Выявлен новый тип атак через iMessage в iOS
🔍 Специалисты с конца 2024 года фиксировали серию необычных инцидентов на iPhone представителей политических кампаний, СМИ и правительств США и ЕС. Анализ выявил крайне редкие сбои iOS, характерные для Zero Click атак через iMessage — класса эксплойтов, не требующих взаимодействия пользователя.
⚙️ Форензика скомпрометированных устройств позволила обнаружить неизвестную уязвимость в системном процессе «imagent», получившую обозначение NICKNAME. Механизм атаки связан с функцией установки никнеймов в контактах iOS — при отправке большого числа быстрых обновлений возникает ошибка use-after-free, позволяющая выполнить произвольный код.
🎯 Сбои были зафиксированы исключительно на устройствах высокоценных целей — лишь в 0.0001% логов из 50 000 проанализированных iPhone. Все жертвы либо ранее подвергались атакам группировки Salt Typhoon, либо занимались деятельностью, представляющей интерес для китайских властей.
#ios #iphone #уязвимость #безопасность
@ZerodayAlert
#ios #iphone #уязвимость #безопасность
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Назвал себя — и стал мишенью: iPhone ломают через никнеймы в iMessage
Сбой в 0.0001% айфонов раскрыл масштабную кибератаку.
❤5🤔3👍2
Защита на словах: как Secure Boot подставил миллионы компьютеров
🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.
💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.
📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?
#secureboot #uefi #уязвимость #инфобез
@ZerodayAlert
🔍 Secure Boot задумывался как самая первая линия обороны — ещё до запуска операционной системы. Но на практике именно в этот момент ОС оказывается уязвима. Подписанная Microsoft BIOS-утилита, созданная для одного устройства, благодаря универсальному сертификату внезапно стала работать на любом ПК. Это открывает прямой путь к внедрению вредоносного кода до старта ядра.
💣 Суть уязвимости CVE-2025-3052 — в работе с переменной IhisiParamBuffer, записываемой в энергонезависимую память. Отсутствие валидации позволяет атакующему с правами администратора подменить поведение загрузки. По сути, эксплойт выключает Secure Boot, давая зелёный свет буткиту — вредоносному загрузчику, невидимому для антивирусов и самой ОС.
📉 Проблема не в баге, а в доверительной архитектуре. Один подписанный компонент ломает всю модель. Обновление dbx частично закрывает дыру, но фундаментальные вопросы остаются: стоит ли по-прежнему полагаться на централизованную модель доверия, если она не защищает даже на этапе загрузки?
#secureboot #uefi #уязвимость #инфобез
@ZerodayAlert
SecurityLab.ru
Система в домене, всё по ГОСТу, Secure Boot включён. Зато троян на уровне UEFI, и система уже не ваша.
Microsoft подписала смертный приговор вашей безопасности — и даже не заметила.
👍7
Встроенные утилиты Windows использовались для скрытого взлома
🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.
🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?
🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.
#horusagent #stealthfalcon #webdav #windows
@ZerodayAlert
🧩 Уязвимость CVE-2025-33053 — не просто ошибка в обработке пути. Это иллюстрация более широкой проблемы: среды выполнения и приоритетов поиска исполняемых файлов в Windows. Возможность заставить «iediagcmd.exe» обратиться не к системному каталогу, а к внешнему WebDAV-серверу, открывает путь к любой замене — при этом сама утилита подписана и не вызывает подозрений.
🧠 Такая схема требует не только инженерного расчёта, но и стратегического понимания, как можно встроиться в доверенный контекст. Не используется ни один традиционный скрипт — атака полностью строится на встроенных компонентах ОС. Это возвращает нас к старому, но снова актуальному вопросу: насколько безопасна сама операционная среда без внешних загрузчиков?
🧱 Тот факт, что PDF инициирует запуск C++-загрузчика с внедрением в Edge через ZwAllocateVirtualMemory — это не эстетика вредоносного кода, это архитектурное оружие. Его целью может быть не только компрометация, но и обход любых механизмов защиты, построенных на мониторинге внешней активности.
#horusagent #stealthfalcon #webdav #windows
@ZerodayAlert
SecurityLab.ru
Египетский бог с головой сокола теперь живёт в вашем Edge — но это не мифология, а новый 0day
PDF не виноват — просто в него вселился демон с WebDAV-сервера.
😢2💩1🕊1
Zero-Click в Copilot
📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.
🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.
📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.
#copilot #zeroclick #уязвимость #ии
@ZerodayAlert
📎 EchoLeak — первая уязвимость, где искусственный интеллект сам инициирует утечку. Пользователь ничего не открывает, не нажимает и не подозревает. А Copilot уже отправил часть внутренних данных за пределы компании.
🧬 Вся атака строится на обмане модели: обычное письмо проходит фильтры и ждёт, пока сотрудник обратится к ИИ. В этот момент включается RAG, подгружает текст, и LLM вставляет чувствительную информацию в ответ. Markdown-ссылка уходит наружу — браузер открывает её автоматически.
