Хакерский поединок Pwn2Own Ireland 2025 завершился: исследователи сорвали куш в размере 1 024 750 долл. после демонстрации 73 0-day.
Команда Summoning Team стала победителем, набрав 22 очка и заработав 187 500 долл., взломав Samsung Galaxy S25, NAS-устройство Synology DiskStation DS925+, Home Assistant Green, NAS-накопитель Synology ActiveProtect Appliance DP320, камеру Synology CC400W и NAS-устройство QNAP TS-453E.
Команда ANHTUD заняла второе место, получив $76 750 и 11,5 очков, а Synactiv - третье место с $90 000 призовых и 11 очками.
В первый день Pwn2Own Ireland хакеры проэксплуатировали 34 уникальные 0-day, заработав 522 500 долл., во второй день - ещё 22 уникальных нуля и приз в размере 267 500 долл.
Самым ярким моментом последнего дня стал взлом Samsung Galaxy S25 командой Interrupt Labs с помощью ошибки проверки входных данных, за что команда заработала 5 очков и 50 000 долл., также сумев включить отслеживание местоположения и камеру.
Заявившаяся на WhatsApp Zero-Click и вместе с ним на 1 млн. долла. команда Z3 отказалась от публичной демонстрации в ходе конкурса, решив раскрыть свои результаты аналитикам ZDI в частном порядке, прежде чем поделиться с инженерной командой Meta (признана в РФ экстремистской).
Теперь после анонсирования 0-day на Pwn2Own у поставщиков есть 90 дней на выпуск исправлений, прежде чем Zero Day Initiative компании Trend Micro публично их раскроет.
В январе 2026 года ZDI намерена принимать участие в выставке технологий Automotive World в Токио (Япония) для организации и проведения третьего конкурса Pwn2Own Automotive, спонсором которого снова выступит Tesla.
Команда Summoning Team стала победителем, набрав 22 очка и заработав 187 500 долл., взломав Samsung Galaxy S25, NAS-устройство Synology DiskStation DS925+, Home Assistant Green, NAS-накопитель Synology ActiveProtect Appliance DP320, камеру Synology CC400W и NAS-устройство QNAP TS-453E.
Команда ANHTUD заняла второе место, получив $76 750 и 11,5 очков, а Synactiv - третье место с $90 000 призовых и 11 очками.
В первый день Pwn2Own Ireland хакеры проэксплуатировали 34 уникальные 0-day, заработав 522 500 долл., во второй день - ещё 22 уникальных нуля и приз в размере 267 500 долл.
Самым ярким моментом последнего дня стал взлом Samsung Galaxy S25 командой Interrupt Labs с помощью ошибки проверки входных данных, за что команда заработала 5 очков и 50 000 долл., также сумев включить отслеживание местоположения и камеру.
Заявившаяся на WhatsApp Zero-Click и вместе с ним на 1 млн. долла. команда Z3 отказалась от публичной демонстрации в ходе конкурса, решив раскрыть свои результаты аналитикам ZDI в частном порядке, прежде чем поделиться с инженерной командой Meta (признана в РФ экстремистской).
Теперь после анонсирования 0-day на Pwn2Own у поставщиков есть 90 дней на выпуск исправлений, прежде чем Zero Day Initiative компании Trend Micro публично их раскроет.
В январе 2026 года ZDI намерена принимать участие в выставке технологий Automotive World в Токио (Япония) для организации и проведения третьего конкурса Pwn2Own Automotive, спонсором которого снова выступит Tesla.
Bluesky Social
Trend Zero Day Initiative (@thezdi.bsky.social)
Bang! Interrupt Labs successfully took over the #Samsung Galaxy 25 with 1 click. They remotely enabled the camera and location services, which has some frightening privacy implications. They head off to the disclosure room to explain how it works. #Pwn2Own
Исследователи из Лаборатории Касперского отследили основные тренды развития фишинговых атак по электронной почте, рассказав как про новые методы обхода фильтров безопасности и обмана пользователей, так и про «вторую жизнь» даже давно забытых тактик.
Особый акцент в отчете сделан на анализе некоторых довольно необычных приёмов, которые злоумышленники задействовали в 2025 году.
Письма с PDF-вложениями становятся всё более распространёнными как в массовых, так и в целевых фишинговых кампаниях.
Если раньше большинство PDF-файлов содержало фишинговые ссылки, то сегодня основной тенденцией в таких атаках становится использование QR.
Рассылки по электронной почте, включающие фишинговые ссылки, встроенные в PDF-вложения, продолжают представлять серьёзную угрозу, но злоумышленники всё чаще используют дополнительные методы, чтобы избежать обнаружения, шифруя и защищая PDF паролем.
Использование событий в календаре как спам-метод, популярный в конце 2010-х годов, но постепенно сошедший на нет после 2019 года, - относительно старая тактика.
Идея проста: злоумышленники отправляют электронное письмо с записью встречи из календаря. Текст письма может быть пустым, но в описании события скрывается фишинговая ссылка.
В 2025 году фишеры возродили эту тактику.
Однако, в отличие от конца 2010-х, теперь они используются в B2B-фишинге и нацелены именно на офисных работников.
Злоумышленники обновляют не только методы распространения фишингового контента, но и сами фишинговые сайты.
Зачастую даже самые примитивные на первый взгляд email-кампании содержат ссылки на страницы, использующие новые методы.
Например, в ЛК наблюдали минималистичную email-кампанию, созданную под оповещение об оставленном пользователю голосовом сообщении.
Текст письма содержал всего пару предложений, часто с пробелом в слове «голос», и ссылку, которая вела на простую целевую страницу, предлагавшую получателю прослушать сообщение.
Однако если пользователь нажмёт на кнопку, путь ведёт не на одну страницу, а на цепочку страниц проверки, использующих CAPTCHA. Вероятно, это сделано для того, чтобы избежать обнаружения роботами безопасности.
После многочисленных доказательств того, что он не бот, пользователь наконец попадает на сайт, имитирующий форму входа Google, который проверяет введенный пользователем адрес Gmail и выводит ошибку, если это не зарегистрированный адрес электронной почты.
Если жертва введёт действительный адрес, то, независимо от того, верен ли пароль, фишинговый сайт отобразит другую похожую страницу с сообщением о том, что пароль недействителен.
В обоих случаях нажатие кнопки «Сбросить сеанс» снова открывает форму ввода адреса электронной почты. Если отвлечённый пользователь попытается войти в систему, используя разные учётные записи и пароли, все эти данные окажутся в руках злоумышленников.
Поскольку многие пользователи защищают свои аккаунты с помощью многофакторной аутентификации, мошенники пытаются найти способы украсть не только пароли, но и одноразовые коды и другие данные для подтверждения.
Учитывая, что схемы сбора учётных данных становятся всё более изощрёнными и убедительными, исследователи рекомендуют регулярно проводить обучение сотрудников по безопасности, а также внедрить надежное решение для защиты почтовых серверов.
Особый акцент в отчете сделан на анализе некоторых довольно необычных приёмов, которые злоумышленники задействовали в 2025 году.
Письма с PDF-вложениями становятся всё более распространёнными как в массовых, так и в целевых фишинговых кампаниях.
Если раньше большинство PDF-файлов содержало фишинговые ссылки, то сегодня основной тенденцией в таких атаках становится использование QR.
Рассылки по электронной почте, включающие фишинговые ссылки, встроенные в PDF-вложения, продолжают представлять серьёзную угрозу, но злоумышленники всё чаще используют дополнительные методы, чтобы избежать обнаружения, шифруя и защищая PDF паролем.
Использование событий в календаре как спам-метод, популярный в конце 2010-х годов, но постепенно сошедший на нет после 2019 года, - относительно старая тактика.
Идея проста: злоумышленники отправляют электронное письмо с записью встречи из календаря. Текст письма может быть пустым, но в описании события скрывается фишинговая ссылка.
В 2025 году фишеры возродили эту тактику.
Однако, в отличие от конца 2010-х, теперь они используются в B2B-фишинге и нацелены именно на офисных работников.
Злоумышленники обновляют не только методы распространения фишингового контента, но и сами фишинговые сайты.
Зачастую даже самые примитивные на первый взгляд email-кампании содержат ссылки на страницы, использующие новые методы.
Например, в ЛК наблюдали минималистичную email-кампанию, созданную под оповещение об оставленном пользователю голосовом сообщении.
Текст письма содержал всего пару предложений, часто с пробелом в слове «голос», и ссылку, которая вела на простую целевую страницу, предлагавшую получателю прослушать сообщение.
Однако если пользователь нажмёт на кнопку, путь ведёт не на одну страницу, а на цепочку страниц проверки, использующих CAPTCHA. Вероятно, это сделано для того, чтобы избежать обнаружения роботами безопасности.
