🔍 TrustFall & MystRodX:

Исследователи из АО ГТС на PROFIT.KZ представили разбор вредоносной активности, в которой фигурируют два связанных инструмента — TrustFall и MystRodX.
Они отдельно отметили, что о схожем вредоносе ранее писали аналитики QAX (@RedDrip7), которые использовали название MystRodX для такого же типа атаки.
По данным ГТС, это звенья одной кампании, наблюдавшейся в 2025 году.

🧩 TrustFall (март 2025)
Лёгкий backdoor: выполняет команды через /bin/sh, пакует данные (tar -czvf), удаляет следы (rm -rf) и отправляет информацию через POST на /news/data_form.php. Использует фиксированные C2 и позже — шифрование.

🧩 MystRodX (август 2025)
Более новая стадия той же линии: обновлённый модуль с другим форматом сетевого обмена, зашифрованным трафиком и расширенной C2-инфраструктурой. Распространялся через 139.84.156.79.

🗃 IOC
185.154.154.135
213.159.64.6
2.56.177.181
37.221.125.201
5.252.22.232
45.14.244.110
45.83.140.218
154.196.162.76
Сервер распространения
139.84.156.79
Конфигурационные файлы
tcbipkrn.config → 185.154.154.135
baeeajzb.config → 213.159.64.6
URI
/news/data_form.php
Поведенческие признаки
tar -czvf
rm -rf
/bin/sh -c ""
шифрование трафика (в поздней активности)
смена канала управления

🎯 APT группы:

STA-2201
Группа, впервые замеченная в 2019, работает по двум направлениям:
• Initial Access Broker (первичный доступ)
• Классическая APT-активность: кража и эксфильтрация данных
Позже стала действовать более скрытно.
Сектора: госуправление, телеком.

STA-2404
Продвинутая хакерская группа, образованная после структурных изменений (детали скрыты).
Активность отслеживается с 2024 года (две волны).
Сектора: госуправление, энергетика, здравоохранение, наука, транспорт, финансы.

ки
• Презентация: https://profitday.kz/pdf/security2025/15.pdf
• sts.kz
• Запись выступления: https://www.youtube.com/live/8eueDGkMMlo?t=263" target="_blank" rel="nofollow">ong>6395
•https://blog.xlab.qianxin.com/mystrodx_covert_dual-mode_backdoor_en/
🦔 THF>ong>

⚠️В Samba обнаружена уязвимость, позволяющая атакующему выполнить произвольные команды на сервере (CVE-2025-10230): unauth RCE

🚨CVSSv3.1: 10 AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (максимальный риск)
Затронутые версии: все релизы начиная с 4.0

Суть проблемы: при включённой опции wins support и заданном параметре wins hook на контроллере домена, имена из WINS-запросов передаются в shell без проверки.
Не затронуты: Samba-серверы в роли member или standalone (используют другой WINS).

Срочно обновиться до безопасных версий: Samba 4.23.2, 4.22.5, 4.21.9
Если обновление невозможно - отключите WINS (wins support = no) или уберите параметр wins hook.

grep -E ‘wins support|wins hook’ /etc/samba/smb.conf

Подробности: официальный advisory

OWASP Top 10 2025 уже в стадии RC и принес важные обновления: появились новые категории и акцент на тренды, связанные с цепочками поставок и устойчивостью ИИ‑приложений.

🛡️ Основные новинки в OWASP Top 10 2025
• A03: Software Supply Chain Failures - новая категория, расширяющая прежнюю тему «Устаревшие компоненты». Теперь речь идёт о рисках во всей экосистеме: зависимости, CI/CD, инфраструктура доставки. Это отражает рост атак на цепочки поставок ПО.
• A10: Mishandling of Exceptional Conditions - ещё одна новая категория. Она охватывает ошибки обработки исключений, логические сбои, «fail‑open» сценарии. Подчёркивается, что неправильная реакция на нестандартные ситуации может привести к серьёзным уязвимостям.
• Консолидация SSRF - теперь включен в Broken Access Control (A01), что показывает стремление OWASP группировать уязвимости по корневым причинам, а не по симптомам.
• Security Misconfiguration (A02) резко поднялся в рейтинге (с #5 до #2). Это отражает реальность: все больше логики приложений завязано на конфигурации, и ошибки здесь становятся критичными.

