#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
В ходе атаки на PyPI по цепочке поставок, проведенной субъектом "cappership", в пакет "semantictypes" была встроена полезная нагрузка для кражи нажатия клавиши, влияющая на множество зависимостей. Он захватывает секретные ключи, изменяя функции генерации ключей в экосистеме Solana, шифруя их с помощью RSA-2048 и отправляя на удаленный сервер. Атака использует методы социальной инженерии для завоевания доверия, позволяя незаметно выполнять вредоносный код с помощью мягких обновлений.
-----

Исследовательская группа Socket по изучению угроз выявила сложную атаку цепочки поставок на индекс пакетов Python (PyPI), выполненную субъектом, использующим псевдоним "cappership". Эта атака включала внедрение полезной нагрузки для кражи нажатий клавиш в пакет Python под названием "semantictypes", который впоследствии сформировал транзитивные зависимости с пятью другими пакетами: "solana-keypair", "solana-publickey", "solana-mev-agent-py", "solana-trading-bot" и "lock".`. В результате простая установка любого из этих пакетов запускает установку и выполнение вредоносной полезной нагрузки из "semantictypes`.

Вредоносная программа работает с помощью методов генерации ключей с автоматическим исправлением ошибок в экосистеме Solana. В частности, она изменяет функции во время выполнения без изменения исходного кода. Каждый раз, когда создается пара ключей, вредоносная программа незаметно перехватывает закрытый ключ, шифрует его с помощью открытого ключа RSA-2048 и отправляет зашифрованный ключ, инкапсулированный в транзакцию "spl.memo", в Solana Devnet, что позволяет хакеру извлекать и расшифровывать эти ключи для несанкционированного доступа к уязвимым кошелькам. Эта скрытая операция гарантирует, что вредоносное ПО останется незамеченным пользователем и стандартными мерами безопасности.

Во время различных обновлений этих пакетов присутствие вредоносного ПО изначально скрывалось, поскольку для укрепления доверия разработчиков выпускались безопасные версии. Вредоносная функциональность была внедрена в более поздних версиях, особенно в январе 2025 года, что значительно расширило возможности атаки, поскольку зависимости обеспечивали выполнение кода даже в том случае, если вредоносный пакет не был явно импортирован. Более того, злоумышленник использовал передовые методы социальной инженерии, чтобы придать достоверность своим вредоносным пакетам, создавая безупречные файлы README и связывая их с законными онлайн-ресурсами, такими как Stack Overflow и GitHub. Это не только скрывало их злонамеренные намерения, но и использовало общие проблемы разработчиков для повышения доверия к их пакетам.

Атака соответствует задокументированной тактике в рамках MITRE ATT&CK, в частности, нацелена на компрометацию цепочки поставок (T1195.002), использование асимметричной криптографии для зашифрованной связи (T1573.002) и автоматизированный сбор конфиденциальных данных (T1119). Такое сочетание вредоносных тактик подчеркивает значительную угрозу для среды разработки и конвейеров CI в блокчейн-пространстве, где доступ к закрытым ключам и учетным данным представляет собой настоящую сокровищницу для злоумышленников.

#ParsedReport #CompletenessHigh
30-05-2025

Download suck for tail: tactics and instrument groups BO Team

https://securelist.ru/bo-team/112753/

Report completeness: High

Actors/Campaigns:
Bo_team

Threats:
Darkgate
Brockendoor
Remcos_rat
Sdelete_tool
Babuk
Lockbit
Lolbin_technique
Reversessh_tool
Procdump_tool
Minidump_tool
Handlekatz_tool
Nanodump_tool
Ntdsutil_tool
Wevtutil_tool
Anydesk_tool
Shadow_copies_delete_technique

Victims:
State companies, Technology organizations, Telecommunications organizations, Production organizations

Industry:
Telco, Energy

Geo:
Russian, Russia

TTPs:
Tactics: 6
Technics: 0

IOCs:
Domain: 11
File: 14
Path: 1
Url: 1
Hash: 61
IP: 8

Soft:
Telegram, Windows Defender, active directory, Active Directory domain services, Linux, gmail

Algorithms:
base64

Functions:
Get-Localuser

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Группа Bo Team, которая появится в 2024 году, нацелена на российские компании с помощью изощренных фишинговых кампаний и внедрения вредоносных программ, в том числе программ-вымогателей Broeckendoor и Babuk. Они используют методы "жизни за пределами суши", чтобы избежать обнаружения, используют законные инструменты для перемещения в разные стороны и используют пользовательские исполняемые программы для удаления данных, демонстрируя передовые и уникальные оперативные тактики в текущем конфликте с Россией.
-----

