Французская платформа ANTS, обрабатывающая процедуры выдачи паспортов, видов на жительство и водительских прав, взломана, а данные украдены.
Власти обнаружили инцидент 15 апреля и предупредили, что он мог привести к утечке персональных данных из личных и профессиональных аккаунтов на портале ants.gouv.fr.
МВД Франции официально подтвердило факт утечки и проводит расследование масштабов и последствий для пострадавших пользователей.
Власти уведомляют пострадавших пользователей. Согласно уведомлению об утечке данных, раскрытые данные не включают загруженные документы и не предоставляют доступа к учетным записям пользователей.
ANTS также уведомила об инциденте в Французское управление по защите данных (CNIL), прокуратуру и агентство по кибербезопасности.
В свою очередь, в киберподполье на продажу выставлен большой набор данных, украденный у ANTS, который включает 19 млн. записей с именами, адресами почты, номерами телефонов, данными о рождении, адресами, семейным положением и метаданными учетных записей.
Власти обнаружили инцидент 15 апреля и предупредили, что он мог привести к утечке персональных данных из личных и профессиональных аккаунтов на портале ants.gouv.fr.
МВД Франции официально подтвердило факт утечки и проводит расследование масштабов и последствий для пострадавших пользователей.
Власти уведомляют пострадавших пользователей. Согласно уведомлению об утечке данных, раскрытые данные не включают загруженные документы и не предоставляют доступа к учетным записям пользователей.
ANTS также уведомила об инциденте в Французское управление по защите данных (CNIL), прокуратуру и агентство по кибербезопасности.
В свою очередь, в киберподполье на продажу выставлен большой набор данных, украденный у ANTS, который включает 19 млн. записей с именами, адресами почты, номерами телефонов, данными о рождении, адресами, семейным положением и метаданными учетных записей.
Исследователи из Лаборатории Касперского вновь обращают внимание новые технологии и фреймворки, которые злоумышленники активно берут на вооружение, как в случае с Mythic, о котором сообщали ранее.
Одним из характерных примеров такого инструментария стал AdaptixC2 - относительно новый open-source-проект для постэксплуатации, который за короткое время привлек внимание профсообщества наступательной кибербезопасности.
Интерес к нему объясняется не только доступностью исходного кода, но и широкими возможностями расширения: фреймворк поддерживает BOF-файлы, включая асинхронные, и вокруг него уже сформировалась отдельная экосистема модулей, расширений и внешних BOF-коллекций.
При этом AdaptixC2 все чаще используется в реальных инцидентах, в том числе в APT-атаках и кампаниях с применением шифровальщиков, о исследователи ЛК неоднократно рассказывали.
В AdaptixC2 для снижения вероятности обнаружения применяются различные механизмы сетевого взаимодействия и постэксплуатации, направленные на обход средств мониторинга трафика, таких как IDS, и решений класса NDR.
Однако даже в подобных условиях сетевое детектирование нередко остается одним из наиболее результативных способов выявления присутствия агента и его активности.
Одновременно с этим ряд стандартных техник постэксплуатации на хосте реализован таким образом, что обнаружить вредоносную активность по артефактам может быть затруднительно.
В связи с этим необходим расширенный мониторинг действий в системе с использованием решения класса EDR. Также в ЛК отмечают, что стандартных методов защиты может быть недостаточно.
Так что, в своем отчете исследователи ЛК детально рассмотрели способы обнаружения фреймворка AdaptixC2 на основе его сетевого взаимодействия с управляющим сервером, а также детектирование постэксплуатационной активности на конечной точке.
Одним из характерных примеров такого инструментария стал AdaptixC2 - относительно новый open-source-проект для постэксплуатации, который за короткое время привлек внимание профсообщества наступательной кибербезопасности.
Интерес к нему объясняется не только доступностью исходного кода, но и широкими возможностями расширения: фреймворк поддерживает BOF-файлы, включая асинхронные, и вокруг него уже сформировалась отдельная экосистема модулей, расширений и внешних BOF-коллекций.
При этом AdaptixC2 все чаще используется в реальных инцидентах, в том числе в APT-атаках и кампаниях с применением шифровальщиков, о исследователи ЛК неоднократно рассказывали.
В AdaptixC2 для снижения вероятности обнаружения применяются различные механизмы сетевого взаимодействия и постэксплуатации, направленные на обход средств мониторинга трафика, таких как IDS, и решений класса NDR.
Однако даже в подобных условиях сетевое детектирование нередко остается одним из наиболее результативных способов выявления присутствия агента и его активности.
Одновременно с этим ряд стандартных техник постэксплуатации на хосте реализован таким образом, что обнаружить вредоносную активность по артефактам может быть затруднительно.
В связи с этим необходим расширенный мониторинг действий в системе с использованием решения класса EDR. Также в ЛК отмечают, что стандартных методов защиты может быть недостаточно.
Так что, в своем отчете исследователи ЛК детально рассмотрели способы обнаружения фреймворка AdaptixC2 на основе его сетевого взаимодействия с управляющим сервером, а также детектирование постэксплуатационной активности на конечной точке.
Исследователи F6 и Positive Technologies выкатили отчеты по результатам отслеживания активности PhantomCore, которая является одной из наиболее активных групп на российском ландшафте угроз.
Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных.
Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций.
В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды.
Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite).
Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями.
Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой.
Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают:
- использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой);
- создание и эксфильтрация снимков экрана;
- хищение файлов по полученному от сервера шаблону;
- определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер;
- сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее.
В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак.
В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore.
При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа.
Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi.
В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО.
PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний.
Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).
Как отмечает в F6, впервые ее обнаружили её в 2024 году, а позднее выяснили, что самые ранние атаки группировка провела в 2022 году. Группа атакует государственные и частные организации широкого круга отраслей, специализируясь на кибершпионаже и краже конфиденциальных данных.
Одна из главных особенностей эволюции PhantomCore – её постоянная адаптивность: АРТ быстро приспосабливается к новым условиям, оперативно меняет инструменты и изобретает нестандартные способы доставки вредоносного ПО до атакуемых организаций.
В 2022 году главной целью злоумышленников были кража, повреждение и уничтожение данных. В 2024 году они переключились на шифрование инфраструктур атакованных компаний и получение финансовой выгоды.
Отличительная черта PhantomCore – использование как общедоступных инструментов (Velociraptor, Memprocfs, Dokan, DumpIt), так и собственных разработок (MacTunnelRAT, PhantomSscp, PhantomProxyLite).
Причём, судя по количеству самописных программ, а также по количеству атак на российские и белорусские компании, команда разработчиков этой киберпреступной группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за новыми уязвимостями.
Одна из таких собственных разработок – KermitRAT, получивший название по причине использования аналогичных подстрок в именах файлов, используемых программой.
Это новая малварь от PhantomCore, которая впервые задетектировалась специалистами F6 в начале апреля 2026 года. Функциональные возможности включают:
- использование различных способов выполнения команд на зараженной системе (скрытый; выполнение PowerShell/cmd; с записью результата в файл и последующей его выгрузкой);
- создание и эксфильтрация снимков экрана;
- хищение файлов по полученному от сервера шаблону;
- определение и перехват нажатия клавиш жертвой с дальнейшей их записью и эксфильтрации на сервер;
- сбор подробной информации о зараженной системе, включая сетевую инфраструктуру, сведения о логических дисках, количество пользователей, информацию о процессах и сервисах, наличие антивирусного ПО, установленном ПО и так далее.
В своем отчете F6 на примере новой атаки PhantomCore на российскую компанию исследователи рассказали про развитие инструментария и TTPs, внедрение нового ПО и расширение спектра используемых технологий, включая AI-решения, для повышения эффективности атак.
В свою очередь, Позитивы в результате расследования выявили широкомасштабную кампанию кибершпионажа и возможный раскол APT‑группировки PhantomCore.
При этом отметили, что в рассматриваемый период группа активно атаковала организации, использующие сервер видеоконференцсвязи TrueConf, и, помимо этого, продолжает использовать фишинг для получения первоначального доступа.
Для перемещения внутри периметра злоумышленники преимущественно используют WinRM, а для закрепления - обратный SSH‑туннель, для этого они доставляют на Windows‑машины собственный установщик ssh.msi.
В качестве имен серверов управления выбираются доменные имена из зоны space и online, мимикрируя под различное легитимное ПО.
PhantomCore активно ищет уязвимости в отечественном ПО, разрабатывает эксплойты и тем самым получает возможность проникать в большое количество российских компаний.
Подробности исследования сетевой инфраструктуры атакующих и атрибуции, TTPs и IOCs - в отчетах F6 и Positive Technologies (здесь и здесь соответственно).
Хабр
«Ждите гостей»: новые инструменты и тактики PhantomCore в атаках на российские компании
Киберпреступная группа PhantomCore – одна из главных угроз для российских и белорусских компаний. Впервые специалисты F6 обнаружили её в 2024 году,...
Исследователь impulsive (weezerOSINT) сообщает, что общедоступные страницы Notion могут раскрывать адреса электронной почты всех участников через неаутентифицированный API-запрос. Причем эта уязвимость известна с 2022 года и сохраняется до сих пор.
Notion - широко используемая платформа для повышения производительности и совместной работы, оценивается примерно в 11 млрд. долл., поддерживает создание документации, внутренних вики-сайтов и управление проектами.
Уязвимость позволяет любому пользователю извлекать данные пользователей, включая имена, электронные адреса и изображения профилей, без входа в систему или взаимодействия с платформой.
Исследователь описал, как API бэкэнда Notion приводит к утечке персональных данных, связанных с общедоступными страницами. В частности, утечка реализуется из-за того, как Notion обрабатывает метаданные разрешений.
Общедоступные страницы содержат UUID редакторов в своих структурах разрешений блоков, которые можно получить без аутентификации. Они могут быть отправлены на конечную точку /api/v3/syncRecordValuesMain, которая возвращает связанные данные пользователя, включая его адрес электронной почты.
Для подтверждения проблемы исследователь протестировал общедоступную страницу сообщества Notion, извлек 13 UUID пользователей и успешно соотнес 12 из них с адресами электронной почты.
Полученные данные, как сообщается, включали внутренние учетные записи сотрудников Notion, учетную запись производственной службы (svc-notion-prod@makenotion.com) и как минимум одного внешнего сотрудника.
Причем этот процесс не требует токенов аутентификации, файлов cookie или специальных привилегий, достаточно лишь одного специально сформированного POST-запроса.
Исследователь предупредил, что тысячи общедоступных страниц Notion, легко обнаруживаемых поисковыми системами, могут содержать адреса электронной почты участников.
В корпоративных средах, где большие команды совместно работают над общими документами, одна такая страница может раскрыть сотни корпоративных учетных записей электронной почты.
