TS-453E.

Команда ANHTUD заняла второе место, получив $76 750 и 11,5 очков, а Synactiv - третье место с $90 000 призовых и 11 очками.

В первый день Pwn2Own Ireland хакеры проэксплуатировали 34 уникальные 0-day, заработав 522 500 долл., во второй день - ещё 22 уникальных нуля и приз в размере 267 500 долл.

Самым ярким моментом последнего дня стал взлом Samsung Galaxy S25 командой Interrupt Labs с помощью ошибки проверки входных данных, за что команда заработала 5 очков и 50 000 долл., также сумев включить отслеживание местоположения и камеру.

Заявившаяся на WhatsApp Zero-Click и вместе с ним на 1 млн. долла. команда Z3 отказалась от публичной демонстрации в ходе конкурса, решив раскрыть свои результаты аналитикам ZDI в частном порядке, прежде чем поделиться с инженерной командой Meta (признана в РФ экстремистской).

Теперь после анонсирования 0-day на Pwn2Own у поставщиков есть 90 дней на выпуск исправлений, прежде чем Zero Day Initiative компании Trend Micro публично их раскроет.

В январе 2026 года ZDI намерена принимать участие в выставке технологий Automotive World в Токио (Япония) для организации и проведения третьего конкурса Pwn2Own Automotive, спонсором которого снова выступит Tesla.

Исследователи из Лаборатории Касперского отследили основные тренды развития фишинговых атак по электронной почте, рассказав как про новые методы обхода фильтров безопасности и обмана пользователей, так и про «вторую жизнь» даже давно забытых тактик.

Особый акцент в отчете сделан на анализе некоторых довольно необычных приёмов, которые злоумышленники задействовали в 2025 году.

Письма с PDF-вложениями становятся всё более распространёнными как в массовых, так и в целевых фишинговых кампаниях.

Если раньше большинство PDF-файлов содержало фишинговые ссылки, то сегодня основной тенденцией в таких атаках становится использование QR.

Рассылки по электронной почте, включающие фишинговые ссылки, встроенные в PDF-вложения, продолжают представлять серьёзную угрозу, но злоумышленники всё чаще используют дополнительные методы, чтобы избежать обнаружения, шифруя и защищая PDF паролем.

Использование событий в календаре как спам-метод, популярный в конце 2010-х годов, но постепенно сошедший на нет после 2019 года, - относительно старая тактика.

Идея проста: злоумышленники отправляют электронное письмо с записью встречи из календаря. Текст письма может быть пустым, но в описании события скрывается фишинговая ссылка.

В 2025 году фишеры возродили эту тактику.

Однако, в отличие от конца 2010-х, теперь они используются в B2B-фишинге и нацелены именно на офисных работников.

Злоумышленники обновляют не только методы распространения фишингового контента, но и сами фишинговые сайты.

Зачастую даже самые примитивные на первый взгляд email-кампании содержат ссылки на страницы, использующие новые методы.

Например, в ЛК наблюдали минималистичную email-кампанию, созданную под оповещение об оставленном пользователю голосовом сообщении.

Текст письма содержал всего пару предложений, часто с пробелом в слове «голос», и ссылку, которая вела на простую целевую страницу, предлагавшую получателю прослушать сообщение.

Однако если пользователь нажмёт на кнопку, путь ведёт не на одну страницу, а на цепочку страниц проверки, использующих CAPTCHA. Вероятно, это сделано для того, чтобы избежать обнаружения роботами безопасности.

После многочисленных доказательств того, что он не бот, пользователь наконец попадает на сайт, имитирующий форму входа Google, который проверяет введенный пользователем адрес Gmail и выводит ошибку, если это не зарегистрированный адрес электронной почты.

Если жертва введёт действительный адрес, то, независимо от того, верен ли пароль, фишинговый сайт отобразит другую похожую страницу с сообщением о том, что пароль недействителен.

В обоих случаях нажатие кнопки «Сбросить сеанс» снова открывает форму ввода адреса электронной почты. Если отвлечённый пользователь попытается войти в систему, используя разные учётные записи и пароли, все эти данные окажутся в руках злоумышленников.

