#cve Собрали самые интересные CVE апреля в нашу традиционную подборку. Критическими уязвимостями под RCE в прошлом месяце отметились Microsoft Azure и Bing, а также Mozilla Firefox и Thunderbird.
Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте на Хабре!
@tomhunter
Месяц не обошёлся и без критических уязвимостей в продуктах от Cisco: в IMC и SSM On-Prem обход аутентификации и произвольные команды с root-правами, соответственно. Критические CVE также закрыли в OpenSSL, JavaScript-движке в процессорах Samsung Exynos и продуктах от SAP. Обо всём этом и других ключевых уязвимостях апреля читайте на Хабре!
@tomhunter
👍2
#news В США вынесли приговор переговорщику рансомварь-группировки Karakurt Денису Золотарёву, он же Sforza_cesarini. Он получил 8,5 лет за отмывание денежных средств и мошенничество с использованием электронных средств связи.
35-летний Золотарёв — гражданин Латвии, проживал в Москве, был задержан в Грузии в декабре 2023-го, экстрадирован в США в 2024-м. В 2025-м признал вину, а в 2026-м отправляется на заслуженный отдых. В общем, проделал стандартный маршрут в профессии. Согласно делу, Золотарёв работал переговорщиком по зашедшим в тупик вымогательствам, кроме Karakurt светился также в кейсах полудюжины сопутствующих брендов. Судебные документы, как всегда, познавательные: с элементами переписки из вскрытого по ордеру Rocket[.]Chat, попыткой Золотарёва продать ФБР данные на Karakurt под видом исследователя (с.16, п.21) и прочим. Даже фото с ареста гуглится, можно полюбоваться здесь, а некоторым будет о чём задуматься, глядя в эти кристально честные глаза.
@tomhunter
35-летний Золотарёв — гражданин Латвии, проживал в Москве, был задержан в Грузии в декабре 2023-го, экстрадирован в США в 2024-м. В 2025-м признал вину, а в 2026-м отправляется на заслуженный отдых. В общем, проделал стандартный маршрут в профессии. Согласно делу, Золотарёв работал переговорщиком по зашедшим в тупик вымогательствам, кроме Karakurt светился также в кейсах полудюжины сопутствующих брендов. Судебные документы, как всегда, познавательные: с элементами переписки из вскрытого по ордеру Rocket[.]Chat, попыткой Золотарёва продать ФБР данные на Karakurt под видом исследователя (с.16, п.21) и прочим. Даже фото с ареста гуглится, можно полюбоваться здесь, а некоторым будет о чём задуматься, глядя в эти кристально честные глаза.
@tomhunter
🔥6❤2🤡2😁1
#news Daemon Tools помните? А он засветился в атаках — конечно же, на цепочку поставок. Установщики были скомпрометированы и доставляют малварь с 8 апреля. В комплекте загрузчик, причём подписано всё сертификатами разработчика.
Затронуты установщики с версии
@tomhunter
Затронуты установщики с версии
12.5.0.2421; после раскрытия вендор решил проблему, версия 12.6.0.2445 чистая. Вредонос стучит по С2 и подтягивает дополнительную нагрузку, в большинстве случаев это имплант для сбора системной инфы. Со строками на китайском — если кто ещё не догадался, от кого можно ждать такой изящный подгон. При этом десяток организаций отхватили бэкдор, одной достался уникальный RAT — атака таргетированная, в лучших традициях китайских умельцев. Здесь можно вспомнить компрометацию NotePad++. Так что пока TeamPCP наводит шум, орудуя кувалдой по экосистеме, сумрачный китайский гений тихонько работает.@tomhunter
🔥4😁4
#digest Собрали самые интересные ИБ-события апреля в наш дайджест. В прошлом месяце гремела Mythos от Anthropic, в очередной раз заявившей о революции в кибербезе, за которой пока не видно ничего кроме пиара. Не меньше шуму наделал и взлом суперкомпьютера Китая, которого не было.
Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте на Хабре!
@tomhunter
Апрель также стал месяцем многочисленных атак на цепочку поставок — о них сообщали чуть ли не каждый день. Кроме того, был обнаружен неизвестный предшественник Stuxnet, в ядре Linux нашли худшую LPE за долгое время, а северокорейские хакеры стянули больше полумиллиарда долларов в крипте. Об этом и других ключевых новостях прошлого месяца читайте на Хабре!