📉 Microsoft устранила уязвимость, но фундаментальные риски остались. ИИ слишком широк в восприятии, а защита — слишком узка. Без контроля контекста и фильтрации запросов такие атаки станут частью новой реальности.
#copilot #zeroclick #уязвимость #ии
@ZerodayAlert
SecurityLab.ru
Copilot вспомнил слишком много — и без колебаний слил всё незнакомцам
Данные ушли не потому, что кто-то кликнул, а потому, что кто-то спросил.
😁5❤3🔥2
Apple закрыла брешь, используемую для скрытых Zero Click атак через iCloud
🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.
🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.
⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.
#apple #уязвимость #шпионскоепо #журналисты
@ZerodayAlert
🔒Apple устранила уязвимость CVE-2025-43200 в приложении Messages 10 февраля 2025 года. Ошибка позволяла проводить zero-click атаки через специально подготовленные iCloud-ссылки без взаимодействия с пользователем.
🎯 Брешь использовалась для заражения iPhone двух европейских журналистов шпионским ПО Graphite. Инструмент слежки разработан израильской компанией Paragon и позволяет получать доступ к сообщениям, камере, микрофону и местоположению устройства.
⚖️ После скандала компания Paragon объявила о прекращении всех контрактов с итальянскими государственными структурами. Италия отказалась от независимой проверки использования Graphite, сославшись на соображения национальной безопасности.
#apple #уязвимость #шпионскоепо #журналисты
@ZerodayAlert
SecurityLab.ru
CVE-2025-43200: iPhone больше не нужен хакеру — теперь он нужен государству
iCloud стал туннелем для шпионов.
❤5🤔1
CISA официально признала опасную уязвимость ядра Linux активно эксплуатируемой
🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.
⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.
📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.
#linux #cisa #уязвимость #кибербезопасность
@ZerodayAlert
🚨 Американское агентство по кибербезопасности CISA добавило в список активно эксплуатируемых уязвимостей опасную дыру в ядре Linux — CVE-2023-0386. Это баг в подсистеме OverlayFS, который хакеры активно используют в реальных атаках, хотя патч вышел ещё в начале 2023 года.
⚙️ Уязвимость позволяет атакующему создать файл с флагом SUID в директории вроде /tmp и получить полные права root-пользователя. Такой способ атаки настолько простой, что его легко автоматизировать и использовать в массовых кампаниях — именно это и показало исследование Datadog.
📅 Из-за растущих рисков CISA обязала все федеральные ведомства поставить обновления до 8 июля 2025 года. Под угрозой особенно серверы с публичным доступом, облачные платформы и CI/CD-системы, которые зависят от правильной работы механизмов изоляции Linux.
#linux #cisa #уязвимость #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Ты не скачивал вирус. Не открывал вложения. Просто был на сервере с Linux — а root уже у чужака в руках
Всё, что нужно злоумышленнику — немного терпения и забытый баг в OverlayFS.
😱8👍3🤩2🐳1
🔧 Архиватор стал точкой входа: WinRAR снова под угрозой
🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.
🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.
🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.
#winrar #cve #уязвимость #безопасность
@ZerodayAlert
🗂 Уязвимость CVE-2025-6218 в WinRAR — наглядное напоминание, что даже привычные утилиты могут стать элементом атаки. Благодаря манипуляциям с путями внутри архива злоумышленник получает возможность подкинуть файлы прямиком в автозагрузку или системные каталоги Windows. И это срабатывает без всплывающих предупреждений.
🔍 Технический нюанс — обход стандартного поведения архиватора за счёт поддельных относительных путей. Сценарий кажется простым: пользователь распаковывает архив — троян сам устанавливает себя в нужное место. Причём эксплойт работает с правами текущего пользователя, что вполне достаточно для кражи паролей и скрытого удержания доступа.
🛡 Исправление уже доступно, но привычка игнорировать обновления — самая уязвимая часть безопасности. Особенно учитывая популярность WinRAR и постоянное внимание к нему со стороны атакующих. Если ещё не обновились — самое время.
#winrar #cve #уязвимость #безопасность
@ZerodayAlert
SecurityLab.ru
Хакеры нашли способ превратить каждый ZIP в бомбу — спасибо, WinRAR
Обновите свой WinRAR как можно скорее!
❤7👍3😁1
🛡 Офисные устройства — новый рубеж в атаке на инфраструктуру
📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.
🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.
💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.
#brother #уязвимости #инфобезопасность #сетевыеугрозы
@ZerodayAlert
📠 Слабые звенья давно переместились за пределы серверных. Теперь точкой входа в вашу сеть может стать... обычный принтер. Особенно если его пароль сгенерирован по наивному, легко просчитываемому алгоритму — как в случае с уязвимостью CVE-2024-51978.
🧩 Проблема гораздо шире, чем кажется. Помимо уязвимости с паролем, эксперты нашли ещё семь лазеек — от утечки данных до полного сбоя устройств. Все они могут быть объединены злоумышленниками в цепочку для комплексной атаки.
