В SonicWall пришли к выводу, что никакой 0-day не существует, а недавние атаки Akira ransomware на межсетевые экраны Gen 7 с включенным SSLVPN полагаются на прошлогоднюю уязвимость.

Компания утверждает, что злоумышленники нацелены на CVE-2024-40766, позволяющую несанкционированный доступ, которая была исправлена в августе 2024 года (раскрыта и задокументирована в бюллетене SNWLID-2024-0015).

CVE‑2024‑40766 - критическая уязвимость управления доступом SSLVPN в SonicOS, которая позволяет осуществлять несанкционированный доступ к уязвимым конечным точкам, что позволяет злоумышленникам перехватывать сеансы или получать доступ к VPN в защищенных средах.

Уязвимость широко эксплуатировалась после ее обнаружения примерно год назад, в том числе  операторами Akira и Fog, которые использовали ее для взлома корпоративных сетей.

В пятницу Arctic Wolf Labs впервые намекнула на возможное существование 0-day в брандмауэрах SonicWall Gen 7, заметив определенные закономерности в атаках Akira.

SonicWall быстро подтвердила текущую кампанию и посоветовала клиентам отключить службы SSL VPN, также ограничить подключение доверенными IP-адресами, пока ситуация не прояснится.

После расследования более 40 инцидентов поставщик убедился в отсутствии каких-либо нулей в своих продуктах, полагая, что Akira нацеплена на конечные точки, которые не получили исправления для CVE-2024-40766 при переходе с межсетевых экранов Gen 6 на Gen 7.

Многие инциденты связаны с миграцией с межсетевых экранов Gen 6 на Gen 7, когда пароли локальных пользователей переносились во время миграции и не сбрасывались. Сброс паролей был критически важным шагом, описанным в первоначальном сообщении.

Рекомендуемым действием сейчас является обновление прошивки до версии 7.3.0 или более поздней, которая имеет более надежную защиту от подбора паролей и MFA, а также сброс всех локальных паролей пользователей, особенно тех, которые используются для SSLVPN.

Тем не менее, многие пользователи на Reddit выразили сомнения относительно достоверности заявлений поставщика, заявляя обратное по результатам собственных расследований.

Некоторые отмечают нарушения безопасности учетных записей, которых не было до перехода на межсетевые экраны Gen 7. При этом сообщая об отказе со стороны SonicWall в проверках их журналов.

Так что будем следить.

Более 29 000 доступных в глобальной сети серверов Exchange остаются непротпатченными и уязвимыми для CVE-2025-53786, реализуя риски полной компрометации домена.

Уязвимость позволяет злоумышленникам с административным доступом к локальным серверам Exchange, повышать привилегии в подключенной облачной среде путем манипулирования доверенными токенами или вызовами API, не оставляя следов и не затрудняя обнаружение.

CVE-2025-53786 затрагивает Exchange Server 2016, Exchange Server 2019 и Microsoft Exchange Server Subscription Edition, которая заменяет модель бессрочной лицензии на модель на основе подписки в гибридных конфигурациях.

Уязвимость была обнаружена после того, как в апреле 2025 года Microsoft выпустила руководство и исправление для сервера Exchange в рамках своей инициативы SFI с поддержкой новой архитектуры с использованием специального гибридного приложения, заменяющего небезопасную общую идентификацию, ранее применявшуюся локальными Exchange Server и Exchange Online.

Microsoft пока не удалось обнаружить доказательства злоупотреблений при атаках, но уязвимость по-прежнему имеет отметку «эксплуатация более вероятна», что также относится к возможности появления вполне себе работающего эксплойта.

Особенно если учитывать, что, по данным Shadowserver, более 29 000 серверов Exchange до сих пор не имеют исправлений для защиты от потенциальных атак с использованием CVE-2025-53786.

Из 29098 непропатченных серверов, обнаруженных к 10 августа, более 7200 находились в США, 6700 - в Германии и более 2500 - в России.

• В любой непонятной ситуации нужно первым делом удалить историю браузера, забрать свой телефон и только потом бежать!

#Разное

Похоже, GitHub теряет свою независимость.

Microsoft передает GitHub под свою команду CoreAI после того, как генеральный директор GitHub Томас Домке ушел в отставку на этой неделе без назначения преемника на должность CEO.

По всей видимости, GitHub, включающий более чем 1 млрд репозиториев и форков, 150 млн разработчиков, будут глубоко интегрировать в основную структуру корпорацию под руководство профильных топ-менеджеров Microsoft.

Одна часть ляжет под подразделение разработки во главе с Джулией Льюсон, другая - под вице-президента по ИИ, что явно отражает стратегию широкого вовлечения в проекты Microsoft в области ИИ-решений и облачной платформы Azure.

Заявляется о формировании целой экосистемы ИИ-сервисов для отладки, тестирования и развёртывания приложений.

Но о нейтральности теперь стоит позабыть, рисуется почти безальтернативный стандарт для нового поколения разработчиков на самом фундаментальном уровне.