Исследователь также отмечает, что данные можно дополнить с помощью еще одной неаутентифицированной конечной точки, getLoginOptions, которая показывает, использует ли учетная запись аутентификацию на основе пароля или единый вход (SSO).
Такая комбинация может предоставить злоумышленникам тщательно отобранный список целей для подбора учетных данных или фишинговых кампаний.
Упомянутая уязвимость была впервые обнаружена на HackerOne 28 июля 2022 года, где она была классифицирована как «информативная» и не привела к исправлению, присвоению CVE или вознаграждению за обнаружение.
Как сообщает impulsive, ему удалось самостоятельно повторно обнаружить проблему. После уведомления она была помечена как дубликат. Вместе с тем, актуальное исследование подтвердило, что поведение уязвимости осталось неизменным.
В ответ на это заявление в Notion отметили, что такое поведение задокументировано и пользователи получают предупреждения при публикации страниц. Однако все же заключили, что текущая реализация недостаточна.
Так что Notion изучает способы решения проблемы, включая удаление персональных данных из общедоступных конечных точек или внедрение проксирования электронной почты, аналогично подходу GitHub к публичным коммитам.
Однако impulsive опроверг доводы по поводу предупреждения. В ходе последующего тестирования с использованием новой учетной записи интерфейс «Опубликовать в интернете» также не содержал упоминаний о раскрытии адресов электронной почты или утечке данных через API.
Диалоговое окно публикации, как сообщается, включает только базовые элементы управления и предварительный просмотр, без указания на то, что информация об участниках становится доступной извне.
Кроме того, даже если страница помечена как «Частная» в интерфейсе, базовые вызовы API все равно могут раскрыть связанные с ней данные пользователей, если страница была опубликована.
Notion - широко используемая платформа для повышения производительности и совместной работы, оценивается примерно в 11 млрд. долл., поддерживает создание документации, внутренних вики-сайтов и управление проектами.
Уязвимость позволяет любому пользователю извлекать данные пользователей, включая имена, электронные адреса и изображения профилей, без входа в систему или взаимодействия с платформой.
Исследователь описал, как API бэкэнда Notion приводит к утечке персональных данных, связанных с общедоступными страницами. В частности, утечка реализуется из-за того, как Notion обрабатывает метаданные разрешений.
Общедоступные страницы содержат UUID редакторов в своих структурах разрешений блоков, которые можно получить без аутентификации. Они могут быть отправлены на конечную точку /api/v3/syncRecordValuesMain, которая возвращает связанные данные пользователя, включая его адрес электронной почты.
Для подтверждения проблемы исследователь протестировал общедоступную страницу сообщества Notion, извлек 13 UUID пользователей и успешно соотнес 12 из них с адресами электронной почты.
Полученные данные, как сообщается, включали внутренние учетные записи сотрудников Notion, учетную запись производственной службы (svc-notion-prod@makenotion.com) и как минимум одного внешнего сотрудника.
Причем этот процесс не требует токенов аутентификации, файлов cookie или специальных привилегий, достаточно лишь одного специально сформированного POST-запроса.
Исследователь предупредил, что тысячи общедоступных страниц Notion, легко обнаруживаемых поисковыми системами, могут содержать адреса электронной почты участников.
В корпоративных средах, где большие команды совместно работают над общими документами, одна такая страница может раскрыть сотни корпоративных учетных записей электронной почты.
Исследователь также отмечает, что данные можно дополнить с помощью еще одной неаутентифицированной конечной точки, getLoginOptions, которая показывает, использует ли учетная запись аутентификацию на основе пароля или единый вход (SSO).
Такая комбинация может предоставить злоумышленникам тщательно отобранный список целей для подбора учетных данных или фишинговых кампаний.
Упомянутая уязвимость была впервые обнаружена на HackerOne 28 июля 2022 года, где она была классифицирована как «информативная» и не привела к исправлению, присвоению CVE или вознаграждению за обнаружение.
Как сообщает impulsive, ему удалось самостоятельно повторно обнаружить проблему. После уведомления она была помечена как дубликат. Вместе с тем, актуальное исследование подтвердило, что поведение уязвимости осталось неизменным.
В ответ на это заявление в Notion отметили, что такое поведение задокументировано и пользователи получают предупреждения при публикации страниц. Однако все же заключили, что текущая реализация недостаточна.
Так что Notion изучает способы решения проблемы, включая удаление персональных данных из общедоступных конечных точек или внедрение проксирования электронной почты, аналогично подходу GitHub к публичным коммитам.
Однако impulsive опроверг доводы по поводу предупреждения. В ходе последующего тестирования с использованием новой учетной записи интерфейс «Опубликовать в интернете» также не содержал упоминаний о раскрытии адресов электронной почты или утечке данных через API.
Диалоговое окно публикации, как сообщается, включает только базовые элементы управления и предварительный просмотр, без указания на то, что информация об участниках становится доступной извне.
Кроме того, даже если страница помечена как «Частная» в интерфейсе, базовые вызовы API все равно могут раскрыть связанные с ней данные пользователей, если страница была опубликована.
X (formerly Twitter)
impulsive (@weezerOSINT) on X
every public Notion page is leaking the email addresses of everyone who edited it.
zero authentication. no cookies. no tokens. one POST request returns full names, emails, and profile photos for every editor on the page.
your company wiki is public? every…
zero authentication. no cookies. no tokens. one POST request returns full names, emails, and profile photos for every editor on the page.
your company wiki is public? every…
Исследователи Лаборатории Касперского задокументировали новую вредоносную программу для стирания данных под названием Lotus, которая задействовалась в течение прошлого года в ходе целенаправленных атаках на энергетические и коммунальные системы в Венесуэле.
Вредоносная ПО была загружена на общедоступную платформу в середине декабря с компьютера в Венесуэле, попав в поле зрения исследователей ЛК.
Перед этапом нанесения решающего удара злоумышленник использует два пакетных скрипта, которые подготавливают систему к финальной атаке, ослабляя средства защиты и препятствуя нормальной работе.
По данным исследователей, вредоносная ПО Lotus отключает механизмы восстановления, перезаписывает содержимое физических дисков и систематически удаляет файлы на затронутых томах, в конечном итоге оставляя систему в невосстанавливаемом состоянии».
Учитывая временные рамки, наблюдаемая активность совпадает с геополитической напряженностью в регионе, кульминацией которой в этом году 3 января стал захват тогдашнего президента Венесуэлы Николаса Мадуро.
Примерно в середине декабря 2025 года государственная нефтяная компания Petróleos de Venezuela (PDVSA) подверглась кибератаке, которая вывела из строя ее системы доставки. Компания обвинила в инциденте США.
Следует отметить, что в открытом доступе нет никаких доказательств того, что системы PDVSA были нейтрализованы в результате атаки, как нет подробностей о характере самой атаки.
В отчете Лаборатории Касперского сообщается, что атаки начинаются с выполнения пакетного скрипта (OhSyncNow.bat), который отключает службу Windows UI0Detect и выполняет проверку XML-файла для координации выполнения на системах, подключенных к домену.
При выполнении определенных условий запускается скрипт второго этапа (notesreg.bat).
Он сканирует пользователей, отключает учетные записи через смену паролей, завершает активные сессии, отключает все сетевые интерфейсы и деактивирует кэшированные данные для входа.
Затем вредоносный код считывает диски и запускает команду diskpart clean all, чтобы перезаписать их нулями. Как обнаружили в ЛК, он также использует robocopy для перезаписи содержимого каталогов.
На следующем этапе программа вычисляет свободное пространство и использует утилиту fsutil для создания файла, который заполняет диск, затрудняя восстановление стертых данных.
После подготовки среды для уничтожения данных и выполнения некоторых действий по очистке, пакетный скрипт расшифровывает и запускает вайпер Lotus в качестве конечной полезной нагрузки.
Lotus работает на более низком уровне, взаимодействуя с дисками посредством вызовов IOCTL, получая геометрию диска, очищая записи журнала USN, удаляя точки восстановления и перезаписывая физические сектора, а не только логические тома.
Вредоносная ПО реализует следующий алгоритм действий:
- Предоставляет все привилегии, содержащиеся в его токене, для получения доступа административного уровня.
- Удаляет все точки восстановления Windows, используя API восстановления системы.
- Осуществляет стирание данных с физических дисков путем восстановления геометрии диска и перезаписи всех секторов нулями.
- Очищает журнал USN, удаляя следы активности файловой системы.
- Удаляет файлы, обнуляя их содержимое, переименовывая их случайным образом и удаляя (или планируя удаление при перезагрузке, если система заблокирована).
- Повторяет циклы очистки диска и удаления точек восстановления несколько раз.
- После окончательного удаления данных обновляются свойства диска с помощью команды IOCTL_DISK_UPDATE_PROPERTIES.
Технические подробности, IOCs и рекомендации - в отчете.
Вредоносная ПО была загружена на общедоступную платформу в середине декабря с компьютера в Венесуэле, попав в поле зрения исследователей ЛК.
Перед этапом нанесения решающего удара злоумышленник использует два пакетных скрипта, которые подготавливают систему к финальной атаке, ослабляя средства защиты и препятствуя нормальной работе.
По данным исследователей, вредоносная ПО Lotus отключает механизмы восстановления, перезаписывает содержимое физических дисков и систематически удаляет файлы на затронутых томах, в конечном итоге оставляя систему в невосстанавливаемом состоянии».
Учитывая временные рамки, наблюдаемая активность совпадает с геополитической напряженностью в регионе, кульминацией которой в этом году 3 января стал захват тогдашнего президента Венесуэлы Николаса Мадуро.
Примерно в середине декабря 2025 года государственная нефтяная компания Petróleos de Venezuela (PDVSA) подверглась кибератаке, которая вывела из строя ее системы доставки. Компания обвинила в инциденте США.
Следует отметить, что в открытом доступе нет никаких доказательств того, что системы PDVSA были нейтрализованы в результате атаки, как нет подробностей о характере самой атаки.
В отчете Лаборатории Касперского сообщается, что атаки начинаются с выполнения пакетного скрипта (OhSyncNow.bat), который отключает службу Windows UI0Detect и выполняет проверку XML-файла для координации выполнения на системах, подключенных к домену.
При выполнении определенных условий запускается скрипт второго этапа (notesreg.bat).
Он сканирует пользователей, отключает учетные записи через смену паролей, завершает активные сессии, отключает все сетевые интерфейсы и деактивирует кэшированные данные для входа.
Затем вредоносный код считывает диски и запускает команду diskpart clean all, чтобы перезаписать их нулями. Как обнаружили в ЛК, он также использует robocopy для перезаписи содержимого каталогов.
На следующем этапе программа вычисляет свободное пространство и использует утилиту fsutil для создания файла, который заполняет диск, затрудняя восстановление стертых данных.