💡 Вывод прост, но тревожен: периферия давно вышла из-под внимания IT-служб, а производители продолжают экономить на безопасности. Пришло время пересмотреть подход к защите даже самых "обычных" устройств.
#brother #уязвимости #инфобезопасность #сетевыеугрозы
@ZerodayAlert
SecurityLab.ru
Купили принтер Brother? Поздравляем — вы спонсируете хакерские атаки на свой офис
742 модели Brother, Fujifilm и Toshiba превратились в цифровые мегафоны для хакеров. Угадайте, что они транслируют.
🤡3
📡 Bluetooth снова под прицелом — теперь через наушники
💡 Вы думали, что уязвимые "умные" устройства — это камеры и замки? А как насчёт ваших наушников? Оказалось, что популярные модели с чипами Airoha несут куда больший риск, чем просто перехват музыки. Через эти уязвимости злоумышленник может заполучить контроль над вашим смартфоном.
⚙️ Проблема кроется в глубокой архитектуре: отсутствие проверки соединений, слабые протоколы и возможность извлечения ключей связи. Сценарии атак уже продемонстрированы — подмена устройств, перехват вызовов и превращение смартфона в микрофон для шпионажа.
🔧 Производители пока только готовят обновления, а пользователи остаются без защиты. Особенно опасна перспектива скрытой перепрошивки устройств, когда Bluetooth-уязвимость превращается в платформу для "самораспространяющихся" вредоносных программ.
#bluetooth #уязвимость #прослушка #гаджеты
@ZerodayAlert
💡 Вы думали, что уязвимые "умные" устройства — это камеры и замки? А как насчёт ваших наушников? Оказалось, что популярные модели с чипами Airoha несут куда больший риск, чем просто перехват музыки. Через эти уязвимости злоумышленник может заполучить контроль над вашим смартфоном.
⚙️ Проблема кроется в глубокой архитектуре: отсутствие проверки соединений, слабые протоколы и возможность извлечения ключей связи. Сценарии атак уже продемонстрированы — подмена устройств, перехват вызовов и превращение смартфона в микрофон для шпионажа.
🔧 Производители пока только готовят обновления, а пользователи остаются без защиты. Особенно опасна перспектива скрытой перепрошивки устройств, когда Bluetooth-уязвимость превращается в платформу для "самораспространяющихся" вредоносных программ.
#bluetooth #уязвимость #прослушка #гаджеты
@ZerodayAlert
SecurityLab.ru
Ты слушаешь музыку — хакеры слушают тебя. Marshall, Bose, Jabra и Sony уязвимы
У вас Bose, Sony или JBL? Ваш любимый бренд может следить за вами прямо сейчас.
👍4🤔3
🔒 Ещё одна 0day-брешь в Chrome: что скрывается за CVE-2025-6554?
🛠 Google снова закрывает дыру в безопасности браузера Chrome — и не просто теоретическую, а активно эксплуатируемую. Ошибка типа «путаница типов» (Type Confusion) в движке V8 — классическая лазейка, через которую можно запустить произвольный код прямо в вашей системе. В этот раз уязвимость уже попала на вооружение злоумышленников.
🎯 Почему это важно? Потому что движок V8 — сердце не только Chrome, но и всего, что построено на Chromium: от Edge до Яндекс Браузера. Ошибки такого уровня — это не просто сбои, а реальная возможность вмешательства в работу устройства, обхода изоляции процессов и установки шпионских программ без ведома пользователя. И, что особенно тревожно, проблема вскрылась благодаря команде Google TAG, которая обычно ловит следы кибершпионов и спецслужб.
📉 Обновления вышли, но CVE-2025-6554 — уже четвёртая подобная угроза в этом году. Это явно не случайность, а тревожный тренд: атакующие активно тестируют границы защищённости браузеров. Если вы работаете с конфиденциальной информацией — обновление должно быть для вас приоритетной задачей.
#chrome #v8 #уязвимость #обновления
@ZerodayAlert
🛠 Google снова закрывает дыру в безопасности браузера Chrome — и не просто теоретическую, а активно эксплуатируемую. Ошибка типа «путаница типов» (Type Confusion) в движке V8 — классическая лазейка, через которую можно запустить произвольный код прямо в вашей системе. В этот раз уязвимость уже попала на вооружение злоумышленников.
🎯 Почему это важно? Потому что движок V8 — сердце не только Chrome, но и всего, что построено на Chromium: от Edge до Яндекс Браузера. Ошибки такого уровня — это не просто сбои, а реальная возможность вмешательства в работу устройства, обхода изоляции процессов и установки шпионских программ без ведома пользователя. И, что особенно тревожно, проблема вскрылась благодаря команде Google TAG, которая обычно ловит следы кибершпионов и спецслужб.