После многочисленных доказательств того, что он не бот, пользователь наконец попадает на сайт, имитирующий форму входа Google, который проверяет введенный пользователем адрес Gmail и выводит ошибку, если это не зарегистрированный адрес электронной почты.
Если жертва введёт действительный адрес, то, независимо от того, верен ли пароль, фишинговый сайт отобразит другую похожую страницу с сообщением о том, что пароль недействителен.
В обоих случаях нажатие кнопки «Сбросить сеанс» снова открывает форму ввода адреса электронной почты. Если отвлечённый пользователь попытается войти в систему, используя разные учётные записи и пароли, все эти данные окажутся в руках злоумышленников.
Поскольку многие пользователи защищают свои аккаунты с помощью многофакторной аутентификации, мошенники пытаются найти способы украсть не только пароли, но и одноразовые коды и другие данные для подтверждения.
Учитывая, что схемы сбора учётных данных становятся всё более изощрёнными и убедительными, исследователи рекомендуют регулярно проводить обучение сотрудников по безопасности, а также внедрить надежное решение для защиты почтовых серверов.
Securelist
Notable email phishing techniques in 2025
Common email phishing tactics in 2025 include PDF attachments with QR codes, password-protected PDF documents, calendar phishing, and advanced websites that validate email addresses.
Исследователи Dr.Web сообщают об обнаружении модифицированных версий приложения Telegram X с бэкдором Baohuo под капотом, который отслеживается ими как Android.Backdoor.Baohuo.1.origin.
Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.
Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.
В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.
Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.
При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.
Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.
В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.
Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.
Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.
Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.
Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов.
Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.
Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.
При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.
Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.
Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.
Другие технические подробности и IOCs - в отчете.
Распространение Baohuo началось ещё в середине 2024 года, о чём свидетельствуют ранее выявленные модификации. Основной способ его доставки на целевые устройства - через встроенную рекламу в мобильных приложениях.
Потенциальным жертвам демонстрируется реклама мессенджера Telegram X. При клике по таким баннерам пользователи перенаправляются на вредоносные сайты, которые позиционируется как каталоги приложений, с них загружается APK-файл трояна.
В настоящее время киберпреступники продвигают шаблоны рекламных баннеров приложения только на двух языках - португальском (для пользователей из Бразилии) и индонезийском, что указывает на географический таргет кампании.
Изучение сетевой инфраструктуры злоумышленников позволило определить масштаб их активности. В среднем в Dr.Web фиксировали около 20 000 активных подключений Baohuo.
При этом общее количество заражённых устройств уже превысило 58 000. Заражению подверглись около 3 000 различных моделей смартфонов, планшетов, ТВ-приставок и даже автомобилей с бортовыми компьютерами на базе Android.
Причем вредоносные веб-сайты - это не единственный источник распространения. Эксперты также обнаружили его в каталогах сторонних приложений, включая APKPure, ApkSum и AndroidP.
В целом, в ходе исследования было выявлено несколько образцов Baohuo, которые условно можно разделить на 3 основные группы модификаций, в которых:
- бэкдор встраивался в основной исполняемый DEX-файл мессенджера;
- бэкдор динамически загружался в виде патча в исполняемый DEX-файл с помощью инструмента LSPatch;
- бэкдор находился в отдельном DEX-файле в каталоге ресурсов приложения и загружается динамически.
Независимо от типа модификации Baohuo инициализируется при запуске мессенджера, который остаётся работоспособным и для пользователей выглядит как обычная ПО. Однако в реальности злоумышленники получают полный контроль через бэкдор и могут изменять логику его работы.
Когда киберпреступникам необходимо выполнить действие, не требующее вмешательства в основной функционал приложения, они используют заранее подготовленные «зеркала» необходимых методов мессенджера.
Например, зеркала могут использоваться для отображения фишинговых сообщений в окнах, внешне неотличимых от настоящих окон Telegram X.
Если действие нестандартно для мессенджера, то используется фреймворк Xposed. Он напрямую изменяет определённый функционал приложения через динамическую модификацию методов.
Основное отличие ранних версий вредоносной ПО от современных заключается в способе управления: старые взаимодействовали с киберпреступниками через командный сервер C2.
Однако со временем разработчики добавили возможность получать дополнительные команды из базы данных Redis, тем самым расширив её функциональность.
При этом они также предусмотрели возможность дублирования новых команд через обычный командный сервер C2 на случай недоступности базы данных. Это первый известный случай использования Redis для управления вредоносным ПО для Android.
Помимо возможности похищать конфиденциальные данные, эта вредоносная ПО обладает рядом уникальных особенностей:
- скрывать подключения со сторонних устройств в списке активных сеансов Telegram;
- добавлять и удалять пользователя из каналов Telegram;
- присоединяться к чатам и выходить из них и др.
Фактически, с помощью этого бэкдора злоумышленники получают полный контроль над аккаунтом жертвы и функционалом мессенджера, а сам троян является инструментом для накрутки подписчиков в каналах Telegram.
Другие технические подробности и IOCs - в отчете.
Dr.Web
Baohuo, the gray eminence. Android backdoor hijacks Telegram accounts, gaining complete control over them
Doctor Web has identified a dangerous backdoor, <a href="https://vms.drweb.com/virus/?i=30931101&lng=en"><strong>Android.Backdoor.Baohuo.1.origin</strong></a>, in maliciously modified versions of the Telegram X messenger. In addition to being able to steal…
Group-IB раскрыла масштабную кампанию иранской MuddyWater (aka Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm, Seedworm, Static Kitten, TA450, TEMP.Zagros и Yellow Nix), нацеленную почти на сотню госструктур на Ближнем Востоке и в Северной Африке.
Большинство целей наблюдаемой кампании MuddyWater - это посольства, консульства, дипмиссии и подразделения министерств иностранных дел. Кроме того, среди жертв отмечены правительственные и международные организации, а также телеком-компании.
Конечной целью кампании является техническое проникновение в особо важные объекты и содействие сбору разведывательной информации.
Начиная с 19 августа хакеры запустили фишинговую кампанию среди указанного круга жертв со взломанной почты, доступ к которой они осуществляли с использованием NordVPN.
Причем, по данным исследователей, 24 августа злоумышленник вывел из строя инфраструктуру C2, что, вероятно, указывает на переход к новому этапу атаки, в ходе которой для сбора информации из скомпрометированных систем использовались уже другие инструменты и вредоносное ПО.
Цепочка атаки, по сути, включает распространение злоумышленником заражённых документов Microsoft Word, которые при открытии предлагают получателям электронной почты включить макросы для просмотра содержимого.
Как только ничего не подозревающий пользователь активирует эту функцию, документ запускает выполнение вредоносного кода Visual Basic for Application (VBA), что приводит к развертыванию бэкдора Phoenix версии 4.
Бэкдор запускается с помощью загрузчика FakeUpdate, который декодируется и записывается на диск с помощью VBA-дроппера. Загрузчик содержит полезную нагрузку Phoenix, зашифрованную с помощью AES.
Пока неясно, что побудило MuddyWater доставлять вредоносное ПО с помощью макрокода в документах Office, поскольку этот прием был популярен несколько лет назад, когда макросы запускались автоматически при открытии документа.
Поскольку Microsoft по умолчанию отключила макросы, злоумышленники перешли на другие методы, более актуальным из которых является ClickFix, также использовавшийся MuddyWater в прошлых кампаниях.
Вредоносное ПО записывается в C:\ProgramData\sysprocupdate.exe и обеспечивает себе стойкость, изменяя запись в реестре Windows с настройками для текущего пользователя, включая приложение, которое должно запускаться в качестве оболочки после входа в систему.
Бэкдор был задокументирован еще в прошлых атаках MuddyWater (описывался как облегченная версия BugSleep), однако вариант, используемый в этой кампании включает в себя дополнительный механизм персистентности на основе COM и несколько функциональных отличий.
Вредоносная ПО собирает информацию о системе, включая имя компьютера, домен, версию Windows и имя пользователя, для составления профиля жертвы. Она подключается к своему C2 через WinHTTP и начинает отправлять сигналы, запрашивая команды.
Как отмечает Group-IB, Phoenix v4 поддерживает возможности сбора системной информации, установления персистентности, запуска интерактивной оболочки и загрузки/выгрузки файлов.
Другой инструмент, который MuddyWater задействовала в этих атаках, представляет собой специализированный инфостилер, который извлекает базу данных из браузеров Chrome, Opera, Brave и Edge, учетные данные, а также главный ключ для их расшифровки.