Поскольку многие пользователи защищают свои аккаунты с помощью многофакторной аутентификации, мошенники пытаются найти способы украсть не только пароли, но и одноразовые коды и другие данные для подтверждения.

Учитывая, что схемы сбора учётных данных становятся всё более изощрёнными и убедительными, исследователи рекомендуют регулярно проводить обучение сотрудников по безопасности, а также внедрить надежное решение для защиты почтовых серверов.

Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.

Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.

Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.

В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.

Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.

При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.

Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.

В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.

Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.

Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.

Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.

Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов. 

Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.

Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.

При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.

Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.

Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.

Другие технические подробности и IOCs - в отчете.

Group-IB раскрыла масштабную кампанию иранской MuddyWater (aka Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm, Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix), нацеленную почти на сотню госструктур на Ближнем Востоке и в Северной Африке.

Большинство целей наблюдаемой кампании MuddyWater - это посольства, консульства, дипмиссии и подразделения министерств иностранных дел. Кроме того, среди жертв отмечены правительственные и международные организации, а также телеком-компании.

Конечной целью кампании является техническое проникновение в особо важные объекты и содействие сбору разведывательной информации.

Начиная с 19 августа хакеры запустили фишинговую кампанию среди указанного круга жертв со взломанной почты, доступ к которой они осуществляли с использованием NordVPN.

Причем, по данным исследователей, 24 августа злоумышленник вывел из строя инфраструктуру C2, что, вероятно, указывает на переход к новому этапу атаки, в ходе которой для сбора информации из скомпрометированных систем использовались уже другие инструменты и вредоносное ПО.

Цепочка атаки, по сути, включает распространение злоумышленником заражённых документов Microsoft Word, которые при открытии предлагают получателям электронной почты включить макросы для просмотра содержимого.

Как только ничего не подозревающий пользователь активирует эту функцию, документ запускает выполнение вредоносного кода Visual Basic for Application (VBA), что приводит к развертыванию бэкдора Phoenix версии 4.

Бэкдор запускается с помощью загрузчика FakeUpdate, который декодируется и записывается на диск с помощью VBA-дроппера. Загрузчик содержит полезную нагрузку Phoenix, зашифрованную с помощью AES.

Пока неясно, что побудило MuddyWater доставлять вредоносное ПО с помощью макрокода в документах Office, поскольку этот прием был популярен несколько лет назад, когда макросы запускались автоматически при открытии документа.

Поскольку Microsoft по умолчанию отключила макросы, злоумышленники перешли на другие методы, более актуальным из которых является ClickFix, также использовавшийся MuddyWater в прошлых кампаниях.

Вредоносное ПО записывается в C:\ProgramData\sysprocupdate.exe и обеспечивает себе стойкость, изменяя запись в реестре Windows с настройками для текущего пользователя, включая приложение, которое должно запускаться в качестве оболочки после входа в систему.

Бэкдор был задокументирован еще в прошлых атаках MuddyWater (описывался как облегченная версия BugSleep), однако вариант, используемый в этой кампании включает в себя дополнительный механизм персистентности на основе COM и несколько функциональных отличий.

Вредоносная ПО собирает информацию о системе, включая имя компьютера, домен, версию Windows и имя пользователя, для составления профиля жертвы. Она подключается к своему C2 через WinHTTP и начинает отправлять сигналы, запрашивая команды.

Как отмечает Group-IB, Phoenix v4 поддерживает возможности сбора системной информации, установления персистентности, запуска интерактивной оболочки и загрузки/выгрузки файлов.

Другой инструмент, который MuddyWater задействовала в этих атаках, представляет собой специализированный инфостилер, который извлекает базу данных из браузеров Chrome, Opera, Brave и Edge, учетные данные, а также главный ключ для их расшифровки.

В инфраструктуре командного сервера MuddyWater исследователи также обнаружили утилиту PDQ для развертывания и управления ПО, а также инструмент Action1 RMM (удалённый мониторинг и управление). При этом PDQ также использовался ранее в атаках, приписываемых иранским хакерам.