Группа Bo Team появилась в начале 2024 года, заявив о поддержке Украины в продолжающемся конфликте с Россией, о чем свидетельствуют их атаки, направленные исключительно против российских организаций. Их методология атак в основном включает фишинговые электронные письма с вредоносными вложениями для получения первоначального доступа. Как только пользователь взаимодействует с вложениями, злоумышленники внедряют вредоносные программы, такие как Broeckendoor, Remcos и DarkGate. После проникновения в систему команда Bo выполняет деструктивные действия, включая удаление резервных копий и критически важных файлов с помощью утилиты SDELETE, а также использует программу-вымогатель Babuk для вымогательства выкупа у жертв.

Эта группа демонстрирует заметное отклонение от типичной тактики других хактивистских организаций в проукраинской сфере. Они сочетают знакомые инструменты хакеров с уникальным набором вредоносных программ, включая специализированные версии бэкдоров и программу-вымогателя Babuk, вместо более часто используемых опций, таких как Lockbit. Их фишинговые кампании являются изощренными и имитируют законные компании, участвующие в технологических процессах, чтобы привлечь потенциальных клиентов в таких чувствительных секторах, как технологии и энергетика. Такая тщательная разработка повышает вероятность того, что пользователи запустят вредоносные файлы.

Как только первоначальный доступ получен, команда Bo использует методы LotL для минимизации обнаружения и обхода мер безопасности. Они широко используют легальные инструменты Windows, такие как PowerShell, для сбора системной информации при подготовке своих атак. Например, они проверяют наличие антивирусных решений для разработки стратегии своих дальнейших действий, часто используя скомпрометированные учетные записи сотрудников организации для перемещения по сети.

Подробные методологии команды Bo включают использование командных утилит, таких как ntdsutil, для извлечения баз данных Active Directory и разработки методов манипулирования для скрытого доступа к данным аутентификации Telegram. Их схема работы также демонстрирует передовые методы маскировки их действий, такие как использование стандартных системных процессов для установки вредоносных фреймворков, что позволяет избежать использования систем обнаружения поведения.

Было замечено, что они используют специально созданные исполняемые файлы, такие как AV_Scan.exe, для автоматизации удаления конфиденциальных данных и одновременного сохранения конфиденциальности. Их выбор действовать автономно, без открытого сотрудничества с другими известными группами хактивистов, указывает на совершенно уникальную операционную идентичность в среде хактивистов.

Операции группы Бо представляют собой сложную угрозу для российских организаций, характеризующуюся длительным проникновением и расчетливыми ударами, а не нанесением немедленного ущерба. Их автономные, высокоадаптивные стратегии в сочетании с обширным арсеналом вредоносных программ и инструментов делают их выдающимися хакерами, что отражает их идеологические мотивы в отношении российских организаций во время продолжающегося конфликта.

#ParsedReport #CompletenessLow
30-05-2025

Stealth in 100 Lines: Analyzing PAM Backdoors in Linux

https://www.nextron-systems.com/2025/05/30/stealth-in-100-lines-analyzing-pam-backdoors-in-linux/

Report completeness: Low

Threats:
Credential_stealing_technique
Thor

ChatGPT TTPs:
do not use without manual check
T1003, T1071.001, T1078, T1547.009, T1556.003

IOCs:
Hash: 5

Soft:
Linux

Algorithms:
sha256

Functions:
pam_sm_authenticate

Links:
https://github.com/linux-pam/linux-pam

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносный модуль PAM в Linux, содержащий менее 100 строк кода, позволяет красть учетные данные, обходить аутентификацию и скрытно сохранять данные. Он использует жестко заданный пароль для доступа, сбора конфиденциальных данных и связи с сервером C2, что повышает риск использования простых, но эффективных уязвимостей в критически важных системах аутентификации. Обнаружение затруднено из-за интеграции модуля в платформу PAM, что требует строгих мер мониторинга и проверки подлинности.
-----

Платформа Pluggable Authentication Modules (PAM) в Linux является критически важным компонентом для управления аутентификацией, который также может быть использован хакерами. Анализ выявил бэкдор, реализованный в виде модуля PAM, состоящий менее чем из 100 строк кода, способный осуществлять кражу учетных данных, обход аутентификации и поддерживать скрытую сохранность в скомпрометированных системах.

