Мы не раз шутили предупреждали, что ваш умный чайник или роутер вполне может атаковать Пентагон, пока вы неспешно проводите церемонию чаепития.

Во всяком случае в кейсе RapperBot так и получилось, ботнет реально как минимум трижды использовался для атак на сети Пентагона.

Но больше не будет. Его создатель и оператор 22-летний Итан Фольц, житель Орегона, был арестован.

Власти США предъявили ему обвинение в создании и эксплуатации DDoS-ботнета RapperBot, который он использовал совместно с Slaykings для заказных атак.

Нейтрализация ботнета проводилась в рамках операции PowerOff 6 августа во время рейда на резиденцию Фольца в Орегоне.

Вредоносный ботнет на базе Mirai, также известный как Eleven Eleven и CowBot, активен как минимум с 2021 года и заразил десятки тысяч цифровых видеорегистраторов (DVR) и маршрутизаторов. Пропускная способность составляла от 2 до 6 Тбит/с.

В среднем количество заражённых устройств достигало от 65 000 до 95 000.

Rapper Bot использовался для атак на более чем 18 000 организаций в 80 странах, включая правительственные системы, медиаплатформы и крупные технологические компании, а также поддерживал криптомайнинг.

Amazon Web Services (AWS) помогла отследить инфраструктуру С2 и предоставила спецслужбам важную развединформацию, согласно которой с апреля 2025 года Rapper Bot осуществил 370 000 атак.

Мощность этих атак варьировалась от нескольких терабит до более 1 миллиарда пакетов в секунду (pps), при этом мощность осуществлялась с помощью более чем 45 000 взломанных устройств в 39 странах. Атаки часто сопровождались вымогательством.

Согласно судебным документам, установить личность Фольца удалось после того, как он оплатил сервера С2 RapperBot со своего счёта PayPal.

Исследователи Trellix раскрывают новую цепочку атак, в которой используются фишинговые электронные письма для доставки бэкдора с открытым исходным кодом под названием VShell.

Цепочка заражения специфичным для Linux вредоносными ПО начинается со спам-письма с вредоносным архивом RAR.

Причем полезная нагрузка не скрыта внутри содержимого файла или макроса, а закодирована непосредственно в самом имени файла.

Такая техника реализует дополнительное преимущество в обходе традиционной защиты, поскольку антивирусные движки обычно не сканируют имена файлов.

Отправной точкой атаки является email с архивом RAR, который включает в себя файл со вредоносным именем файла: ziliao2.pdf`{echo,<Base64-encoded command>}|{base64,-d}|bash`.

Имя файла включает в себя Bash-совместимый код, который предназначен для выполнения команд при интерпретации оболочкой.

Стоит отметить, что простое извлечение файла из архива не вызывает его выполнения. Это происходит только тогда, когда скрипт оболочки или команда пытается считать имя файла.

Еще один важный аспект, который следует учитывать, заключается в том, что невозможно вручную создать имя файла с этим синтаксисом, что означает, что оно, вероятно, было создано с использованием другого языка, внешнего инструмента или скрипта, который обходит проверку ввода оболочки.

Запуск, в свою очередь, приводит к выполнению встроенного загрузчика с кодировкой Base64, который затем извлекает с внешнего сервера двоичный файл ELF для соответствующей системной архитектуры (x86_64, i386, i686, armv7l или aarch64).

Двоичный файл, со своей стороны, инициирует связь с C2 для получения зашифрованной полезной нагрузки VShell, декодирования и ее выполнения на хосте.

Trellix отмечает, что фишинговые электронные письма замаскированы под приглашение на опрос по косметической продукции, заманивая получателей денежным вознаграждением (10 юаней) за его за его заполнение.

При этом вектор социнженерии достотачно тонкий: пользователь отвлекается на содержание опроса, и наличие вложения может быть принято за документ или файл данных, связанный с опросом.

VShell - это инструмент удаленного доступа на основе Go, который в последние годы широко использовался китайскими APT, включая UNC5174, поддерживающий обратную оболочку, файловые операции, управление процессами, переадресацию портов и зашифрованную связь C2.

Причем вредоносное ПО работает полностью в памяти, избегая обнаружения на диске, не говоря уже о том, что оно может быть нацелено на широкий спектр устройств Linux.