@tomhunter
👍2
#news В сетевых дебрях засветился ранее незадокументированный имплант под Linux. Он получил название Quasar Linux и в духе заголовков последних месяцев заточен под девелоперскую и девопс среды. Иными словами, под атаки на цепочку поставок.
QLNX — полноценный RAT с функциональностью руткита, PAM-бэкдором, сбором кредов и прочими удовольствиями. В комплекте с несколькими слоями устойчивости, в том числе с применением eBPF, бесфайловой работой из памяти, компиляцией бэкдоров на хосте… В общем, явно не проходной масс-продукт от мира сайберкрайма, хотя с атрибуцией в Trend Micro не спешат. И обнаруживают его пока 3,5 EDR-решения. Всё это под CI/CD пайплайны и прочее девелоперское. Так что если ежедневные supply chain атаки вас уже утомили, остаётся только крепчать. Подробнее о QLNX в отчёте.
@tomhunter
QLNX — полноценный RAT с функциональностью руткита, PAM-бэкдором, сбором кредов и прочими удовольствиями. В комплекте с несколькими слоями устойчивости, в том числе с применением eBPF, бесфайловой работой из памяти, компиляцией бэкдоров на хосте… В общем, явно не проходной масс-продукт от мира сайберкрайма, хотя с атрибуцией в Trend Micro не спешат. И обнаруживают его пока 3,5 EDR-решения. Всё это под CI/CD пайплайны и прочее девелоперское. Так что если ежедневные supply chain атаки вас уже утомили, остаётся только крепчать. Подробнее о QLNX в отчёте.
@tomhunter
🔥5
#news В библиотеке vm2 для запуска JavaScript-кода в песочнице раскрыли уязвимости на побег из неё. А чтобы не было скучно, их в этот раз сразу дюжина, хороших и разных. И все критические.
Среди них три десяточки по CVSS, остальные тоже не отстают — большая часть на 9.8 баллов. Несколько обходов предыдущих патчей, edge-кейсы и прочее сопутствующее сизифову труду по обеспечению безопасности песочницы под JavaScript. Всё это с проверками концепции под все опубликованные CVE, чтобы уж никому не казалось, что разраб с вами шутки шутить будет. Патчи под прошлую критическую уязвимость в vm2 вышли в январе, в этот раз у неё большая компания, но суть остаётся прежней — не пытайтесь сэндбоксить JavaScript. Впрочем, выбора у юзеров особо нет, так что придётся грызть кактус дальше и накатывать исправления.
@tomhunter
Среди них три десяточки по CVSS, остальные тоже не отстают — большая часть на 9.8 баллов. Несколько обходов предыдущих патчей, edge-кейсы и прочее сопутствующее сизифову труду по обеспечению безопасности песочницы под JavaScript. Всё это с проверками концепции под все опубликованные CVE, чтобы уж никому не казалось, что разраб с вами шутки шутить будет. Патчи под прошлую критическую уязвимость в vm2 вышли в январе, в этот раз у неё большая компания, но суть остаётся прежней — не пытайтесь сэндбоксить JavaScript. Впрочем, выбора у юзеров особо нет, так что придётся грызть кактус дальше и накатывать исправления.
@tomhunter
🔥1😁1😢1
#news У “Лаборатории Касперского” анализ паролей из утечек с 2023-го по 2026-й год. Как и следует ожидать, не выросла любовь к бытовому кибербезу в душах сограждан: привычные тренды прошлых лет по-прежнему в силе.
На 231 миллион паролей 53% оканчиваются цифрами, 12% содержат последовательность, похожую на дату. 3% — нестареющая классика в виде qwerty и обратного варианта. На кириллице распространена смекалочка с корнями в 90-х — набор русских слов английскими буквами и наоборот; увы, брутфорс не проведёшь. Особенно с оглядкой на развитие ИИ-инструментов: больше 20% паролей в 15 символов перебираются меньше чем за минуту; 60,2% утёкшего — за час. Юзерам традиционно рекомендуют пользоваться менеджерами, те это традиционно проигнорируют. Так что вся надежда на форс 2FA и иных методов защиты со стороны платформ. Qwerty с нами навсегда.