Вредоносные модули PAM могут быть внедрены в процесс аутентификации, поскольку они являются объектами, совместно используемыми во время выполнения, и предоставляют прямой доступ к конфиденциальным учетным данным пользователя. Злоумышленники могут незаметно вставлять вредоносные модули на диск и настраивать конфигурацию PAM для загрузки этих модулей без необходимости изменения двоичных файлов запуска, что затрудняет обнаружение. Несмотря на то, что выявленные варианты были найдены на диске, более продвинутые методы, такие как внесение исправлений в память или внедрение модуля, остаются выполнимыми и потенциально более трудными для обнаружения.

Проверенный бэкдор взаимодействует с функцией pam_sm_authenticate(), которая имеет решающее значение на этапе аутентификации пользователя. Одной из ключевых особенностей вредоносного модуля PAM является его способность полностью обходить аутентификацию с помощью жестко заданного пароля, что позволяет любому пользователю получить доступ и выдать себя за законные учетные записи. Кроме того, когда происходит этот обход, на сервер управления (C2) отправляется предупреждение. Бэкдор также захватывает конфиденциальную информацию, такую как имена пользователей, пароли и порты прослушивания SSH, передавая эти данные обратно злоумышленникам, что позволяет установить обратное соединение с уязвимым хостом.

В ответ на такие угрозы специалистам по безопасности рекомендуется принять специальные технические меры. К ним относятся проверка всех общих объектов, расположенных в /lib/security, на соответствие заведомо достоверным хэшам, тщательный мониторинг изменений в /etc/pam.d/* и использование систем аудита для отслеживания загрузки модулей. Кроме того, следует тщательно проверять журналы аутентификации на предмет любых неожиданных успешных попыток входа в систему, особенно тех, которые обходят многофакторную аутентификацию. Такие инструменты, как THOR, могут использоваться для поиска поведенческих аномалий в разных системах, в то время как рекомендуется регулярно обновлять покрытие сигнатур и проводить периодические проверки с помощью thor-util upgrade.

Этот инцидент подчеркивает значительный риск, связанный с простыми, но эффективными внедрениями в жизненно важные области операционной системы. Злоумышленники могут достичь своих целей без сложного вредоносного ПО, полагаясь на тонкое понимание границ доверия и использование минимальных уязвимостей в коде.

#ParsedReport #CompletenessHigh
30-05-2025

Dark Web Profile: NightSpire Ransomware

https://socradar.io/dark-web-profile-nightspire-ransomware/

Report completeness: High

Threats:
Nightspire
Lolbin_technique
Mimikatz_tool
Rclone_tool
Credential_dumping_technique

Victims:
Taiwanese government, Hospital, Small to medium-sized enterprises

Industry:
Healthcare, Education, Government, Retail

Geo:
Spain, Poland, Japan, Egypt, France, Taiwan, India, Taiwanese, Hong kong

CVEs:
CVE-2024-55591 [Vulners]
CVSS V3.1: 9.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- fortinet fortiproxy (<7.0.20, <7.2.13)
- fortinet fortios (<7.0.17)


TTPs:
Tactics: 2
Technics: 11

IOCs:
Domain: 1
Hash: 1

Soft:
PsExec, Active Directory, ProtonMail, Telegram

Algorithms:
aes-256

Languages:
powershell

#ParsedReport #ExtractedSchema

Classified images:
schema: 1, chart: 1, windows: 1

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
NightSpire - это финансово мотивированная группа программ-вымогателей, использующая тактику двойного вымогательства для малых и средних предприятий по всему миру, используя уязвимости, такие как CVE-2024-55591. Они используют методы "жизни за пределами страны" и утечку данных для оказания давления на жертв. Упреждающие меры кибербезопасности, включая внесение исправлений и сегментацию сети, необходимы для защиты.
-----

NightSpire, появившаяся в начале 2025 года как финансово мотивированная группа вымогателей, использует стратегию двойного вымогательства, шифруя данные жертв и угрожая опубликовать их на своем сайте утечки данных в темной сети (DLS), если выкуп не будет выплачен. Деятельность группы характеризуется ориентацией на малые и средние предприятия (МСП) в различных секторах с заметным географическим охватом, который в основном включает Соединенные Штаты, Тайвань, Гонконг и некоторые части Европы. Они не преследуют конкретных геополитических целей, вместо этого выбирают жертв, основываясь на выявленных уязвимостях и общем отсутствии соблюдения правил кибербезопасности.