В инфраструктуре командного сервера MuddyWater исследователи также обнаружили утилиту PDQ для развертывания и управления ПО, а также инструмент Action1 RMM (удалённый мониторинг и управление). При этом PDQ также использовался ранее в атаках, приписываемых иранским хакерам.
В целом, Group-IB отмечает, что используя обновлённые варианты вредоносного ПО (Phoenix v4, FakeUpdate и инфокрад), вместе с легитимными RMM-утилитами (PDQ и Action1) APT продемонстрировала эффективную интеграцию специального кода с коммерческими инструментами в части повышения скрытности и устойчивости.
Большинство целей наблюдаемой кампании MuddyWater - это посольства, консульства, дипмиссии и подразделения министерств иностранных дел. Кроме того, среди жертв отмечены правительственные и международные организации, а также телеком-компании.
Конечной целью кампании является техническое проникновение в особо важные объекты и содействие сбору разведывательной информации.
Начиная с 19 августа хакеры запустили фишинговую кампанию среди указанного круга жертв со взломанной почты, доступ к которой они осуществляли с использованием NordVPN.
Причем, по данным исследователей, 24 августа злоумышленник вывел из строя инфраструктуру C2, что, вероятно, указывает на переход к новому этапу атаки, в ходе которой для сбора информации из скомпрометированных систем использовались уже другие инструменты и вредоносное ПО.
Цепочка атаки, по сути, включает распространение злоумышленником заражённых документов Microsoft Word, которые при открытии предлагают получателям электронной почты включить макросы для просмотра содержимого.
Как только ничего не подозревающий пользователь активирует эту функцию, документ запускает выполнение вредоносного кода Visual Basic for Application (VBA), что приводит к развертыванию бэкдора Phoenix версии 4.
Бэкдор запускается с помощью загрузчика FakeUpdate, который декодируется и записывается на диск с помощью VBA-дроппера. Загрузчик содержит полезную нагрузку Phoenix, зашифрованную с помощью AES.
Пока неясно, что побудило MuddyWater доставлять вредоносное ПО с помощью макрокода в документах Office, поскольку этот прием был популярен несколько лет назад, когда макросы запускались автоматически при открытии документа.
Поскольку Microsoft по умолчанию отключила макросы, злоумышленники перешли на другие методы, более актуальным из которых является ClickFix, также использовавшийся MuddyWater в прошлых кампаниях.
Вредоносное ПО записывается в C:\ProgramData\sysprocupdate.exe и обеспечивает себе стойкость, изменяя запись в реестре Windows с настройками для текущего пользователя, включая приложение, которое должно запускаться в качестве оболочки после входа в систему.
Бэкдор был задокументирован еще в прошлых атаках MuddyWater (описывался как облегченная версия BugSleep), однако вариант, используемый в этой кампании включает в себя дополнительный механизм персистентности на основе COM и несколько функциональных отличий.
Вредоносная ПО собирает информацию о системе, включая имя компьютера, домен, версию Windows и имя пользователя, для составления профиля жертвы. Она подключается к своему C2 через WinHTTP и начинает отправлять сигналы, запрашивая команды.
Как отмечает Group-IB, Phoenix v4 поддерживает возможности сбора системной информации, установления персистентности, запуска интерактивной оболочки и загрузки/выгрузки файлов.
Другой инструмент, который MuddyWater задействовала в этих атаках, представляет собой специализированный инфостилер, который извлекает базу данных из браузеров Chrome, Opera, Brave и Edge, учетные данные, а также главный ключ для их расшифровки.
В инфраструктуре командного сервера MuddyWater исследователи также обнаружили утилиту PDQ для развертывания и управления ПО, а также инструмент Action1 RMM (удалённый мониторинг и управление). При этом PDQ также использовался ранее в атаках, приписываемых иранским хакерам.
В целом, Group-IB отмечает, что используя обновлённые варианты вредоносного ПО (Phoenix v4, FakeUpdate и инфокрад), вместе с легитимными RMM-утилитами (PDQ и Action1) APT продемонстрировала эффективную интеграцию специального кода с коммерческими инструментами в части повышения скрытности и устойчивости.
Group-IB
Unmasking MuddyWater’s New Malware Toolkit Driving International Espionage
Group-IB Threat Intelligence has uncovered a sophisticated phishing campaign, attributed with high confidence to the Advanced Persistent Threat (APT) MuddyWater. The attack used a compromised mailbox to distribute Phoenix backdoor malware to international…
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними актуальные угрозы:
1. Уязвимость в библиотеке async-tar Rust потенциально может стать причиной RCE-атак.
CVE-2025-62518, получила название TARmageddon и позволяет злоумышленникам перезаписывать файлы конфигурации и перехватывать уязвимости бэкенда. Она имеет крайне широкое влияние из-за большого количества пакетов, в которые она встроена.
2. Microsoft выпустила внеочередные (OOB) обновления безопасности для исправления критической RCE-уязвимости службы обновлений Windows Server (WSUS), отлеживаемой как CVE-2025-59287.
Уязвимость может эксплуатироваться удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем, что позволяет злоумышленникам без привилегий атаковать уязвимые системы и запускать вредоносный код с привилегиями SYSTEM.
Как отметила Microsoft в обновлении к первоначальной рекомендации по безопасности, CVE-2025-59287 теперь обзавелась общедоступным PoC.
3. SEC Consult обнаружила ряд уязвимостей в ПО WorkExaminer Professional от EfficientLab для мониторинга сотрудников, включая те, которые могут позволить злоумышленнику в сети получить контроль над системой.
При этом, вероятно, ошибки не были устранены: поставщик сообщил, что они не попадают под действие BugBounty.
4. Исследователи Operant AI обнаружили Shadow Escape - скрытую ZeroClick-атаку, которая затрагивает организации, использующие MCP с любым ИИ-помощником.
Она использует внутреннее доверие к соединениям между ИИ-агентом и MCP для скрытного извлечения огромных объёмов конфиденциальных пользовательских данных из сети.
Поскольку программа использует стандартные настройки MCP и разрешения по умолчанию, потенциальный масштаб извлечения данных оценивается в колоссальные триллионы записей, по данным Operant.
5. TP-Link устранила два набора уязвимостей (1 и 2) в своём шлюзе Omada, позволявшие удалённое внедрение неаутентифицированных команд. Последние две уязвимости были обнаружены исследователями Forescout.
6. Хакеры приступили к эксплуатации уязвимости Magento, известной как SessionReaper (CVE-2025-54236).
Она была исправлена в сентябре и позволяет удалённым злоумышленникам захватывать интернет-магазины.
Однако, как сообщает Sansec, исправления были установлены у 38% магазинов Magento, что едва превышает показатель на момент выхода патча.
7. Злоумышленники используют 0-day на локальных серверах Motex Lanscope Endpoint Manager. Исправление вышло в понедельник после того, как поставщик получил сообщения об атаках.
CVE-2025-61932 позволяет злоумышленникам получить контроль над клиентом Lanscope, установленным на системах клиентов, с помощью вредоносных пакетов. CISA также добавила информацию об уязвимости в свою базу данных KEV.
8. SquareX предупреждает, что злоумышленники могут подделывать боковые панели для ИИ-помощников в интерфейсах браузеров для кражи данных, а также загрузки и запуска вредоносного ПО обманным путем. Среди уязвимых браузеров: Comet от Perplexity и Atlas от OpenAI.
9. Cursor и Windsurf, две среды IDE, клонированные из редактора VS Code от Microsoft, не смогли интегрировать исправления для 94 ошибок, связанных с Chromium, по данным Ox Security.
10. Личные данные всех пилотов Формулы-1 могли быть украдены через веб-портал FIA.
Сайт позволял любому пользователю назначить себе роль администратора. Портал хранил информацию о гонщиках, подавших заявки на получение лицензии Формулы-1, а также внутреннюю переписку FIA.
Автоспортивная организация устранила уязвимость в течение недели, но осадочек, как говорится, остался.
11. Исследователи NCC опубликовали исследование, раскрывая, как злоумышленники могут использовать бэкдор или красть данные из экземпляров Azure Fabric.
1. Уязвимость в библиотеке async-tar Rust потенциально может стать причиной RCE-атак.
CVE-2025-62518, получила название TARmageddon и позволяет злоумышленникам перезаписывать файлы конфигурации и перехватывать уязвимости бэкенда. Она имеет крайне широкое влияние из-за большого количества пакетов, в которые она встроена.
2. Microsoft выпустила внеочередные (OOB) обновления безопасности для исправления критической RCE-уязвимости службы обновлений Windows Server (WSUS), отлеживаемой как CVE-2025-59287.
Уязвимость может эксплуатироваться удалённо в атаках низкой сложности, не требующих взаимодействия с пользователем, что позволяет злоумышленникам без привилегий атаковать уязвимые системы и запускать вредоносный код с привилегиями SYSTEM.