📈 Тренды и смещения
• Фокус на корневых причинах: OWASP старается описывать не последствия (например, «утечка данных»), а первопричины - криптографические ошибки, неправильные настройки, слабый дизайн.
• Рост значимости цепочек поставок: атаки на зависимости и CI/CD стали одним из главных рисков, хотя пока их трудно массово тестировать.
• Логирование и алертинг (A09) остаются в списке, но акцент смещён на то, что без оповещений даже качественные логи мало полезны.

🤖 Новый тренд: OWASP Top 10 для LLM‑приложений
Параллельно OWASP запустил отдельный проект для Large Language Model Applications. В версии 2025 выделены специфические угрозы генеративного ИИ:
• Prompt Injection и обход ограничений.
• Data Leakage через ответы модели.
• Model Theft / Poisoning - компрометация самой модели или её обучения.
• Over‑reliance on AI - риск, когда бизнес‑логика полностью доверяет LLM без валидации.
Этот список отражает новый пласт угроз, связанных с массовым внедрением ИИ в бизнес‑процессы.

📌 Итог: OWASP Top 10 2025 усилил внимание к конфигурациям и цепочкам поставок, добавил обработку исключений как отдельный риск, а параллельно появился новый список для LLM‑приложений - сигнал, что безопасность ИИ становится таким же приоритетом, как классические веб‑угрозы.

🌐Ссылки:
https://owasp.org/Top10/2025/0x00_2025-Introduction

https://genai.owasp.org/resource/owasp-top-10-for-llm-applications-2025

🧠 ИИ в руках хакеров: атаки нового поколения или новая реальность.

ИИ перестал быть игрушкой или помощником для разработчиков - теперь его используют APT в реальных атаках. Google Threat Intelligence зафиксировал первые кампании, где LLM встроен прямо в вредоносное ПО.

🌍 Что нашли аналитики:
• PROMPTFLUX - dropper, который переписывает себя через Gemini API.
• PROMPTSTEAL - ворует данные, генерируя команды через Hugging Face.
• QUIETVAULT - охотится за токенами GitHub/NPM и секретами в коде.
• COLDRIVER, VOLTZITE, NORTHSTAR - используют ИИ для фишинга, разведки и генерации payload'ов.

🛠️ 🎭 Соц. инженерия нового уровня:
Злоумышленники притворяются студентами, преподавателями и CTF-участниками, чтобы обмануть защиту моделей и получить доступ к запрещенным prompt'ам.

В даркнете уже продаются ИИ-сервисы «под ключ»: генерация фишинга, поиск уязвимостей, API-доступ.

Это значит, что ИИ становится частью криминальной экономики - доступен каждому, кто готов платить.
Атаки будут меняться на лету: код переписывается прямо во время выполнения.

❓ Что делать с этим всем?
1. Следить за тем, как ИИ используется в атаках - это новая плоскость угроз.
2. Усилить контроль над собственными prompt'ами и API-доступом, в тч MCP.
3. Проверять код и инфраструктуру на признаки «живого» переписывания.
4. С учетом постоянных репортов о байпасах разных моделей, использования IDOR и других CVE - данные выложенные в облачные модели однозначно потекут. Использовать OnDemand LLM.
5. Готовиться к тому, что фишинг и малварь будут выглядеть всё более «человечно» и атаки которые будет отследить все сложнее и сложнее классическому АВПО.

📎 Подробнее в статье

(ZDI-CAN-25373) - Непатченная уязвимость Windows в активной эксплуатации (PlugX)

Суть уязвимости:
Критическая уязвимость в обработке Windows LNK файлов (ярлыков). Позволяет скрывать вредоносные аргументы командной строки в поле Target через добавление пробелов, делая их невидимыми в стандартном UI Windows.