NightSpire в основном нацелен на такие отрасли, как технологии, ИТ-услуги, финансовые услуги, производство и образование, что отражает более широкую тенденцию к атакам программ-вымогателей, нацеленных на малозащищенные предприятия малого и среднего бизнеса. Жертвы часто сталкиваются с ограниченными ресурсами кибербезопасности и устаревшей инфраструктурой, что делает их более восприимчивыми к угрозам. Группа сочетает традиционную тактику вымогателей с современными подходами, включая использование незащищенных веб-серверов и известных уязвимостей, в частности CVE-2024-55591, для получения первоначального доступа. Оказавшись внутри, NightSpire использует методы "жизни за пределами земли", используя законные инструменты, такие как PowerShell и PsExec, для навигации по сети и повышения привилегий.

Ключевые аспекты операционной системы NightSpire включают в себя сбор данных перед развертыванием программ-вымогателей, упаковку конфиденциальных файлов для передачи в инфраструктуру, контролируемую злоумышленниками. Эти данные служат рычагом при переговорах о выкупе, а для взаимодействия с жертвами используются безопасные платформы. Группа осуществляет психологическое давление с помощью тактики запугивания, что создает напряженность в переговорах о выкупе.

Для защиты от таких атак организациям рекомендуется принимать упреждающие меры кибербезопасности. К ним относятся оперативное исправление общедоступных систем, особенно уязвимых к выявленным CVE, применение строгих методов аутентификации, ограничение перемещения по сети и внедрение строгих мер защиты учетных данных. Сегментация сети, автономное резервное копирование без изменений и регулярно проверяемые планы реагирования на инциденты также рекомендуются для снижения потенциального ущерба от операций программ-вымогателей, подобных тем, которые выполняет NightSpire. Постоянный мониторинг показателей компрометации, связанных с группой, повышает устойчивость организации к подобным угрозам.

#ParsedReport #CompletenessLow
30-05-2025

ScreenConnect Cloud HACKED by Nation-State Actor!

https://www.secureblink.com/cyber-security-news/screen-connect-cloud-hacked-by-nation-state-actor

Report completeness: Low

Threats:
Screenconnect_tool
Connectwise_tool
Supply_chain_technique

Victims:
Connectwise, Managed service providers, It departments, Screenconnect cloud customers

Geo:
North korean

CVEs:
CVE-2024-1709 [Vulners]
CVSS V3.1: 10.0,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- connectwise screenconnect (<23.9.8)

CVE-2025-3935 [Vulners]
CVSS V3.1: 8.1,
Vulners: Exploitation: Unknown
X-Force: Risk: Unknown
X-Force: Patch: Unknown


ChatGPT TTPs:
do not use without manual check
T1003, T1021, T1190

Soft:
ASP.NET

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Компания ConnectWise сообщила об инциденте с кибербезопасностью, в результате которого один из государственных субъектов использовал CVE-2025-3935 в своем программном обеспечении ScreenConnect, что повлияло на некоторых облачных клиентов. Уязвимость связана с внедрением кода ViewState, что может привести к удаленному выполнению кода путем кражи секретных машинных ключей. Вероятно, взлом начался в августе 2024 года, и организациям рекомендуется усилить меры безопасности и провести аудит системы.
-----

Компания ConnectWise раскрыла инцидент с кибербезопасностью, связанный с предполагаемым государственным субъектом, который воспользовался критической уязвимостью в программном обеспечении удаленного доступа ScreenConnect, идентифицированной как CVE-2025-3935. Этот инцидент затронул ограниченное число клиентов, размещенных в облаке, что вызвало тревогу в сообществе поставщиков управляемых услуг (MSP). Конкретная уязвимость - это ошибка при внедрении кода ViewState, вызванная небезопасной десериализацией в рамках платформы ASP.NET, особенно влияющая на ScreenConnect версий 25.2.3 и более ранних. Он получил рейтинг "Высокого" приоритета из-за потенциальной возможности активного использования, позволяя хакерам с привилегированным доступом на системном уровне красть секретные машинные ключи, которые затем могут быть использованы для удаленного выполнения кода на уязвимых серверах.

