Microsoft официально подтвердила непонятную аномалию, связанную с тем, что обновление безопасности Windows за апрель 2025 года приводят к созданию новой пустой папки с названием inetpub, предупредив пользователей не удалять ее.
Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.
Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.
Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.
Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.
Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.
Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.
Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.
В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.
Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.
Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».
Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.
После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.
Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.
Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.
Папка обычно используется службами Internet Information Services (IIS) компании Microsoft - платформой веб-сервера, которую можно включить через диалоговое окно «Компоненты Windows» для размещения веб-сайтов и веб-приложений.
Тем не менее после установки патча многие пользователи Windows 11 и Windows 10 обнаружили в своих системах недавно созданную папку C:\inetpub, с использованием учетной записи SYSTEM, при том, что IIS не был установлен во время этого процесса.
Несмотря на то, что удаление папки не вызвало проблем при использовании Windows в тестах, Microsoft настаивает, что эта пустая папка была создана намеренно и ее не следует удалять.
Кроме того, согласно сообщениям пользователей, апрельские накопительные обновления не будут установливаются, если каталог C:\inetpub создан до развертывания обновления.
Пока Редмонд все еще пытается невнятно объяснить назначение папки, накануне вечером обновил рекомендации для уязвимости повышения привилегий активации процессов Windows (CVE-2025-21204), предупреждая пользователей не удалять новую пустую папку inetpub на своих жестких дисках.
Как сообщается, папку не следует удалять независимо от того, активны ли службы IIS на целевом устройстве.
Такое поведение якобы является частью изменений, которые повышают защиту, и не требует никаких действий со стороны ИТ-администраторов и конечных пользователей.
В свою очередь, CVE-2025-21204 вызвана проблемой неправильного разрешения ссылок перед доступом к файлу («переход по ссылкам») в стеке Центра обновления Windows.
Это, вероятно, означает, что на неисправленных устройствах Центр обновления Windows имеет возможность перехода по символическим ссылкам, что позволяет локальным злоумышленникам обмануть систему, получив доступ к нежелательным файлам или папкам или изменив их.
Компания предупреждает, что успешная эксплуатация уязвимости может позволить локальным злоумышленникам с низкими привилегиями повысить разрешения и выполнять операции с файлами на компьютере жертвы в контексте учетной записи NT AUTHORITYSYSTEM».
Те, кто, подозревая неладное, удалил папку inetpub, могут создать ее заново, зайдя в панель управления Windows «Включение и отключение компонентов» и установив службы Internet Information Services.
После установки в корне диска C: будет создана новая папка inetpub, на этот раз с файлами в ней. Однако она будет иметь SYSTEM, что и папка, созданная недавним обновлением безопасности Windows.
Если IIS не используется, то его можно удалить его снова через ту же панель управления «Функции Windows», после перезагрузки компьютера - ПО удалится, а папка останется.
Microsoft заверила, что этот метод позволит воссоздать папку с теми же уровнями защиты и, вероятно, получить личную благодарность от товарища майора.
Bluesky Social
Stefania Nobile (@pstrada.bsky.social)
@GossiTheDog @jernej__s
Yeah, so this is interesting. I was skeptical, but I can confirm that KB5057589 (which installs KB5055674) for Windows 10 will fail to install if there is a C:\inetpub directory present ahead of time, which a non-admin user can fulfill.…
Yeah, so this is interesting. I was skeptical, but I can confirm that KB5057589 (which installs KB5055674) for Windows 10 will fail to install if there is a C:\inetpub directory present ahead of time, which a non-admin user can fulfill.…
Легендарная в индустрии ransomware банда Lockbit возрождается вопреки предпринятым в прошлом году международным операциям спецслужб США и Великобритании по нейтрализации инфраструктуры и задержанию ее членов.
Силовикам, безусловно, удалось изрядно потрепать бизнес вымогателей LockBit, которые, из-под санкций, согласно многочисленным сообщениям, смогли официально вернуться в строй.
Новая RaaS теперь отслеживается исследователями как LockBit v4 или LockBit Green и уже обзавелась новыми жертвами.
Конечно, темп еще нет тот, как когда-то был (более 30 выкупов за день), но обороты нарастают, операторы подтягиваются.
Насколько быстро Lockbit выйдет в рабочий ритм, будем посмотреть.
Силовикам, безусловно, удалось изрядно потрепать бизнес вымогателей LockBit, которые, из-под санкций, согласно многочисленным сообщениям, смогли официально вернуться в строй.
Новая RaaS теперь отслеживается исследователями как LockBit v4 или LockBit Green и уже обзавелась новыми жертвами.
Конечно, темп еще нет тот, как когда-то был (более 30 выкупов за день), но обороты нарастают, операторы подтягиваются.
Насколько быстро Lockbit выйдет в рабочий ритм, будем посмотреть.
risky.biz
Risky Biz News: Law enforcement thoroughly dismantle LockBit - Risky Business Media
Law enforcement agencies from 11 countries have disrupted the LockBit ransomware operation in the most thorough and coordinated takedown o [Read More]
Действительно, что же все про Ivanti и Fortinet (у которой помимо уже описанных проблем прибавилась еще одна в виде неизвестной 0-day - и уже продается в киберполье вместе эксплойтом, о чем предупредила ThreatMon).
Исследователи Huntress фиксируют активную эксплуатацию критической уязвимости в ПО Gladinet CentreStack и Triofox, где стандартные криптографические конфигурации позволили осуществить атаки на семь организаций и спровоцировали аномальную активность примерно на 120 конечных точках.
CVE-2025-30406 была добавлена в каталог KEV CISA в начале апреля и имеет оценку серьезности CVSS 9/10.
Она обусловлена жестко запрограммированными криптографическими ключами, встроенными по умолчанию в файлы конфигурации CentreStack и Triofox. В виду неправильной конфигурации серверы стали уязвимы для атак с удаленным выполнением кода.
В этом случае использование ключей по умолчанию позволяет злоумышленнику защиту ASPX ViewState и выполнить код от имени пользователя пула приложений IIS с потенциальным расширением до полного контроля над системой.
Компания заявила, что эксплойты следовали хорошо известному сценарию.
После того, как уязвимый сервер был идентифицирован, злоумышленники запускали тщательно продуманные команды PowerShell для активации уязвимости, что в конечном итоге приводило к RCE.
По данным Huntress, в одном случае им удалось отследить последовательность команд, включающую закодированную директиву PowerShell, предназначенную для загрузки и выполнения DLL, то есть подход, который использовался в недавних атаках на уязвимости CrushFTP.
Согласно телеметрии Shodan, в сети доступно несколько сотен уязвимых серверов, так что риски компрометации все еще высоки, несмотря на доступность и эффективность исправлений.
Так что наблюдаем новую волну атак на цепочку мудаков, преимущественно, из крупного корпоративного сектора.
Индивидуальные приветы им позже передадут Clop или их коллеги по цеху.
Но будем посмотреть.
Исследователи Huntress фиксируют активную эксплуатацию критической уязвимости в ПО Gladinet CentreStack и Triofox, где стандартные криптографические конфигурации позволили осуществить атаки на семь организаций и спровоцировали аномальную активность примерно на 120 конечных точках.
CVE-2025-30406 была добавлена в каталог KEV CISA в начале апреля и имеет оценку серьезности CVSS 9/10.
Она обусловлена жестко запрограммированными криптографическими ключами, встроенными по умолчанию в файлы конфигурации CentreStack и Triofox. В виду неправильной конфигурации серверы стали уязвимы для атак с удаленным выполнением кода.
В этом случае использование ключей по умолчанию позволяет злоумышленнику защиту ASPX ViewState и выполнить код от имени пользователя пула приложений IIS с потенциальным расширением до полного контроля над системой.
