Уязвимость в Mojo (механизм IPC в Chrome) позволяла обходить песочницу и выполнять код.
Эксплуатировалась через фишинг — жертвы получали письма с фальшивыми приглашениями на «Примаковские чтения».
Достаточно было перейти по ссылке — никаких подтверждений или загрузок не требовалось.
Атака сложная, точечная - APT.
1. Первая zero-day в Chrome в 2025 году — значит, хакеры нашли слабое место первыми.
2. Обход песочницы — одна из ключевых защит Chrome. Если её ломают, угроза становится критической.
3. Цель — шпионаж. Атаковали СМИ, вузы и госструктуры — явно не любительский взлом.
✅ Срочно обновите Chrome до версии 134.0.6998.177/.178.
Проверяйте письма — даже если они выглядят легитимно.
Используйте дополнительные средства защиты — EDR, антиэксплойты, двухфакторную аутентификацию.
Атаки становятся тише и точнее. Фишинг + zero-day — любимая схема APT-групп. Google быстро выпустила патч, но факт: уязвимость уже использовалась.
Подробнее: https://extrim-security.ru/news-ib/tpost/pxnprosjy1-google-ekstrenno-zakrila-opasnuyu-uyazvi
Please open Telegram to view this post
VIEW IN TELEGRAM
Да, мы все давно знаем, что HTTP — это дырявое ведро в плане безопасности. Но многие до сих пор цепляются за него:
- 2,4% всего трафика в сетях Cloudflare всё ещё идёт по HTTP.
- Среди ботов и API-запросов — целых 17%!
Проблема в том, что даже миллисекунды открытого трафика (до перенаправления на HTTPS) могут стоить вам утечки токенов, API-ключей или куков. В публичных Wi-Fi это буквально подарок для MITM-атак.
✅ Плюсы:
Нет риска утечки данных даже в момент установки соединения.
Подталкивает индустрию к полному отказу от устаревших протоколов.
❌ Минусы:
Ломает кучу легаси-систем — IoT-устройства, старые скрипты, корпоративный софт на замшелых HTTP-клиентах.
Не все готовы: если ваш код не умеет HTTPS (да, такое ещё есть), он сломается без предупреждения.
Подробнее: https://extrim-security.ru/news-ib/tpost/a1yphfzeb1-cloudflare-polnostyu-otkazivaetsya-ot-ht
Please open Telegram to view this post
VIEW IN TELEGRAM
☕️ CoffeeLoader — новый уровень скрытности вредоносных загрузчиков
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
🔴 Атаки становятся сложнее, а защита не успевает адаптироваться. Традиционные антивирусы, полагающиеся на сигнатурный анализ, здесь почти бесполезны. Нужен поведенческий мониторинг, анализ аномалий в работе GPU и усиленная защита на уровне памяти.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Please open Telegram to view this post
VIEW IN TELEGRAM
С 1 апреля МВД запускает сервис проверки SIM-карт на "Госуслугах". Теперь можно посмотреть, какие номера зарегистрированы на ваше имя.
Что это даёт?
✅ Контроль над "лишними" номерами – если на вас оформили SIM-карту без вашего ведома, вы сможете это обнаружить.
✅ Защита от части мошеннических схем – многие аферисты используют "левые" номера для обмана.
✅ Ограничение на 20 SIM-карт на человека – теоретически снижает масштабы злоупотреблений.
Но есть нюансы:
⚠️ Сервис не блокирует мошенников автоматически – он лишь информирует. Что делать с найденными "лишними" номерами? Идти в полицию? Писать заявление? Процедура пока неясна.
⚠️ Технические риски – если сервис взломают, злоумышленники получат доступ к данным о ваших номерах.
⚠️ Мошенники адаптируются – если раньше они покупали SIM-карты на подставных лиц, то теперь могут использовать другие схемы (например, взломанные аккаунты или коррумпированных сотрудников связи).
Что можно сделать уже сейчас?
Проверить свои номера уже сейчас.
Включить двухфакторную аутентификацию на "Госуслугах" и других важных сервисах.
Не передавать паспортные данные без крайней необходимости.
Подробнее: https://extrim-security.ru/news-ib/tpost/f9y8anmsb1-mvd-anonsirovalo-novii-instrument-dlya-z
Please open Telegram to view this post
VIEW IN TELEGRAM
Приказ № 51 обязывает провайдеров передавать в Роскомнадзор:
- IP-адреса с геолокацией (регион, город)
- Данные о маршрутизации трафика
- Идентификаторы оборудования и систем защиты
- Информацию о работе с IPv4/IPv6 (в течение часа после изменений!)