Исследователи из Лаборатории Касперского расчехлили новый троян Efimer, нацеленный на кражу криптовалюты и обладающий возможностями массового распространения через взлом WordPress-сайтов и размещаемые на них вредоносные файлы.

Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.

В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.

В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.

Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.

После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.

Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.

Первые версии этого троянца появились, предположительно, в октябре 2024 года.

По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.

Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.

Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.

Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.

Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.

В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.

При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.

Технические подробности и разбор Efimer - в отчете.

• Если нам нужно получить данные о сетевом взаимодействии определенного процесса для http трафика или трафика сервера БД mysql, то существует отличная тулза - kyanos, которая поможет нам собрать всю необходимую информацию. Из дополнительных возможностей: анализ запросов на уровне ядра, что позволит понять на каком уровне происходят аномалии или задержки. Софт c открытым исходным кодом и полностью бесплатный: https://github.com/hengyoush/kyanos

#Tools

• Сети для самых маленьких — как вы уже догадались, это серия статей о сетях, их настройке и администрировании. Здесь собраны основные аспекты, которые необходимо знать и понимать. В этой серии рассматривается планирование сети, настройка маршрутизаторов, работа с коммутацией и маршрутизацией, протоколы и технологии: STP, NAT, VPN, BGP, MPLS и многое другое: https://linkmeup.gitbook.io/sdsm

#Сети

Исследователи Лаборатории Касперского в новом отчете отследили эволюцию бэкдора PipeMagic: от инцидента с RansomExx до CVE-2025-29824, которая оказалась в числе 121, исправленной в рамках Microsoft PatchTuesday.

Стоит отметить, что отчет стал результатом совместного исследования ЛК с группой исследования уязвимостей BI.ZONE.

Ключевые изменения в TTPs операторов PipeMagic представили Касперы, а Бизоны, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.

Как отметили в Редмонде, CVE-2025-29824 единственная использовалась в реальных атаках на момент выхода патча, а эксплойт к ней запускал вредоносное ПО PipeMagic, который впервые ЛК обнаружила в декабре 2022 года в кампании с использованием RansomExx.

Жертвами атаки стали промышленные компании в Юго-Восточной Азии. Для проникновения в инфраструктуру злоумышленники использовали уязвимость CVE-2017-0144.

Загрузчик бэкдора представлял собой троянизированное приложение Rufus для форматирования USB-дисков, а сам PipeMagic поддерживал два режима работы: полноценный бэкдор и сетевой шлюз для исполнения широкого набора команд.

Позже в ЛК задетектили его вновь в сентябре 2024 года в атаках на организации в Саудовской Аравии. Примечательно, что это была та же версия PipeMagic, что и в 2022 году.

Тогда для первоначального проникновения злоумышленники не эксплуатировали уязвимости, а использовали в качестве приманки поддельное приложение-клиент для ChatGPT.

Оно было написано на Rust и  использовало фреймворки Tauri для отрисовки графических приложений и Tokio для асинхронного выполнения задач.

Никакой полезной функциональности в нем не оказалось. Приложение извлекало из своего кода зашифрованный AES массив размером 105 615 байт, расшифровывало и выполняло его. Результат - шелл-код, отвечающий за загрузку исполняемого файла. 

Одной из уникальных особенностей PipeMagic является генерация случайного массива длиной 16 байт, который используется для создания именованного канала для передачи зашифрованной полезной нагрузки и уведомлений.

Для взаимодействия с именованным каналом используется стандартный сетевой интерфейс, а для скачивания модулей (PipeMagic обычно задействует несколько плагинов с C2) задействуется домен: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.

Продолжая отслеживать активность зловреда, в 2025 году решения Лаборатории предотвратили заражение организаций в Бразилии и Саудовской Аравии.

При расследовании было замечено обращение к домену hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, которое и навело ресечреров на мысль о связи этой атаки с PipeMagic.

Позже исследователи нашли и сам бэкдор.

В этой атаке в роли загрузчика выступал файл формата Microsoft Help Index File.

Были также найдены образцы загрузчика PipeMagic, имитирующие клиент ChatGPT, похожий на тот, который злоумышленники применяли в атаках на организации в Саудовской Аравии в 2024 году.

Удалось также отследить три дополнительных плагина, используемых в вредоносной кампании 2025 года и реализующих различную функциональность, не присутствующую в основном бэкдоре.

Все модули представляют собой исполняемые файлы для 32-битных систем Windows.

Среди них: модуль асинхронной коммуникации, загрузчик (отвечает за внедрение дополнительной нагрузки в память и ее исполнение) и инжектор (отвечает за запуск полезной нагрузки - исполняемого файла, изначально написанного на C# (.NET).

После компрометации выбранной машины перед атакующими открывается широкий спектр возможностей по горизонтальному перемещению и получению данных учетных записей.

В атаках 2025 года злоумышленники использовали утилиту ProcDump для извлечения памяти процесса LSASS - аналогично методике, описанной Microsoft в контексте эксплуатации CVE-2025-29824.

А особенности этой уязвимости подробно проанализировали уже коллеги из Bi.ZONE во второй части совместного исследования.