После подготовки среды для уничтожения данных и выполнения некоторых действий по очистке, пакетный скрипт расшифровывает и запускает вайпер Lotus в качестве конечной полезной нагрузки.
Lotus работает на более низком уровне, взаимодействуя с дисками посредством вызовов IOCTL, получая геометрию диска, очищая записи журнала USN, удаляя точки восстановления и перезаписывая физические сектора, а не только логические тома.
Вредоносная ПО реализует следующий алгоритм действий:
- Предоставляет все привилегии, содержащиеся в его токене, для получения доступа административного уровня.
- Удаляет все точки восстановления Windows, используя API восстановления системы.
- Осуществляет стирание данных с физических дисков путем восстановления геометрии диска и перезаписи всех секторов нулями.
- Очищает журнал USN, удаляя следы активности файловой системы.
- Удаляет файлы, обнуляя их содержимое, переименовывая их случайным образом и удаляя (или планируя удаление при перезагрузке, если система заблокирована).
- Повторяет циклы очистки диска и удаления точек восстановления несколько раз.
- После окончательного удаления данных обновляются свойства диска с помощью команды IOCTL_DISK_UPDATE_PROPERTIES.
Технические подробности, IOCs и рекомендации - в отчете.
Microsoft выпустила внеплановые обновления для устранения критической уязвимости повышения привилегий в ASP.NET Core.
Уязвимость отслеживается как CVE-2026-40372 и затрагивает криптографические API защиты данных ASP.NET Core.
Она позволяет неавторизованным злоумышленникам получать системные привилегии на затронутых устройствах путем подделки аутентификационных файлов cookie.
Microsoft обнаружила уязвимость после сообщений пользователей о сбоях расшифровки в их приложениях после установки обновления .NET 10.0.6, выпущенного в рамках PatchTuesday в этом месяце.
Как отмечают разработчики, в пакетах NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 обнаружена ошибка, из-за которой управляемый аутентифицированный шифратор вычисляет свой тег проверки HMAC по неправильным байтам полезной нагрузки, а затем в некоторых случаях отбрасывает вычисленный хеш.
В таких случаях некорректная проверка позволяет злоумышленнику подделывать полезные данные, которые проходят проверку подлинности DataProtection, а также расшифровывать ранее защищенные полезные данные в файлах cookie аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т.д.
В случае если злоумышленник использовал поддельные вредоносные ПО для аутентификации в качестве привилегированного пользователя в течение уязвимого периода, он мог заставить приложение выдать себе легитимно подписанные токены (для обновления сессии, ключ API, ссылка для сброса пароля и т. д.).
Эти токены остаются действительными после обновления до версии 10.0.7, если не будет произведена смена набора ключей DataProtection.
Как пояснила Microsoft в своем уведомлении по безопасности, эта уязвимость также может позволить злоумышленникам раскрывать файлы и изменять данные, но они не могут повлиять на доступность системы.
На этой неделе разработчики предупредили всех клиентов, чьи приложения используют ASP.NET Core Data Protection, о необходимости как можно скорее обновить пакет Microsoft.AspNetCore.DataProtection до 10.0.7, а затем повторно развернуть приложение, чтобы исправить процедуру проверки и обеспечить автоматическое отклонение любых поддельных данных.
Более подробная информация о затронутых платформах, пакетах и конфигурации приложений содержится в первоначальном сообщении.
В понедельник Microsoft выпустила еще один набор внеплановых обновлений для устранения проблем, затрагивающих системы Windows Server после установки обновлений за апрель 2026 года. Впрочем, исправление своих же исправлений - вполне обычная практика микромягких.
Уязвимость отслеживается как CVE-2026-40372 и затрагивает криптографические API защиты данных ASP.NET Core.
Она позволяет неавторизованным злоумышленникам получать системные привилегии на затронутых устройствах путем подделки аутентификационных файлов cookie.
Microsoft обнаружила уязвимость после сообщений пользователей о сбоях расшифровки в их приложениях после установки обновления .NET 10.0.6, выпущенного в рамках PatchTuesday в этом месяце.
Как отмечают разработчики, в пакетах NuGet Microsoft.AspNetCore.DataProtection 10.0.0-10.0.6 обнаружена ошибка, из-за которой управляемый аутентифицированный шифратор вычисляет свой тег проверки HMAC по неправильным байтам полезной нагрузки, а затем в некоторых случаях отбрасывает вычисленный хеш.
В таких случаях некорректная проверка позволяет злоумышленнику подделывать полезные данные, которые проходят проверку подлинности DataProtection, а также расшифровывать ранее защищенные полезные данные в файлах cookie аутентификации, токенах защиты от подделки, TempData, состоянии OIDC и т.д.
В случае если злоумышленник использовал поддельные вредоносные ПО для аутентификации в качестве привилегированного пользователя в течение уязвимого периода, он мог заставить приложение выдать себе легитимно подписанные токены (для обновления сессии, ключ API, ссылка для сброса пароля и т. д.).
Эти токены остаются действительными после обновления до версии 10.0.7, если не будет произведена смена набора ключей DataProtection.
Как пояснила Microsoft в своем уведомлении по безопасности, эта уязвимость также может позволить злоумышленникам раскрывать файлы и изменять данные, но они не могут повлиять на доступность системы.
На этой неделе разработчики предупредили всех клиентов, чьи приложения используют ASP.NET Core Data Protection, о необходимости как можно скорее обновить пакет Microsoft.AspNetCore.DataProtection до 10.0.7, а затем повторно развернуть приложение, чтобы исправить процедуру проверки и обеспечить автоматическое отклонение любых поддельных данных.
Более подробная информация о затронутых платформах, пакетах и конфигурации приложений содержится в первоначальном сообщении.
В понедельник Microsoft выпустила еще один набор внеплановых обновлений для устранения проблем, затрагивающих системы Windows Server после установки обновлений за апрель 2026 года. Впрочем, исправление своих же исправлений - вполне обычная практика микромягких.
GitHub
core/release-notes/10.0/10.0.7/10.0.7.md at main · dotnet/core
.NET news, announcements, release notes, and more! - dotnet/core
Новая вредоносная ПО GoGra для Linux использует API Microsoft Graph для обеспечения связи.
Вредоносная ПО разработана группой Harvester, ориентированной на кибершпионаж, и, как полагают исследователи, имеющей государственное происхождение. GoGra считается очень скрытной благодаря использованию API Microsoft Graph для доступа к данным почтовых ящиков.
Harvester действует как минимум с 2021 года и, как известно, использует собственные вредоносные инструменты, такие как бэкдоры и загрузчики, в кампаниях, направленных на телекоммуникационные, правительственные и ИТ-компании в Южной Азии.
Исследователи Symantec проанализировали образцы нового бэкдора GoGra для Linux, полученные с VirusTotal, и обнаружили, что первоначальный доступ осуществляется путем обмана и запуска ELF-бинарных файлов, замаскированных под PDF-файлы.
В Symantec отмечают, что версия бэкдора GoGra для Linux использует жестко закодированные учетные данные Azure Active Directory (AD) для аутентификации в облаке Microsoft и получения токенов OAuth2, что позволяет ему взаимодействовать с почтовыми ящиками Outlook через API Microsoft Graph.
На начальном этапе атаки вредоносный дроппер на основе Go развертывает полезную нагрузку i386, обеспечивая постоянное присутствие в системе через systemd и запись автозапуска XDG, выдающую себя за легитимный системный монитор Conky для Linux и BSD.
По данным исследователей, вредоносная ПО каждые две секунды проверяет папку почтового ящика Outlook под названием Zomato Pizza. Она использует OData-запросы для идентификации входящих писем с темами, начинающимися с Input.
Вредоносная ПО расшифровывает содержимое этих сообщений, закодированное в base64 и зашифрованное с помощью AES-CBC, и выполняет полученные команды локально.
Результаты выполнения затем шифруются с помощью AES и отправляются оператору в ответных электронных письмах с темой «Вывод».
Чтобы снизить вероятность обнаружения вредоносным ПО, программа отправляет HTTP-запрос DELETE для удаления исходного электронного письма с командой после его обработки.
Symantec подчеркивает, что штамм GoGra для Linux имеет практически идентичный код с версией вредоносного ПО для Windows, включая те же опечатки в строках и именах функций, а также тот же ключ AES.
Это четко свидетельствует о том, что оба вредоносных кода были созданы одним и тем же разработчиком, что указывает на принадлежность к группе Harvester.
Symantec рассматривает появление Linux GoGra как признак того, что Harvester расширяет свой набор инструментов и сферу применения, чтобы охватить более широкий спектр систем.
Вредоносная ПО разработана группой Harvester, ориентированной на кибершпионаж, и, как полагают исследователи, имеющей государственное происхождение. GoGra считается очень скрытной благодаря использованию API Microsoft Graph для доступа к данным почтовых ящиков.
Harvester действует как минимум с 2021 года и, как известно, использует собственные вредоносные инструменты, такие как бэкдоры и загрузчики, в кампаниях, направленных на телекоммуникационные, правительственные и ИТ-компании в Южной Азии.
Исследователи Symantec проанализировали образцы нового бэкдора GoGra для Linux, полученные с VirusTotal, и обнаружили, что первоначальный доступ осуществляется путем обмана и запуска ELF-бинарных файлов, замаскированных под PDF-файлы.
В Symantec отмечают, что версия бэкдора GoGra для Linux использует жестко закодированные учетные данные Azure Active Directory (AD) для аутентификации в облаке Microsoft и получения токенов OAuth2, что позволяет ему взаимодействовать с почтовыми ящиками Outlook через API Microsoft Graph.
На начальном этапе атаки вредоносный дроппер на основе Go развертывает полезную нагрузку i386, обеспечивая постоянное присутствие в системе через systemd и запись автозапуска XDG, выдающую себя за легитимный системный монитор Conky для Linux и BSD.
По данным исследователей, вредоносная ПО каждые две секунды проверяет папку почтового ящика Outlook под названием Zomato Pizza. Она использует OData-запросы для идентификации входящих писем с темами, начинающимися с Input.
Вредоносная ПО расшифровывает содержимое этих сообщений, закодированное в base64 и зашифрованное с помощью AES-CBC, и выполняет полученные команды локально.
Результаты выполнения затем шифруются с помощью AES и отправляются оператору в ответных электронных письмах с темой «Вывод».
Чтобы снизить вероятность обнаружения вредоносным ПО, программа отправляет HTTP-запрос DELETE для удаления исходного электронного письма с командой после его обработки.
Symantec подчеркивает, что штамм GoGra для Linux имеет практически идентичный код с версией вредоносного ПО для Windows, включая те же опечатки в строках и именах функций, а также тот же ключ AES.
Это четко свидетельствует о том, что оба вредоносных кода были созданы одним и тем же разработчиком, что указывает на принадлежность к группе Harvester.
Symantec рассматривает появление Linux GoGra как признак того, что Harvester расширяет свой набор инструментов и сферу применения, чтобы охватить более широкий спектр систем.