Как отметила Microsoft в обновлении к первоначальной рекомендации по безопасности, CVE-2025-59287 теперь обзавелась общедоступным PoC.
3. SEC Consult обнаружила ряд уязвимостей в ПО WorkExaminer Professional от EfficientLab для мониторинга сотрудников, включая те, которые могут позволить злоумышленнику в сети получить контроль над системой.
При этом, вероятно, ошибки не были устранены: поставщик сообщил, что они не попадают под действие BugBounty.
4. Исследователи Operant AI обнаружили Shadow Escape - скрытую ZeroClick-атаку, которая затрагивает организации, использующие MCP с любым ИИ-помощником.
Она использует внутреннее доверие к соединениям между ИИ-агентом и MCP для скрытного извлечения огромных объёмов конфиденциальных пользовательских данных из сети.
Поскольку программа использует стандартные настройки MCP и разрешения по умолчанию, потенциальный масштаб извлечения данных оценивается в колоссальные триллионы записей, по данным Operant.
5. TP-Link устранила два набора уязвимостей (1 и 2) в своём шлюзе Omada, позволявшие удалённое внедрение неаутентифицированных команд. Последние две уязвимости были обнаружены исследователями Forescout.
6. Хакеры приступили к эксплуатации уязвимости Magento, известной как SessionReaper (CVE-2025-54236).
Она была исправлена в сентябре и позволяет удалённым злоумышленникам захватывать интернет-магазины.
Однако, как сообщает Sansec, исправления были установлены у 38% магазинов Magento, что едва превышает показатель на момент выхода патча.
7. Злоумышленники используют 0-day на локальных серверах Motex Lanscope Endpoint Manager. Исправление вышло в понедельник после того, как поставщик получил сообщения об атаках.
CVE-2025-61932 позволяет злоумышленникам получить контроль над клиентом Lanscope, установленным на системах клиентов, с помощью вредоносных пакетов. CISA также добавила информацию об уязвимости в свою базу данных KEV.
8. SquareX предупреждает, что злоумышленники могут подделывать боковые панели для ИИ-помощников в интерфейсах браузеров для кражи данных, а также загрузки и запуска вредоносного ПО обманным путем. Среди уязвимых браузеров: Comet от Perplexity и Atlas от OpenAI.
9. Cursor и Windsurf, две среды IDE, клонированные из редактора VS Code от Microsoft, не смогли интегрировать исправления для 94 ошибок, связанных с Chromium, по данным Ox Security.
10. Личные данные всех пилотов Формулы-1 могли быть украдены через веб-портал FIA.
Сайт позволял любому пользователю назначить себе роль администратора. Портал хранил информацию о гонщиках, подавших заявки на получение лицензии Формулы-1, а также внутреннюю переписку FIA.
Автоспортивная организация устранила уязвимость в течение недели, но осадочек, как говорится, остался.
11. Исследователи NCC опубликовали исследование, раскрывая, как злоумышленники могут использовать бэкдор или красть данные из экземпляров Azure Fabric.
Edera
TARmageddon (CVE-2025-62518): RCE Vulnerability Highlights the Challenges of Open Source Abandonware | Edera Blog
Edera uncovers TARmageddon (CVE-2025-62518), a Rust async-tar RCE flaw exposing the real dangers of open-source abandonware and supply chain security.
Новая функция Microsoft Teams позволит организациям отслеживать сотрудников по ближайшим сетям Wi-Fi.
Случится это в декабре 2025 года, когда выйдет обновление.
Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.
Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.
Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.
Технических подробностей пока не так много.
В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.
Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.
Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.
Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей.
При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.
По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.
Случится это в декабре 2025 года, когда выйдет обновление.
Эта функция предназначена для того, чтобы работодатели знали, в каком здании работает сотрудник, основываясь на данных о близлежащих сетях.
Согласно дорожной карте Microsoft 365, когда пользователи подключаются к Wi-Fi организации, Teams автоматически определяет их рабочее место, отражая здание, в котором они работают.
Местоположение сотрудника, по-видимому, будет автоматически обновляться при подключении.
Технических подробностей пока не так много.
В Teams уже есть возможность указать рабочее местоположение, например, в большом офисе или кампусе.
Вероятно, этот процесс можно автоматизировать на основе данных Wi-Fi, таких как IP-адрес, и менять локации в зависимости от того, к какому устройству подключена система.
Запуск новой функции запланирован как на Windows, так и на macOS, а развёртывание начнётся в конце этого года.
Она будет отключена по умолчанию, а администраторы смогут активировать отслеживание только с согласия конечных пользователей.
При этом поменять свой SSID для блокировки отслеживания не получится, поскольку Teams использует более сложную проверку, включающую IP-адрес устройства, соответствующий корпоративной офисной сети, или MAC-адрес маршрутизатора.
По мнению экспертов в области конфиденциальности, новая функция позволит компаниям пресекать сотрудников, уклоняющихся от выполнения требований о возвращении в офис, а, по мнению товарища майора - много еще чего.
tom's guide
Microsoft Teams will start snitching to your boss when you’re not in the office — and this update is coming in December
Microsoft Teams is about to deal a heavy blow to those who like to work from home for peace and quiet. In a new feature update rolling out December 2025, the platform will track a worker’s location using the office Wi-Fi, to see whether you’re actually there…
Журналисты сообщают об обширной утечке данных на учащихся Академии Равин, секретной школы Министерства разведки, которую, как предполагается, взломали.
Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.
Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.
Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.
На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.
Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.
Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.
Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.
В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.
Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.
Причем базу слили всего за несколько дней до ежегодной Технологической олимпиады Академии, которая должна была пройти с 25 по 28 ноября в технологическом парке Pardis в Тегеране.
Руководство заведения официаольно признало факт кибератаки в своем канале в Telegram, сообщив, что одна из ее онлайн-систем подверглась кибератаке, однако слышите данные недействительны.
Тем не менее, в Академии отметили, что система была размещена за пределами сети, а целью инцидента являлась попытка нанести ущерб репутации заведения в преддверии Технологической олимпиады.
На западе считают, что основанная в феврале 2019 года двумя сотрудниками Министерства разведки Моджтабой Мостафави и Фарзином Карими Мазалганчаем используется для вербовки и подготовки сотрудников для ведомства.
Последние, в свою очередь, якобы задействуются в кибершпионских операциях проиранских APT, в частности, Muddywater. Собственно, поэтому с 2022 года заведение находится под санкциями Министерства финансов США.
Слитая в сеть база данных якобы содержит уникальный идентификатор каждого сотрудника во внутренних системах Ravin, контактные номера, имя и фамилию, а также информацию о пройденных обучающих курсах.
Так или иначе, мы уже не раз отмечали, что подобная тактика не нова для западных спецслужб и успешно апробировалась на китайских и корейских хакерах.
В ФБР США создано даже секретное подразделение, сотрудники которого применяли подобные манипуляции пр отношению к участникам банд вымогателей, которые, как заявлено, проживают на территории России.
Так что после недавнего слива информации в отношении Muddywater, утечке по Академии удивляться точно не стоит. И тем более полагать, что это что-то изменит. Но будем посмотреть.
Iranintl
حمله سایبری به آکادمی راوین؛ نشت گسترده اطلاعات دانشجویان آموزشگاه وزارت اطلاعات
پایگاه داده جامع حاوی اطلاعات شخصی دانشجویان آکادمی راوین، آموزشگاه مخفی وزارت اطلاعات که ایراناینترنشنال پیشتر هویت اعضای آن را افشا کرده بود، به صورت گسترده منتشر شده است.
Анонсированный на Pwn2Own Ireland 2025 взлом WhatsApp на $1 млн провалился: после вывода средств в MetaCard были раскрыты только уязвимости с низким уровнем риска.
В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода.
Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.
Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.
Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).
Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.
Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.
Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.
Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.
Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.
В WhatsApp отметили, что две представленные уязвимости фактически не могут быть использованы для выполнения произвольного кода.
Как мы уже сообщали, исследователь Юджин (3ugen3) из команды Team Z3, заявившийся на демонстрацию Zero-Click-эксплойта WhatsApp стоимостью 1 млн. долл., отказался от публичного участия в мероприятии.
Первоначально ZDI заявила, что задержка произошла из-за «трудностей с поездкой», а позже объявила, что исследователь отказался от участия в конкурсе, сославшись на опасения, что эксплойт еще недостаточно готов для публичной демонстрации.
Однако в четверг вечером ZDI заявила, что исследователь все же согласился раскрыть свои выводы в частном порядке для проведения первоначальной оценки, прежде чем передать их инженерам Meta (признана эстремистской).