История эксплуатации:
Активно используется APT группами из КНДР, Ирана, России, Китая с 2017 года
Публично раскрыта Trend Micro ZDI в марте 2025

Текущая кампания (сентябрь-октябрь 2025):
Атрибуция: UNC6384
Цели: дипломатические структуры ЕС (Венгрия, Бельгия, Италия, Нидерланды) и авиационные департаменты правительства Сербии

Вектор атаки:
Spearphishing с встроенным URL,
Доставка вредоносных LNK файлов (темы: встречи Еврокомиссии, семинары НАТО),
Запуск обфусцированных PowerShell команд, Многоступенчатая цепочка заражения,
Развертывание PlugX RAT через DLL side-loading легитимных утилит Canon

Позиция Microsoft :-)
Уязвимость зарегистрирована ZDI в сентябре 2024, Microsoft отказалась выпускать патч, считая что не соответствует критериям обслуживания

Предлагаемая защита: Microsoft Defender + Smart App Control и возможно исправление в будущих feature релизах

Индикаторы компрометации:
LNK файлы с аномально длинным Target полем
DLL side-loading через cnmpaui.exe, cnmpauix.exe, cnmplog.dat
HTA файлы с загрузкой JS с CloudFront URL
Инфраструктура C2 на базе CloudFront

Рекомендации:
Блокировка LNK файлов на периметре
Мониторинг аномальных запусков PowerShell через LNK
Контроль DLL side-loading легитимных процессов
Анализ исходящих подключений к CloudFront CDN

https://github.com/advisories/GHSA-6rf6-f9qg-8v94

🔐 5 AI-инструментов для проверки безопасности сайта и кода

Хочешь проверить сайт или код на уязвимости без глубоких знаний в кибербезопасности?
Вот нейросервисы, которые помогут это сделать 👇

1️⃣ PentestGPT — нейросеть, которая проводит автоматический пентест сайта и выдает список найденных уязвимостей.
🔗 https://pentestgpt.ai

2️⃣ Astra Security AI — инструмент для сканирования сайтов, API и серверов на угрозы.
🔗 https://www.getastra.com

3️⃣ CodeQL by GitHub — AI-анализатор исходного кода. Помогает находить SQL-инъекции, XSS и другие уязвимости.
🔗 https://codeql.github.com

4️⃣ GuardRails AI — анализ кода прямо в GitHub, GitLab или Bitbucket с рекомендациями по исправлению.
🔗 https://www.guardrails.io

5️⃣ OWASP AI Security Testing Assistant — open-source помощник, использующий LLM для аудита приложений и обучения безопасной разработке.
🔗 https://owasp.org

---

💡 Подпишись на канал TechFix-НЕЙРО там я регулярно делюсь AI-инструментами.
👉 https://t.me/TechFix001

🚨 Уязвимость в Squid Proxy Information Disclosure in Error handling(CVE-2025-62168 | GHSA-c8cc-phh7-xmxr)

При обработке ошибок прокси может раскрывать логины, пароли или токены. Это происходит потому, что данные аутентификации не всегда скрываются в ответах. В итоге злоумышленник может получить доступ к учётным данным даже без включённой HTTP‑авторизации.

Уязвимы все версии до 7.2.

🛡️ Что делать:
Обновиться до Squid 7.2+.
Если обновление пока невозможно:
В squid.conf добавить email_err_data off
Ограничить доступ к прокси только доверенными IP.

🔎 Чекер + PoC: github.com/monzaviman/CVE-2025-62168

📎 Подробнее: GitHub Advisory

🚨 Новая уязвимость URL Rewrite Bypass в Apache Tomcat (CVE-2025-55752)
CVSS 7.5

В свежих версиях Tomcat нашли проблему с обработкой адресов. Из‑за ошибки в механизме переписывания URL можно обойти защиту и получить доступ к служебным папкам (WEB-INF, META-INF).

Если на сервере разрешены PUT‑запросы, злоумышленник может загрузить свои файлы и в итоге выполнить произвольный код на сервере (RCE). Даже без PUT остается риск утечки конфиденциальных данных.

🔍 Затронутые версии:
• Tomcat 11.0.0-M1 → 11.0.10
• Tomcat 10.1.0-M1 → 10.1.44
• Tomcat 9.0.0.M11 → 9.0.108
• EOL: 8.5.6 → 8.5.100

📎 Подробнее: CVE-2025-55752

XSS Bypass Cloudflare Payload:

">

Linkedin сам себя сломал…

🚨 WSUS под угрозой: CVE-2025-59287 (CVSS 9.8)

Критическая RCE-уязвимость в WSUS: небезопасная десериализация cookie позволяет удалённому атакующему выполнить код с правами SYSTEM без аутентификации.

🔧 Срочно патчите!
Детали: https://hawktrace.com/blog/CVE-2025-59287
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287