Компания заявила, что эксплойты следовали хорошо известному сценарию.
После того, как уязвимый сервер был идентифицирован, злоумышленники запускали тщательно продуманные команды PowerShell для активации уязвимости, что в конечном итоге приводило к RCE.
По данным Huntress, в одном случае им удалось отследить последовательность команд, включающую закодированную директиву PowerShell, предназначенную для загрузки и выполнения DLL, то есть подход, который использовался в недавних атаках на уязвимости CrushFTP.
Согласно телеметрии Shodan, в сети доступно несколько сотен уязвимых серверов, так что риски компрометации все еще высоки, несмотря на доступность и эффективность исправлений.
Так что наблюдаем новую волну атак на цепочку мудаков, преимущественно, из крупного корпоративного сектора.
Индивидуальные приветы им позже передадут Clop или их коллеги по цеху.
Но будем посмотреть.
X (formerly Twitter)
ThreatMon (@MonThreat) on X
Alleged sale of FortiGate 0day exploit
On a well-known dark web forum, a threat actor has advertised an alleged zero-day exploit impacting FortiGate firewalls. The post claims the vulnerability enables unauthenticated remote code execution (RCE) and full…
On a well-known dark web forum, a threat actor has advertised an alleged zero-day exploit impacting FortiGate firewalls. The post claims the vulnerability enables unauthenticated remote code execution (RCE) and full…
Morphisec расчехлила новое семейство вредоносных ПО с расширенными возможностями под названием ResolverRAT, которые активно задействуется в атаках на объекты здравоохранения и фармацевтические организации.
ResolverRAT обладает расширенными возможностями выполнения в памяти и многоуровневого уклонения, а также в значительной степени полагается на механизмы разрешения во время выполнения и динамическую обработку ресурсов.
Несмотря на сходство в приманках, использовании двоичного кода и доставке полезной нагрузки с ранее задокументированными фишинговыми кампаниями, доставляющими Rhadamanthys и Lumma RAT, исследователи считают ResolverRAT новым семейством вредоносных ПО.
Соответствие механизмов доставки полезной нагрузки, повторного использования артефактов и тем приманок указывает на возможное совпадение инфраструктуры субъектов угроз, а также потенциальное партнерство или скоординированную деятельность между ними.
Фишинговые письма, распространяющие новое вредоносное ПО, обманом заставляют сотрудников компаний перейти по на ссылке, которая приводит к загрузке и открытию файла, отвечающего за запуск ResolverRAT.
Злоумышленник атакует пользователей во многих странах, отправляя электронные письма на родных языках получателей, включая чешский, хинди, индонезийский, итальянский, португальский и турецкий, часто ссылаясь на юридические расследования или нарушения авторских прав.
Цепочка заражения включает перехват порядка поиска DLL, полагаясь на уязвимый исполняемый файл для загрузки вредоносной DLL, размещенной в его каталоге.
На первом этапе цепочки выполнения загрузчик, использующий несколько методов антианализа, расшифровывает, загружает и запускает вредоносную полезную нагрузку.
Полезная нагрузка ResolverRAT сжимается и защищается с помощью шифрования AES-256, при этом ключи хранятся в виде зашифрованных целых чисел и после расшифровки существуют только в памяти.
Для сохранения вредоносная ПО создает до 20 записей в реестре в нескольких местах и скрывает имена ключей реестра и пути к файлам, а также устанавливает себя в нескольких местах.
ResolverRAT также реализует несколько механизмов для защиты инфраструктуры С2, включая параллельную систему доверия для проверки сертификатов, которая может обойти корневые центры сертификации, создавая закрытую цепочку проверки между имплантом и C2.
Он также реализует сложную систему ротации IP-адресов для резервных вариантов в случае недоступности C2, поддерживая собственный протокол связи C2, но использует стандартные порты для сокрытия в легитимном трафике, организует соединения через случайные интервалы и полагается на ProtoBuf для сериализации данных.
ResolverRAT имеет многопоточную архитектуру для обработки команд, реализует надежную обработку ошибок для предотвращения сбоев, поддерживает возможности постоянного подключения и разбивает большие наборы данных на фрагменты для передачи.
Morphisec отмечает, что в конфигурации С2 были определены поля, которые позволяют ее операторам отслеживать отдельные заражения и упорядочивать их по кампаниям. При этом для каждой жертвы используются специальные токены аутентификации.
ResolverRAT обладает расширенными возможностями выполнения в памяти и многоуровневого уклонения, а также в значительной степени полагается на механизмы разрешения во время выполнения и динамическую обработку ресурсов.
Несмотря на сходство в приманках, использовании двоичного кода и доставке полезной нагрузки с ранее задокументированными фишинговыми кампаниями, доставляющими Rhadamanthys и Lumma RAT, исследователи считают ResolverRAT новым семейством вредоносных ПО.
Соответствие механизмов доставки полезной нагрузки, повторного использования артефактов и тем приманок указывает на возможное совпадение инфраструктуры субъектов угроз, а также потенциальное партнерство или скоординированную деятельность между ними.
Фишинговые письма, распространяющие новое вредоносное ПО, обманом заставляют сотрудников компаний перейти по на ссылке, которая приводит к загрузке и открытию файла, отвечающего за запуск ResolverRAT.
Злоумышленник атакует пользователей во многих странах, отправляя электронные письма на родных языках получателей, включая чешский, хинди, индонезийский, итальянский, португальский и турецкий, часто ссылаясь на юридические расследования или нарушения авторских прав.
Цепочка заражения включает перехват порядка поиска DLL, полагаясь на уязвимый исполняемый файл для загрузки вредоносной DLL, размещенной в его каталоге.
На первом этапе цепочки выполнения загрузчик, использующий несколько методов антианализа, расшифровывает, загружает и запускает вредоносную полезную нагрузку.
Полезная нагрузка ResolverRAT сжимается и защищается с помощью шифрования AES-256, при этом ключи хранятся в виде зашифрованных целых чисел и после расшифровки существуют только в памяти.
Для сохранения вредоносная ПО создает до 20 записей в реестре в нескольких местах и скрывает имена ключей реестра и пути к файлам, а также устанавливает себя в нескольких местах.
ResolverRAT также реализует несколько механизмов для защиты инфраструктуры С2, включая параллельную систему доверия для проверки сертификатов, которая может обойти корневые центры сертификации, создавая закрытую цепочку проверки между имплантом и C2.
Он также реализует сложную систему ротации IP-адресов для резервных вариантов в случае недоступности C2, поддерживая собственный протокол связи C2, но использует стандартные порты для сокрытия в легитимном трафике, организует соединения через случайные интервалы и полагается на ProtoBuf для сериализации данных.
ResolverRAT имеет многопоточную архитектуру для обработки команд, реализует надежную обработку ошибок для предотвращения сбоев, поддерживает возможности постоянного подключения и разбивает большие наборы данных на фрагменты для передачи.
Morphisec отмечает, что в конфигурации С2 были определены поля, которые позволяют ее операторам отслеживать отдельные заражения и упорядочивать их по кампаниям. При этом для каждой жертвы используются специальные токены аутентификации.
Morphisec
New Malware Variant Identified: ResolverRAT Enters the Maze
Morphisec identifies ResolverRAT, a remote access trojan with advanced capabilities and layered evasion techniques. Read on for a full threat analysis.
Исследователи сообщают о новой тактике китайской APT MirrorFace (Earth Kasha, APT10), которая использует виртуальную среду Windows Sandbox для сокрытия запуска вредоносного ПО на зараженных системах.
Атаки с использованием Windows Sandbox наблюдаются с 2023 года и представляют собой первый известный случай злоупотребления функцией с момента ее выпуска в декабре 2018 года.