@tomhunter
На 231 миллион паролей 53% оканчиваются цифрами, 12% содержат последовательность, похожую на дату. 3% — нестареющая классика в виде qwerty и обратного варианта. На кириллице распространена смекалочка с корнями в 90-х — набор русских слов английскими буквами и наоборот; увы, брутфорс не проведёшь. Особенно с оглядкой на развитие ИИ-инструментов: больше 20% паролей в 15 символов перебираются меньше чем за минуту; 60,2% утёкшего — за час. Юзерам традиционно рекомендуют пользоваться менеджерами, те это традиционно проигнорируют. Так что вся надежда на форс 2FA и иных методов защиты со стороны платформ. Qwerty с нами навсегда.
@tomhunter
😁5👎3💯1
#news Одной проблемной LPE в Linux этой весной было мало, так что встречайте новую: Dirty Frag, цепочка из двух уязвимостей. Без состояния гонки, без паники ядра, с очень высокой успешностью эксплойта. Универсальная. Твоя.
Причём это тот случай, когда чем дальше читаешь, тем хуже становится. Патчей нет, даже CVE присвоили лишь пару часов назад. Но исследователь раскрыл PoC и документацию по уязвимости после консультации с мейнтейнерами. Потому что вчера всплыл эксплойт. Уязвимость продолжает дело Copy Fail, охват по дистрибутивам сопоставимый; ответственный за неё коммит датируется январём 2017-го, вторая в цепочке — от июня 2023-го. Информация по Dirty Frag у дистров в процессе выхода, но пока есть разве что костыли. В общем, с днём эпичной LPE в экосистеме! И вариант “Давайте уже после майских” здесь не особо прокатит.
@tomhunter
Причём это тот случай, когда чем дальше читаешь, тем хуже становится. Патчей нет, даже CVE присвоили лишь пару часов назад. Но исследователь раскрыл PoC и документацию по уязвимости после консультации с мейнтейнерами. Потому что вчера всплыл эксплойт. Уязвимость продолжает дело Copy Fail, охват по дистрибутивам сопоставимый; ответственный за неё коммит датируется январём 2017-го, вторая в цепочке — от июня 2023-го. Информация по Dirty Frag у дистров в процессе выхода, но пока есть разве что костыли. В общем, с днём эпичной LPE в экосистеме! И вариант “Давайте уже после майских” здесь не особо прокатит.
@tomhunter
😱7🔥1😁1
#news ShinyHunters навели шуму в образовательной системе США: данные с нацплатформы Canvas стянули, страницу логина дефейснули. После атаки вендор отключил доступ, что затронуло ~9,000 школ и университетов в стране. Главные заголовки дня в Штатах.
Canvas — один из ключевых образовательных ресурсов в США, так что это событие национального масштаба. Затронут, например, Гарвард, и всё это в ходе выпускных экзаменов. SH взломали оператора платформы Infrastructure и утверждают, что стянули данные 275 миллионов студентов и всех затронутых учреждений. Проще говоря, это инцидент уровня Change Healthcare от BlackCat: здесь SH заходят на территорию, где трёхбуквенные агентства вызывают на ковёр и требуют быстро, решительно принять меры. Умные группировки после такого резко уходят со сцены и залегают на дно, но SH умом и сообразительностью не отличаются, так что помянем бедолаг.
@tomhunter
Canvas — один из ключевых образовательных ресурсов в США, так что это событие национального масштаба. Затронут, например, Гарвард, и всё это в ходе выпускных экзаменов. SH взломали оператора платформы Infrastructure и утверждают, что стянули данные 275 миллионов студентов и всех затронутых учреждений. Проще говоря, это инцидент уровня Change Healthcare от BlackCat: здесь SH заходят на территорию, где трёхбуквенные агентства вызывают на ковёр и требуют быстро, решительно принять меры. Умные группировки после такого резко уходят со сцены и залегают на дно, но SH умом и сообразительностью не отличаются, так что помянем бедолаг.
@tomhunter
😁10🔥2👎1🤬1🤡1
#news В новую неделю с новыми… атаками на цепочку поставок! А вы как думали? У JDownloader, популярного менеджера загрузок, скомпрометировали сайт, 6 и 7 мая он доставлял малварь с .sh-установщиком под Linux и альтернативным под Windows. Остальные не затронуты.