В целом, Group-IB отмечает, что используя обновлённые варианты вредоносного ПО (Phoenix v4, FakeUpdate и инфокрад), вместе с легитимными RMM-утилитами (PDQ и Action1) APT продемонстрировала эффективную интеграцию специального кода с коммерческими инструментами в части повышения скрытности и устойчивости.

Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними актуальные угрозы:

1. Уязвимость в библиотеке async-tar Rust потенциально может стать причиной RCE-атак.

CVE-2025-62518, получила название TARmageddon и позволяет злоумышленникам перезаписывать файлы конфигурации и перехватывать уязвимости бэкенда. Она имеет крайне широкое влияние из-за большого количества пакетов, в которые она встроена.

2. Microsoft выпустила внеочередные (OOB) обновления безопасности для исправления критической RCE-уязвимости службы обновлений Windows Server (WSUS), отлеживаемой как CVE-2025-59287.

Уязвимость может эксплуатироваться удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем, что позволяет злоумышленникам без привилегий атаковать уязвимые системы и запускать вредоносный код с привилегиями SYSTEM.

Как отметила Microsoft в обновлении к первоначальной рекомендации по безопасности, CVE-2025-59287 теперь обзавелась общедоступным PoC.

3. SEC Consult обнаружила ряд уязвимостей в ПО WorkExaminer Professional от EfficientLab для мониторинга сотрудников, включая те, которые могут позволить злоумышленнику в сети получить контроль над системой.

При этом, вероятно, ошибки не были устранены: поставщик сообщил, что они не попадают под действие BugBounty.

4. Исследователи Operant AI обнаружили Shadow Escape - скрытую ZeroClick-атаку, которая затрагивает организации, использующие MCP с любым ИИ-помощником.

Она использует внутреннее доверие к соединениям между ИИ-агентом и MCP для скрытного извлечения огромных объёмов конфиденциальных пользовательских данных из сети.

Поскольку программа использует стандартные настройки MCP и разрешения по умолчанию, потенциальный масштаб извлечения данных оценивается в колоссальные триллионы записей, по данным Operant.

5. TP-Link устранила два набора уязвимостей (1 и 2) в своём шлюзе Omada, позволявшие удалённое внедрение неаутентифицированных команд. Последние две уязвимости были обнаружены исследователями Forescout.

6. Хакеры приступили к эксплуатации уязвимости Magento, известной как SessionReaper (CVE-2025-54236).

Она была исправлена в сентябре и позволяет удалённым злоумышленникам захватывать интернет-магазины.

Однако, как сообщает Sansec, исправления были установлены у 38% магазинов Magento, что едва превышает показатель на момент выхода патча.

7. Злоумышленники используют 0-day на локальных серверах Motex Lanscope Endpoint Manager. Исправление вышло в понедельник после того, как поставщик получил сообщения об атаках.

CVE-2025-61932 позволяет злоумышленникам получить контроль над клиентом Lanscope, установленным на системах клиентов, с помощью вредоносных пакетов. CISA также добавила информацию об уязвимости в свою базу данных KEV.

8. SquareX предупреждает, что злоумышленники могут подделывать боковые панели для ИИ-помощников в интерфейсах браузеров для кражи данных, а также загрузки и запуска вредоносного ПО обманным путем. Среди уязвимых браузеров: Comet от Perplexity и Atlas от OpenAI.

9. Cursor и Windsurf, две среды IDE, клонированные из редактора VS Code от Microsoft, не смогли интегрировать исправления для 94 ошибок, связанных с Chromium, по данным Ox Security.

10. Личные данные всех пилотов Формулы-1 могли быть украдены через веб-портал FIA.

Сайт позволял любому пользователю назначить себе роль администратора. Портал хранил информацию о гонщиках, подавших заявки на получение лицензии Формулы-1, а также внутреннюю переписку FIA.

Автоспортивная организация устранила уязвимость в течение недели, но осадочек, как говорится, остался.

11. Исследователи NCC опубликовали исследование, раскрывая, как злоумышленники могут использовать бэкдор или красть данные из экземпляров Azure Fabric.