Эта функция позволяет пользователям Windows запускать изолированную «песочницу» для временной установки/тестирования приложений, а затем закрывать виртуальную среду, не затрагивая основную ОС и свои данные.
По сути, Sandbox работает как виртуальная машина, но не обладает всеми ее громоздкими функциями: он легче, очень быстр и прост в запуске и эксплуатации.
Злоупотребление этой функцией, на первый взгляд, может показаться неправдоподобным, поскольку поддержка Windows Sandbox по умолчанию отключена, а при запуске Sandbox работает в окне на переднем плане пользователя.
Согласно отчетам ITOCHU и ESET, MirrorFace нашла способ обойти эти ограничения.
Хакеры закрепляются на скомпрометированных сетях, включают Windows Sandbox, перезапускают системы, а затем запускают скрытые экземпляры Windows Sandbox, которые не отображаются на экране.
Это достигается путем запуска Sandbox через планировщик задач под учетной записью, отличной от текущей учетной записи пользователя, поэтому пользовательский интерфейс Sandbox никогда не отображается для вошедшего в систему пользователя.
Операторы MirrorFace помещают вредоносное ПО в папку на зараженных системах, а затем используют файлы конфигурации Windows Sandbox (WSB), чтобы предоставить Sandbox доступ к этой папке, сетевой доступ, а затем настраивают один из вредоносных файлов на автоматический запуск при запуске Sandbox.
Поскольку среды Windows Sandbox не могут запускать Defender, ничего из происходящего внутри не регистрируется и не обнаруживается. Это позволяет злоумышленнику установить вредоносное ПО и открыть скрытый бэкдор внутри этой системы и сети компании-жертвы.
Как отмечает ITOCHU, компании могут стать слепыми к таким атакам, поскольку вредоносное ПО в Windows Sandbox работает в соответствии с конфигурацией файла WSB, может получить доступ к файлам на хост-компьютере.
Однако, поскольку доступ к файлам осуществляется из песочницы, никакая активность не регистрируется инструментами мониторинга, запущенными на хост-системе.
Техника, используемая MirrorFace, по-видимому, является усовершенствованной версией техники, впервые описанной исследователем Ллойдом Дэвисом еще в 2020 году.
Исследователи ITOCHU полагают, что злоупотребления могут эскалировать, поскольку в Windows Sandbox ежегодно добавляются новые функции.
Например, он может совместно использовать буфер обмена, аудио- и видеовход с базовой ОС.
Windows Sandbox теперь также можно запустить с помощью аргументов командной строки в wsb.exe, что устраняет необходимость в файлах конфигурации WSB - артефактах, которые в настоящее время могут использоваться для обнаружения возможных злоупотреблений.
Описанный метод невероятно прост в автоматизации, даже для разработчиков вредоносного ПО низкого и среднего уровня квалификации. После его раскрытия, может быть принят на вооружение других групп, а также банд программ-вымогателей.
Поскольку Windows Sandbox встроена и присутствует во всех системах Windows 10 и Windows 11, а файл приложения подписан самой Microsoft, злоупотреблять им, скорее всего, проще и безопаснее.
ITOCHU представила в отчете рекомендации по мониторингу и IR для обнаружения этой техники.
Атаки с использованием Windows Sandbox наблюдаются с 2023 года и представляют собой первый известный случай злоупотребления функцией с момента ее выпуска в декабре 2018 года.
Эта функция позволяет пользователям Windows запускать изолированную «песочницу» для временной установки/тестирования приложений, а затем закрывать виртуальную среду, не затрагивая основную ОС и свои данные.
По сути, Sandbox работает как виртуальная машина, но не обладает всеми ее громоздкими функциями: он легче, очень быстр и прост в запуске и эксплуатации.
Злоупотребление этой функцией, на первый взгляд, может показаться неправдоподобным, поскольку поддержка Windows Sandbox по умолчанию отключена, а при запуске Sandbox работает в окне на переднем плане пользователя.
Согласно отчетам ITOCHU и ESET, MirrorFace нашла способ обойти эти ограничения.
Хакеры закрепляются на скомпрометированных сетях, включают Windows Sandbox, перезапускают системы, а затем запускают скрытые экземпляры Windows Sandbox, которые не отображаются на экране.
Это достигается путем запуска Sandbox через планировщик задач под учетной записью, отличной от текущей учетной записи пользователя, поэтому пользовательский интерфейс Sandbox никогда не отображается для вошедшего в систему пользователя.
Операторы MirrorFace помещают вредоносное ПО в папку на зараженных системах, а затем используют файлы конфигурации Windows Sandbox (WSB), чтобы предоставить Sandbox доступ к этой папке, сетевой доступ, а затем настраивают один из вредоносных файлов на автоматический запуск при запуске Sandbox.
Поскольку среды Windows Sandbox не могут запускать Defender, ничего из происходящего внутри не регистрируется и не обнаруживается. Это позволяет злоумышленнику установить вредоносное ПО и открыть скрытый бэкдор внутри этой системы и сети компании-жертвы.
Как отмечает ITOCHU, компании могут стать слепыми к таким атакам, поскольку вредоносное ПО в Windows Sandbox работает в соответствии с конфигурацией файла WSB, может получить доступ к файлам на хост-компьютере.
Однако, поскольку доступ к файлам осуществляется из песочницы, никакая активность не регистрируется инструментами мониторинга, запущенными на хост-системе.
Техника, используемая MirrorFace, по-видимому, является усовершенствованной версией техники, впервые описанной исследователем Ллойдом Дэвисом еще в 2020 году.
Исследователи ITOCHU полагают, что злоупотребления могут эскалировать, поскольку в Windows Sandbox ежегодно добавляются новые функции.
Например, он может совместно использовать буфер обмена, аудио- и видеовход с базовой ОС.
Windows Sandbox теперь также можно запустить с помощью аргументов командной строки в wsb.exe, что устраняет необходимость в файлах конфигурации WSB - артефактах, которые в настоящее время могут использоваться для обнаружения возможных злоупотреблений.
Описанный метод невероятно прост в автоматизации, даже для разработчиков вредоносного ПО низкого и среднего уровня квалификации. После его раскрытия, может быть принят на вооружение других групп, а также банд программ-вымогателей.
Поскольку Windows Sandbox встроена и присутствует во всех системах Windows 10 и Windows 11, а файл приложения подписан самой Microsoft, злоупотреблять им, скорее всего, проще и безопаснее.
ITOCHU представила в отчете рекомендации по мониторингу и IR для обнаружения этой техники.
Researcher Blog - ITOCHU Cyber & Intelligence Inc.
Hack The Sandbox: Unveiling the Truth Behind Disappearing Artifacts - Researcher Blog - ITOCHU Cyber & Intelligence Inc.
Introduction About Windows Sandbox Windows Enable Windows Sandbox Default user Windows Defender settings Configuration file (.wsb) Virtual Hard Disk (VHDX) The …
Forwarded from Russian OSINT
Китайские власти обвинили АНБ США в организации кибератак на Азиатские зимние игры и КИИ КНР. Согласно сообщению агентства «Синьхуа», инциденты произошли в период проведения Азиатских зимних игр. Пострадали объекты энергетики, связи, транспорта, гидротехнические сооружения и оборонные научно-исследовательские институты в провинции Хэйлунцзян. Они подверглись целенаправленным кибератакам cо стороны APT.
🎯 Цель атак — дестабилизация соревнований, вывод из строя инфраструктуры и хищение разведданных.
Пекин утверждает, что в ходе расследования были установлены личности троих предполагаемых агентов АНБ — Кэтрин А. Уилсон, Роберта Дж. Снеллинга и Стивена У. Джонсона. Их имена фигурируют в списке разыскиваемых лиц, опубликованном 👮полицией города Харбина.