Злоумышленники подменили ссылки на сайте на ведущие на вредонос — на сайте была уязвимость, позволяющая редактировать контент без аутентификации. В качестве нагрузки шёл RAT на питоне, но на него ругался Windows Defender, один удивлённый юзер отнёс это на Reddit, вести дошли до разраба, и малварь поймали. В общем, продолжающийся тренд на компрометацию сайтов с популярным софтом: как было недавно у CPU-Z и HWMonitor. У китайских братушек это всё получается гораздо изящнее и месяцами остаётся незамеченным, но на то они и апэтэшечки.
@tomhunter
Злоумышленники подменили ссылки на сайте на ведущие на вредонос — на сайте была уязвимость, позволяющая редактировать контент без аутентификации. В качестве нагрузки шёл RAT на питоне, но на него ругался Windows Defender, один удивлённый юзер отнёс это на Reddit, вести дошли до разраба, и малварь поймали. В общем, продолжающийся тренд на компрометацию сайтов с популярным софтом: как было недавно у CPU-Z и HWMonitor. У китайских братушек это всё получается гораздо изящнее и месяцами остаётся незамеченным, но на то они и апэтэшечки.
@tomhunter
😁4🔥3🤬2
#news Ещё один яркий пример доставки малвари через расшаренные чаты с LLM, на этот раз от Claude и под MacOS. Юзеры в поисках “Claude download mac” попадают на чат с вредоносными инструкциями.
Начинается всё в лучших традициях с проспонсированных Google результатов выдачи — никогда не спрашивайте у крупных платформ, сколько они зарабатывают на малвертайзинге. В чате с Клодом инструкция формата InstallFix, текст ироничный: вот как безопасно установить Claude Code на Mac, не затронув систему или персональные данные. На деле в комплекте инфостилер MacSync с пасхалкой в виде блока на локали СНГ. На скрине пример чата, глазами среднего юзера весьма убедительно: ищу установщик Claude под мак, нахожу чат с Клодом от Google, ещё и расшаренный Apple Support. Как уж здесь не купиться?
@tomhunter
Начинается всё в лучших традициях с проспонсированных Google результатов выдачи — никогда не спрашивайте у крупных платформ, сколько они зарабатывают на малвертайзинге. В чате с Клодом инструкция формата InstallFix, текст ироничный: вот как безопасно установить Claude Code на Mac, не затронув систему или персональные данные. На деле в комплекте инфостилер MacSync с пасхалкой в виде блока на локали СНГ. На скрине пример чата, глазами среднего юзера весьма убедительно: ищу установщик Claude под мак, нахожу чат с Клодом от Google, ещё и расшаренный Apple Support. Как уж здесь не купиться?
@tomhunter
😁6👍4😱3
#news Про атаки на цепочку поставок слышали? Новый хит сезона! Мини Шаи-Хулуд в исполнении TeamPCP продолжает терроризировать npm и PyPi — червие уже в 400+ пакетов.
Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /. Такая вот русская рулетка для девелоперов. В комментариях TanStack юзер и вовсе утверждает, что нагрузка слушает стянутый токен и пускает rm -rf /, если его отзовут. А вы думали, supply chain атаки только вам надоели? Вот и TeamPCP развлекается как может.
@tomhunter
Среди затронутых TanStack, UiPath, Mistral AI, OpenSearch, и Guardrails AI. Отдельно можно выделить пакеты TanStack — больше 12 миллионов загрузок в неделю и широкий охват по всей экосистеме npm. Даром что сканер от Socket засёк компрометацию через 5 минут после публикации. Чтобы было не так скучно, подвезли сюжетный поворот: на иранских и израильских локалях в малвари прописан шанс 1 к 6 выполнить rm -rf /. Такая вот русская рулетка для девелоперов. В комментариях TanStack юзер и вовсе утверждает, что нагрузка слушает стянутый токен и пускает rm -rf /, если его отзовут. А вы думали, supply chain атаки только вам надоели? Вот и TeamPCP развлекается как может.
@tomhunter
🔥3😁3🤯2
#news Mythos нашёл уязвимость в cURL! Да, одну. Так начинается статья Стенберга по результатам взаимодействия с распиаренной моделью от Anthropic. Если кратко, вы не сумели впечатлить деда.
Базу кода сURL пропустили через Mythos, тот заявил, что нашёл 5 уязвимостей, после ревью осталась одна. С низким рейтингом. Плюс три ложно положительных и один баг. По итогам Стенберг сочится сарказмом и приходит к выводу, что Mythos — это просто удачный пиар-проект, от которого весь мир совершенно зря сходит с ума. Очевидное-невероятное. Злые языки парируют, что Стенберга попробуй ещё впечатли, но в отличие от той же Mozilla в посте есть сухие факты: размеры их базы кода, прежние аудиты с фаззингом и мейнтейнерами и далее по тексту. С оговорками, что ИИ-анализ кода очень даже неплох, но для энтузиастов он всё равно на святое покусился, считай.