Security
Harvester: APT Group Expands Toolset With New GoGra Linux Backdoor
Campaign appears to have been targeted at India and Afghanistan.
Более 1300 серверов Microsoft SharePoint, находящихся в открытом доступе, остаются незащищенными для уязвимости, связанной с подменой IP, которая использовалась как 0-day и до сих пор активно реализуется в продолжающихся атаках.
Уязвимость зарегистрирована как CVE-2026-32201 и затрагивает SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition (последнюю локальную версию, использующую модель «непрерывного обновления»).
Microsoft устранила эту уязвимость в рамках Patch Tuesday в апреле. Успешная эксплуатация позволяет злоумышленникам без привилегий осуществлять подмену сетевых данных, используя уязвимость в проверке входных данных в атаках низкой сложности, не требующих взаимодействия с пользователем.
Несмотря на то, что Microsoft обозначила уязвимость как 0-day, тем не менее пока не раскрыла, как именно она использовалась в атаках, и не связала эту вредоносную деятельность с конкретным злоумышленником или хакерской группой.
В свою очередь, Shadowserver предупредила, что более 1300 серверов Microsoft SharePoint в открытом доступе все еще уязвимы. С момента выпуска Microsoft исправлений для CVE-2026-32201 на прошлой неделе было обновлено лишь менее 200 систем.
В тот же день, когда Microsoft выпустила исправления для CVE-2026-32201, CISA добавила ее в свой каталог (KEV), отметив, что этот тип уязвимости является частым вектором атак для злонамеренных киберпреступников и представляет наиболее значительные риски.
Уязвимость зарегистрирована как CVE-2026-32201 и затрагивает SharePoint Enterprise Server 2016, SharePoint Server 2019 и SharePoint Server Subscription Edition (последнюю локальную версию, использующую модель «непрерывного обновления»).
Microsoft устранила эту уязвимость в рамках Patch Tuesday в апреле. Успешная эксплуатация позволяет злоумышленникам без привилегий осуществлять подмену сетевых данных, используя уязвимость в проверке входных данных в атаках низкой сложности, не требующих взаимодействия с пользователем.
Несмотря на то, что Microsoft обозначила уязвимость как 0-day, тем не менее пока не раскрыла, как именно она использовалась в атаках, и не связала эту вредоносную деятельность с конкретным злоумышленником или хакерской группой.
В свою очередь, Shadowserver предупредила, что более 1300 серверов Microsoft SharePoint в открытом доступе все еще уязвимы. С момента выпуска Microsoft исправлений для CVE-2026-32201 на прошлой неделе было обновлено лишь менее 200 систем.
В тот же день, когда Microsoft выпустила исправления для CVE-2026-32201, CISA добавила ее в свой каталог (KEV), отметив, что этот тип уязвимости является частым вектором атак для злонамеренных киберпреступников и представляет наиболее значительные риски.
Cybersecurity and Infrastructure Security Agency CISA
Known Exploited Vulnerabilities Catalog | CISA
For the benefit of the cybersecurity community and network defenders—and to help every organization better manage vulnerabilities and keep pace with threat activity—CISA maintains the authoritative source of vulnerabilities that have been exploited in the…
Forwarded from Russian OSINT
Как сообщает Securelist, в марте 2026 года были обнаружена 26 фишинговых приложений в App Store, мимикрирующих под популярные криптокошельки. При запуске они открывают в браузере пользователя страницы, стилизованные под App Store и распространяющие троянизированные версии соответствующих кошельков. Зараженные приложения нацелены на фразы восстановления или приватные ключи кошелька. Согласно метаданным из обнаруженных троянцев, кампания активна как минимум с осени 2025 года.
Мимикрия осуществлялась под следующие популярные кошельки:
Так как практически все фишинговые приложения были доступны только пользователям китайского App Store и сами зараженные кошельки распространялись с фишинговых страниц на🇨🇳 китайском языке, мы можем сделать вывод, что кампания нацелена преимущественно на пользователей из Китая. При этом сами вредоносные модули не имеют встроенных региональных ограничений, а отображаемые некоторыми из них фишинговые уведомления подстраивались под язык, используемый скомпрометированными приложениями, так что и пользователи за пределами Китая могут оказаться под прицелом злоумышленников.
— отмечают специалисты.
По данным специалистов, злоумышленники, стоящие за этой кампанией, могут быть связаны с авторами троянца SparkKitty. Обнаруженные детали указывают на эту связь.
Как показывает исследование, кампания FakeWallet набирает обороты, используя при этом новые подходы: от доставки вредоносных нагрузок через фишинговые приложения в App Store до встраивания в приложения холодных кошельков и выманивания мнемоник через фишинговые уведомления. Тот факт, что фишинговые приложения распространяются через App Store и показываются пользователям на первых строках поисковой выдачи, может привести к снижению бдительности жертв.
Технически кампания не является сложной, но она несет серьезные риски для пользователей по нескольким причинам:
1️⃣ Атака на горячие кошельки — зловред может украсть криптоактивы на этапе создания/импорта кошелька без какого-либо дополнительного взаимодействия с пользователем.
2️⃣ Атака на холодные кошельки — злоумышленники прикладывают особые усилия, чтобы сделать их фишинговые окна максимально похожими на легитимные, в том числе путем реализации возможности автозаполнения мнемоник (подсказки при вводе слов восстановления кошелька), тем самым повышая свои шансы на успешное извлечение секретных фраз.
3️⃣ Сложность в исследовании — технические ограничения, накладываемые операционной системой iOS и экосистемой Apple, не дают возможности эффективно исследовать и обнаруживать вредоносные программы на устройстве.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи JFrog и Socket передают, что интерфейс командной строки Bitwarden был взломан в рамках недавно обнаруженной и продолжающейся кампании Checkmarx, связанной с атакой на цепочку поставок.
Затронутая версия пакета - @bitwarden/cli@2026.4.0, а вредоносный код был реализован в файле bw1.js, который входит в состав пакета.
Атака была совершена с использованием скомпрометированного GitHub Action в конвейере CI/CD Bitwarden, что соответствует схеме, наблюдаемой в других затронутых репозиториях в рамках этой кампании.
В свою очередь, в JFrog отметили, что вредоносная версия пакета «крадет токены GitHub/npm, файлы .ssh, .env, историю командной оболочки, GitHub Actions и облачные секреты, а затем передает эти данные в частные домены и в виде коммитов GitHub.
Вредоносная версия больше недоступна для загрузки с npm, но Socket заявляет, что взлом произошел по тому же пути, что и в случае с GitHub Actions, выявленном в ходе кампании Checkmarx.
Злоумышленники используют украденные токены GitHub для внедрения нового рабочего процесса GitHub Actions, который перехватывает секреты, доступные для запуска рабочего процесса.
Затем использует полученные учетные данные npm для распространения вредоносных версий пакета, позволяющих пользователям считывать вредоносное ПО.
По мнению исследователя Аднана Хана, злоумышленник использовал вредоносный алгоритм для публикации вредоносного интерфейса командной строки Bitwarden, что можно считать первым случаем компрометации пакета, использующего функцию доверенной публикации NPM.
Предполагается, что за последней атакой на Checkmarx стоит TeamPCP.
OX Security в своем отчете по атаке сообщает, что обнаружила в пакете строку Shai-Hulud: The Third Coming, что позволяет наводит на мысль о том, что это, вероятно, следующий этап одноименной кампании атак на цепочки поставок, о которой стало известно в прошлом году.
Последний инцидент с Shai-Hulud - лишь последний в длинной цепочке угроз, направленных на разработчиков по всему миру.
Пользовательские данные публично попадают на GitHub, часто оставаясь незамеченными, поскольку инструменты безопасности обычно не помечают данные, отправляемые туда.
Это значительно повышает риск: любой, кто ищет информацию на GitHub, потенциально может найти и получить доступ к этим учетным данным. В этот момент конфиденциальные данные перестают находиться в руках одного злоумышленника - они становятся общим достоянием.
Bitwarden подтвердила инцидент и локализовала вредоносный пакет, который был кратковременно распространен через канал доставки npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 (восточное время) 22 апреля 2026 года в связи с более масштабным инцидентом в цепочке поставок Checkmarx.
В ходе расследования не было обнаружено доказательств доступа к данным хранилища конечных пользователей или угрозы их неприкосновенности, а также компрометации производственных данных или производственных систем.
После обнаружения проблемы доступ к системе был аннулирован, вредоносный npm-релиз был признан устаревшим, и немедленно были начаты мероприятия по устранению проблемы.
Как заявляют в Bitwarden, проблема затронула механизм распространения CLI через npm в течение этого ограниченного периода времени, а не целостность легитимного кода CLI Bitwarden или хранящихся данных хранилища. Пользователи, которые не загрузили пакет из npm в указанный период, не пострадали.
Bitwarden завершила проверку внутренних сред, путей выпуска и связанных систем, и на данный момент не выявлено дополнительных затронутых продуктов или сред. В связи с этим инцидентом будет назначена CVE для Bitwarden CLI версии 2026.4.0. Так что будем следить.
Затронутая версия пакета - @bitwarden/cli@2026.4.0, а вредоносный код был реализован в файле bw1.js, который входит в состав пакета.
Атака была совершена с использованием скомпрометированного GitHub Action в конвейере CI/CD Bitwarden, что соответствует схеме, наблюдаемой в других затронутых репозиториях в рамках этой кампании.
В свою очередь, в JFrog отметили, что вредоносная версия пакета «крадет токены GitHub/npm, файлы .ssh, .env, историю командной оболочки, GitHub Actions и облачные секреты, а затем передает эти данные в частные домены и в виде коммитов GitHub.
Вредоносная версия больше недоступна для загрузки с npm, но Socket заявляет, что взлом произошел по тому же пути, что и в случае с GitHub Actions, выявленном в ходе кампании Checkmarx.
Злоумышленники используют украденные токены GitHub для внедрения нового рабочего процесса GitHub Actions, который перехватывает секреты, доступные для запуска рабочего процесса.
Затем использует полученные учетные данные npm для распространения вредоносных версий пакета, позволяющих пользователям считывать вредоносное ПО.
По мнению исследователя Аднана Хана, злоумышленник использовал вредоносный алгоритм для публикации вредоносного интерфейса командной строки Bitwarden, что можно считать первым случаем компрометации пакета, использующего функцию доверенной публикации NPM.
Предполагается, что за последней атакой на Checkmarx стоит TeamPCP.
OX Security в своем отчете по атаке сообщает, что обнаружила в пакете строку Shai-Hulud: The Third Coming, что позволяет наводит на мысль о том, что это, вероятно, следующий этап одноименной кампании атак на цепочки поставок, о которой стало известно в прошлом году.