📉 Обновления вышли, но CVE-2025-6554 — уже четвёртая подобная угроза в этом году. Это явно не случайность, а тревожный тренд: атакующие активно тестируют границы защищённости браузеров. Если вы работаете с конфиденциальной информацией — обновление должно быть для вас приоритетной задачей.
#chrome #v8 #уязвимость #обновления
@ZerodayAlert
SecurityLab.ru
Обновите Chrome немедленно: обнаружена уязвимость нулевого дня с рабочим эксплойтом
Исправление уже вышло, но когда хакеров это останавливало?
🤡5❤4🤮1
0️⃣ Обнаружена эксплуатация новой 0day уязвимости в серверах Exchange
🔓 Кибергруппировка NightEagle эксплуатирует ранее неизвестную 0day уязвимость в Microsoft Exchange для получения machineKey сервера. С помощью этого ключа хакеры проводят удалённую десериализацию и устанавливают вредоносное ПО на серверы любой совместимой версии Exchange.
🎯 Группа целенаправленно атакует ведущие китайские компании в сфере высоких технологий, производства чипов, квантовых разработок и искусственного интеллекта. Для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки.
💻 Хакеры используют уникальный вредонос, работающий исключительно в памяти и остающийся невидимым для систем защиты. Все атаки происходят строго с 21:00 до 6:00 по пекинскому времени, что указывает на вероятное происхождение группы из Северной Америки.
#0day #exchange #кибератаки #китай
@ZerodayAlert
🔓 Кибергруппировка NightEagle эксплуатирует ранее неизвестную 0day уязвимость в Microsoft Exchange для получения machineKey сервера. С помощью этого ключа хакеры проводят удалённую десериализацию и устанавливают вредоносное ПО на серверы любой совместимой версии Exchange.
🎯 Группа целенаправленно атакует ведущие китайские компании в сфере высоких технологий, производства чипов, квантовых разработок и искусственного интеллекта. Для подбора нужной версии Exchange злоумышленники последовательно перепробовали все популярные версии на рынке, демонстрируя высокий уровень подготовки.
💻 Хакеры используют уникальный вредонос, работающий исключительно в памяти и остающийся невидимым для систем защиты. Все атаки происходят строго с 21:00 до 6:00 по пекинскому времени, что указывает на вероятное происхождение группы из Северной Америки.
#0day #exchange #кибератаки #китай
@ZerodayAlert
SecurityLab.ru
Китай атакован. Американский 0day в Exchange обнулил защиту китайских технологий
Проверьте логи до рассвета.
🤡4❤3👍1
⚠️ Размытые границы привилегий: TSA бьёт по актуальным процессорам AMD
🧠 В чём суть проблемы? TSA демонстрирует, что даже строгое разграничение прав на уровне ОС и гипервизоров может быть обойдено. Уязвимость проявляется не на уровне логики программ, а в самой сути исполнения инструкций — при ложной интерпретации статуса операций загрузки данных.
🔬 Почему это тревожно? Потому что подобные ошибки нельзя «залатать» патчем — они встроены в само поведение процессора. Преждевременный доступ к кэшам или регистраторам — результат микрооптимизаций, которые в погоне за скоростью оборачиваются риском. И TSA-SQ с TSA-L1 как раз показывают, где тонко.
📉 Тренд, который нельзя игнорировать — развитие побочных каналов из «экзотики» превращается в системную угрозу. От Meltdown до TSA: атаки становятся всё более узкоспециализированными, но и более реалистичными. Каждое новое открытие — это не просто уязвимость, а звоночек к пересмотру архитектурных приоритетов.
#amd #tsa #cpu #уязвимость
@ZerodayAlert
🧠 В чём суть проблемы? TSA демонстрирует, что даже строгое разграничение прав на уровне ОС и гипервизоров может быть обойдено. Уязвимость проявляется не на уровне логики программ, а в самой сути исполнения инструкций — при ложной интерпретации статуса операций загрузки данных.
🔬 Почему это тревожно? Потому что подобные ошибки нельзя «залатать» патчем — они встроены в само поведение процессора. Преждевременный доступ к кэшам или регистраторам — результат микрооптимизаций, которые в погоне за скоростью оборачиваются риском. И TSA-SQ с TSA-L1 как раз показывают, где тонко.
📉 Тренд, который нельзя игнорировать — развитие побочных каналов из «экзотики» превращается в системную угрозу. От Meltdown до TSA: атаки становятся всё более узкоспециализированными, но и более реалистичными. Каждое новое открытие — это не просто уязвимость, а звоночек к пересмотру архитектурных приоритетов.
#amd #tsa #cpu #уязвимость
@ZerodayAlert
SecurityLab.ru
Чем мощнее ваш геймерский AMD, тем легче хакерам похитить ваши пароли
Производители случайно создали архитектуру, которая шпионит за собственными владельцами.