Цепочка событий привела к широкому разочарованию и спекуляциям в индустрии относительно технической осуществимости предполагаемой атаки на WhatsApp.
Юджин подтвердил журналистам, что совместно с ZDI и Meta договорился о сохранении всей информации в тайне.
Исследователь добавил, что подписал NDA, которое запрещает ему разглашать какие-либо подробности.
Однако в WhatsApp официально сообщили, что представленные ей для анализа две уязвимости имеют рейтинг «низкого риска» и ни одна из них не позволяет реализовать RCE.
Тем не менее, некоторые исследователи полагают, что официальная версия может не соответствовать действительности, а вознаграждение за ошибки могло составить и более крупную сумму, ушедшую исследователю также в частном порядке.
Исследователи из Лаборатории Касперского выкатили отчет с новыми подробностями расследования сложной APT-кампании с цепочкой эксплойтов нулевого дня для Google Chrome, которая отслеживается как Operation ForumTroll.
ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.
Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.
Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.
Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.
Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.
Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.
При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, которое могло получать написанные на языке leetspeak команды по HTTPS, регистрировать нажатия клавиш и красть файлы.
На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.
Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО
По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).
Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.
Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.
В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.
Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.
При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.
В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.
Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.
По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.
В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.
Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.
Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.
Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.
ЛК удалось связать эксплуатацию первой в 2025 году 0-day Chrome (CVE-2025-2783) с деятельностью хакерской команды Hacking Team, специализирующейся на разработке шпионского ПО.
Судя по функциональности обнаруженного вредоносного ПО, основной целью Operation ForumTroll был кибершпионаж. Среди жертв - НИИ, СМИ, образовательные, финансовые, государственные и пр. организации в России.
Цепочка атаки начиналась с профессионально подготовленных фишинговых писем, содержащих персонифицированные ссылки на вредоносный сайт.
Несмотря на их очень короткий срок жизни ресерчерам ЛК удалось идентифицировать сложный 0-day эксплойт.
Код был разработан специально для валидации пользователя, обхода песочницы Chrome и выполнения шелл-кода, что приводило к установке загрузчика вредоносного ПО.
Злоумышленники закреплялись в системе при помощи техники Component Object Model (COM) hijacking.
При этом последней полезной нагрузкой выступало LeetAgent - шпионское ПО, которое могло получать написанные на языке leetspeak команды по HTTPS, регистрировать нажатия клавиш и красть файлы.
На основе команд, полученных от сервера С2, размещенного в облачной инфраструктуре Fastly.net, шпионское ПО может выполнять команды в командной строке, запускать процессы, внедрять шелл-код, а также читать/записывать файлы.
Также с ее помощью атакующие загружали и скачивали вспомогательные инструменты, такие как 7z, Rclone, SharpChrome и дополнительное вредоносное ПО
По данным Лаборатории Касперского, LeetAgent использовался как минимум с 2022 года в атаках на организации в России и Беларуси, а в некоторых случаях - для развертывания более сложного семейства spyware, разработанного итальянской Memento Labs (ранее - Hacking Team).
Hacking Team, основанная в 2003 году, наиболее известна своим шпионским ПО Remote Control Systems (RCS), которое пользовалось популярностью у спецслужб по всему миру.
Судьба Hacking Team претерпела внезапный поворот, после того как в 2015 году в результате взлома в интернет попали 400 ГБ ее внутренних документов.
В 2019 году ее приобрела InTheCyber Group и переименована в Memento Labs, одновременно запустив полное обновление линейки решений.
Новый коммерческий инструмент кибершпионажа Memento под названием Dante имеет много общего с RCS, также известным как Da Vinci.
При этом до сих пор мало, что было известно о возможностях этого ПО, и никто не встречал его в реальных атаках.
В основе его работы лежит оркестратор, который загружает загруженные и хранящиеся локально модули.
Он также обладает функциями защиты от анализа и выполняет различные проверки зараженной системы. При долгом отсутствии ответа от С2 шпионская ПО удаляется из системы.
По данным ЛК, злоумышленник, стоящий за Operation ForumTroll, не был замечен в использовании Dante в этой кампании, но задействовал его в других атаках, в которых разворачивал тот же набор инструментов.
В частности, исследователи обнаружили ряд совпадений в атаках Operation ForumTroll и инцидентах с использованием Dante: схожие пути в файловой системе, одинаковый механизм сохранения, данные, скрытые в файлах шрифтов, и другие незначительные детали.
Более того, в ЛК обнаружили совпадения в коде эксплойта, загрузчика и Dante.
Все это в совокупности позволяет предполагать, что Operation ForumTroll проводилась с помощью набора инструментов, поставляющегося в комплекте с Dante.
Вероятно теперь, когда Dante обнаружен новому владелецу Hacking Team снова придется пилить продукты с чистого листа.
Securelist
Mem3nt0 mori – The Hacking Team is back!
Kaspersky researchers discovered previously unidentified commercial Dante spyware developed by Memento Labs (formerly Hacking Team) and linked it to the ForumTroll APT attacks.
Forwarded from Russian OSINT
Как пишут специалисты компании, подобные программы стоят миллионы долларов, используются для шпионажа, а защищены обычно на высшем уровне — поймать их за работой или найти следы вмешательства практически невозможно.
В марте 2025 года «Лаборатория Касперского» выявила волну заражений, происходивших сразу после того, как жертва открывала персонализированную фишинговую ссылку, полученную по электронной почте. Единственным действием, которое требовалось от пользователя, было открыть ссылку в Chrome или другом браузере на базе Chromium.
Все ссылки были персонализированными и имели очень короткий срок жизни. Тем не менее, технологиям «Лаборатории Касперского» удалось идентифицировать
Проблема была исправлена как CVE-2025-2783.
Мы назвали эту кампанию операцией «Форумный тролль», поскольку злоумышленники маскировали персонализированные фишинговые письма под приглашения на научно-экспертный форум «Примаковские чтения». Целями были СМИ, университеты, научно-исследовательские центры, государственные, финансовые и прочие организации в России. Судя по функциональности доставляемого вредоносного ПО, основной целью кампании был кибершпионаж.
— cчитают эксперты.
Анализируя арсенал злоумышленников, команда Kaspersky GReAT обнаружила ранее неизвестное вредоносное ПО, которое удалось идентифицировать как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs, ранее известной как Hacking Team.
Дальнейший анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на то, что эти инструменты также были разработаны Memento Labs.
Заключение:
В этот раз мы хотим сделать не один, а сразу три вывода.
1) DuplicateHandle — это опасная API-функция. Если процесс привилегированный, и пользователь может передать ему дескриптор, необходимо отвечать ошибкой, если вместо дескриптора передается псевдодескриптор.
2) Атрибуция — самая сложная часть анализа вредоносного ПО и разведки киберугроз, но она же доставляет больше всего удовлетворения, когда все кусочки пазла ложатся на свои места. Если в детстве вы мечтали стать детективом и разгадывать тайны (как Шерлок Холмс, мисс Марпл, Коломбо, Скуби-Ду и ребята из Mystery Inc.), аналитика угроз может быть подходящей работой для вас!
3) В 2019 году новый владелец Hacking Team заявил, что хочет поменять абсолютно все и начать с чистого листа. Это потребовало время, но к 2022 году практически все продукты Hacking Team были переделаны. Возможно, теперь, когда Dante обнаружен, пора опять начинать с нуля?
— тонко подмечают
https://securelist.ru/forumtroll-apt-hacking-team-dante-spyware/113890
И ещё у
Please open Telegram to view this post
VIEW IN TELEGRAM
Google в очередной раз вынуждена оправдываться по поводу новой утечки со сливом 183 млн. аккаунтов Gmail, широко анонсированной многими ведущими информационными изданиями.
Компания в минувшие выходные официально опровергла все заявления и отметила фейковый характер «сенсационной» истории с о взломом Gmail.
При этом представленные в качестве утечки данные, по мнению компании, являются результатом компиляции слитых за последние годы данных, прежде всего, с логов инфостилеров.
Кроме того, Google назвала фейковыми сообщения о якобы имевшей место рассылке от ее имени предупреждений всем пользователям Gmail о серьёзной проблеме безопасности.
Подобные инсинуации, как оказалось, последовали после того, как Have I Been Pwned (HIBP) подгрузила огромный массив из 183 млн. скомпрометированных учетных данных на платформу уведомлений об утечках, используемую Synthient.
Все они были получены в результате отработки различных логов со стилеров, локальных утечек и фишинговых кампаний. Более того, все эти слитые креды связаны с различными ресурсами и платформами.
Причем, после загрузки данных в HIBP 91% из 183 млн. учетных данных уже были введены ранее, что свидетельствует о том, что многие из них циркулируют в течение нескольких лет. Лишь а 16,4 млн. оказались уникальными.