Последний инцидент с Shai-Hulud - лишь последний в длинной цепочке угроз, направленных на разработчиков по всему миру.
Пользовательские данные публично попадают на GitHub, часто оставаясь незамеченными, поскольку инструменты безопасности обычно не помечают данные, отправляемые туда.
Это значительно повышает риск: любой, кто ищет информацию на GitHub, потенциально может найти и получить доступ к этим учетным данным. В этот момент конфиденциальные данные перестают находиться в руках одного злоумышленника - они становятся общим достоянием.
Bitwarden подтвердила инцидент и локализовала вредоносный пакет, который был кратковременно распространен через канал доставки npm для @bitwarden/cli@2026.4.0 в период с 17:57 до 19:30 (восточное время) 22 апреля 2026 года в связи с более масштабным инцидентом в цепочке поставок Checkmarx.
В ходе расследования не было обнаружено доказательств доступа к данным хранилища конечных пользователей или угрозы их неприкосновенности, а также компрометации производственных данных или производственных систем.
После обнаружения проблемы доступ к системе был аннулирован, вредоносный npm-релиз был признан устаревшим, и немедленно были начаты мероприятия по устранению проблемы.
Как заявляют в Bitwarden, проблема затронула механизм распространения CLI через npm в течение этого ограниченного периода времени, а не целостность легитимного кода CLI Bitwarden или хранящихся данных хранилища. Пользователи, которые не загрузили пакет из npm в указанный период, не пострадали.
Bitwarden завершила проверку внутренних сред, путей выпуска и связанных систем, и на данный момент не выявлено дополнительных затронутых продуктов или сред. В связи с этим инцидентом будет назначена CVE для Bitwarden CLI версии 2026.4.0. Так что будем следить.
Socket
Bitwarden CLI Compromised in Ongoing Checkmarx Supply Chain ...
Bitwarden CLI 2026.4.0 was compromised in the Checkmarx supply chain campaign after attackers abused a GitHub Action in Bitwarden’s CI/CD pipeline.
Apple выпустила внеплановые обновления для устройств iPhone и iPad для исправления уязвимости в службе уведомлений, которая позволяла уведомлениям, помеченным для удаления, оставаться на устройстве.
Уязвимость отслеживается как CVE-2026-28950 и была исправлена 22 апреля 2026 года в iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8.
Apple отметила, что ошибка была исправлена за счет улучшения механизма удаления данных, но не предоставила при этом никакой дополнительной информации.
Кроме того, компания не пояснила, использовалась ли эта уязвимость в атаках или почему она была устранена вне обычного цикла обновлений безопасности.
Apple также не предоставила никаких технических подробностей о том, как долго данные уведомлений оставались на устройстве или как их потенциально можно восстановить.
Вместе с тем, совсем недавно журналисты обозревали, как агентам ФБР США удалось восстановить копии сообщений Signal на iPhone подозреваемого, даже после того, как они были удалены из приложения.
Согласно официальным протоколам судебного заседания, представленным защитой обвиняемых, восстановленные данные были получены не из хранилища зашифрованных сообщений Signal, а из памяти уведомлений iPhone.
Как утверждается, сообщения были восстановлены с телефона обвиняемого через внутреннюю память уведомлений Apple, причем приложение Signal было удалено, но входящие уведомления сохранились во внутренней памяти.
В Signal высоко оценили оперативную реакцию Apple по устранению уязвимости, которая представляла угрозу безопасности для всех частных разговоров пользователей.
В уведомлении Apple этот случай не упоминается, но описание сохранения уведомлений на устройстве очень точно соответствует типу сохранения данных, описанному в том отчете.
Так что всем пользователям яблочных устройств рекомендуется как можно скорее накатить последние обновления, дабы предотвратить сохранение нежелательных удаленных данных уведомлений на их устройствах.
Уязвимость отслеживается как CVE-2026-28950 и была исправлена 22 апреля 2026 года в iOS 26.4.2 и iPadOS 26.4.2, а также в iOS 18.7.8 и iPadOS 18.7.8.
Apple отметила, что ошибка была исправлена за счет улучшения механизма удаления данных, но не предоставила при этом никакой дополнительной информации.
Кроме того, компания не пояснила, использовалась ли эта уязвимость в атаках или почему она была устранена вне обычного цикла обновлений безопасности.
Apple также не предоставила никаких технических подробностей о том, как долго данные уведомлений оставались на устройстве или как их потенциально можно восстановить.
Вместе с тем, совсем недавно журналисты обозревали, как агентам ФБР США удалось восстановить копии сообщений Signal на iPhone подозреваемого, даже после того, как они были удалены из приложения.
Согласно официальным протоколам судебного заседания, представленным защитой обвиняемых, восстановленные данные были получены не из хранилища зашифрованных сообщений Signal, а из памяти уведомлений iPhone.
Как утверждается, сообщения были восстановлены с телефона обвиняемого через внутреннюю память уведомлений Apple, причем приложение Signal было удалено, но входящие уведомления сохранились во внутренней памяти.
В Signal высоко оценили оперативную реакцию Apple по устранению уязвимости, которая представляла угрозу безопасности для всех частных разговоров пользователей.
В уведомлении Apple этот случай не упоминается, но описание сохранения уведомлений на устройстве очень точно соответствует типу сохранения данных, описанному в том отчете.
Так что всем пользователям яблочных устройств рекомендуется как можно скорее накатить последние обновления, дабы предотвратить сохранение нежелательных удаленных данных уведомлений на их устройствах.
Apple Support
About the security content of iOS 26.4.2 and iPadOS 26.4.2 - Apple Support
This document describes the security content of iOS 26.4.2 and iPadOS 26.4.2.
И еще одна новая атака на цепочку поставок, нацеленная на экосистему Node Package Manager (npm), нацеленная на кражу учетных данных разработчиков и распространение вредоносного кода через пакеты, опубликованные с скомпрометированных учетных записей.
Угрозу обнаружили исследователи Socket и StepSecurity сразу в нескольких пакетах от Namastex Labs, компании, предоставляющей решения на основе ИИ для повышения прибыльности.
Socket отметила, что методы, используемые для кражи учетных данных, утечки и самораспространения, схожи с атаками CanisterWorm, проводимыми TeamPCP, но имеющиеся доказательства не позволяют с уверенностью установить их авторство.
По данным Socket, в результате атаки уже были скомпрометированы 16 пакетов Namastex: automagik/genie (4.260421.33-4.260421.39), pgserve (1.1.11–1.1.13), @fairwords/websocket (1.0.38-1.0.39), fairwords/loopback-connector-es (1.4.3-1.4.4), openwebconcept/theme-owc@1.0.3 и openwebconcept/design-tokens@1.0.3.
Они используются в инструментах для агентов ИИ и в работе с базами данных, поэтому атака нацелена на важные конечные точки, а не на массовое заражение. Однако из-за своей червеобразной структуры, при соблюдении определенных условий, распространение может происходить быстро.
Исследователи обнаружили, что внедренный вредоносный код собирает конфиденциальные данные, связанные с различными секретами, такими как токены, ключи API, ключи SSH, учетные данные для облачных сервисов, систем CI/CD, реестров и платформ LLM, а также конфигурации Kubernetes/Docket.
Кроме того, программа пытается извлечь конфиденциальные данные Chrome и Firefox, включая данные криптовалютных кошельков, таких как MetaMask, Exodus, Atomic Wallet и Phantom.
В свою очередь, в StepSecurity утверждают, что вредоносное ПО представляет собой «червя цепочки поставок», который может находить токены для публикации в npm и внедряться «в каждый пакет, который может быть опубликован с помощью этого токена.
Вредоносные версии pgserve были впервые опубликованы 21 апреля в 22:14 UTC, и в тот же день последовали еще две вредоносные версии.
Если токены публикации обнаружены в скомпрометированной системе в переменных окружения или в конфигурационном файле ~/.npmrc, вредоносный скрипт определяет пакеты, которые жертва может публиковать, добавляет полезную нагрузку и повторно публикует их в npm с увеличенным номером версии.
Недавно зараженные пакеты при установке выполняют тот же процесс, что и предыдущие, обеспечивая рекурсивное распространение.
Исследователи отметили, что, в случае обнаружения учетных данных PyPI система применяет аналогичный метод к пакетам Python, используя полезную нагрузку на основе файлов .pth, что делает эту атаку многоэкосистемной.
Разработчикам следует рассматривать все указанные версии пакетов как вредоносные.
Socket и StepSecurity предоставили соответствующие IOCs, рекомендуя где обнаружены затронутые пакеты, удалить их из систем разработки и CI/CD, ротировать все учетные данные и секретные данные, а также поискать внутренние зеркала пакетов, артефакты и кэши.
Socket также рекомендует проверять наличие связанных пакетов с тем же файлом public.pem, тем же хостом веб-перехватчика или тем же шаблоном postinstall.
Угрозу обнаружили исследователи Socket и StepSecurity сразу в нескольких пакетах от Namastex Labs, компании, предоставляющей решения на основе ИИ для повышения прибыльности.
Socket отметила, что методы, используемые для кражи учетных данных, утечки и самораспространения, схожи с атаками CanisterWorm, проводимыми TeamPCP, но имеющиеся доказательства не позволяют с уверенностью установить их авторство.
По данным Socket, в результате атаки уже были скомпрометированы 16 пакетов Namastex: automagik/genie (4.260421.33-4.260421.39), pgserve (1.1.11–1.1.13), @fairwords/websocket (1.0.38-1.0.39), fairwords/loopback-connector-es (1.4.3-1.4.4), openwebconcept/theme-owc@1.0.3 и openwebconcept/design-tokens@1.0.3.
Они используются в инструментах для агентов ИИ и в работе с базами данных, поэтому атака нацелена на важные конечные точки, а не на массовое заражение. Однако из-за своей червеобразной структуры, при соблюдении определенных условий, распространение может происходить быстро.
Исследователи обнаружили, что внедренный вредоносный код собирает конфиденциальные данные, связанные с различными секретами, такими как токены, ключи API, ключи SSH, учетные данные для облачных сервисов, систем CI/CD, реестров и платформ LLM, а также конфигурации Kubernetes/Docket.
Кроме того, программа пытается извлечь конфиденциальные данные Chrome и Firefox, включая данные криптовалютных кошельков, таких как MetaMask, Exodus, Atomic Wallet и Phantom.
В свою очередь, в StepSecurity утверждают, что вредоносное ПО представляет собой «червя цепочки поставок», который может находить токены для публикации в npm и внедряться «в каждый пакет, который может быть опубликован с помощью этого токена.
Вредоносные версии pgserve были впервые опубликованы 21 апреля в 22:14 UTC, и в тот же день последовали еще две вредоносные версии.
Если токены публикации обнаружены в скомпрометированной системе в переменных окружения или в конфигурационном файле ~/.npmrc, вредоносный скрипт определяет пакеты, которые жертва может публиковать, добавляет полезную нагрузку и повторно публикует их в npm с увеличенным номером версии.