Хронология инцидента указывает на то, что первоначальное нарушение могло произойти уже в августе 2024 года, а ConnectWise обнаружила подозрительную активность примерно в мае 2025 года. После этого открытия компания привлекла фирму по кибербезопасности Mandiant для проведения всестороннего расследования и работает в координации с правоохранительными органами. Однако ConnectWise не раскрывает, сколько клиентов было затронуто, точное время взлома и были ли подтверждены какие-либо вредоносные действия при фактической установке ScreenConnect.

Хотя в рекомендациях ConnectWise не указывался вектор атаки, обсуждения среди пострадавших клиентов предполагают, что атака, скорее всего, началась с компрометации внутренней сети ConnectWise. Злоумышленники, по-видимому, украли секретные машинные ключи, что позволило им получить несанкционированный доступ к серверам и потенциально подключиться к средам клиентов, которые полагались на эти облачные сервисы. В ConnectWise заявили, что больше не наблюдали подозрительной активности после принятия мер по сдерживанию и усовершенствованию своих протоколов безопасности.

Этот инцидент примечателен тем, что он следует за другой существенной уязвимостью (CVE-2024-1709) в ScreenConnect, которая ранее использовалась группами программ-вымогателей и лицами, спонсируемыми государством. В свете этого нарушения пострадавшим организациям рекомендуется принять меры по реагированию на инциденты, включая замену учетных данных и тщательный аудит системы на наличие признаков несанкционированного доступа. ConnectWise продолжает расследование и обещает обновлять его по мере поступления дополнительной информации, подчеркивая острую необходимость быстрого реагирования и строгих мер безопасности в условиях постоянных атак хакеров на платформы управления ИТ.

#ParsedReport #CompletenessLow
30-05-2025

Deep Dive into a Dumped Malware without a PE Header

https://www.fortinet.com/blog/threat-research/deep-dive-into-a-dumped-malware-without-a-pe-header

Report completeness: Low

ChatGPT TTPs:
do not use without manual check
T1005, T1014, T1024, T1027, T1036.004, T1055.001, T1059.001, T1071, T1071.001, T1071.004, have more...

IOCs:
File: 18
Domain: 1
Url: 1

Soft:
Windows Service

Algorithms:
sha256, xor

Functions:
SealMessage, GdipCreateBitmapFromHBITMAP, GdipSaveImageToStream, GdipDisposeImage

Win API:
VirtualAlloc, GetObjectW, LoadLibraryA, LoadLibraryW, CreateThread, getaddrinfo, DecryptMessage, CreateStreamOnHGlobal, GdiplusStartup, GetSystemMetrics, have more...

Win Services:
bits

Languages:
powershell

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Вредоносное ПО, идентифицированное как RAT, было внедрено в рамках процесса dllhost.exe, использующего сценарии PowerShell и передовые методы обхода, такие как поврежденные заголовки. Оно взаимодействовало со своим сервером C2 "rushpapers.com" по протоколу TLS, позволяя захватывать данные и манипулировать системой с помощью многопоточных сокетов и API Service Control Manager.
-----

Анализ был сосредоточен на конкретной вредоносной программе, работающей в среде взломанного компьютера, в частности, в рамках процесса dllhost.exe. Вредоносная программа была запущена с помощью комбинации скриптов и PowerShell и работала в течение нескольких недель до обнаружения. Был получен и проанализирован дамп памяти вредоносного ПО, который показал, что оно было внедрено в память между адресами 0x1c3eefb0000 и 0x1c3ef029fff. Удаленный файл, идентифицированный как 64-разрядный PE-файл, содержал поврежденные заголовки DOS и PE, что затрудняло восстановление. Такое повреждение часто используется вредоносными программами для уклонения от обнаружения и анализа.

Для динамического анализа вредоносного ПО исследователям пришлось воссоздать скомпрометированную среду, запустив процесс dllhost.exe в отладчике. Эта настройка потребовала выполнения сложных шагов для определения точки входа вредоносного ПО, которая отличалась от обычной, поскольку в заголовке PE не была указана точка входа. Вместо этого исследователи использовали IDA Pro для определения начальной точки функции, подтвердив, что она находится по адресу 0x1C3EEFEE0A8. Затем последовали задачи по управлению памятью, в ходе которых были использованы методы динамического выделения памяти, такие как VirtualAlloc(), а также перемещение 257 адресов Windows API по 16 модулям, необходимым для запуска вредоносной программы.