👍8🤡2
0-day пробил Nippon Steel: снова утечка, снова молчание
💣 Уязвимость в сетевом железе — и хакеры уже внутри. Nippon Steel, один из крупнейших металлургических концернов мира, снова стала жертвой атаки. Сотни тысяч персональных данных — партнёры, сотрудники, клиенты — оказались в чужих руках. Всё началось с 0-day бага, которым злоумышленники воспользовались ещё в марте. Пока бизнес обсуждал слияние с US Steel, кто-то уже читал рабочую переписку топ-менеджеров.
🕵️ В компании говорят, что всё под контролем: сервер отрубили, угрозу локализовали, облака не пострадали. Но есть нюанс — это второй инцидент за полгода. В феврале BianLian уже утащили 500 гигабайт данных и, по слухам, получили за это выкуп. Тогда страница с утечкой внезапно исчезла. Теперь всё повторяется по сценарию двойного шантажа — сначала взлом, потом молчание.
⚠️ Nippon Steel — глобальный игрок. А значит, атака на неё — это не просто про киберпреступность, а про бизнес и геополитику. Сегодня 0-day ломает сетевое устройство, а завтра рушит сделку на миллиарды. И если кто-то думает, что защита — это вопрос IT-отдела, то этот кейс — наглядный ответ.
#0day #ransomware #утечка #кибератака
@CyberStrikeNews
💣 Уязвимость в сетевом железе — и хакеры уже внутри. Nippon Steel, один из крупнейших металлургических концернов мира, снова стала жертвой атаки. Сотни тысяч персональных данных — партнёры, сотрудники, клиенты — оказались в чужих руках. Всё началось с 0-day бага, которым злоумышленники воспользовались ещё в марте. Пока бизнес обсуждал слияние с US Steel, кто-то уже читал рабочую переписку топ-менеджеров.
🕵️ В компании говорят, что всё под контролем: сервер отрубили, угрозу локализовали, облака не пострадали. Но есть нюанс — это второй инцидент за полгода. В феврале BianLian уже утащили 500 гигабайт данных и, по слухам, получили за это выкуп. Тогда страница с утечкой внезапно исчезла. Теперь всё повторяется по сценарию двойного шантажа — сначала взлом, потом молчание.
⚠️ Nippon Steel — глобальный игрок. А значит, атака на неё — это не просто про киберпреступность, а про бизнес и геополитику. Сегодня 0-day ломает сетевое устройство, а завтра рушит сделку на миллиарды. И если кто-то думает, что защита — это вопрос IT-отдела, то этот кейс — наглядный ответ.
#0day #ransomware #утечка #кибератака
@CyberStrikeNews
SecurityLab.ru
500 ГБ вчера, десятки тысяч жертв сегодня. Nippon Steel теряет контроль
Вторая атака, 0-day и крупнейшая в Японии металлургическая компания — снова на коленях.
🤡3
🛡 GPUHammer: уязвимость, которую нельзя исправить патчем
🚧 Не всё, что вычисляется — безопасно. GPUHammer — первая реализация RowHammer-атаки против графических ускорителей, и это делает её особенно опасной. В отличие от CPU, GPU часто работают в многопользовательских средах без должной изоляции. Это создаёт новые векторы атак, в том числе в арендуемых облаках и VDI.
🔎 Цель — сама структура модели. Один искажённый бит в весах ИИ может разрушить всю модель, а значит, речь идёт не просто о сбое, а о контролируемой деградации. Это открывает путь к новым формам атак: от отравления данных до подмены логики принятия решений. И самое опасное — всё это происходит ниже уровня операционной системы и инструментов мониторинга.
🧱 Архитектура становится уязвимостью. Даже если вы включите ECC, это лишь частично решит проблему — с потерями в производительности и объёме памяти. А другие современные атаки вроде CrowHammer указывают на то, что криптография, машинное обучение и инфраструктура доверия всё чаще бьются о границы аппаратной реальности. Нам нужно думать уже не о защите данных, а о защите самой возможности их обработки.
#hardwaresecurity #gpuhammer #искусственныйинтеллект #уязвимости
@ZerodayAlert
🚧 Не всё, что вычисляется — безопасно. GPUHammer — первая реализация RowHammer-атаки против графических ускорителей, и это делает её особенно опасной. В отличие от CPU, GPU часто работают в многопользовательских средах без должной изоляции. Это создаёт новые векторы атак, в том числе в арендуемых облаках и VDI.
🔎 Цель — сама структура модели. Один искажённый бит в весах ИИ может разрушить всю модель, а значит, речь идёт не просто о сбое, а о контролируемой деградации. Это открывает путь к новым формам атак: от отравления данных до подмены логики принятия решений. И самое опасное — всё это происходит ниже уровня операционной системы и инструментов мониторинга.
🧱 Архитектура становится уязвимостью. Даже если вы включите ECC, это лишь частично решит проблему — с потерями в производительности и объёме памяти. А другие современные атаки вроде CrowHammer указывают на то, что криптография, машинное обучение и инфраструктура доверия всё чаще бьются о границы аппаратной реальности. Нам нужно думать уже не о защите данных, а о защите самой возможности их обработки.
