☕️ CoffeeLoader — новый уровень скрытности вредоносных загрузчиков
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
🔴 Атаки становятся сложнее, а защита не успевает адаптироваться. Традиционные антивирусы, полагающиеся на сигнатурный анализ, здесь почти бесполезны. Нужен поведенческий мониторинг, анализ аномалий в работе GPU и усиленная защита на уровне памяти.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Zscaler ThreatLabz выявили новый скрытный загрузчик CoffeeLoader — крайне изощрённый, который умеет прятаться от антивирусов даже на уровне GPU.
Работа через видеокарту – использует упаковщик Armoury, который выполняет часть кода на GPU, что резко усложняет детектирование в песочницах.
Обфускация "на лету" – код остаётся зашифрованным до момента выполнения, плюс манипуляции с потоками (fibers) для усложнения анализа.
Подмена стека вызовов – имитирует "чистую" работу, сбивая с толку системы мониторинга.
Раньше выполнение вредоносного кода на GPU было экзотикой, но теперь это рабочий инструмент в арсенале злоумышленников. Уже зафиксированы случаи доставки через CoffeeLoader Rhadamanthys — мощного инфостилера.
Что делать?
✔️ EDR/XDR-решения – они лучше ловят сложные атаки.
✔️ Аппаратная изоляция критичных процессов (например, через VBS).
✔️ Патчим всё – многие техники (вроде fibers) требуют уязвимостей в ОС.
Подробнее: https://extrim-security.ru/news-ib/tpost/lh1y446hv1-opasnii-zagruzchik-coffeeloader-kak-on-o
Please open Telegram to view this post
VIEW IN TELEGRAM
С 1 апреля МВД запускает сервис проверки SIM-карт на "Госуслугах". Теперь можно посмотреть, какие номера зарегистрированы на ваше имя.
Что это даёт?
✅ Контроль над "лишними" номерами – если на вас оформили SIM-карту без вашего ведома, вы сможете это обнаружить.
✅ Защита от части мошеннических схем – многие аферисты используют "левые" номера для обмана.
✅ Ограничение на 20 SIM-карт на человека – теоретически снижает масштабы злоупотреблений.
Но есть нюансы:
⚠️ Сервис не блокирует мошенников автоматически – он лишь информирует. Что делать с найденными "лишними" номерами? Идти в полицию? Писать заявление? Процедура пока неясна.
⚠️ Технические риски – если сервис взломают, злоумышленники получат доступ к данным о ваших номерах.
⚠️ Мошенники адаптируются – если раньше они покупали SIM-карты на подставных лиц, то теперь могут использовать другие схемы (например, взломанные аккаунты или коррумпированных сотрудников связи).
Что можно сделать уже сейчас?
Проверить свои номера уже сейчас.
Включить двухфакторную аутентификацию на "Госуслугах" и других важных сервисах.
Не передавать паспортные данные без крайней необходимости.
Подробнее: https://extrim-security.ru/news-ib/tpost/f9y8anmsb1-mvd-anonsirovalo-novii-instrument-dlya-z
Please open Telegram to view this post
VIEW IN TELEGRAM
Приказ № 51 обязывает провайдеров передавать в Роскомнадзор:
- IP-адреса с геолокацией (регион, город)
- Данные о маршрутизации трафика
- Идентификаторы оборудования и систем защиты
- Информацию о работе с IPv4/IPv6 (в течение часа после изменений!)
Новые операторы — 15 дней на подключение к системе
Существующие — 6 месяцев на адаптацию
Нарушителям дают 1 час на исправление ошибок
Подробнее: https://extrim-security.ru/news-ib/tpost/nekrru2lr1-roskomnadzor-utverdil-novie-pravila-pere
Please open Telegram to view this post
VIEW IN TELEGRAM
Файловый аудит инфраструктуры с помощью DCAP "Спектр"
Провели пилотный проект DCAP "Спектр" от CYBERPEAK.
Результаты пилотного проекта:
1. Обнаружены критичные данные в свободном доступе.
Количество обнаруженных файлов: 46377 штук.
2. Обнаружены полные права у сотрудников, не являющихся администраторами инфраструктуры.
Количество обнаруженных пользователей: 476 штук.
3. Обнаружены папки с уникальными правами ниже заданного уровня вложенности.
Количество обнаруженных каталогов с уникальными разрешениями: 10 штук.
Количество обнаруженных каталогов с прерванным наследованием прав: 55 штук.
4. Обнаружены учетные записи без подчинения парольным политикам.
Учетные записи с установленным флагом PASSWS_NOTREQD позволяют пользователю не подчиняться парольным политикам домена и обладать абсолютно любым паролем, включая пустой.
Полный отчет по пилоту: https://extrim-security.ru/tpost/99tx558fu1-pilotnaya-istoriya-testiruem-dcap-spektr
#пилотнаяистория
Провели пилотный проект DCAP "Спектр" от CYBERPEAK.