🔻 Февраль 2025 — США обвиняют Китай
🔹 Взлом Минобороны, Госдепа, МИД Индии, Южной Кореи и Индонезии
🔹 Под ударом системы оборонного планирования
🔻 Апрель 2025 — Китай vs США (АНБ)
🔹 Обвинение в «продвинутых» кибератаках во время Азиатских зимних игр
🔹 Названы поимённо 3 агента АНБ
🔹 Упомянуты американские университеты как соучастники
🔹 Цель — критическая инфраструктура, системы Игр и Huawei
*Утверждается, что зафиксировано 270 000 атак на ИТ-системы игр и 50 млн атак на инфраструктуру региона.
По данным китайских специалистов, АНБ использовали арендованные в различных регионах Азии и Европы сервера, дабы усложнить усложнить атрибуцию источника атак. Также отмечается сознательное оставление ложных следов для дезинформации, массовое применение прокси- и бот-инфраструктуры, использование разовых айпишников.
Согласно отчету, опубликованному 3 апреля 2025 года Национальным центром реагирования на компьютерные вирусы Китая (CVERC), в период с 26 января по 14 февраля 2025 года было зафиксировано более 270 000 кибератак на информационные системы, связанные с Азиатскими зимними играми. Из них 63,24% атак (около 170 864) были идентифицированы как исходящие из США.
Использованы сотни техник, включая эксплойты нулевого дня и ИИ-инструменты.
Также в качестве соучастников, по мнению китайской стороны, названы два американских университета — Калифорнийский и Виргинский технологический.
🧐Китайские специалисты утверждают, что в ходе атак были активированы предустановленные бэкдоры в операционных системах
Что ещё интересно?
По данным 🇨🇳360, зафиксирована первая в мире атака, осуществленная с применением
👆Посольство США в Пекине воздержалось от комментариев. Обнародование подобных сведений отражает попытку Китая симметрично отреагировать на обвинения Вашингтона, регулярно заявляющего о действиях китайских хакеров против американских министерств, оборонных структур и внешнеполитических ведомств. Отсутствие реакции со стороны США оставляет открытым вопрос — как именно Вашингтон ответит на эти серьёзные обвинения?
Please open Telegram to view this post
VIEW IN TELEGRAM
Google внедряет новый механизм безопасности на устройствах Android, который, по всей видимости, будет направлен на противодействие эксфильтрации данных с помощью современных криминалистических инструментов.
Новая функция автоматической перезагрузки была указана в последнем обновлении сервисов Google Play (v25.14) в разделе «Безопасность и конфиденциальность».
Согласно примечаниям к выпуску, благодаря этой функции устройство автоматически перезагрузится, если оно будет заблокировано в течение 3 дней подряд.
В январе 2024 года разработчики GrapheneOS предупредили об уязвимостях прошивки Android, которые криминалисты задействовали для извлечения данных без разрешения пользователя.
При первом запуске телефона Android он переходит в состояние Before First Unlock (BFU), в котором большинство пользовательских данных остаются зашифрованными и недоступными до первой разблокировки устройства.
Как только пользователь разблокирует его с помощью своего PIN-кода или биометрических данных, устройство переходит в состояние After First Unlock (AFU), в котором данные пользователя расшифровываются, что делает их доступными для извлечения или эксфильтрации.
Изъятые или украденные устройства, как правило, уже находятся в состоянии AFU, поэтому даже если экран заблокирован, криминалистические инструменты позволяют извлечь из них, по крайней мере, хоть какие-то пользовательские данные.
Для решения этой проблемы GrapheneOS для устройств Android представила механизм автоматической перезагрузки, который перезапускал систему после 18 часов бездействия, возвращая устройство в состояние BFU.
Google теперь анонсировала по сути ту же функцию в Android, но с немного более демократичным интервалом бездействия нежели, чем в Graphene.
Вместо этого устройство перезагружается после 72 часов, без возможности сократить этот срок.
Предполагается, такой временной интервал все равно должен быть достаточен для блокирования многих атак, предполагающих долгосрочный физический доступ, связанный с проведением уголовных расследований.
Новая функция автоматической перезагрузки была указана в последнем обновлении сервисов Google Play (v25.14) в разделе «Безопасность и конфиденциальность».
Согласно примечаниям к выпуску, благодаря этой функции устройство автоматически перезагрузится, если оно будет заблокировано в течение 3 дней подряд.
В январе 2024 года разработчики GrapheneOS предупредили об уязвимостях прошивки Android, которые криминалисты задействовали для извлечения данных без разрешения пользователя.
При первом запуске телефона Android он переходит в состояние Before First Unlock (BFU), в котором большинство пользовательских данных остаются зашифрованными и недоступными до первой разблокировки устройства.
Как только пользователь разблокирует его с помощью своего PIN-кода или биометрических данных, устройство переходит в состояние After First Unlock (AFU), в котором данные пользователя расшифровываются, что делает их доступными для извлечения или эксфильтрации.
Изъятые или украденные устройства, как правило, уже находятся в состоянии AFU, поэтому даже если экран заблокирован, криминалистические инструменты позволяют извлечь из них, по крайней мере, хоть какие-то пользовательские данные.
Для решения этой проблемы GrapheneOS для устройств Android представила механизм автоматической перезагрузки, который перезапускал систему после 18 часов бездействия, возвращая устройство в состояние BFU.
Google теперь анонсировала по сути ту же функцию в Android, но с немного более демократичным интервалом бездействия нежели, чем в Graphene.
Вместо этого устройство перезагружается после 72 часов, без возможности сократить этот срок.
Предполагается, такой временной интервал все равно должен быть достаточен для блокирования многих атак, предполагающих долгосрочный физический доступ, связанный с проведением уголовных расследований.
Google
Google System Services Release Notes - Help
Google system services updates make your Android devices more secure and reliable, and give you new and useful features. They include updates from Google to the Android operating system, Google Play S
Продолжаем отслеживать наиболее трендовые уязвимости и связанные с ними угрозы:
1. В ПО Apache Roller с открытым исходным кодом на основе Java обнаружена уязвимость максимальной степени серьезности.
Уязвимость отслеживается как CVE-2025-24859 и имеет CVSS 10,0.
Она затрагивает все версии Roller до 6.1.4 включительно и была раскрыта исследователем Хайнингом Мэном.
Уязвимость связана с тем, что активные сеансы пользователей не аннулируются должным образом после смены пароля.
Успешная эксплуатация позволяет злоумышленнику поддерживать постоянный доступ к приложению через старые сеансы даже после смены пароля.
2. SSD Disclosure обнаружила RCE-ошибку в маршрутизаторах Calix Gigacenter.
Устройства выставляют свой интерфейс управления CPE в Интернете на порту TCP 6998 и не обрабатывают должным образом предоставленные входные данные.
Затронутые модели были разработаны третьей стороной под брендом Calix и теперь EoL.
3. Checkmarx изучает недавнюю уязвимость RCE с рейтингом 9,8 (CVE-2025-27520) в BentoML, библиотеке Python для взаимодействия со службами ИИ.
Число затронутых версий намного меньше, чем указано в первоначальном сообщении, но серьезности проблемы не уменьшает: она может позволить злоумышленникам захватить серверы, обрабатывающие полезные нагрузки, связанные с ИИ.
4. Coinspect предупреждает об уязвимостях в кошельках Stellar Freighter, Frontier Wallet и Coin98, которые можно использовать для скрытой кражи средств пользователей.
5. Исследователи Praetorian адаптировали уязвимость, используемую в отношении сред DICOM на базе Windows, для работы в Linux. Cвой PoC они назвали атакой ELFDICOM.