Недавно зараженные пакеты при установке выполняют тот же процесс, что и предыдущие, обеспечивая рекурсивное распространение.
Исследователи отметили, что, в случае обнаружения учетных данных PyPI система применяет аналогичный метод к пакетам Python, используя полезную нагрузку на основе файлов .pth, что делает эту атаку многоэкосистемной.
Разработчикам следует рассматривать все указанные версии пакетов как вредоносные.
Socket и StepSecurity предоставили соответствующие IOCs, рекомендуя где обнаружены затронутые пакеты, удалить их из систем разработки и CI/CD, ротировать все учетные данные и секретные данные, а также поискать внутренние зеркала пакетов, артефакты и кэши.
Socket также рекомендует проверять наличие связанных пакетов с тем же файлом public.pem, тем же хостом веб-перехватчика или тем же шаблоном postinstall.
Socket
Namastex.ai npm Packages Hit with TeamPCP-Style CanisterWorm...
Malicious Namastex.ai npm packages appear to replicate TeamPCP-style Canister Worm tradecraft, including exfiltration and self-propagation.
Forwarded from Social Engineering
• Нашел очень объемное руководство по изучению Docker для новичков. Весь материал представлен на русском языке и доступен совершенно бесплатно. Содержание следующее:
• Введение, Docker CLI и Dockerfile.
• Архитектура Docker:
➡ Команды и флаги;
➡ Dockerfile;
➡ Рекомендации по Dockerfile;
➡ Рекомендации по инструкциям;
➡ Управление данными;
➡ Сети.
• Docker Compose:
➡ docker compose;
➡ docker-compose.yml.
• Разработка приложения:
➡ Подготовка и настройка проекта;
➡ API;
➡ Админка;
➡ Клиент;
➡ Проверка работоспособности приложения.
• "Контейнеризация" приложения:
➡ Dockerfile;
➡ Docker Compose.
• Помимо руководства на сайте есть множество другого полезного материала (шпаргалки, ссылки и т.д.). Хоть данный ресурс и предназначен больше для разработчиков, тем не менее, возможно вы сможете найти для себя что-то полезное.
S.E. ▪️ infosec.work ▪️ VT
• Введение, Docker CLI и Dockerfile.
• Архитектура Docker:
• Docker Compose:
• Разработка приложения:
• "Контейнеризация" приложения:
• Помимо руководства на сайте есть множество другого полезного материала (шпаргалки, ссылки и т.д.). Хоть данный ресурс и предназначен больше для разработчиков, тем не менее, возможно вы сможете найти для себя что-то полезное.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Киберподполье активно нацелилось на критическую уязвимость в плагине Breeze Cache для WordPress, которая позволяет загружать произвольные файлы на сервер без аутентификации.
Уязвимость отслеживается как CVE-2026-3844 и тягалась более чем 170 раз злоумышленниками. Активность удалось задетектить решением Wordfence для защиты экосистемы.
Плагин кэширования Breeze Cache для WordPress от Cloudways имеет более 400 000 активных установок и предназначен для повышения производительности и скорости загрузки за счет снижения частоты загрузки страниц посредством кэширования, оптимизации файлов и очистки базы данных.
Уязвимость получила критическую оценку серьезности 9,8 из 10 и была обнаружена исследователем Хунгом Нгуеном.
Исследователи Defiant утверждают, что проблема связана с отсутствием проверки типа файла в функции fetch_gravatar_from_remote, что позволяет неавторизованному злоумышленнику загружать произвольные файлы на сервер, может привести к RCE и полному захвату сайта.
Однако, по словам исследователей, успешная эксплуатация возможна только при включенном дополнении Host Files Locally - Gravatars, что не является состоянием по умолчанию.
CVE-2026-3844 затрагивает все версии Breeze Cache, включая 2.4.4. Cloudways исправила эту уязвимость в версии 2.4.5, выпущенной ранее на этой неделе.
Согласно статистике WordPress, с момента выхода последней версии плагин был загружен примерно 138 000 раз. Однако неизвестно, сколько конкретно сайтов уязвимо, поскольку нет данных о количестве сайтов, у которых включена опция Host Files Locally - Gravatars.
Учитывая активную эусплутатацию, владельцам сайтов с Breeze Cache на борту рекомендуется как можно скорее обновить плагин до последней версии или временно отключить его (или хотя бы Host Files Locally - Gravatars).
Уязвимость отслеживается как CVE-2026-3844 и тягалась более чем 170 раз злоумышленниками. Активность удалось задетектить решением Wordfence для защиты экосистемы.
Плагин кэширования Breeze Cache для WordPress от Cloudways имеет более 400 000 активных установок и предназначен для повышения производительности и скорости загрузки за счет снижения частоты загрузки страниц посредством кэширования, оптимизации файлов и очистки базы данных.
Уязвимость получила критическую оценку серьезности 9,8 из 10 и была обнаружена исследователем Хунгом Нгуеном.
Исследователи Defiant утверждают, что проблема связана с отсутствием проверки типа файла в функции fetch_gravatar_from_remote, что позволяет неавторизованному злоумышленнику загружать произвольные файлы на сервер, может привести к RCE и полному захвату сайта.
Однако, по словам исследователей, успешная эксплуатация возможна только при включенном дополнении Host Files Locally - Gravatars, что не является состоянием по умолчанию.
CVE-2026-3844 затрагивает все версии Breeze Cache, включая 2.4.4. Cloudways исправила эту уязвимость в версии 2.4.5, выпущенной ранее на этой неделе.
Согласно статистике WordPress, с момента выхода последней версии плагин был загружен примерно 138 000 раз. Однако неизвестно, сколько конкретно сайтов уязвимо, поскольку нет данных о количестве сайтов, у которых включена опция Host Files Locally - Gravatars.
Учитывая активную эусплутатацию, владельцам сайтов с Breeze Cache на борту рекомендуется как можно скорее обновить плагин до последней версии или временно отключить его (или хотя бы Host Files Locally - Gravatars).
Wordfence
Breeze Cache <= 2.4.4 - Unauthenticated Arbitrary File Upload via fetch_gravatar_from_remote — Wordfence Intelligence
Исследователи ICS CERT из Лаборатории Касперского обнаружили аппаратную уязвимость в чипсетах Qualcomm Snapdragon, которая способна привести к компрометации устройств и утечке данных, представив результаты своего исследования на Black Hat Asia 2026.
Чипсеты Qualcomm Snapdragon широко используются как в пользовательских, так и в промышленных устройствах - включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей.
Уязвимость кроется в BootROM - загрузочной прошивке, встроенной на аппаратном уровне, и затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50.
Атака требует физического доступа к устройству - его необходимо подключить кабелем к оборудованию злоумышленника, а для современных смартфонов также может потребоваться перевод в специальный режим.
Для некоторых устройств даже может быть небезопасным подключение их к недоверенным USB-портам (например, зарядным станциям в аэропортах или отелях).
В случае успешной атаки злоумышленники потенциально могут получить доступ к данным, хранящимся на заражённом устройстве, включая такие компоненты, как камера и микрофон, реализовывать сложные сценарии атак и в отдельных случаях получить полный контроль над устройством.
ЛК уведомила производителя в марте 2025 года, после чего в апреле 2025 года поставщик подтвердил её, присвоив уязвимости CVE-2026-25262.
Важно отметить, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm упомянутых серий.
В ЛК изучили протокол Qualcomm Sahara - низкоуровневую систему взаимодействия, используемую при переходе устройства в режим экстренной загрузки (EDL), представляющий собой специальный режим восстановления, используемый при ремонте или перепрошивке устройств.
Протокол Sahara позволяет компьютеру подключаться к устройству и загружать ПО ещё до запуска на устройстве операционной системы.
Исследователи продемонстрировали, как уязвимость в этом процессе загрузки позволяет злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и, в ряде случаев, установить вредоносное ПО или бэкдоры в процессор приложений устройства.
В свою очередь, это может привести к полной компрометации устройства. Например, если речь идёт о смартфоне или планшете, злоумышленник при помощи установленного бэкдора может получить доступ к вводимым пользователем паролям, а затем - к хранящимся на устройстве файлам, контактам, данным о местоположении, а также к камере и микрофону.
Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён.
Эксперты отмечают, что риск не ограничивается сценариями повседневного использования - можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок.
Наиболее сложным этапом остаётся разработка эксплойта. Сама атака после этого может выполняться достаточно быстро и не требует от злоумышленника, имеющего физический доступ к устройству, какой-либо технической подготовки.
Как отмечают в ICS CERT, подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного времени.
При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать её, не выполняя фактического перезапуска.
В таких случаях гарантированно очистить состояние устройства можно только при полном отключении питания — например, после полной разрядки аккумулятора.
Технические подробности - в отдельном отчете.
Чипсеты Qualcomm Snapdragon широко используются как в пользовательских, так и в промышленных устройствах - включая смартфоны, планшеты, автомобильные компоненты и устройства интернета вещей.
Уязвимость кроется в BootROM - загрузочной прошивке, встроенной на аппаратном уровне, и затрагивает чипсеты Qualcomm серий MDM9x07, MDM9x45, MDM9x65, MSM8909, MSM8916, MSM8952 и SDX50.
Атака требует физического доступа к устройству - его необходимо подключить кабелем к оборудованию злоумышленника, а для современных смартфонов также может потребоваться перевод в специальный режим.
Для некоторых устройств даже может быть небезопасным подключение их к недоверенным USB-портам (например, зарядным станциям в аэропортах или отелях).
В случае успешной атаки злоумышленники потенциально могут получить доступ к данным, хранящимся на заражённом устройстве, включая такие компоненты, как камера и микрофон, реализовывать сложные сценарии атак и в отдельных случаях получить полный контроль над устройством.
ЛК уведомила производителя в марте 2025 года, после чего в апреле 2025 года поставщик подтвердил её, присвоив уязвимости CVE-2026-25262.
Важно отметить, что потенциально уязвимыми могут быть и чипсеты других вендоров, которые основаны на чипсетах Qualcomm упомянутых серий.
В ЛК изучили протокол Qualcomm Sahara - низкоуровневую систему взаимодействия, используемую при переходе устройства в режим экстренной загрузки (EDL), представляющий собой специальный режим восстановления, используемый при ремонте или перепрошивке устройств.
Протокол Sahara позволяет компьютеру подключаться к устройству и загружать ПО ещё до запуска на устройстве операционной системы.
Исследователи продемонстрировали, как уязвимость в этом процессе загрузки позволяет злоумышленнику обойти ключевые механизмы защиты, скомпрометировать цепочку доверенной загрузки и, в ряде случаев, установить вредоносное ПО или бэкдоры в процессор приложений устройства.