Результаты анализа Trellix указывают на весьма опасную эволюцию в доставке вредоносных ПО для Linux, когда простое имя файла, встроенное в архив RAR, может быть задействовано для выполнения произвольных команд и злоупотребления доверенной средой выполнения.

В данном случае - обеспечивая работу мощного бэкдора VShell, способного полностью удаленно управлять системой.

Sangoma FreePBX предупреждает об активно эксплуатируемой 0-day FreePBX, которая затрагивает системы с панелью управления администратора (ACP), доступные через Интернет.

FreePBX - это платформа Private Branch Exchange с открытым исходным кодом, созданная на основе Asterisk, широко используемая предприятиями, колл-центрами и поставщиками услуг по управлению голосовой связью.

Согласно сообщению группы безопасности Sangoma FreePBX, с 21 августа киберподполье начало пылесосить доступные в глобальной сети админские панелях FreePBX с использованием нуля.

К настоящему времени Sangoma FreePBX уже разобралась в проблеме и работает над исправлениями, которые будут развернуты в ближайшие 36 часов.

Пользователям рекомендуется ограничить доступ к FreePBX Administrator с помощью модуля брандмауэра,ограничив доступ только известными доверенными хостами.

Пока же команда разработчиков выпустила исправление модуля EDGE для тестирования, а полноценный стандартный выпуск запланирован на сегодня.

Также следует учесть, что существующие системы 16 и 17 могли быть затронуты, если в них был установлен модуль конечной точки и их страница входа в FreePBX Administrator была напрямую открыта в сети.

После вышедшего заявления Sangoma, достаточно большое число пользователей FreePBX стали сообщать о компрометации их серверов с помощью этой уязвимости.

При этом замеченный эксплойт, по сути, позволяет злоумышленнику выполнить любую команду, доступную пользователю Asterisk.

Пока в Sangoma не раскрывают подробности наблюдаемой кампании, но поделились МОК для определения того, был ли сервер взломан:

- Отсутствует или изменен файл конфигурации /etc/freepbx.conf.

- Наличие скрипта оболочки /var/www/html/.clean.sh. Предполагается, что он был загружен злоумышленниками.

- Подозрительные записи журнала Apache для modular.php.

- Необычные звонки на номер 9998 в журналах Asterisk начиная с 21 августа.

- Неавторизованные записи в таблице ampusers в MariaDB/MySQL, в частности поиск имени пользователя ampuser в крайнем левом столбце.

Если так случилось, что сервер был скомпрометирован, Sangoma рекомендует выполнить восстановление из резервных копий, созданных до 21 августа, развернуть исправленные модули на новых системах и провести ротацию всех системных и связанных с SIP учетных данных.

В общем, как отмечает разработчики, чьи интерфейсы FreePBX ACP открыты, уже могут быть скомпрометированы, так что администраторам настоятельно рекомендуется проверить свои установки и системы, пока не будет применено исправление.

Реализована первая успешная атака на цепочку поставок с использованием ИИ, нацеленную на разработчиков JavaScript, работающих с популярной системой сборки Nx с открытым исходным кодом, которая имеет более чем 4 млн. загрузок еженедельно.

В рамках недавно обнаруженной атаки, получившей название s1ngularity, хакеры украли токен Nx NPM, позволяющий им публиковать вредоносные версии пакета в реестре.

Как объясняют разработчики Nx, в основе атаки лежал уязвимый рабочий процесс, представленный 21 августа, который можно было использовать для внедрения кода.

Несмотря на то, что ошибка была устранена в основной ветке почти сразу после того, как была обнаружена возможность ее вредоносной эксплуатации, злоумышленник использовал ее в запросе на включение изменений в репозиторий nrwl/nx, нацелившись на устаревшую ветку, чтобы украсть GITHUB_TOKEN, имеющий разрешения на чтение и запись в репозитории.

Затем GITHUB_TOKEN использовался для запуска рабочего процесса publish.yml, содержащего токен NPM, используемый для публикации нескольких вредоносных версий Nx и поддерживающих пакетов плагинов.

Причем пользователи расширения Nx Console IDE также пострадали, даже если у них не было рабочих пространств с Nx.