Результаты пилотного проекта:
1. Обнаружены критичные данные в свободном доступе.
Количество обнаруженных файлов: 46377 штук.
2. Обнаружены полные права у сотрудников, не являющихся администраторами инфраструктуры.
Количество обнаруженных пользователей: 476 штук.
3. Обнаружены папки с уникальными правами ниже заданного уровня вложенности.
Количество обнаруженных каталогов с уникальными разрешениями: 10 штук.
Количество обнаруженных каталогов с прерванным наследованием прав: 55 штук.
4. Обнаружены учетные записи без подчинения парольным политикам.
Учетные записи с установленным флагом PASSWS_NOTREQD позволяют пользователю не подчиняться парольным политикам домена и обладать абсолютно любым паролем, включая пустой.
Полный отчет по пилоту: https://extrim-security.ru/tpost/99tx558fu1-pilotnaya-istoriya-testiruem-dcap-spektr
#пилотнаяистория
Локальная, но смертоносная – для атаки достаточно изначально иметь минимальные права (например, через фишинг или RDP).
Тихий захват – не требует действий пользователя (exploit работает в фоне).
Патчи есть, но не для всех – Windows 10 x64/32-bit пока без защиты, а это огромный пласт корпоративных сетей.
Как работает атака?
1. Первичное заражение – через фишинг или уязвимые публичные сервисы.
2. Установка бэкдора PipeMagic – собирает данные, открывает удалённый доступ.
3. Эксплуатация CVE-2025-29824 – повышение прав до SYSTEM.
4. Развёртывание ransomware + записка с выкупом (!_READ_ME_REXX2_!.txt).
💀RansomEXX – не новички, их атаки всегда целевые (корпорации, госсектор).
PipeMagic – швейцарский нож хакеров – его видели ещё в 2022-м, но до сих пор активно используют.
CLFS – слабое звено – это уже вторая критическая уязвимость в этом драйвере за два года (после CVE-2023-28252).
Подробнее: https://extrim-security.ru/news-ib/tpost/5rhpe40nj1-kiberugroza-novogo-urovnya-ransomexx-ata
Please open Telegram to view this post
VIEW IN TELEGRAM
Недавний анализ Trend Micro подтвердил то, что многие в индустрии уже подозревали: уязвимости в контейнерах — это не просто баги, а системная проблема безопасности. История с CVE-2024-0132 и CVE-2025-23359 в NVIDIA Container Toolkit — пример того, как неполное исправление может создать ещё больше рисков, чем исходная уязвимость.
👀 Изначально была найдена критическая уязвимость TOCTOU (9.0 по CVSS), позволяющая сбежать из контейнера и получить root-доступ к хосту.
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
🔈 Теперь злоумышленник может не только скомпрометировать хост, но и положить систему, переполнив таблицу монтирования.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
NVIDIA выпустила патч, но Trend Micro обнаружила, что фикс не закрыл проблему полностью и даже добавил новую DoS-уязвимость в Docker под Linux.
1. Контейнеры ≠ изоляция. Многие до сих пор считают, что контейнеры безопасны по умолчанию. Но эта история доказывает: любая ошибка в механизмах изоляции — это прямой путь к хосту.
2. Компании часто спешат выпустить патч, но не проводят глубокий аудит на побочные эффекты. Результат — цепочка уязвимостей.
3. Атака возможна даже после фикса. Если злоумышленник уже внутри контейнера (например, через скомпрометированный образ), он может использовать старые дыры из-за некачественного исправления.
Подробнее: https://extrim-security.ru/news-ib/tpost/7pugv4x811-nedorabotannoe-ispravlenie-uyazvimosti-v
Please open Telegram to view this post
VIEW IN TELEGRAM
💰 20 млн евро убытка, сбои в поставках и e-commerce на месяцы — так Fourlis Group, франчайзи IKEA, ощутила на себе последствия ransomware-атаки.
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
Атака случилась накануне Black Friday — пикового времени для ритейла. Компания не стала платить выкуп и восстановила системы своими силами, с привлечением экспертов.
Данные, судя по всему, не утекли, но логистика и онлайн-продажи дали сбой на 3 месяца.
1️⃣ Атака на цепочку поставок. Хакеры выбрали уязвимое звено — не просто базы данных, а операционную деятельность. Результат: дефицит товаров, потеря клиентов и репутационные риски.
2️⃣ Молчание хакеров — тревожный сигнал. Возможно, это не классический ransomware, а кибершпионаж или тестирование атак перед более крупными целями.
3️⃣ Отказ от выплаты — правильное решение. Fourlis Group поступила грамотно: платить = финансировать преступников. Но восстановление обошлось дорого — 20 млн евро.
Современные кибератаки — это не только про "заплати или потеряешь данные". Это про паралич бизнеса, репутационные потери и долгосрочные убытки.