6. Участник Red Team, известный как Vari.sh, представил подробности о Doppelganger, новом методе (и инструменте), предназначенном для клонирования LSASS и извлечения секретов без срабатывания обнаружений на оригинале.
7. Quarkslab опубликовала результаты недавнего аудита безопасности интерпретатора PHP, выявив при этом 17 проблем безопасности.
8. Исследователи Positive Technologies выкатили апрельскую подборку c наиболее опасными уязвимостями, куда вошли 11 проблем в Microsoft, VMware и Apache.
1. В ПО Apache Roller с открытым исходным кодом на основе Java обнаружена уязвимость максимальной степени серьезности.
Уязвимость отслеживается как CVE-2025-24859 и имеет CVSS 10,0.
Она затрагивает все версии Roller до 6.1.4 включительно и была раскрыта исследователем Хайнингом Мэном.
Уязвимость связана с тем, что активные сеансы пользователей не аннулируются должным образом после смены пароля.
Успешная эксплуатация позволяет злоумышленнику поддерживать постоянный доступ к приложению через старые сеансы даже после смены пароля.
2. SSD Disclosure обнаружила RCE-ошибку в маршрутизаторах Calix Gigacenter.
Устройства выставляют свой интерфейс управления CPE в Интернете на порту TCP 6998 и не обрабатывают должным образом предоставленные входные данные.
Затронутые модели были разработаны третьей стороной под брендом Calix и теперь EoL.
3. Checkmarx изучает недавнюю уязвимость RCE с рейтингом 9,8 (CVE-2025-27520) в BentoML, библиотеке Python для взаимодействия со службами ИИ.
Число затронутых версий намного меньше, чем указано в первоначальном сообщении, но серьезности проблемы не уменьшает: она может позволить злоумышленникам захватить серверы, обрабатывающие полезные нагрузки, связанные с ИИ.
4. Coinspect предупреждает об уязвимостях в кошельках Stellar Freighter, Frontier Wallet и Coin98, которые можно использовать для скрытой кражи средств пользователей.
5. Исследователи Praetorian адаптировали уязвимость, используемую в отношении сред DICOM на базе Windows, для работы в Linux. Cвой PoC они назвали атакой ELFDICOM.
6. Участник Red Team, известный как Vari.sh, представил подробности о Doppelganger, новом методе (и инструменте), предназначенном для клонирования LSASS и извлечения секретов без срабатывания обнаружений на оригинале.
7. Quarkslab опубликовала результаты недавнего аудита безопасности интерпретатора PHP, выявив при этом 17 проблем безопасности.
8. Исследователи Positive Technologies выкатили апрельскую подборку c наиболее опасными уязвимостями, куда вошли 11 проблем в Microsoft, VMware и Apache.
SSD Secure Disclosure
SSD Advisory - Calix Pre-Auth RCE - SSD Secure Disclosure
Summary A critical Remote Code Execution (RCE) vulnerability has been discovered on TCP port 6998. This vulnerability arises due to improper sanitation of user input in a CWMP (CPE WAN Management Protocol) service. Exploiting this flaw allows an attacker…
Исследователи Dr.Web сообщают о масштабной атаке на цепочки поставок ПО различных китайских производителей Android-смарфтонов, связанную с внедрением троянизированных приложений WhatsApp и Telegram, нацеленных на пользователей криптовалют с помощью клиппера.
Несмотря на то, что тему не новая, исследователи Dr.Web отмечают серьезную эскалацию, когда мошеннические приложения внедряются непосредственно в составе предустановленного на телефоне ПО.
Большинство скомпрометированных устройств являются бюджетными копиями известных премиальных моделей Samsung и Huawei, включая S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra.
По крайней мере четыре из затронутых моделей производятся под брендом SHOWJI.
Злоумышленники использовали приложение для визуального улучшения технических характеристик, отображаемых на странице «Об устройстве», а также утилиты для получения информации об оборудовании и софте, такие как AIDA64 и CPU-Z, создавая у пользователей ложное впечатление, что телефоны работают под управлением Android 14 и имеют улучшенное аппаратное обеспечение.
Вредоносные приложения Android созданы с использованием проекта с открытым исходным кодом LSPatch, который позволяет трояну, получившему название Shibai, внедряться в легитимное ПО.
По оценкам специалистов, в общей сложности около 40 различных приложений, таких как мессенджеры и сканеры QR-кодов, были модифицированы таким образом.
В изученных Dr.Web артефактах, приложение перехватывает процесс обновления приложения для получения APK-файла с подконтрольного злоумышленнику сервера, ищет строки в чатах, которые соответствуют шаблонам адресов криптокошельков Ethereum или Tron.
При нахождении итаковых, заменяются мошенническими адресами для перенаправления транзакций.
Помимо подмены адресов, вредоносная ПО также оснащена возможностями сбора информации об устройстве, переписки в WhatsApp, а также изображений .jpg, .png и .jpeg из папок DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.
Данный функционал обеспечивает сканирование сохраненных файлов на предмет детектирования фраз для восстановления кошелька (т.н. мнемонических фраз), что позволит злоумышленникам получить доступ к кошелькам жертв и слить активы.
Неясно, кто стоит за этой кампанией, однако установлено, что злоумышленники используют около 30 доменов для распространения вредоносных приложений и используют более 60 серверов C2 для управления операцией.
Дальнейший анализ почти двух десятков криптокошельков, используемых злоумышленниками, показал, что за последние два года они получили более 1,6 млн. долл., что свидетельствует о том, что кейс в принципе окупился с лихвой.
Несмотря на то, что тему не новая, исследователи Dr.Web отмечают серьезную эскалацию, когда мошеннические приложения внедряются непосредственно в составе предустановленного на телефоне ПО.
Большинство скомпрометированных устройств являются бюджетными копиями известных премиальных моделей Samsung и Huawei, включая S23 Ultra, S24 Ultra, Note 13 Pro и P70 Ultra.
По крайней мере четыре из затронутых моделей производятся под брендом SHOWJI.
Злоумышленники использовали приложение для визуального улучшения технических характеристик, отображаемых на странице «Об устройстве», а также утилиты для получения информации об оборудовании и софте, такие как AIDA64 и CPU-Z, создавая у пользователей ложное впечатление, что телефоны работают под управлением Android 14 и имеют улучшенное аппаратное обеспечение.
Вредоносные приложения Android созданы с использованием проекта с открытым исходным кодом LSPatch, который позволяет трояну, получившему название Shibai, внедряться в легитимное ПО.
По оценкам специалистов, в общей сложности около 40 различных приложений, таких как мессенджеры и сканеры QR-кодов, были модифицированы таким образом.
В изученных Dr.Web артефактах, приложение перехватывает процесс обновления приложения для получения APK-файла с подконтрольного злоумышленнику сервера, ищет строки в чатах, которые соответствуют шаблонам адресов криптокошельков Ethereum или Tron.
При нахождении итаковых, заменяются мошенническими адресами для перенаправления транзакций.
Помимо подмены адресов, вредоносная ПО также оснащена возможностями сбора информации об устройстве, переписки в WhatsApp, а также изображений .jpg, .png и .jpeg из папок DCIM, Pictures, Alarms, Downloads, Documents и Screenshots.
Данный функционал обеспечивает сканирование сохраненных файлов на предмет детектирования фраз для восстановления кошелька (т.н. мнемонических фраз), что позволит злоумышленникам получить доступ к кошелькам жертв и слить активы.
Неясно, кто стоит за этой кампанией, однако установлено, что злоумышленники используют около 30 доменов для распространения вредоносных приложений и используют более 60 серверов C2 для управления операцией.