В период с 18:32 до 20:37 по восточному времени 26 августа было опубликовано восемь вредоносных версий Nx. Они были удалены в 22:44, а все токены NPM с разрешениями на публикацию были отозваны в 23:57.

Как отмечают разработчики, спустя несколько часов все пакеты NPM в Nx стали требовать 2Fa и больше не могли публиковаться с токенами NPM. Во всех пакетах NPM также был реализован новый механизм доверенного издателя, который не использует токены NPM.

Wiz отмечает, что Nx 21.5.0, 20.9.0, 21.6.0, 20.10.0, 21.7.0, 20.11.0, 21.8.0 и 20.12.0 были упакованы скриптом, который запускал вредоносный файл telemetry.js в системах Linux и macOS.

Полезная нагрузка была разработана для систематического поиска в системах конфиденциальных файлов и переменных среды, содержащих ключи SSH, токены NPM и GitHub, ключи API и данные криптовалютных кошельков.

Все найденные данные были закодированы и записаны в файл.

Вредоносный код также использовал API GitHub для создания нового публичного репозитория в учетной записи GitHub зараженного пользователя и загрузки файла со всеми украденными данными.

Все публичные репозитории GitHub, содержащие украденные данные, использовали один и тот же префикс s1ngularity-repository-, что позволяло легко обнаружить их на GitHub.

Вероятно, именно таким образом злоумышленник собрал украденные данные, не используя сторонний сервер.

Кроме того, код был также адаптирован для его задействования в отношении таких инструментов ИИ, как Claude и Gemini, для разведки и кражи данных.

В свою очередь, GitGuardian  отметили, что вредоносная ПО также наносила ущерб, изменяя файлы запуска оболочки пользователя, добавляя команды завершения работы, которые приводили к сбою систем при открытии новых сеансов терминала.

По данным GitGuardian, хакерам удалось похитить 2349 различных секретов из 1079 репозиториев, выявленных 27 августа. На пике атаки почти 1400 таких репозиториев были общедоступны.

Среди разнообразных утекших данных Wiz обнаружила более тысячи действительных токенов Github, десятки действительных облачных учётных данных и токенов NPM, а также около двадцати тысяч украденных файлов.

Во многих случаях вредоносное ПО, по-видимому, запускалось на компьютерах разработчиков, часто через расширение NX VSCode.

Также наблюдались случаи, когда вредоносное ПО запускалось в конвейерах сборки, таких как Github Actions.

По мнению StepSecurity, это первый известный случай, когда злоумышленники превратили ИИ-помощников разработчиков в инструменты для эксплуатации цепочек поставок.

• LastActivityView — эта небольшая утилита позволит собрать полный лог действий системы и юзера в ней. Открыли программу, папку, подрубились к вафле или даже выключили компьютер – соответствующая запись появится в реестре, из которого она пойдет в единый большой лог от LastActivityView. Тулза фиксирует более двадцати (sic!) типов действий системы. Вот тут более подробно: https://www.nirsoft.net/utils/computer_activity_view.html

#Форензика #ИБ

Межсетевые экраны Cisco ASA стали целями масштабной скоординированной вредоносной кампании.

Анализ полезной нагрузки указывает на то, что выявленная активность носила разведывательный характер, попытки эксплуатации не предпринимались.

Пик сканирований пришелся на прошлый четверг, 28 августа, достигнув трафика в более чем 200 000 обращений к ханипотам.

Кампания достигла своего пика 28 августа. Хирургически точно спланированная интенсивная волна сканирований длилась около 20 часов и сгенерировала почти 200 000 событий с 342 уникальных IP-адресов.

Характеристики наблюдавшейся фазы однозначно указывают на централизованно управляемую, автоматизированную операцию, нацеленную на обнаружение как новых, так и старых уязвимостей ASA.

При этом большая часть обращений исходила из трёх ASN. Кампания практически полностью осуществлялась через тесно связанную группу «пуленепробиваемых» хостинг-провайдеров.

Злоумышленники не просто распыляли трафик - они тщательно сканировали устройства ASA и классифицировали согласно их по потенциальной возможности эксплуатации.

После 20-часовой волны трафик быстро снизился до уровня, близкого к исходному. Вероятно, инициаторы получили необходимые данные и прекратили атаку. Во всяком случае, на этом этапе, но продолжение, очевидно, следует…