#hardwaresecurity #gpuhammer #искусственныйинтеллект #уязвимости
@ZerodayAlert
SecurityLab.ru
GPUHammer: самое мощное оружие против ИИ пряталось там, где его меньше всего ожидали
Даже мощнейшие видеокарты NVIDIA оказались беззащитны против новой атаки.
🤯7🔥4❤2😱1
В прошивке UEFI более 240 моделей плат Gigabyte обнаружены четыре критические уязвимости, позволяющие атакующему получить привилегии уровня System Management Mode. Это наивысший уровень доступа в x86-архитектуре, недоступный для операционной системы и традиционных средств защиты.
Ошибки касаются обработчиков OverClockSmiHandler, SmiFlash и доступа к SMRAM. Все они позволяют произвольную запись в защищённые области памяти, что может привести к установке стойкого вредоносного кода с сохранением даже после переустановки ОС. Проблема затрагивает платформу AMI и усугубляется тем, что патчи были доступны по NDA, а часть устройств уже признана устаревшими.
Вендор не выпустил публичных обновлений. Пользователям рекомендуется использовать инструмент Binarly Risk Hunt для выявления уязвимостей и проверять наличие прошивок вручную. В корпоративной и критической инфраструктуре наличие уязвимых плат следует считать фактором высокого риска.
#gigabyte #uefi #firmware #уязвимости
@ZerodayAlert
Please open Telegram to view this post
VIEW IN TELEGRAM
SecurityLab.ru
Что опаснее вируса и незаметнее для антивируса? Ваша материнка Gigabyte
Проверьте свою плату прямо сейчас — она может быть заражена.
👎4😁4🥱3❤1🤩1
📉 Песочница под угрозой: 0day-брешь в Chrome нарушает главный принцип браузерной безопасности
🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.
⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.
📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.
#chrome #google #браузер #кибератаки
@ZerodayAlert
🧱 Технология «песочницы» десятилетиями считалась краеугольным камнем безопасности браузеров. Но CVE-2025-6558 в Chrome нарушает этот принцип: злоумышленник может покинуть изолированную среду, просто подкинув вредоносный фрагмент в графический стек. Это не просто баг — это концептуальный удар по архитектуре безопасности браузера.
⚙️ Проекты вроде ANGLE выступают связующим звеном между веб-контентом и аппаратным обеспечением. И это тонкая прослойка, где одна ошибка — и вы уже не в браузере, а в ядре ОС. Такие уязвимости почти неотличимы от уязвимостей драйверов и при этом легко попадают в цепочки таргетированных атак.
📊 Мы наблюдаем тренд: уязвимости перемещаются ближе к аппаратному уровню, особенно в тех зонах, где разработчики привыкли полагаться на прослойки и абстракции. Защита «на верхах» уже не справляется. Нужно уделять внимание рендер-стекам, архитектуре драйверов и их взаимодействию с браузером как с системой, а не как с приложением.
#chrome #google #браузер #кибератаки
@ZerodayAlert
SecurityLab.ru
Побег из песочницы: Google экстренно закрывает брешь в защите Chrome
Одно посещение заражённого сайта — и хакеры уже в вашей системе.
🤡5😁4❤3
🦑 Критическая брешь в Squid: риск удалённого захвата сервера
🛑 RCE-уязвимость в Squid затрагивает один из базовых элементов интернет-инфраструктуры — HTTP-прокси, на котором держатся корпоративные сети, CDN и операторские шлюзы. Проблема кроется в переполнении буфера при обработке URN-запросов, что открывает путь к удалённому исполнению кода без аутентификации. Под ударом миллионы систем, где Squid служит звеном между клиентом и веб-сервером.
⚙️ Уязвимость охватывает почти все активно используемые версии, включая серии 4.x, 5.x и 6.x до выхода 6.4. Техническая особенность в том, что атака инициируется через малосложное сетевое соединение, а в процессе эксплуатации возможна утечка до 4 КБ оперативной памяти прокси, где могут находиться токены, ключи и другие чувствительные данные. Для атакующего это — возможность совместить удалённое выполнение кода с кражей критической информации в одном сценарии.
📉 Инцидент демонстрирует, что даже зрелые проекты с многолетней историей могут содержать уязвимости, критичные для всей экосистемы. Обновление до 6.4 или блокировка URN-запросов — минимальные меры, но стратегически важнее выстраивать постоянный процесс аудита сетевых компонентов, которые традиционно считались стабильными.
#squid #cve #уязвимость #прокси
@ZerodayAlert
🛑 RCE-уязвимость в Squid затрагивает один из базовых элементов интернет-инфраструктуры — HTTP-прокси, на котором держатся корпоративные сети, CDN и операторские шлюзы. Проблема кроется в переполнении буфера при обработке URN-запросов, что открывает путь к удалённому исполнению кода без аутентификации. Под ударом миллионы систем, где Squid служит звеном между клиентом и веб-сервером.
⚙️ Уязвимость охватывает почти все активно используемые версии, включая серии 4.x, 5.x и 6.x до выхода 6.4. Техническая особенность в том, что атака инициируется через малосложное сетевое соединение, а в процессе эксплуатации возможна утечка до 4 КБ оперативной памяти прокси, где могут находиться токены, ключи и другие чувствительные данные. Для атакующего это — возможность совместить удалённое выполнение кода с кражей критической информации в одном сценарии.
📉 Инцидент демонстрирует, что даже зрелые проекты с многолетней историей могут содержать уязвимости, критичные для всей экосистемы. Обновление до 6.4 или блокировка URN-запросов — минимальные меры, но стратегически важнее выстраивать постоянный процесс аудита сетевых компонентов, которые традиционно считались стабильными.
#squid #cve #уязвимость #прокси
@ZerodayAlert
SecurityLab.ru
Без аутентификации. Без действий. Просто пришёл и взломал: дыра в Squid
CVE-2025-54574 превращает обычный URN-запрос в оружие массового поражения.
👍4🔥3🤡1
SonicWall в осаде: Akira эксплуатирует неизвестную 0-day?
🔍 Группировка Akira в июле развернула настоящую охоту на SSL VPN от SonicWall, и картина выглядит тревожно. Злоумышленники подключаются не через обычных провайдеров, а через хостинг-платформы — хитрый трюк, который маскирует вредоносный трафик под облачную активность.
⚡️ После получения доступа злоумышленники работают по заранее отработанной схеме, которую исследователи отслеживают с октября 2024 года. Сначала полное уничтожение всех резервных копий — без права на восстановление, затем молниеносное шифрование критически важных данных. За год с небольшим хакеры выколотили из жертв более 42 миллионов долларов по данным ФБР.
🎯 Рекомендация Arctic Wolf временно отключить SSL VPN отражает серьёзность ситуации — исследователи фиксируют активные атаки с 15 июля и пока не могут точно определить вектор проникновения. В качестве альтернативных мер предлагается усилить мониторинг через расширенное ведение журналов и блокировку VPN-подключений с хостинговых адресов до выхода патчей.
#zeroday #sonicwall #вымогательство #уязвимость
@ZerodayAlert
🔍 Группировка Akira в июле развернула настоящую охоту на SSL VPN от SonicWall, и картина выглядит тревожно. Злоумышленники подключаются не через обычных провайдеров, а через хостинг-платформы — хитрый трюк, который маскирует вредоносный трафик под облачную активность.
⚡️ После получения доступа злоумышленники работают по заранее отработанной схеме, которую исследователи отслеживают с октября 2024 года. Сначала полное уничтожение всех резервных копий — без права на восстановление, затем молниеносное шифрование критически важных данных. За год с небольшим хакеры выколотили из жертв более 42 миллионов долларов по данным ФБР.
🎯 Рекомендация Arctic Wolf временно отключить SSL VPN отражает серьёзность ситуации — исследователи фиксируют активные атаки с 15 июля и пока не могут точно определить вектор проникновения. В качестве альтернативных мер предлагается усилить мониторинг через расширенное ведение журналов и блокировку VPN-подключений с хостинговых адресов до выхода патчей.
#zeroday #sonicwall #вымогательство #уязвимость
@ZerodayAlert
SecurityLab.ru
Фантомная 0-day в SonicWall. Akira ломают защиту и шифруют всё подряд, но как?
Заходят через VPN — выходят с заложниками.
🔥4👍2🤡1
0️⃣ Zero-Click-атака на ChatGPT: интеграция с внешними сервисами открывает новые векторы для взлома
🕵️ Исследователи продемонстрировали атаку AgentFlayer на систему Connectors в ChatGPT, которая позволяет боту просматривать файлы в Google Drive. Злоумышленники могут спрятать вредоносную инструкцию в обычном документе, используя белый цвет текста и минимальный размер шрифта — для человека она незаметна, но ИИ легко её прочтёт.
🔓 Для обхода защитного механизма url_safe исследователи использовали легитимные URL от Microsoft Azure Blob Storage. Когда пользователь просит ChatGPT подвести итоги встречи, модель следует скрытой инструкции и отправляет найденные API-ключи на сервер злоумышленников через поддельную ссылку на изображение.
🛡 OpenAI оперативно внедрила меры защиты после получения отчёта о проблеме, ограничив поведение Connectors в подобных сценариях. Google заявил, что развитие защит от промпт-инъекций стало одним из ключевых векторов стратегии информационной безопасности компании.
#chatgpt #промптинъекции #ии #кибербезопасность
@ZerodayAlert
🕵️ Исследователи продемонстрировали атаку AgentFlayer на систему Connectors в ChatGPT, которая позволяет боту просматривать файлы в Google Drive. Злоумышленники могут спрятать вредоносную инструкцию в обычном документе, используя белый цвет текста и минимальный размер шрифта — для человека она незаметна, но ИИ легко её прочтёт.