Дальнейший анализ почти двух десятков криптокошельков, используемых злоумышленниками, показал, что за последние два года они получили более 1,6 млн. долл., что свидетельствует о том, что кейс в принципе окупился с лихвой.
Dr.Web
Nice chatting with you: what connects cheap Android smartphones, WhatsApp and cryptocurrency theft?
Every year, cryptocurrencies become more and more common as a payment method. According to the data for 2023, in developed countries about 20% of the population has at some time used such a means of payment, and in developing countries, where the banking…
Хакеры взломали интернет-форум 4chan.
Злоумышленники слили часть исходного кода сайта и опубликовали изображения бэкэнда и страницы базы данных сайта.
4chan не подтвердил взлом, но сайт был недоступен весь день во вторник. О взломе стало известно в объявлении на форуме их конкурентов Soyjak Party.
Представленные пруфы позволяют констатировать, что это второй крупный взлом 4chan после аналогичного инцидента в 2014 году.
Злоумышленники слили часть исходного кода сайта и опубликовали изображения бэкэнда и страницы базы данных сайта.
4chan не подтвердил взлом, но сайт был недоступен весь день во вторник. О взломе стало известно в объявлении на форуме их конкурентов Soyjak Party.
Представленные пруфы позволяют констатировать, что это второй крупный взлом 4chan после аналогичного инцидента в 2014 году.
Вице-президент MITRE Йосри Барсум объявил о приостановке финансирования со стороны правительства США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), что может негативно отразиться на всей глобальной индустрии кибербеза.
В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.
Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.
Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации.
В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.
После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.
Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.
При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.
Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.
В связи с чем, MITRE прогнозирует ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков.
Система долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек-сообщества.
Она обеспечивала четкую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.
Программа CVE, реализуемая некоммерческой организацией MITRE совместно с федеральными научно-исследовательскими центрами, финансируется по нескольким каналам, включая правительство США, отраслевые партнерства и международные организации.
В основном объеме поддерживается MITRE при финансировании со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).
В открытом письме к членам совета CVE Барсум заявил, что прекращение контракта (крайний срок - сегодня) затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.
Ранее в ожидании сокращения финансирования, MITRE уже инициировала увольнение более 400 сотрудников офиса в Вирджинии.
После того, как письмо было опубликовано, многие ИБ эксперты выразили обеспокоенность, опасаясь, что сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращен.
Как отмечает Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать уже завтра.
При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в NVD.
Представители NIST, Министерств внутренней безопасности и обороны США пока никак не комментируют ситуацию.
Bluesky Social
Tib3rius (@tib3rius.bsky.social)
BREAKING.
From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
From a reliable source. MITRE support for the CVE program is due to expire tomorrow. The attached letter was sent out to CVE Board Members.
Forwarded from Social Engineering
• Официальный YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Инфосек вздрогнул после новостей про закрытие программы Common Vulnerabilities and Exposures (CVE), но на какой-то период можно расслабиться.
CISA экстренно отчислила пару тройку десятков миллионов зеленых для поддержания работоспособности проекта MITRE.
В агентстве признали, что «программа CVE бесценна для киберсообщества и является приоритетом CISA. Реализован опционный период по контракту, чтобы гарантировать отсутствие перерывов в критически важных услугах CVE».
По некоторым данным, контракт продлен на 11 месяцев.
Но есть в этой истории интересный момент.
Незадолго до сообщения CISA группа членов Совета CVE объявила о создании Фонда CVE - некоммерческой организации для обеспечения независимости программы CVE в свете предупреждения MITRE о приостановке финансирования.
В качестве мотивировки указывалось, в частности, что с момента своего создания инициатива CVE функционировала за государственный счет, что вызывало обеспокоенность среди членов совета относительно нейтральности всемирно используемого ресурса, полностью зависающего от решений своего спонсора.
Так что теперь, фонд CVE, конечно, планирует опубликовать дополнительную информацию по планам новой стратегии развития CVE в ближайшие дни, но с учетом возобновления контракта MITRE, эти намерения могут поменяться.
Но будем посмотреть.
CISA экстренно отчислила пару тройку десятков миллионов зеленых для поддержания работоспособности проекта MITRE.
В агентстве признали, что «программа CVE бесценна для киберсообщества и является приоритетом CISA. Реализован опционный период по контракту, чтобы гарантировать отсутствие перерывов в критически важных услугах CVE».
По некоторым данным, контракт продлен на 11 месяцев.
Но есть в этой истории интересный момент.
Незадолго до сообщения CISA группа членов Совета CVE объявила о создании Фонда CVE - некоммерческой организации для обеспечения независимости программы CVE в свете предупреждения MITRE о приостановке финансирования.
В качестве мотивировки указывалось, в частности, что с момента своего создания инициатива CVE функционировала за государственный счет, что вызывало обеспокоенность среди членов совета относительно нейтральности всемирно используемого ресурса, полностью зависающего от решений своего спонсора.
Так что теперь, фонд CVE, конечно, планирует опубликовать дополнительную информацию по планам новой стратегии развития CVE в ближайшие дни, но с учетом возобновления контракта MITRE, эти намерения могут поменяться.
Но будем посмотреть.
Highergov
Contract 70RCSJ24FR0000018 The Mitre Corporation
Delivery Order 70RSAT20D00000001-70RCSJ24FR0000018 worth up to $57.8M was awarded to The Mitre Corporation on 4/17/24 by the Cybersecurity and Infrastructure Security Agency (70RCSJ-24-F-R0000018)
Более 16 000 устройств Fortinet, подключенных к Интернету, оказались скомпрометированными с помощью нового бэкдора с символической ссылкой, который обеспечивает хакерам доступ с правами только для чтения к конфиденциальным файлам.
Неутешительную статистику представили исследователи The Shadowserver Foundation после того, как на прошлой неделе Fortinet предупреждала о клиентов об обнаружении нового механизма для сохранения удаленного доступа к файлам в корневой системе пропатченных устройств FortiGate, которые ранее были скомпрометированы.
По данным Fortinet, наблюдаемая кампания не связана с эксплуатацией новых уязвимостей, а является следствием атак, состоявшихся в период с 2023 по 2024 гг., когда злоумышленник применял 0-day для взлома устройств FortiOS.
Получив доступ к устройствам, атакующие создали символические ссылки в папке языковых файлов на корневую файловую систему устройств с включенным SSL-VPN.
Поскольку языковые файлы общедоступны на устройствах FortiGate с включенным SSL-VPN, злоумышленник может перейти в эту папку и получить постоянный доступ на чтение к корневой файловой системе (с конфигурациями) даже после устранения первоначальных уязвимостей.
Причем Fortinet начала уведомлять клиентов в частном порядке по электронной почте об устройствах FortiGate, детектированных FortiGuard в качестве скомпрометированных с помощью этого бэкдора с символической ссылкой.
Fortinet выпустила обновленную сигнатуру AV/IPS, которая позволяет обнаружить и удалить вредоносную символическую ссылку со скомпрометированных устройств.
Последняя версия прошивки также была оснащена таким функционалом. Обновление также предотвращает обслуживание неизвестных файлов и папок встроенным веб-сервером.
Наконец, если устройство было обнаружено как скомпрометированное, вполне возможно, что злоумышленники имели доступ к последним файлам конфигурации, включая учетные данные.
Поэтому все учетные данные следует сбросить, а администраторам следует выполнить остальные шаги, описанные в этом руководстве.
Неутешительную статистику представили исследователи The Shadowserver Foundation после того, как на прошлой неделе Fortinet предупреждала о клиентов об обнаружении нового механизма для сохранения удаленного доступа к файлам в корневой системе пропатченных устройств FortiGate, которые ранее были скомпрометированы.