В свою очередь, это может привести к полной компрометации устройства. Например, если речь идёт о смартфоне или планшете, злоумышленник при помощи установленного бэкдора может получить доступ к вводимым пользователем паролям, а затем - к хранящимся на устройстве файлам, контактам, данным о местоположении, а также к камере и микрофону.
Потенциальному злоумышленнику достаточно нескольких минут физического доступа к устройству, чтобы скомпрометировать его. Таким образом, если сдать смартфон в ремонт или оставить его на несколько минут без присмотра, уже нельзя быть уверенным, что он не заражён.
Эксперты отмечают, что риск не ограничивается сценариями повседневного использования - можно получить новое устройство сразу заражённым, если была скомпрометирована цепочка поставок.
Наиболее сложным этапом остаётся разработка эксплойта. Сама атака после этого может выполняться достаточно быстро и не требует от злоумышленника, имеющего физический доступ к устройству, какой-либо технической подготовки.
Как отмечают в ICS CERT, подобные уязвимости могут использоваться для установки вредоносного ПО, которое сложно обнаружить и удалить. На практике это позволяет злоумышленникам незаметно собирать данные или влиять на работу устройства в течение длительного времени.
При этом обычная перезагрузка не всегда помогает: скомпрометированная система может имитировать её, не выполняя фактического перезапуска.
В таких случаях гарантированно очистить состояние устройства можно только при полном отключении питания — например, после полной разрядки аккумулятора.
Технические подробности - в отдельном отчете.
/
«Лаборатория Касперского» обнаружила уязвимость в чипсетах Snapdragon
Брешь способна привести к компрометации устройств и утечке данных
Citizen Lab раскрыла две сложные кибершпионские кампании, нацеленные на уязвимости в глобальных телекоммуникационных сетях для отслеживания пользователей мобильных телефонов.
Расследование началось в конце 2024 года после обнаружения аномальной активности в журналах межсетевых экранов, содержащих сигналы, при дополнительной поддержке исследователей из Cellusys.
Анализируя сигнальный трафик, данные маршрутизации и записи телекоммуникационной инфраструктуры совместно с такими партнерами Telenor Linx и P1 Security, исследователи впервые связали реальную активность атак с глобальными сетями операторов связи.
Основное внимание в отчете уделяется двум группам угроз, получившим названия STA1 и STA2, которые, как предполагается, связаны с коммерческими поставщиками услуг кибершпионажа для госузаказчиков.
STA1 представляет собой длительную, тщательно скоординированнаую операцию с использованием протоколов SS7 (3G) и Diameter (4G) для отслеживания местоположения.
В одном из случаев в ноябре 2024 года злоумышленник атаковал высокопоставленного руководителя, переключаясь между различными операторами связи в разных странах, включая Камбоджу, Швецию, Италию и Уганду.
Злоумышленник неоднократно переключался между протоколами и применял различные методы для обхода межсетевых экранов телекоммуникационных компаний, получая данные о местоположении.
В ходе кампании также производились манипуляции с идентификаторами сигналов и маршрутами, чтобы скрыть свое происхождение.
Инфраструктура, связанная с такими операторами, как 019Mobile (Израиль), Tango Networks UK и Airtel Jersey, фигурировала в качестве точек входа или транзита.
Citizen Lab отмечает, что эти сети, вероятно, использовались не по назначению, а посредством доступа третьих лиц или подмены данных, а не путем прямого участия.
Исторические данные телеметрии показывают аналогичную активность, начиная как минимум с 2022 года, с сотнями попыток отслеживания, связанных с одной и той же инфраструктурой.
В STA2 использовался другой подход с сочетанием атаки с использованием сигналов с эксплуатацией на уровне устройства.
В начале 2025 года исследователи обнаружили бинарное SMS, содержащее скрытые команды SIM Toolkit (STK), предназначенные для использования уязвимости браузера S@T, устаревшей функции SIM-карт.
Эта атака в стиле SIMjacker позволяет злоумышленникам незаметно получать данные о местоположении без взаимодействия с пользователем.
Вредоносное SMS-сообщение использует специальные заголовки, поэтому обрабатывается непосредственно SIM-картой и никогда не отображается пользователю.
После выполнения оно собирает данные с базовых станций сотовой связи и отправляет их обратно через скрытое SMS-сообщение в системы, контролируемые злоумышленником. Цепочка атаки также включала зондирование SS7 и запросы Diameter.
Citizen Lab связала STA2 с масштабной кампанией, включавшей более 15 000 попыток отслеживания местоположения с 2022 года.
Замеченная активность тесно пересекается с инфраструктурой и моделями, ранее связанными со швейцарской Fink Telecom Services (FTS), которая фигурировала в предыдущих расследованиях, связанных с операциями по наблюдению за телекоммуникационными сетями.
В основе атак структурные уязвимости в телекоммуникационных протоколах: в SS7 полностью отсутствует аутентификация, а функции безопасности Diameter часто не применяются на практике.
Это позволяет злоумышленникам выдавать себя за доверенных операторов, направлять вредоносные запросы через легитимных поставщиков услуг межсетевого взаимодействия и смешивать трафик слежки с обычной роуминговой активностью.
Расследование началось в конце 2024 года после обнаружения аномальной активности в журналах межсетевых экранов, содержащих сигналы, при дополнительной поддержке исследователей из Cellusys.
Анализируя сигнальный трафик, данные маршрутизации и записи телекоммуникационной инфраструктуры совместно с такими партнерами Telenor Linx и P1 Security, исследователи впервые связали реальную активность атак с глобальными сетями операторов связи.
Основное внимание в отчете уделяется двум группам угроз, получившим названия STA1 и STA2, которые, как предполагается, связаны с коммерческими поставщиками услуг кибершпионажа для госузаказчиков.
STA1 представляет собой длительную, тщательно скоординированнаую операцию с использованием протоколов SS7 (3G) и Diameter (4G) для отслеживания местоположения.
В одном из случаев в ноябре 2024 года злоумышленник атаковал высокопоставленного руководителя, переключаясь между различными операторами связи в разных странах, включая Камбоджу, Швецию, Италию и Уганду.
Злоумышленник неоднократно переключался между протоколами и применял различные методы для обхода межсетевых экранов телекоммуникационных компаний, получая данные о местоположении.
В ходе кампании также производились манипуляции с идентификаторами сигналов и маршрутами, чтобы скрыть свое происхождение.
Инфраструктура, связанная с такими операторами, как 019Mobile (Израиль), Tango Networks UK и Airtel Jersey, фигурировала в качестве точек входа или транзита.
Citizen Lab отмечает, что эти сети, вероятно, использовались не по назначению, а посредством доступа третьих лиц или подмены данных, а не путем прямого участия.
Исторические данные телеметрии показывают аналогичную активность, начиная как минимум с 2022 года, с сотнями попыток отслеживания, связанных с одной и той же инфраструктурой.
В STA2 использовался другой подход с сочетанием атаки с использованием сигналов с эксплуатацией на уровне устройства.
В начале 2025 года исследователи обнаружили бинарное SMS, содержащее скрытые команды SIM Toolkit (STK), предназначенные для использования уязвимости браузера S@T, устаревшей функции SIM-карт.
Эта атака в стиле SIMjacker позволяет злоумышленникам незаметно получать данные о местоположении без взаимодействия с пользователем.
Вредоносное SMS-сообщение использует специальные заголовки, поэтому обрабатывается непосредственно SIM-картой и никогда не отображается пользователю.
После выполнения оно собирает данные с базовых станций сотовой связи и отправляет их обратно через скрытое SMS-сообщение в системы, контролируемые злоумышленником. Цепочка атаки также включала зондирование SS7 и запросы Diameter.
Citizen Lab связала STA2 с масштабной кампанией, включавшей более 15 000 попыток отслеживания местоположения с 2022 года.
Замеченная активность тесно пересекается с инфраструктурой и моделями, ранее связанными со швейцарской Fink Telecom Services (FTS), которая фигурировала в предыдущих расследованиях, связанных с операциями по наблюдению за телекоммуникационными сетями.
В основе атак структурные уязвимости в телекоммуникационных протоколах: в SS7 полностью отсутствует аутентификация, а функции безопасности Diameter часто не применяются на практике.
Это позволяет злоумышленникам выдавать себя за доверенных операторов, направлять вредоносные запросы через легитимных поставщиков услуг межсетевого взаимодействия и смешивать трафик слежки с обычной роуминговой активностью.
The Citizen Lab
The Citizen Lab Bad Connection: Uncovering Global Telecom Exploitation by Covert Surveillance Actors
Our investigation uncovers two sophisticated telecom surveillance campaigns and, for the first time, links real-world attack traffic to mobile operator signalling infrastructure. The findings expose how suspected commercial surveillance vendors (CSVs) exploit…
Исследователи Positive Technologies выкатили отчет с аналитикой основных трендов развития Cybercrime as a service.
В рамках исследования был проведен анализ 38 источников, включая крупнейшие теневые площадки - форумы, маркетплейсы и Telegram-каналы, - на различных языках с разной тематической направленностью: всего за 2024-2025 более 4300 объявлений.
В ходе анализа изучались различные виды предлагаемых услуг, их стоимость, особенности спроса и предложения, а также выявлены ключевые тренды и сформированы прогнозы развития отдельных сегментов теневого рынка и киберпреступности в целом.
Главный фокус исследования - концепция as a service и ее влияние на современную киберпреступную экономику.
При этом анализируемые объявления не ограничивались исключительно подписочной моделью предоставления услуг, в поле зрения попали различные формы даркнет-взаимодействия, включая разовые транзакционные продажи, наем исполнителей, раздачи бесплатных инструментов и гибридные модели сотрудничества.
Отчет достаточно объемный, отметим лишь наиболее ключевые моменты:
- Сервисная модель остается крайне выгодной и будет усиливаться. Прибыль злоумышленников превышает на несколько порядков теоретическую стоимость атак, реализованных через купленные услуги. Это ключевой драйвер сервисной модели. Пока стоимость инструментов атаки снижается, а ущерб от инцидентов растет, финансовый стимул к развитию теневого рынка сохраняется.
- Порог входа в киберпреступность продолжит снижаться. Распространение сервисной модели и готовых инструментов позволяет проводить атаки даже участникам с ограниченными навыками. Специализация участников рынка позволяет злоумышленникам быть экспертами лишь в одной области, чтобы монетизировать свои навыки.
- Самые доступные предложения - это аренда инфраструктуры (медианная цена - 8$), DDoS-атаки (20$) и журналы стилеров (20$). Они доступны практически любому злоумышленнику и позволяют проводить массовые низкоквалифицированные атаки.
- Самые дорогие и труднодоступные услуги - эксплойты: медианная цена составляет 27 500$, а 35% предложений стоят дороже 100 000$. Однако распространение эксплойт-китов по подписке от 500$ в месяц снижает порог входа и в этот сегмент.