Многие пользователи HIBP, включая Google, обычно используют подобные выборки для предупреждения своих клиентов о скомпрометированных паролях или их принудительного сброса для защиты акаунтов.
Безусловно, данные может и подгрузили в HIBP и предупреждения могли быть на их основе разосланы, но вспоминая про недавний инцидент в Google с Salesloft, затронувший аккаунты Workspace, можно полагать, что дыма без огня все же не бывает. Но будем посмотреть.
Компания в минувшие выходные официально опровергла все заявления и отметила фейковый характер «сенсационной» истории с о взломом Gmail.
При этом представленные в качестве утечки данные, по мнению компании, являются результатом компиляции слитых за последние годы данных, прежде всего, с логов инфостилеров.
Кроме того, Google назвала фейковыми сообщения о якобы имевшей место рассылке от ее имени предупреждений всем пользователям Gmail о серьёзной проблеме безопасности.
Подобные инсинуации, как оказалось, последовали после того, как Have I Been Pwned (HIBP) подгрузила огромный массив из 183 млн. скомпрометированных учетных данных на платформу уведомлений об утечках, используемую Synthient.
Все они были получены в результате отработки различных логов со стилеров, локальных утечек и фишинговых кампаний. Более того, все эти слитые креды связаны с различными ресурсами и платформами.
Причем, после загрузки данных в HIBP 91% из 183 млн. учетных данных уже были введены ранее, что свидетельствует о том, что многие из них циркулируют в течение нескольких лет. Лишь а 16,4 млн. оказались уникальными.
Многие пользователи HIBP, включая Google, обычно используют подобные выборки для предупреждения своих клиентов о скомпрометированных паролях или их принудительного сброса для защиты акаунтов.
Безусловно, данные может и подгрузили в HIBP и предупреждения могли быть на их основе разосланы, но вспоминая про недавний инцидент в Google с Salesloft, затронувший аккаунты Workspace, можно полагать, что дыма без огня все же не бывает. Но будем посмотреть.
www.google.com
🔎 gmail data breach – Google Search
Промышленные гиганты пополнили ряды жертв масштабного инцидента Oracle E-Business Suite (EBS), ответственность за который на себя взяла банда вымогателей Cl0p.
По завершении переговорного трека хакеры приступили к опубличиванию имен жертв на своем DLS, а в некоторых случаях - сразу к сливу украденных данных, которые, судя по всему, являются подлинными.
Обе предполагаемые жертвы - Schneider Electric и Emerson, никак не отреагировали на неоднократные просьбы журналистов прокомментировать ситуацию.
Все дело в том, что на cайте утечки Cl0p появились ссылки на 2,7 ТБ архивных файлов, содержащих информацию, предположительно полученную от Emerson, и еще 116 ГБ архивов с данными Schneider Electric.
Результаты предварительного расследования и анализа дерева файлов, а также связанных метаданных, свидетельствует о том, что в обоих случаях данные, вероятно, получены в результате взлома Oracle.
Пока одни замалчивают инцидент, другие крупные компании, включая Гарвардский университет, Южноафриканский университет Витс, Airlines Envoy Air и многие другие, уже публично подтвердили атаки.
Впрочем Schneider Electric и Emerson не привыкать, обе компании уже сталкивались с аналогичными инцидентами.
На этот раз стали свидетелями очередного триумфа банды Cl0p, которая успешно реализовала аналогичные кампании, нацеленные на Cleo, MOVEit и Fortra.
По завершении переговорного трека хакеры приступили к опубличиванию имен жертв на своем DLS, а в некоторых случаях - сразу к сливу украденных данных, которые, судя по всему, являются подлинными.
Обе предполагаемые жертвы - Schneider Electric и Emerson, никак не отреагировали на неоднократные просьбы журналистов прокомментировать ситуацию.
Все дело в том, что на cайте утечки Cl0p появились ссылки на 2,7 ТБ архивных файлов, содержащих информацию, предположительно полученную от Emerson, и еще 116 ГБ архивов с данными Schneider Electric.
Результаты предварительного расследования и анализа дерева файлов, а также связанных метаданных, свидетельствует о том, что в обоих случаях данные, вероятно, получены в результате взлома Oracle.
Пока одни замалчивают инцидент, другие крупные компании, включая Гарвардский университет, Южноафриканский университет Витс, Airlines Envoy Air и многие другие, уже публично подтвердили атаки.
Впрочем Schneider Electric и Emerson не привыкать, обе компании уже сталкивались с аналогичными инцидентами.
На этот раз стали свидетелями очередного триумфа банды Cl0p, которая успешно реализовала аналогичные кампании, нацеленные на Cleo, MOVEit и Fortra.
Исследователи из Лаборатории Касперского расчехлили многоуровневую атаку с использованием сложного эксплойта, нацеленную на DeFi-протокол BetterBank в сети PulseChain, в результате которой атакующие смогли украсть примерно в 5 млн долл. (часть активов позже вернули).
Тем не менее, результирующие потери после переговоров с киберпреступниками и возвращением 550 млн токенов DAI составили около 1,4 млн долл.
Так или иначе частичное возвращение средств является довольно редким явление в случаях эксплойтов в DeFi-протоколах.
Как говорят, везет понятно кому и в данном случае - это вполне соответствует действительности, и вот почему.
Результаты расследования атаки на BetterBank, состоявшейся 26–27 августа 2025 года, указывают на задействование уязвимости, связанной с фундаментальной недоработкой в механизме системы бонусных вознаграждений, а именно - в swapExactTokensForFavorAndTrackBonus.
Эта функция предназначалась для выпуска бонусных токенов ESTEEM в качестве вознаграждения за каждую операцию обмена (свопа) на токены FAVOR.
Однако в ее реализации отсутствовал механизм валидации, проверяющий, что своп осуществляется в рамках легитимного и разрешенного пула ликвидности.
Связав начисление вознаграждения с типовым, невалидируемым условием - появлением токена FAVOR на выходе свопа, - разработчики непреднамеренно создали брешь, пригодную для эксплуатации.
Так что уязвимость заключалась даже не в ошибке программирования, а в фундаментальном архитектурном просчете.
Это позволяло создавать поддельные пары ликвидности и сгенерировать неограниченное количество бонусных токенов ESTEEM.
В общем, в рамках реализации схемы злоумышленники:
- взяли мгновенные займы на 50 млн токенов DAI и 7,14 млрд токенов PLP, опустошив реальные пулы DAI-PDAIF;
- создали фиктивные пулы с минимальной ликвидностью на основе пары «подставной токен - PDAIF»;
- выполнили около 20 итераций фальшивых торговых операций, чтобы спровоцировать массовый выпуск бонусных токенов ESTEEM;
- сконвертировали полученные вознаграждения в дополнительные токены PDAIF;
- пополнили пулы ликвидности с выгодными для себя дисбалансами и в результате извлекли прибыль примерно 891 млн DAI через арбитражные операции.
Но основная проблема даже не в этом.
Описанная уязвимость в системе бонусных вознаграждений протокола была выявлена и зафиксирована ресерчерами Zokyo в ходе аудита безопасности BetterBank, проведенного примерно за месяц до атаки.
Однако в виду документально подтвержденных ошибок в информировании и присвоения угрозе низкой степени критичности команда разработчиков BetterBank не внедрила рекомендованное исправление безопасности, формально пометив ее как устраненная (Resolved).
Как отмечает исследователи ЛК, данный инцидент является ярким примером того, как недоработки на этапе проектирования, в сочетании с бездействием в ответ на предупреждения специалистов могут привести к серьезным финансовым последствиям в сфере блокчейн-сервисов.
Успешная реализация эксплойта злоумышленниками подчеркивает необходимость проведения тщательного аудита безопасности, четкого формулирования результатов и внедрения многоуровневых механизмов защиты, ориентированных на наиболее изощренные векторы атак.
Пошаговая реконструкция и технический разбор атаки, включая PoC, стратегии противодействия и ончейн-аналитику - в отчете.
Тем не менее, результирующие потери после переговоров с киберпреступниками и возвращением 550 млн токенов DAI составили около 1,4 млн долл.
Так или иначе частичное возвращение средств является довольно редким явление в случаях эксплойтов в DeFi-протоколах.
Как говорят, везет понятно кому и в данном случае - это вполне соответствует действительности, и вот почему.
Результаты расследования атаки на BetterBank, состоявшейся 26–27 августа 2025 года, указывают на задействование уязвимости, связанной с фундаментальной недоработкой в механизме системы бонусных вознаграждений, а именно - в swapExactTokensForFavorAndTrackBonus.