По данным Fortinet, наблюдаемая кампания не связана с эксплуатацией новых уязвимостей, а является следствием атак, состоявшихся в период с 2023 по 2024 гг., когда злоумышленник применял 0-day для взлома устройств FortiOS.
Получив доступ к устройствам, атакующие создали символические ссылки в папке языковых файлов на корневую файловую систему устройств с включенным SSL-VPN.
Поскольку языковые файлы общедоступны на устройствах FortiGate с включенным SSL-VPN, злоумышленник может перейти в эту папку и получить постоянный доступ на чтение к корневой файловой системе (с конфигурациями) даже после устранения первоначальных уязвимостей.
Причем Fortinet начала уведомлять клиентов в частном порядке по электронной почте об устройствах FortiGate, детектированных FortiGuard в качестве скомпрометированных с помощью этого бэкдора с символической ссылкой.
Fortinet выпустила обновленную сигнатуру AV/IPS, которая позволяет обнаружить и удалить вредоносную символическую ссылку со скомпрометированных устройств.
Последняя версия прошивки также была оснащена таким функционалом. Обновление также предотвращает обслуживание неизвестных файлов и папок встроенным веб-сервером.
Наконец, если устройство было обнаружено как скомпрометированное, вполне возможно, что злоумышленники имели доступ к последним файлам конфигурации, включая учетные данные.
Поэтому все учетные данные следует сбросить, а администраторам следует выполнить остальные шаги, описанные в этом руководстве.
Fortinet Blog
Analysis of Threat Actor Activity
Fortinet diligently balances our commitment to the security of our customers and our culture of responsible transparency and commits to sharing information with that goal in mind. While efforts by …
Apple выкатила экстренные обновления для исправления двух 0-day, которые использовались в «чрезвычайно сложной атаке» на iPhone ряда узко таргетированных целей.
Проблемы связаны с CoreAudio (CVE-2025-31200) и RPAC (CVE-2025-31201), затрагивая iOS, macOS, tvOS, iPadOS и visionOS.
CVE-2025-31200 была обнаружена Apple и Google Threat Analysis. Ее можно эксплуатировать, обрабатывая аудиопоток во вредоносном медиафайле для удаленного выполнения кода на устройстве.
Компания также исправила CVE-2025-31201, обнаруженную Apple.
Ошибка позволяет злоумышленникам с доступом на чтение или запись обходить Pointer Authentication (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.
Обе уязвимости были исправлены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.
Список затронутых устройств включает как старые, так и новые модели: iPhone XS и более поздние, iPad Pro 13 дюймов, iPad Pro 13,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения и новее, macOS Секвойя, Apple TV HD и Apple TV 4K (все модели), а также Apple Vision Pro.
Несмотря на то, что эти 0-day использовались в целенаправленных атаках, пользователям настоятельно рекомендуется установить их как можно скорее.
Apple традиционно не стала делиться подробностями о том, как именно уязвимости использовались в атаках. Но поглядим еще.
Проблемы связаны с CoreAudio (CVE-2025-31200) и RPAC (CVE-2025-31201), затрагивая iOS, macOS, tvOS, iPadOS и visionOS.
CVE-2025-31200 была обнаружена Apple и Google Threat Analysis. Ее можно эксплуатировать, обрабатывая аудиопоток во вредоносном медиафайле для удаленного выполнения кода на устройстве.
Компания также исправила CVE-2025-31201, обнаруженную Apple.
Ошибка позволяет злоумышленникам с доступом на чтение или запись обходить Pointer Authentication (PAC), функцию безопасности iOS, которая помогает защититься от уязвимостей памяти.
Обе уязвимости были исправлены в iOS 18.4.1, iPadOS 18.4.1, tvOS 18.4.1, macOS Sequoia 15.4.1 и visionOS 2.4.1.
Список затронутых устройств включает как старые, так и новые модели: iPhone XS и более поздние, iPad Pro 13 дюймов, iPad Pro 13,9 дюймов 3-го поколения, iPad Pro 11 дюймов 1-го поколения, iPad Air 3-го поколения, iPad 7-го поколения, iPad mini 5-го поколения и новее, macOS Секвойя, Apple TV HD и Apple TV 4K (все модели), а также Apple Vision Pro.
Несмотря на то, что эти 0-day использовались в целенаправленных атаках, пользователям настоятельно рекомендуется установить их как можно скорее.
Apple традиционно не стала делиться подробностями о том, как именно уязвимости использовались в атаках. Но поглядим еще.
Apple Support
About the security content of iOS 18.4.1 and iPadOS 18.4.1 - Apple Support
This document describes the security content of iOS 18.4.1 and iPadOS 18.4.1.
В реализации SSH на базе Erlang/Open Telecom Platform (OTP) обнаружена критическая уязвимость, которая позволяет злоумышленнику с сетевым доступом к SSH-серверу выполнить произвольный код без какой-либо аутентификации при определенных условиях.
CVE-2025-32433 присвоен максимальный балл CVSS 10,0.
Проблема возникает из-за неправильной обработки сообщений протокола SSH, которые по сути позволяют злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Успешное использование недостатков может привести к выполнению произвольного кода в контексте демона SSH.
Риск еще больше усугубляется тем, что если процесс-демон запущен с правами root, то это позволяет злоумышленнику получить полный контроль над устройством, что, в свою очередь, открывает путь для неправомерного доступа, манипулирования конфиденциальными данными или DoS.
Все пользователи, использующие SSH-сервер на основе библиотеки Erlang/OTP SSH, вероятно, затронуты CVE-2025-32433.
Рекомендуется обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
В качестве временных обходных путей доступ к уязвимым SSH-серверам можно запретить с помощью соответствующих правил брандмауэра.
Исследователи Qualys описывают уязвимость как чрезвычайно критическую, которая открывает злоумышленнику возможности для установки программ-вымогателей или кражи конфиденциальных данных.
Erlang часто устанавливается в системах высокой доступности из-за его надежной и параллельной поддержки обработки.
Причем большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, используемую в устройствах OT/IoT, периферийных вычислительных устройствах, подвержена эксплуатации.
Обновление до исправленной версии Erlang/OTP или поддерживаемых производителем версий устранит уязвимость.
В качестве мер по смягчению следует ограничить доступ к порту SSH только для авторизованных пользователей.
CVE-2025-32433 присвоен максимальный балл CVSS 10,0.
Проблема возникает из-за неправильной обработки сообщений протокола SSH, которые по сути позволяют злоумышленнику отправлять сообщения протокола соединения до аутентификации.
Успешное использование недостатков может привести к выполнению произвольного кода в контексте демона SSH.
Риск еще больше усугубляется тем, что если процесс-демон запущен с правами root, то это позволяет злоумышленнику получить полный контроль над устройством, что, в свою очередь, открывает путь для неправомерного доступа, манипулирования конфиденциальными данными или DoS.
Все пользователи, использующие SSH-сервер на основе библиотеки Erlang/OTP SSH, вероятно, затронуты CVE-2025-32433.
Рекомендуется обновиться до версий OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
В качестве временных обходных путей доступ к уязвимым SSH-серверам можно запретить с помощью соответствующих правил брандмауэра.
Исследователи Qualys описывают уязвимость как чрезвычайно критическую, которая открывает злоумышленнику возможности для установки программ-вымогателей или кражи конфиденциальных данных.
Erlang часто устанавливается в системах высокой доступности из-за его надежной и параллельной поддержки обработки.
Причем большинство устройств Cisco и Ericsson работают на Erlang.
Любая служба, использующая библиотеку SSH Erlang/OTP для удаленного доступа, например, используемую в устройствах OT/IoT, периферийных вычислительных устройствах, подвержена эксплуатации.