Новые операторы — 15 дней на подключение к системе
Существующие — 6 месяцев на адаптацию
Нарушителям дают 1 час на исправление ошибок
Подробнее: https://extrim-security.ru/news-ib/tpost/nekrru2lr1-roskomnadzor-utverdil-novie-pravila-pere
Please open Telegram to view this post
VIEW IN TELEGRAM
Файловый аудит инфраструктуры с помощью DCAP "Спектр"
Провели пилотный проект DCAP "Спектр" от CYBERPEAK.
Результаты пилотного проекта:
1. Обнаружены критичные данные в свободном доступе.
Количество обнаруженных файлов: 46377 штук.
2. Обнаружены полные права у сотрудников, не являющихся администраторами инфраструктуры.
Количество обнаруженных пользователей: 476 штук.
3. Обнаружены папки с уникальными правами ниже заданного уровня вложенности.
Количество обнаруженных каталогов с уникальными разрешениями: 10 штук.
Количество обнаруженных каталогов с прерванным наследованием прав: 55 штук.
4. Обнаружены учетные записи без подчинения парольным политикам.
Учетные записи с установленным флагом PASSWS_NOTREQD позволяют пользователю не подчиняться парольным политикам домена и обладать абсолютно любым паролем, включая пустой.
Полный отчет по пилоту: https://extrim-security.ru/tpost/99tx558fu1-pilotnaya-istoriya-testiruem-dcap-spektr
#пилотнаяистория
Провели пилотный проект DCAP "Спектр" от CYBERPEAK.
Результаты пилотного проекта:
1. Обнаружены критичные данные в свободном доступе.
Количество обнаруженных файлов: 46377 штук.
2. Обнаружены полные права у сотрудников, не являющихся администраторами инфраструктуры.
Количество обнаруженных пользователей: 476 штук.
3. Обнаружены папки с уникальными правами ниже заданного уровня вложенности.
Количество обнаруженных каталогов с уникальными разрешениями: 10 штук.
Количество обнаруженных каталогов с прерванным наследованием прав: 55 штук.
4. Обнаружены учетные записи без подчинения парольным политикам.
Учетные записи с установленным флагом PASSWS_NOTREQD позволяют пользователю не подчиняться парольным политикам домена и обладать абсолютно любым паролем, включая пустой.
Полный отчет по пилоту: https://extrim-security.ru/tpost/99tx558fu1-pilotnaya-istoriya-testiruem-dcap-spektr
#пилотнаяистория
Локальная, но смертоносная – для атаки достаточно изначально иметь минимальные права (например, через фишинг или RDP).
Тихий захват – не требует действий пользователя (exploit работает в фоне).
Патчи есть, но не для всех – Windows 10 x64/32-bit пока без защиты, а это огромный пласт корпоративных сетей.
Как работает атака?
1. Первичное заражение – через фишинг или уязвимые публичные сервисы.
2. Установка бэкдора PipeMagic – собирает данные, открывает удалённый доступ.
3. Эксплуатация CVE-2025-29824 – повышение прав до SYSTEM.
4. Развёртывание ransomware + записка с выкупом (!_READ_ME_REXX2_!.txt).
💀RansomEXX – не новички, их атаки всегда целевые (корпорации, госсектор).
PipeMagic – швейцарский нож хакеров – его видели ещё в 2022-м, но до сих пор активно используют.
CLFS – слабое звено – это уже вторая критическая уязвимость в этом драйвере за два года (после CVE-2023-28252).
Подробнее: https://extrim-security.ru/news-ib/tpost/5rhpe40nj1-kiberugroza-novogo-urovnya-ransomexx-ata
Please open Telegram to view this post
VIEW IN TELEGRAM
Недавний анализ Trend Micro подтвердил то, что многие в индустрии уже подозревали: уязвимости в контейнерах — это не просто баги, а системная проблема безопасности. История с CVE-2024-0132 и CVE-2025-23359 в NVIDIA Container Toolkit — пример того, как неполное исправление может создать ещё больше рисков, чем исходная уязвимость.
👀 Изначально была найдена критическая уязвимость TOCTOU (9.0 по CVSS), позволяющая сбежать из контейнера и получить root-доступ к хосту.
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
🔈 Теперь злоумышленник может не только скомпрометировать хост, но и положить систему, переполнив таблицу монтирования.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
Please open Telegram to view this post
VIEW IN TELEGRAM
💰 20 млн евро убытка, сбои в поставках и e-commerce на месяцы — так Fourlis Group, франчайзи IKEA, ощутила на себе последствия ransomware-атаки.
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
CA/Browser Forum решил: с 2029 года максимальный срок жизни SSL/TLS-сертификатов сократится до 47 дней. Сейчас — 398.
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Икс три безопасность - бизнес-ужин от Экстрим безопасность, который мы провели на прошлой неделе⭐️
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Внимание! Новая угроза для Android-устройств
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости