Власти Великобритании после долгих инсинуаций отказались от требований к Apple по ослаблению шифрования и реализации бэкдора для доступа к зашифрованным облачным данным.

Сделать это пришлось под давлением правительства США, крайне негативно отреагировавшем на возможный доступ к защищенным данным своих граждан.

Директор Национальной разведки США (DNI) Тулси Габбард в своем заявлении отметила, что в течение последних нескольких месяцев правительство США тесно работало с партнерами из Великобритании, отстаивая гражданские свободы американцев.

Тем не менее, в начале февраля Apple была вынуждена отключить опцию Advanced Data Protection (ADP) для iCloud в Великобритании в ответ на запрос местного правительства предоставить доступ к зашифрованным пользовательским данным.

Секретное распоряжение, обязывающее Apple внедрить бэкдор, было оформлено в форме уведомления о технических возможностях (TCN) Министерства внутренних дел Великобритании в соответствии с Законом о полномочиях следствия (IPA) для обеспечения неограниченного доступа к сквозному шифрованию облачных данных, даже для пользователей за пределами страны.

Распоряжение было вынесено в январе 2025 года и вызвало резкую критику со стороны представителей инфосек-сообщества, сетовавших на то, что подобные лазейки могут просочиться в киберподполье или попасть в руки разработчикав spyware со всеми вытекающими.

После чего Apple подала апелляцию с требованиями проверки законности постановления, а Трибунал по расследованию полномочий (IPT) отклонил попытки МВД сохранить разбирательство в тайне.

В дело также вмешались американские сенаторы, а американская разведка вовсе пригрозила сворачиванием каналов взаимодействия по линии спецслужб. В итоге пришлось британским спецслужбам дать заднюю.

Но самое интересное, что кроме Apple никаких требований доступа к данным клиентов в глаза не видели ни в Google, сообщившая об этом в конце прошлого месяца, ни в Meta (признана в РФ экстремистской).

Во всяком случае - так говорят официально, но как знать.

Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT.

Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype.

Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2.

Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию.

GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT.

Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами.

Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41).

SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом.

DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT.

Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов.

Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer.

Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте.

Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT.

Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки.

При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif.

Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.

официально опровергла сообщение в отношении 0-day в ее системе Defend Endpoint Detection and Response (EDR).

Заявление компании последовало в ответ на публикацию в блоге компании AshES Cybersecurity, в которой утверждается, что в Elastic Defend обнаружена уязвимость удаленного выполнения кода (RCE), позволяющая злоумышленнику обойти защиту EDR.

Как сообщается, команда Elastic Security Engineering «провела тщательное расследование», но не смогла найти «доказательств, подтверждающих заявления об уязвимости, которая обходит мониторинг EDR и позволяет удаленно выполнять код».

Согласно отчету AshES Cybersecurity от 16 августа, уязвимость разыменования указателя NULL в драйвере ядра Elastic Defender (elastic-endpoint-driver.sys) может быть использована для обхода мониторинга EDR, обеспечения RCE с ограниченной видимостью и обеспечения персистентности в системе.

Причем для демонстрации концепции исследователь AshES Cybersecurity использовал специальный драйвер, чтобы достоверно активировать уязвимость в контролируемых условиях.

Чтобы продемонстрировать обоснованность выводов, компания опубликовала даже два видеоролика: один из них демонстрирует сбой Windows из-за сбоя драйвера Elastic, а другой демонстрирует предполагаемый эксплойт, запускающий calc.exe без принятия мер Defend EDR от Elastic.

Исследователи отметили, что 0-day драйвера Elastic - это не просто ошибка стабильности. Она позволяет реализовать целую цепочку атак, которую злоумышленники могут использовать в реальных средах.

В свою очередь, после оценки заявлений и отчетов AshES Cybersecurity специалисты Elastic не смогли воспроизвести уязвимость и ее последствия.

Кроме того, Elastic утверждает, что в многочисленных отчетах, полученных от AshES Cybersecurity о предполагаемой уязвимости нулевого дня, «отсутствуют доказательства воспроизводимых эксплойтов», а сами исследователи якобы отказались предоставить воспроизводимый PoC.

AshES Cybersecurity подтвердила свое решение не отправлять PoC компании Elastic или ее представителям, на что последняя назвала их действия «противоречащими принципам координированного раскрытия информации».

По всей видимости, возникли разногласия по поводу выплат в рамках программы вознаграждения, по которой в принципе начиная с 2017 года Elastic произвела платежи на сумму в размере 600 000 долл.

Как бы то ни было, уверены, что в киберподполье проведут собственный инжиниринг и рассудят стороны своими методами.

Но будем посмотреть, конечно.

представили серию исправлений для Chrome и Firefox, в том числе для уязвимостей высокой степени серьезности.

Выпущена новая версия Chrome 139 с устранением серьезной проблемы записи за пределами выделенной памяти в движке JavaScript V8, которая отслеживается как CVE-2025-9132.

Уязвимость могла эксплуатироваться удаленно с помощью специально созданных HTML-страниц. Ее обнаружил агент Google Big Sleep AI, запущенный Google DeepMind и Project Zero в ноябре 2024 года.

Google не раскрыла подробностей об уязвимости CVE-2025-9132, но в прошлом месяце отмечала, что Big Sleep способен находить уязвимости, о которых злоумышленники уже знают и планируют использовать в своих атаках, что позволяет отрасли препятствовать их эксплуатации.

Исправления уязвимости V8 были включены в версии Chrome 139.0.7258.138/.139 для Windows и macOS, а также в версию 139.0.7258.138 для Linux, которые вскоре должны стать доступны всем пользователям.

Mozilla выпустила исправления для девяти уязвимостей безопасности Firefox, пять из которых были оценены как высокосерьёзные.

Также были выпущены новые версии Thunderbird и Firefox ESR для устранения некоторых из этих ошибок.

К уязвимостям высокой степени серьезности относятся проблема повреждения памяти в процессе GMP, приводящая к выходу из «песочницы» (CVE-2025-9179), обход политики единого источника в графическом компоненте (CVE-2025-9180) и несколько ошибок безопасности памяти, которые потенциально могут привести к RCE (CVE-2025-9187, CVE-2025-9184 и CVE-2025-9185).

Оставшиеся недостатки, исправленные в этой версии Firefox, включают в себя проблему неинициализированной памяти средней степени серьезности, а также ошибки спуфинга и DoS низкой степени.

Исправления этих уязвимостей безопасности были включены в Firefox 142, Thunderbird 142, Thunderbird 140.2, Thunderbird 128.14, Firefox для iOS 142, Focus для iOS 142, Firefox ESR 140.2, Firefox ESR 128.14 и Firefox ESR 115.27.

Google и Mozilla не упоминают об использовании каких-либо из этих уязвимостей в атаках, но пользователям рекомендуется как можно скорее обновить свои браузеры и почтовые клиенты.