@tomhunter
Базу кода сURL пропустили через Mythos, тот заявил, что нашёл 5 уязвимостей, после ревью осталась одна. С низким рейтингом. Плюс три ложно положительных и один баг. По итогам Стенберг сочится сарказмом и приходит к выводу, что Mythos — это просто удачный пиар-проект, от которого весь мир совершенно зря сходит с ума. Очевидное-невероятное. Злые языки парируют, что Стенберга попробуй ещё впечатли, но в отличие от той же Mozilla в посте есть сухие факты: размеры их базы кода, прежние аудиты с фаззингом и мейнтейнерами и далее по тексту. С оговорками, что ИИ-анализ кода очень даже неплох, но для энтузиастов он всё равно на святое покусился, считай.
@tomhunter
😁7💯2❤1
#news TeamPCP, видимо, приняла близко к сердцу шутеечки про мини Шаи-Хулуда и неповторимый оригинал. И выложила свою малварь в открытый доступ на GitHub.
Червие вчера приметили в паре репозиториев, он провисел несколько часов, обзавёлся форками и PR под поддержку FreeBSD. Малварь шла в комплекте c комментарием “Опенсорсим кровавую бойню, с любовью,TeamPCP” — некоторые, как известно, просто хотят видят мир в огне. GitHub начал репы сносить, но кому надо, конечно, скачали — ссылочки давать не будем, желающие найдут сами. Теханализ можно почитать здесь. Как выяснилось, нагрузка действительно нюкает систему — скрипт пускает rm -rf /, если токен вернёт 40x. Так что стягивание кредов идёт с огоньком.
@tomhunter
Червие вчера приметили в паре репозиториев, он провисел несколько часов, обзавёлся форками и PR под поддержку FreeBSD. Малварь шла в комплекте c комментарием “Опенсорсим кровавую бойню, с любовью,TeamPCP” — некоторые, как известно, просто хотят видят мир в огне. GitHub начал репы сносить, но кому надо, конечно, скачали — ссылочки давать не будем, желающие найдут сами. Теханализ можно почитать здесь. Как выяснилось, нагрузка действительно нюкает систему — скрипт пускает rm -rf /, если токен вернёт 40x. Так что стягивание кредов идёт с огоньком.
@tomhunter
😁4🔥3❤1
#news Помните исследователя с нервным срывом, недавно выложившего PoC под уязвимость в Windows? Он продолжает свой крестовый поход против корпорации зла и опубликовал ещё две уязвимости. Всё это прямо в патчевый вторник.
Первая на повышение привилегий, вторая интереснее: на обход BitLocker в Win11 и Win Server 2022/2025. Для этого нужна флешка и доступ к устройству, так что эксплойт ограничен, но выглядит он достаточно необычно, чтобы наш выгоревший мститель решил, что это бэкдор. На деле Microsoft, похоже, забыла в проде инструмент для дебага — бритва Хэнлона вновь спешит на выручку. Тем временем товарищ Nightmare Eclipse грозит новыми карами в следующий Patch Tuesday, пишет, что принял меры на случай, если его устранят — человеку явно не хорошо. Нормисов ломают роковые женщины, багхантеров — BB от корпораций. Об этом не расскажут на парах по кибербезу в вузе!
@tomhunter
Первая на повышение привилегий, вторая интереснее: на обход BitLocker в Win11 и Win Server 2022/2025. Для этого нужна флешка и доступ к устройству, так что эксплойт ограничен, но выглядит он достаточно необычно, чтобы наш выгоревший мститель решил, что это бэкдор. На деле Microsoft, похоже, забыла в проде инструмент для дебага — бритва Хэнлона вновь спешит на выручку. Тем временем товарищ Nightmare Eclipse грозит новыми карами в следующий Patch Tuesday, пишет, что принял меры на случай, если его устранят — человеку явно не хорошо. Нормисов ломают роковые женщины, багхантеров — BB от корпораций. Об этом не расскажут на парах по кибербезу в вузе!
@tomhunter
😁9🔥3❤1🤡1