- Рынок демонстрирует признаки движения к модели cybercrime as a platform - единым экосистемам, объединяющим несколько этапов атаки в рамках одного сервиса.
- Происходит объединение сервисов в единые услуги. Так, постепенно сливаются продажа журналов инфостилеров и проверка учетных данных, а услуги вымогателей объединяются с продажей доступов.
- ИИ уже используется для персонализации фишинга, генерации кода, общения вымогателей с жертвами. В перспективе он усилит все этапы атаки, а автономные ИИ-агенты помогут собирать результаты выполнения услуг в полную атаку.
- Сегменты рынка будут развиваться неравномерно. Зрелые услуги - аренда инфраструктуры, вымогатели, фишинг, разработка и эксплуатация готового ВПО - продолжат развиваться как полноценный бизнес.
- Продолжат набирать популярность и развиваться услуги по обходу средств защиты, подписи и криптованию ВПО. Медианная цена на EDR-киллеры составляет 2250$, криптование вредоносного ПО - 150$ за файл или от 1000$ до 5000$ по подписке, сертификаты подписи кода - 2150$ за сертификат.
- Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты. Это может привести к выделению разведки в самостоятельный сервисный сегмент.
В рамках исследования был проведен анализ 38 источников, включая крупнейшие теневые площадки - форумы, маркетплейсы и Telegram-каналы, - на различных языках с разной тематической направленностью: всего за 2024-2025 более 4300 объявлений.
В ходе анализа изучались различные виды предлагаемых услуг, их стоимость, особенности спроса и предложения, а также выявлены ключевые тренды и сформированы прогнозы развития отдельных сегментов теневого рынка и киберпреступности в целом.
Главный фокус исследования - концепция as a service и ее влияние на современную киберпреступную экономику.
При этом анализируемые объявления не ограничивались исключительно подписочной моделью предоставления услуг, в поле зрения попали различные формы даркнет-взаимодействия, включая разовые транзакционные продажи, наем исполнителей, раздачи бесплатных инструментов и гибридные модели сотрудничества.
Отчет достаточно объемный, отметим лишь наиболее ключевые моменты:
- Сервисная модель остается крайне выгодной и будет усиливаться. Прибыль злоумышленников превышает на несколько порядков теоретическую стоимость атак, реализованных через купленные услуги. Это ключевой драйвер сервисной модели. Пока стоимость инструментов атаки снижается, а ущерб от инцидентов растет, финансовый стимул к развитию теневого рынка сохраняется.
- Порог входа в киберпреступность продолжит снижаться. Распространение сервисной модели и готовых инструментов позволяет проводить атаки даже участникам с ограниченными навыками. Специализация участников рынка позволяет злоумышленникам быть экспертами лишь в одной области, чтобы монетизировать свои навыки.
- Самые доступные предложения - это аренда инфраструктуры (медианная цена - 8$), DDoS-атаки (20$) и журналы стилеров (20$). Они доступны практически любому злоумышленнику и позволяют проводить массовые низкоквалифицированные атаки.
- Самые дорогие и труднодоступные услуги - эксплойты: медианная цена составляет 27 500$, а 35% предложений стоят дороже 100 000$. Однако распространение эксплойт-китов по подписке от 500$ в месяц снижает порог входа и в этот сегмент.
- Рынок демонстрирует признаки движения к модели cybercrime as a platform - единым экосистемам, объединяющим несколько этапов атаки в рамках одного сервиса.
- Происходит объединение сервисов в единые услуги. Так, постепенно сливаются продажа журналов инфостилеров и проверка учетных данных, а услуги вымогателей объединяются с продажей доступов.
- ИИ уже используется для персонализации фишинга, генерации кода, общения вымогателей с жертвами. В перспективе он усилит все этапы атаки, а автономные ИИ-агенты помогут собирать результаты выполнения услуг в полную атаку.
- Сегменты рынка будут развиваться неравномерно. Зрелые услуги - аренда инфраструктуры, вымогатели, фишинг, разработка и эксплуатация готового ВПО - продолжат развиваться как полноценный бизнес.
- Продолжат набирать популярность и развиваться услуги по обходу средств защиты, подписи и криптованию ВПО. Медианная цена на EDR-киллеры составляет 2250$, криптование вредоносного ПО - 150$ за файл или от 1000$ до 5000$ по подписке, сертификаты подписи кода - 2150$ за сертификат.
- Развитие технологий автоматизации и использование моделей ИИ может привести к появлению сервисов, способных выполнять OSINT-задачи в автоматическом режиме, агрегировать данные из различных источников и формировать готовые разведывательные отчеты. Это может привести к выделению разведки в самостоятельный сервисный сегмент.
Китайская кибершпионская UAT-4356 так и не покинула Cisco ASA, отыскав способ остаться на межсетевых экранах даже после двух волн обновлений, вышедших в 2024 и 2025 гг.
Cisco заявляет, что UAT-4356 развернул новый бэкдор под названием FIRESTARTER, который использовал ранее неизвестный механизм сохранения, чтобы пережить процесс обновления.
Новый бэкдор был обнаружен CISA: по меньшей мере одно федеральное агентство США было заражено бэкдором в рамках широкомасштабной шпионской кампании по взлому межсетевых экранов Cisco ASA, первоначально отслеживаемой как ArcaneDoor.
В мае 2024 года Cisco устранила две уязвимости в своей платформе межсетевых экранов Adaptive Security Appliance (ASA), которые использовались в качестве 0-day в рамках APT-кампании.
Год спустя компания устранила еще две 0-day, связанные с той же кампанией, отслеживаемые как CVE-2025-20333 и CVE-2025-20362, которые затрагивали веб-сервер VPN межсетевого экрана ASA и программное обеспечение Secure Firewall Threat Defense (FTD).
В сентябре 2025 года CISA выпустила экстренную директиву, призывающую федеральные агентства немедленно обновить уязвимые устройства Cisco в своих средах. В ноябре CISA обновила рекомендации, включив в них дополнительные меры по смягчению последствий.
В четверг CISA вновь обновила документ ED 25-03, предупреждая, что установка обновлений на уязвимые межсетевые экраны Cisco не удаляет вредоносное ПО, развернутое на них.
Под директиву попали устройства серий Firepower 1000, 2100, 4100, 9300 и Secure Firewall серий 200, 1200, 3100, 4200 и 6100.
Обновленная директива CISA сопровождается инструкциями по созданию дампов памяти и подробным анализом бэкдора Firestarter, который был идентифицирован как вредоносное ПО, использованное в этих атаках.
Firestarter была развернута до 25 сентября, продолжала работать после устранения уязвимости и предоставила злоумышленникам удаленный доступ и управление уязвимым межсетевым экраном.
Она пытается установить перехватчик - способ перехвата и изменения нормальной работы - в Lina, основной движок устройства для обработки сетевых данных и функций безопасности.
Он позволяет выполнять произвольный шелл-код, предоставляемый участниками APT-атак, включая развертывание Line Viper.
Как поясняет сама Cisco, бэкдор напоминает загрузчик RayInitiator, ранее подробно описанный компонент кампании ArcaneDoor, и обеспечивает сохранение активности за счет изменения списка монтирования для Cisco Service Platform (CSP), что позволяет программам выполняться во время загрузки.
После перезагрузки Firestarter восстанавливает исходный список и удаляет троянизированную копию, а это значит, что вредоносную ПО можно удалить с помощью принудительной перезагрузки, которая включает в себя отключение устройства от сети, сообщает компания.
Cisco связала атаки с UAT-4356 и опубликовала новое предупреждение в отношении продолжающейся эксплуатации CVE-2025-20333 и CVE-2025-20362.
Cisco заявляет, что UAT-4356 развернул новый бэкдор под названием FIRESTARTER, который использовал ранее неизвестный механизм сохранения, чтобы пережить процесс обновления.
Новый бэкдор был обнаружен CISA: по меньшей мере одно федеральное агентство США было заражено бэкдором в рамках широкомасштабной шпионской кампании по взлому межсетевых экранов Cisco ASA, первоначально отслеживаемой как ArcaneDoor.
В мае 2024 года Cisco устранила две уязвимости в своей платформе межсетевых экранов Adaptive Security Appliance (ASA), которые использовались в качестве 0-day в рамках APT-кампании.
Год спустя компания устранила еще две 0-day, связанные с той же кампанией, отслеживаемые как CVE-2025-20333 и CVE-2025-20362, которые затрагивали веб-сервер VPN межсетевого экрана ASA и программное обеспечение Secure Firewall Threat Defense (FTD).
В сентябре 2025 года CISA выпустила экстренную директиву, призывающую федеральные агентства немедленно обновить уязвимые устройства Cisco в своих средах. В ноябре CISA обновила рекомендации, включив в них дополнительные меры по смягчению последствий.
В четверг CISA вновь обновила документ ED 25-03, предупреждая, что установка обновлений на уязвимые межсетевые экраны Cisco не удаляет вредоносное ПО, развернутое на них.
Под директиву попали устройства серий Firepower 1000, 2100, 4100, 9300 и Secure Firewall серий 200, 1200, 3100, 4200 и 6100.
Обновленная директива CISA сопровождается инструкциями по созданию дампов памяти и подробным анализом бэкдора Firestarter, который был идентифицирован как вредоносное ПО, использованное в этих атаках.
Firestarter была развернута до 25 сентября, продолжала работать после устранения уязвимости и предоставила злоумышленникам удаленный доступ и управление уязвимым межсетевым экраном.
Она пытается установить перехватчик - способ перехвата и изменения нормальной работы - в Lina, основной движок устройства для обработки сетевых данных и функций безопасности.
Он позволяет выполнять произвольный шелл-код, предоставляемый участниками APT-атак, включая развертывание Line Viper.
Как поясняет сама Cisco, бэкдор напоминает загрузчик RayInitiator, ранее подробно описанный компонент кампании ArcaneDoor, и обеспечивает сохранение активности за счет изменения списка монтирования для Cisco Service Platform (CSP), что позволяет программам выполняться во время загрузки.
После перезагрузки Firestarter восстанавливает исходный список и удаляет троянизированную копию, а это значит, что вредоносную ПО можно удалить с помощью принудительной перезагрузки, которая включает в себя отключение устройства от сети, сообщает компания.
Cisco связала атаки с UAT-4356 и опубликовала новое предупреждение в отношении продолжающейся эксплуатации CVE-2025-20333 и CVE-2025-20362.
Cisco Talos
UAT-4356's Targeting of Cisco Firepower Devices
Cisco Talos is aware of UAT-4356's continued active targeting of Cisco Firepower devices’ Firepower eXtensible Operating System (FXOS). UAT-4356 exploited n-day vulnerabilities (CVE-2025-20333 and CVE-2025-20362) to gain unauthorized access to vulnerable…