Подробнее: https://extrim-security.ru/news-ib/tpost/kg8ttgmy31-kiberataka-na-fourlis-group-uscherb-v-20
CA/Browser Forum решил: с 2029 года максимальный срок жизни SSL/TLS-сертификатов сократится до 47 дней. Сейчас — 398.
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Киберугрозы эволюционируют быстрее, чем обновляются сертификаты. 1+ год — это слишком долго в мире, где:
Уязвимости в криптоалгоритмах (например, SHA-1) обнаруживают постфактум.
Компрометация ключей может месяцами оставаться незамеченной.
Автоматизация (ACME, Let’s Encrypt) уже доказала: частый ротацией = меньше "мёртвых" сертов в дикой природе.
✅ Плюсы:
Безопасность: Короткий срок = меньше времени на эксплуатацию уязвимостей.
Стимул для автоматизации: Ручное управление сертификатами умрёт — и это хорошо.
Актуальность криптографии: Принудительный отказ от старых алгоритмов.
⚠️ Риски:
Хаос для малого бизнеса: Если у вас 50+ доменов, затраты на обновление вырастут.
Ошибки конфигурации: Частые смены = больше шансов на косяки в настройке.
DCV на 10 дней: Жёстко, особенно для Enterprise-сред с долгими процессами согласований.
Подробнее: https://extrim-security.ru/news-ib/tpost/l9ttouc7b1-srok-zhizni-ssltls-sertifikatov-sokratit
Икс три безопасность - бизнес-ужин от Экстрим безопасность, который мы провели на прошлой неделе⭐️
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Пригласили трех вендоров, которые рассказали о своих продуктах нашим клиентам. С удовольствием послушали их, а потом общались в неформальной обстановке. Вкусно кушали, пили вино и обсуждали информационную безопасность
Скромничать не будем, средняя оценка мероприятия от всех присутствующих гостей - 10/10 😏
И нам очень понравилось!
Спасибо за участие Positive Technologies, StaffCop, НИИ Масштаб! И спасибо за помощь в организации OCS!
P.S. Название мероприятия - "Х3 Безопасность". Штуки про хэзэ слышались весь вечер, и нам было очень весело :)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🚨 Внимание! Новая угроза для Android-устройств
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости
В России обнаружен опасный вирус Gorilla, нацеленный на перехват SMS и кражу конфиденциальных данных. Особенно опасен для банковских клиентов и пользователей популярных сервисов.
Как действует вирус:
- Перехватывает входящие SMS
- Собирает информацию о пользователе
- Может управлять устройством
Что делать при заражении:
- Смените все пароли
- Сообщите в банки
- Просканируйте устройство антивирусом
- При необходимости восстановите до заводских настроек
⚠️ Будьте бдительны! Вирус может перехватывать SMS с кодами подтверждения для двухфакторной аутентификации.
Подробнее: https://extrim-security.ru/news-ib/tpost/onf0o886b1-novaya-vredonosnaya-programma-gorilla-at
#новости
Обнаружена сложная фишинговая атака с использованием инфраструктуры Google
Пользователь выявил новый метод фишинговых атак, использующий уязвимости в инфраструктуре Google. Злоумышленники научились создавать поддельные письма от имени Google с действительной цифровой подписью DKIM.
⚙️ Механизм атаки
Атака состоит из двух компонентов:
Фишинговый портал размещается на платформе sites.google.com, которая позволяет:
* Размещать произвольный контент
* Выполнять скрипты
* Встраивать элементы
* Использовать домен google.com
Поддельное письмо создается следующим образом:
* Регистрация домена и учетной записи Google
* Создание OAuth-приложения с текстом фишингового сообщения
* Получение от Google легитимного уведомления о безопасности
* Пересылка сообщения жертве
💬 Признаки атаки
На мошенничество указывают:
* Домен sites.google.com вместо accounts.google.com
* Необычное имя отправителя 'me@...'
Подробнее: https://extrim-security.ru/news-ib/tpost/y5pt6vto41-obnaruzhena-slozhnaya-fishingovaya-ataka
#новости
Пользователь выявил новый метод фишинговых атак, использующий уязвимости в инфраструктуре Google. Злоумышленники научились создавать поддельные письма от имени Google с действительной цифровой подписью DKIM.
⚙️ Механизм атаки
Атака состоит из двух компонентов:
Фишинговый портал размещается на платформе sites.google.com, которая позволяет:
* Размещать произвольный контент
* Выполнять скрипты
* Встраивать элементы
* Использовать домен google.com
Поддельное письмо создается следующим образом:
* Регистрация домена и учетной записи Google
* Создание OAuth-приложения с текстом фишингового сообщения
* Получение от Google легитимного уведомления о безопасности
* Пересылка сообщения жертве
💬 Признаки атаки
На мошенничество указывают:
* Домен sites.google.com вместо accounts.google.com
* Необычное имя отправителя 'me@...'
Подробнее: https://extrim-security.ru/news-ib/tpost/y5pt6vto41-obnaruzhena-slozhnaya-fishingovaya-ataka
#новости