🔓 Для обхода защитного механизма url_safe исследователи использовали легитимные URL от Microsoft Azure Blob Storage. Когда пользователь просит ChatGPT подвести итоги встречи, модель следует скрытой инструкции и отправляет найденные API-ключи на сервер злоумышленников через поддельную ссылку на изображение.
🛡 OpenAI оперативно внедрила меры защиты после получения отчёта о проблеме, ограничив поведение Connectors в подобных сценариях. Google заявил, что развитие защит от промпт-инъекций стало одним из ключевых векторов стратегии информационной безопасности компании.
#chatgpt #промптинъекции #ии #кибербезопасность
@ZerodayAlert
SecurityLab.ru
Достаточно знать почту — и ChatGPT сливает всё. Да, это реальность
Один файл в Google Drive — и ваш ИИ стал шпионом.
😁7❤1👍1🤔1
🪲 Старая брешь, новые возможности для атак
🔍 Исходно описанный в 2022 году Retbleed считался опасным, но управляемым риском. Новая же реализация меняет картину: усовершенствованные методы спекулятивного исполнения позволяют считывать память произвольных процессов с высокой скоростью и точностью. На практике это означает, что атака может быть запущена из среды с минимальными правами — вплоть до браузерной песочницы.
🌐 Для дата-центров и облаков последствия критичны. Виртуальная машина, принадлежащая злоумышленнику, получает возможность читать содержимое памяти хост-системы и других виртуальных машин, минуя любые логические границы. Это подрывает основополагающую модель безопасности, на которой держится многопользовательская инфраструктура.
⚠️ Попытка защититься жёсткими барьерами ветвлений оборачивается колоссальными издержками: падение производительности может достигать 60 %. Для высоконагруженных систем это неприемлемо. История Retbleed показывает, что архитектурные изъяны не исчезают с течением времени, а, напротив, становятся инструментом всё более изощрённых атак.
#retbleed #amd #уязвимость #виртуализация
@ZerodayAlert
🔍 Исходно описанный в 2022 году Retbleed считался опасным, но управляемым риском. Новая же реализация меняет картину: усовершенствованные методы спекулятивного исполнения позволяют считывать память произвольных процессов с высокой скоростью и точностью. На практике это означает, что атака может быть запущена из среды с минимальными правами — вплоть до браузерной песочницы.
🌐 Для дата-центров и облаков последствия критичны. Виртуальная машина, принадлежащая злоумышленнику, получает возможность читать содержимое памяти хост-системы и других виртуальных машин, минуя любые логические границы. Это подрывает основополагающую модель безопасности, на которой держится многопользовательская инфраструктура.
⚠️ Попытка защититься жёсткими барьерами ветвлений оборачивается колоссальными издержками: падение производительности может достигать 60 %. Для высоконагруженных систем это неприемлемо. История Retbleed показывает, что архитектурные изъяны не исчезают с течением времени, а, напротив, становятся инструментом всё более изощрённых атак.
#retbleed #amd #уязвимость #виртуализация
@ZerodayAlert
SecurityLab.ru
Retbleed вернулся. И стал опаснее, чем в 2022-м
Хакеры нашли новые лазейки в глубинах архитектуры и теперь могут извлекать данные с пугающей скоростью.
🤯4❤1
🚀Кибербезопасность космических технологий под угрозой из-за уязвимостей в ПО
🛰 На конференции Black Hat исследователи из VisionSpace Technologies продемонстрировали возможность вывода спутников из строя через программные уязвимости. Этот метод оказался значительно дешевле и проще традиционного противоспутникового оружия.
📈 За последние два десятилетия количество активных спутников выросло с менее чем 1000 до примерно 12300 аппаратов. Основную долю составляют устройства Starlink, но также увеличилось число военных платформ на фоне геополитической напряженности.
🔓 В открытых системах управления спутниками обнаружены десятки критических уязвимостей, включая 5 в NASA Yamcs, 7 в OpenC3 Cosmos и 4 в Core Flight System. Некоторые из них позволяют получить полный контроль над орбитальными аппаратами через простые неаутентифицированные запросы.
#спутники #кибербезопасность #уязвимости #космос
@ZerodayAlert
🛰 На конференции Black Hat исследователи из VisionSpace Technologies продемонстрировали возможность вывода спутников из строя через программные уязвимости. Этот метод оказался значительно дешевле и проще традиционного противоспутникового оружия.
📈 За последние два десятилетия количество активных спутников выросло с менее чем 1000 до примерно 12300 аппаратов. Основную долю составляют устройства Starlink, но также увеличилось число военных платформ на фоне геополитической напряженности.
🔓 В открытых системах управления спутниками обнаружены десятки критических уязвимостей, включая 5 в NASA Yamcs, 7 в OpenC3 Cosmos и 4 в Core Flight System. Некоторые из них позволяют получить полный контроль над орбитальными аппаратами через простые неаутентифицированные запросы.
#спутники #кибербезопасность #уязвимости #космос
@ZerodayAlert
❤9🔥5🤡1