Эта функция предназначалась для выпуска бонусных токенов ESTEEM в качестве вознаграждения за каждую операцию обмена (свопа) на токены FAVOR.
Однако в ее реализации отсутствовал механизм валидации, проверяющий, что своп осуществляется в рамках легитимного и разрешенного пула ликвидности.
Связав начисление вознаграждения с типовым, невалидируемым условием - появлением токена FAVOR на выходе свопа, - разработчики непреднамеренно создали брешь, пригодную для эксплуатации.
Так что уязвимость заключалась даже не в ошибке программирования, а в фундаментальном архитектурном просчете.
Это позволяло создавать поддельные пары ликвидности и сгенерировать неограниченное количество бонусных токенов ESTEEM.
В общем, в рамках реализации схемы злоумышленники:
- взяли мгновенные займы на 50 млн токенов DAI и 7,14 млрд токенов PLP, опустошив реальные пулы DAI-PDAIF;
- создали фиктивные пулы с минимальной ликвидностью на основе пары «подставной токен - PDAIF»;
- выполнили около 20 итераций фальшивых торговых операций, чтобы спровоцировать массовый выпуск бонусных токенов ESTEEM;
- сконвертировали полученные вознаграждения в дополнительные токены PDAIF;
- пополнили пулы ликвидности с выгодными для себя дисбалансами и в результате извлекли прибыль примерно 891 млн DAI через арбитражные операции.
Но основная проблема даже не в этом.
Описанная уязвимость в системе бонусных вознаграждений протокола была выявлена и зафиксирована ресерчерами Zokyo в ходе аудита безопасности BetterBank, проведенного примерно за месяц до атаки.
Однако в виду документально подтвержденных ошибок в информировании и присвоения угрозе низкой степени критичности команда разработчиков BetterBank не внедрила рекомендованное исправление безопасности, формально пометив ее как устраненная (Resolved).
Как отмечает исследователи ЛК, данный инцидент является ярким примером того, как недоработки на этапе проектирования, в сочетании с бездействием в ответ на предупреждения специалистов могут привести к серьезным финансовым последствиям в сфере блокчейн-сервисов.
Успешная реализация эксплойта злоумышленниками подчеркивает необходимость проведения тщательного аудита безопасности, четкого формулирования результатов и внедрения многоуровневых механизмов защиты, ориентированных на наиболее изощренные векторы атак.
Пошаговая реконструкция и технический разбор атаки, включая PoC, стратегии противодействия и ончейн-аналитику - в отчете.
securelist.ru
Инцидент с DeFi-протоколом BetterBank: несанкционированный выпуск бонусных токенов
Эксперты «Лаборатории Касперского» анализируют недавний инцидент, связанный с протоколом BetterBank и выпуском бонусных токенов ESTEEM. Разбираем механизм валидации пула ликвидности.
This media is not supported in your browser
VIEW IN TELEGRAM
Наш CISO всегда начеку
Исследователи из F6 в своем новом отчете представили аналитику по недавним атакам группировки Cloud Atlas на предприятия в сфере агропромышленного и оборонно-промышленного комплексов.
В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.
Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.
В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.
В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.
Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.
В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.
В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.
Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».
Запуск инициировал цепочку с загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.
Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.
В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.
Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.
Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.
Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.
Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.
В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.
Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.
В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.
Технические подробности и IOCs - в отчете.
В целом, на протяжении всего 2025 года Cloud Atlas проявляла повышенную активность, атакуя российские и белорусские компании.
Их особенностью стало изменение доменных зон, а также эксперименты с вредоносным ПО, находящимся во вложении фишинговых писем.
В середине октября специалисты F6 зафиксировали очередную атаку Cloud Atlas, целью которой стало российское предприятие в сфере АПК - хакеры традиционно отметились рассылкой вредоносного вложения с почтового адреса mkrutij@list[.]ru.
В качестве приманки использовалась программу агропромышленного форума «Зерно и масличные 2025: кормовой вектор», который пройдет 30 октября 2025 года в Москве, а вредоносное вложение «Программа Форум Зерно и масличные.doc» действительно содержит программу форума.
Исполнение данного вложения инициирует запуск механизма доставки полезной нагрузки, который остался прежним.
В качестве загрузчика по-прежнему выступает doc-файл-приманка, загружающий посредством шаблона RTF-файл, содержащий эксплойт для CVE-2017-11882, который в данном случае загружается по ссылке hxxps://kommando[.]live/us/?legal/terms/trialterms/secno.
В результате запуска шаблона и эксплуатации уязвимости происходит загрузка дроппера us.txt по ссылке hxxps://kommando[.]live/us/?secno/achro33, содержащего полезную нагрузку VBShower с С2 hxxps://kommando[.]live/us/?product-kategorie/kosmetik/spezialseifen/instructible.
Причем это уже не первая атака, направленная на предприятия АПК осенью 2025 года. В ходе аналогичного нападения в сентябре злоумышленники с использованием glotovao56@yandex[.]ru рассылали письма с темой «Бланк ТЧ» и вредоносным вложением «Бланк ТЧ.doc».
Запуск инициировал цепочку с загрузками RTF-файла regioninvest_net.doc по ссылке hxxps:/regioninvest[.]net?pmmc.html/tubularian и дроппера un67.hta по ссылке hxxps://regioninvest[.]net/tubularian/un67.
Полезная нагрузка в дроппере – ВПО VBShower backdoor с C2 hxxps://news-freebase[.]com/categoria/brother/p-touch/1280cb-p-touch-brother-2/appres.
В рамках исследования октябрьской атаки F6 задетектила два дополнительных файла, связанных с доменом kommando[.]live, которые были загружены на платформу VirusTotal.
Их название и содержание были связанны с проведением закупок и сбором данных сотрудников предприятий, что указывает на потенциальные целями атаки - компании в сфере оборонно-промышленного комплекса России.
Дальнейший анализ сетевой инфраструктуры и особенностей файлов позволили выйти на домен atelierdebondy[.]fr, который задействовался злоумышленниками в качестве удаленного сервера для загрузки шаблона. На момент анализа полезная нагрузка была недоступна.
Стоит отметить, что группа в редких случаях пользуется нетипичными для себя доменными зонами. Такое поведение фиксировалось лишь в ноябре 2023-го и октябре 2024 года, когда группа использовала домены e-mailing[.]online и jhsdshdkajdhgfyhsfhjshh[.]cfd в атаках на Россию и Беларусь.
Причем помимо доменных зон Cloud Atlas экспериментировала с методами доставки полезной нагрузки.
В июле 2025 года на VirusTotal были загружены два аналогичных LNK-файла, которые совпадали с экземплярами, загруженными в конце 2024 года. В качестве удаленного сервера использовался домен istochnik[.]org.
Атакующие практически не вносили изменения в команды, за исключением добавления строки ms-office; в поле User-Agent. Помимо этого в результате исполнения команды ответ от сервера будет передан в качестве явного параметра функции для снижения обнаружения.
В обоих случаях полезная нагрузка была недоступна, однако анализ инфраструктуры позволил сделать вывод, что за атакой с использованием вышеуказанных LNK с высокой степенью уверенности стоит APT-группа Cloud Atlas.
Технические подробности и IOCs - в отчете.
F6
Полевые испытания: эксперты F6 проанализировали новые атаки группы Cloud Atlas - F6
В новом блоге специалисты F6 проанализировали недавние атаки Cloud Atlas на предприятия из сферы агропромышленного и оборонно-промышленного комплексов.
Avast выпустила дешифратор, позволяющий восстанавливать файлы после атак с использованием вируса-вымогателя Midnight без выплаты выкупа.
Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.
Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.
Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора.
Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.
Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями.
Midnight - один из таких вариантов.
Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.
В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.
В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».
Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.
Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.
Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.
Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.
Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.
Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.
Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.
Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.
Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.
Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.
Другие технические подробности и практическое руководство по дешифратор - в отчете.
Вирус-вымогатель был написан на основе исходного кода старого вируса-вымогателя Babuk.
Его основная структура и алгоритм выполнения Midnight во многом унаследованы от предшественника, но его криптографическая реализация была существенно переработана.
Эти изменения привели к появлению уязвимостей, делающих возможной расшифровку файлов, что мы и использовали для разработки работающего дешифратора.
Как известно, в середине 2021 года операторы Babuk внезапно прекратили работу и раскрыли весь свой исходный код, включая сборщики для Windows, ESXI и NAS.
Эта утечка привела к появлению волны новых штаммов программ-вымогателей, каждое из которых модифицировало исходный код Babuk в соответствии со своими целями.
Midnight - один из таких вариантов.
Впервые, ransomware обнаружили исследователи Gen. Вредоносный код Midnight обычно добавляет расширение .Midnight или .endpoint к зашифрованным файлам.