Вредоносная программа была подтверждена как троян удаленного доступа (RAT) из-за ее возможностей значительно контролировать зараженную машину. После запуска она расшифровала информацию о своем сервере управления (C2), продемонстрировав связь по протоколу TLS с доменом "rushpapers.com" на порту 443. Коммуникация вредоносного ПО включала использование API getaddrinfo() для разрешения DNS, создания зашифрованных каналов для передачи данных, что требовало взлома процедур шифрования и дешифрования для анализа открытого текстового содержимого.

Дальнейшее изучение ее функциональности показало, что она позволяла злоумышленнику получать изображения экрана и собирать данные об активности пользователей в взломанной системе. Использование многопоточной архитектуры сокетов позволяло вредоносному ПО прослушивать входящие соединения, облегчая сложные взаимодействия и дальнейшую эксплуатацию взломанной системы хакером. Кроме того, вредоносная программа может взаимодействовать с системными службами через API Service Control Manager, позволяя перечислять системные службы и манипулировать ими.

#ParsedReport #CompletenessLow
30-05-2025

Commvault Metallic 0-Day Breach: What Happened and What It Means

https://www.varonis.com/blog/commvault-metallic-vulnerability

Report completeness: Low

Actors/Campaigns:
Ghostemperor
Hafnium

Threats:
Supply_chain_technique

Victims:
Commvault, Microsoft 365 customers

Industry:
Critical_infrastructure

Geo:
Chinese

CVEs:
CVE-2025-3928 [Vulners]
CVSS V3.1: 8.8,
Vulners: Exploitation: True
X-Force: Risk: Unknown
X-Force: Patch: Unknown
Soft:
- commvault (<11.20.217, <11.28.141, <11.32.89, <11.36.46)


ChatGPT TTPs:
do not use without manual check
T1078, T1190, T1505.003, T1552

IOCs:
File: 2
IP: 1
Domain: 2

Soft:
Twitter

Languages:
ruby

#ParsedReport #GeneratedSchema
Generated with GPT-4

#ParsedReport #ChatGPT #Translated
Autotext: (TI Report Analyser + ChatGPT + Auto Translate)

------
Уязвимость нулевого дня (CVE-2025-3928) в платформе Commvault Metallic SaaS позволила злоумышленникам развернуть веб-оболочку и получить доступ к данным Microsoft 365, которую приписывают китайскому хакеру Salt Typhoon. Организациям рекомендуется чередовать учетные данные, журналы аудита, применять меры контроля доступа и вносить исправления в системы для снижения рисков.
-----

22 мая 2025 года в платформе Commvault Metallic SaaS, которая используется для резервного копирования данных Microsoft 365, была использована уязвимость, обозначенная как CVE-2025-3928. Эта уязвимость нулевого дня была обнаружена в веб-сервере, что позволяет злоумышленникам, прошедшим проверку подлинности, развертывать веб-оболочки и получать несанкционированный доступ к секретным данным клиентов. В результате злоумышленники могут проникать в клиентские среды Microsoft 365, демонстрируя значительные риски, связанные с уязвимостями сторонних производителей и цепочки поставок.

В ответ на это нарушение организациям, использующим сервисы Commvault, рекомендуется внедрить несколько стратегий по устранению последствий. Для предотвращения дальнейшего несанкционированного доступа необходимо немедленно изменить учетные данные для секретных приложений, управляемых Commvault. Кроме того, командам следует провести тщательный аудит журналов входа в систему Microsoft для выявления любых несанкционированных входов в систему или изменений. Рекомендуется также применять политики контроля доступа, в частности, те, которые ограничивают аутентификацию IP-адресами, внесенными в белый список. Кроме того, для обеспечения соблюдения принципа наименьших привилегий необходима повторная оценка разрешений, назначенных участникам обслуживания. Наконец, все автономные экземпляры веб-сервера Metallic web server должны быть исправлены последними обновлениями от Commvault, чтобы устранить выявленную уязвимость.

Этот инцидент иллюстрирует критический характер безопасности цепочки поставок, подчеркивая, что слабые места в платформе поставщика могут напрямую влиять на безопасность клиентов. Атака была совершена китайским хакером Salt Typhoon, спонсируемым государством, известным своими атаками на критически важную инфраструктуру США и поставщиков облачного программного обеспечения. Эта кампания свидетельствует о растущей тенденции к атакам на цепочки поставок программного обеспечения, когда уязвимости используются благодаря доверительным отношениям между предприятиями и их поставщиками SaaS, что вызывает опасения по поводу надежности мер безопасности в взаимосвязанных системах.