В некоторых случаях вирус-вымогатель настроен так, чтобы не изменять имена файлов. Вместо этого он добавляет строку расширения непосредственно в конец содержимого файла.
В затянутых каталогах появляется записка с требованием выкупа под названием «How To Restore Your Files.txt».
Дополнительные индикаторы включают создание мьютекса Mutexisfunnylocal, который используется для предотвращения одновременного запуска нескольких экземпляров программы-вымогателя.
Некоторые образцы также создают журнал отладки в зараженной системе, в зависимости от конфигурации.
Известные варианты вредоносной ПО создавали файлы журналов Report.Midnight или debug.endpoint.
Midnight использует для шифрования содержимого файла и RSA для шифрования ключа.
Ключ, зашифрованный RSA, вместе с его хешем SHA256 добавляется в конец каждого зашифрованного файла. Этот формат одинаков для всех известных образцов.
Для повышения производительности Midnight использует прерывистое шифрование, метод, также используемый Babuk.
Однако Midnight совершенствует этот подход, применяя более детальную логику, основанную на размере файла, для определения частей файла, подлежащих шифрованию.
Это позволяет ему быстрее обрабатывать большие файлы, при этом делая их непригодными для использования.
Более ранние образцы Midnight были нацелены, в первую очередь, на наиболее ценные файлы, такие как базы данных, резервные копии и архивы.
Более поздние варианты расширили область своего действия и теперь шифруют практически все типы файлов, за исключением исполняемых файлов, таких как .exe, .dll и .msi.
Другие технические подробности и практическое руководство по дешифратор - в отчете.
Gendigital
Decrypted: Midnight Ransomware
Midnight ransomware echoes Babuk’s tactics but stumbles in its code. Gen researchers explain how those mistakes make decryption and recovery possible
Группа ученых-исследователей раскрыла подробности нового метода атаки по побочным каналам, которая позволяет извлекать секреты из доверенной среды выполнения (TEE) в ЦП, высокозащищенной области системы SGX и TDX от Intel и SEV-SNP от AMD.
Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.
Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.
Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.
Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.
Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.
Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.
TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.
Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.
Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).
Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.
Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).
Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.
По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.
Метод атаки TEE.fail нацелен на шину памяти в системах DDR5 и был обнаружен исследователями из Университета Пердью и Технологического института Джорджии.
Для атаки требуется физический доступ к целевой системе, и она включает в себя размещение промежуточного устройства (импозера) между центральным процессором и памятью компьютера с целью анализа трафика шины DRAM.
Затем злоумышленник может использовать полученные данные для извлечения криптографических ключей из реализаций доверенной среды выполнения Intel TDX и AMD SEV-SNP.
Кроме того, хакер может извлечь ключи подтверждения, которые можно использовать для компрометации системы конфиденциальных вычислений на графических процессорах Nvidia, позволяющей запускать рабочие нагрузки ИИ без какой-либо защиты TEE.
Эти конфиденциальные вычислительные технологии, используемые в ЦОДах и облачных вычислениях, предназначены для защиты кода и данных от злоумышленников, взломавших хост-систему, и даже от злоумышленников, работающих внутри компании.
Атака TEE.fail предполагает присоединение интерпозера к модулю DIMM. При этом устройство, созданное исследователями, по стоимости выходит менее 1000 долл. при использовании готовых электронных компонентов.
TEE.fail имеет сходство с недавно раскрытыми атаками WireTap и Battering RAM, которые также включали использование интерпозера для захвата ценных данных из памяти.
Однако есть и существенные различия. WireTap и Battering RAM работали только с памятью DDR4, тогда как новая нацелена на DDR5.
Разница критически важна, поскольку TEE.fail может быть использован для атаки на новейшие решения TEE от Intel и AMD, а именно Intel TDX и AMD SEV-SNP с сокрытием шифротекста, которые предлагают конфиденциальные виртуальные машины (CVM).
Поскольку CVM используются в качестве якоря доверия в конфиденциальных вычислениях на графических процессорах Nvidia, исследователи показали, как новая атака также способна подделывать аттестацию графических процессоров.
Intel и AMD опубликовали информационные бюллетени в ответ на исследование TEE.fail (1 и 2 соответственно).
Однако, как и в случае с WireTap и Battering RAM, производители микросхем заявили, что атаки, требующие физического доступа к целевой системе, не входят в модель угроз их продуктов.
По итогу исследователи отмечают, что современные реализации Intel SGX, Intel TDX и AMD SEV-SNP оказались не так безопасны, как рекламируется, из-за архитектурных компромиссов в последних поколениях.
tee.fail
TEE.fail: Breaking Trusted Execution Environments via DDR5 Memory Bus Interposition
Новый IoT-ботнет на базе Mirai, получивший название Aisuru, использовался для запуска нескольких мощных массированных DDoS-атак, превышающих 20 Тбит/с или 4 Гпакета в секунду, о которых ранее сообщала Cloudflare.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
По данным Netscout, Aisuru относится к новому классу вредоносного ПО, способного осуществлять DDoS-атаки, который известен как TurboMirai.
Операторы реализуют его работе в сервиса для проведения DDoS-атак на заказ, избегая при этом нацеливания на правительственные, правоохранительные, военные и подобные рисковые цели.
Как установлено, Aisuru в основном атаковал игровые онлайн-платформы.
Аналогично другим ботнетам класса TurboMirai, Aisuru способен увеличивать трафик атак на каждый узел ботнета и обладает богатым функционалом, позволяя операторам задействовать его для подмены учётных данных, скрапинга с использованием ИИ, фишинга и спама.
Ботнет использует резидентные прокси-серверы для отражения HTTPS-DDoS-атак.
Его узлами являются в основном маршрутизаторы, системы видеонаблюдения и другие уязвимые устройства, работающих под управлением аналогичных версий OEM-прошивок.
При этом его операторы постоянно ищут новые варианты реализации уязвимостей для расширения ботнета.
Ботнет сохраняет возможности лавинной рассылки запросов UDP, TCP, GRE и DNS по прямому пути, как и оригинальный ботнет Mirai.
Aisuru способен запускать как high-bandwidth атаки (большие пакеты, большое количество бит в секунду), так и high-throughput (маленькие пакеты, большое количество пакетов в секунду), а также может нарушать работу сервисов посредством исходящих и перекрестных атак.
Netscout отмечает, что ботнеты IoT классов Aisuru и TurboMirai в основном запускают одновекторные DDoS-атаки по прямому маршруту, иногда объединяя многовекторные атаки с другими подпольными DDoS-сервисами.
Атаки включают UDP-флуд пакетами среднего, большого или меньшего размера, TCP-флуд пакетами малого или большого размера и до 119 комбинаций TCP-флагов.
Некоторый трафик имитирует легитимные HTTP-пакеты, в то время как HTTPS-атаки используют встроенные резидентные прокси-серверы.
При этом исследователи отмечают, что трафик ботнета не подделывается из-за отсутствия привилегированного доступа.
Кроме того, боты являются частью сетей широкополосного доступа с включёнными механизмами проверки исходного адреса (SAV).
Как полагает Netscout, это позволяет проводить трассировку и корреляцию с информацией об абоненте, что дает возможность специалистам по безопасности идентифицировать, помещать в карантин и исправлять скомпрометированные устройства.
Комплексная защита требует инструментирования всех границ сети, при этом подавление исходящих и межсетевых атак имеет такой же приоритет, как и подавление входящих.
Важнейшее значение имеют интеллектуальные системы противодействия DDoS-атакам (IDMS), передовые методы сетевой инфраструктуры (BCP), такие как списки контроля доступа (iACL) инфраструктуры, и упреждающее устранение уязвимого CPE.
NETSCOUT
ASERT Threat Summary: Aisuru and Related TurboMirai Botnet DDoS Attack Mitigation and Suppression—October 2025—v1.0 | NETSCOUT
This document is intended for general public distribution. Note that it is marked TLP: CLEAR.
Тем временем, под легендой якобы хакерской группы KittenBusters продолжается публикация на GitHub новых документов, связанных с деятельностью иранской Charming Kitten (APT35).
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
Очередной слив включает сведения по бюджетированию группы и финансам.
В них раскрывается много чего, в том числе платежи в биткоинах за домены и серверы, аккаунты ProtonMail и связанные с ними подставные компании.
Погружаться с головой в новую порцию легализованных материалов спецслужб не будем, но отметим одну интересную деталь.
Если верить представленным материалам, вся операционная деятельность группировки обходилась всего лишь в 10 000 долл.
GitHub
CharmingKitten/Episode 4 at main · KittenBusters/CharmingKitten
Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500) - KittenBusters/CharmingKitten