Обновление до исправленной версии Erlang/OTP или поддерживаемых производителем версий устранит уязвимость.
В качестве мер по смягчению следует ограничить доступ к порту SSH только для авторизованных пользователей.
GitHub
Unauthenticated Remote Code Execution in Erlang/OTP SSH
### Summary
A serious vulnerability has been identified in the Erlang/OTP SSH server that may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SS...
A serious vulnerability has been identified in the Erlang/OTP SSH server that may allow an attacker to perform unauthenticated remote code execution (RCE). By exploiting a flaw in SS...
Исследователи Trend Micro выкатили отчет с разбором активности новой банды вымогателей CrazyHunter, которая проворачивает сложную кампанию, нацеленную на тайваньские организации, в основном в секторах здравоохранения, образования и промышленности.
Как отмечают исследователи, CrazyHunter зарекомендовала себя как серьезную угрозу, способную нарушить функционирование критических секторов.
CrazyHunter полагается на сложные TTPs, в частности задействует метод BYOVD, который позволяет им эффективно обходить меры безопасности.
Почти 80% инструментария банды состоит из инструментов с открытым исходным кодом.
При этом группа значительно расширила свой арсенал, интегрировав такие инструменты с открытым исходным кодом из GitHub, как: Prince Ransomware Builder и ZammoCide, для улучшения своих операционных возможностей.
Группа впервые отметилась в прошлом месяце, запустив свой сайт DLS, где размещено десять жертв - все из Тайваня.
Анализ телеметрии позволил выявить исследователям четкую схему целенаправленных нападений.
Как отмечает Trend Micro, наблюдения показывают, что CrazyHunter модифицируют свободно доступные исходные коды в соответствии со своими конкретными потребностями и значительно расширяют свои возможности.
Исследователи выявили и разобрали в отчете три инструмента с открытым исходным кодом, предоставленных GitHub, каждый из которых служит определенной цели.
Модифицированный вариант инструмента ZammoCide применяется в качестве AV/EDR-убийцы, способного завершать процессы EDR с помощью подхода BYOVD, использующего уязвимый драйвер zam64.sys.
Программа нацелена на определенные жестко закодированные имена процессов, в первую очередь, связанные с продуктами Trend Micro AV и EDR, а также процессы Microsoft Defender и Avira.
Банда также задействует SharpGPOAbuse для эксплуатации объектов групповой политики (GPO).
Используя права редактирования пользователя в GPO, они компрометируют объекты, контролируемые через GPO, и, таким образом, развертывают полезные нагрузки, добиваясь повышения привилегий и обеспечивая горизонтальное перемещение по сети жертвы.
И, наконец, основа атаки - вариант Prince ransomware, заказного вымогателя на основе Go.
Он использует шифрование ChaCha20 и ECIES для надежного шифрования файлов.
Злоумышленники настроили его, добавив расширение ".Hunter" к зашифрованным файлам.
Вымогатель сбрасывает записку с требованием выкупа под названием "Decryption Instructions.txt", изменяет обои рабочего стола жертвы и требует выплатить выкуп.
При этом атакующие не только полагались на инструменты с открытым исходным кодом, но и расширили свой арсенал дополнительным инструментарием и методами исполнения.
Технические подробности и IoCs - в отчете.
Как отмечают исследователи, CrazyHunter зарекомендовала себя как серьезную угрозу, способную нарушить функционирование критических секторов.
CrazyHunter полагается на сложные TTPs, в частности задействует метод BYOVD, который позволяет им эффективно обходить меры безопасности.
Почти 80% инструментария банды состоит из инструментов с открытым исходным кодом.
При этом группа значительно расширила свой арсенал, интегрировав такие инструменты с открытым исходным кодом из GitHub, как: Prince Ransomware Builder и ZammoCide, для улучшения своих операционных возможностей.
Группа впервые отметилась в прошлом месяце, запустив свой сайт DLS, где размещено десять жертв - все из Тайваня.
Анализ телеметрии позволил выявить исследователям четкую схему целенаправленных нападений.
Как отмечает Trend Micro, наблюдения показывают, что CrazyHunter модифицируют свободно доступные исходные коды в соответствии со своими конкретными потребностями и значительно расширяют свои возможности.
Исследователи выявили и разобрали в отчете три инструмента с открытым исходным кодом, предоставленных GitHub, каждый из которых служит определенной цели.
Модифицированный вариант инструмента ZammoCide применяется в качестве AV/EDR-убийцы, способного завершать процессы EDR с помощью подхода BYOVD, использующего уязвимый драйвер zam64.sys.
Программа нацелена на определенные жестко закодированные имена процессов, в первую очередь, связанные с продуктами Trend Micro AV и EDR, а также процессы Microsoft Defender и Avira.
Банда также задействует SharpGPOAbuse для эксплуатации объектов групповой политики (GPO).
Используя права редактирования пользователя в GPO, они компрометируют объекты, контролируемые через GPO, и, таким образом, развертывают полезные нагрузки, добиваясь повышения привилегий и обеспечивая горизонтальное перемещение по сети жертвы.
И, наконец, основа атаки - вариант Prince ransomware, заказного вымогателя на основе Go.
Он использует шифрование ChaCha20 и ECIES для надежного шифрования файлов.
Злоумышленники настроили его, добавив расширение ".Hunter" к зашифрованным файлам.
Вымогатель сбрасывает записку с требованием выкупа под названием "Decryption Instructions.txt", изменяет обои рабочего стола жертвы и требует выплатить выкуп.
При этом атакующие не только полагались на инструменты с открытым исходным кодом, но и расширили свой арсенал дополнительным инструментарием и методами исполнения.
Технические подробности и IoCs - в отчете.
Trend Micro
CrazyHunter Campaign Targets Taiwanese Critical Sectors
This blog entry details research on emerging ransomware group CrazyHunter, which has launched a sophisticated campaign aimed at Taiwan's essential services.
Исследователи Cymulate сообщают о четырех уязвимостях в основном компоненте службы планирования задач Microsoft Windows, которые могут быть использованы локальными злоумышленниками для EoP и очистки журналов с целью сокрытия доказательств вредоносной деятельности.
Проблемы были обнаружены в двоичном файле schtasks.exe, который позволяет администратору создавать, удалять, запрашивать, изменять, запускать и завершать запланированные задачи на локальном или удаленном компьютере.
По сути уязвимость представляет собой обход запроса контроля учетных записей, что позволяет злоумышленнику выполнять команды с высоким уровнем привилегий (SYSTEM) без одобрения пользователя.
Используя эту уязвимость, злоумышленники могут повысить свои привилегии и запустить вредоносные ПО с правами администратора, что приведет к несанкционированному доступу, краже данных или дальнейшей компрометации системы.
По данным Cymulate, проблема возникает, когда злоумышленник создает запланированную задачу с использованием пакетного входа в систему (т.е. пароля) вместо интерактивного токена, в результате чего служба планировщика задач предоставляет запущенному процессу максимально допустимые права.
Однако для того, чтобы эта атака сработала, злоумышленнику необходимо получить пароль другими способами, например, взломав хэш NTLMv2 после аутентификации на сервере SMB или использовав уязвимости, такие как CVE-2023-21726.
Конечный результат этой проблемы приводит к тому, что пользователь с низкими привилегиями может использовать двоичный файл schtasks.exe и выдать себя за члена таких групп, как «Администраторы», «Операторы резервного копирования» и «Пользователи журнала производительности», с известным паролем, чтобы получить максимально допустимые привилегии.
Регистрация запланированной задачи с использованием метода аутентификации Batch Logon с помощью XML-файла также может открыть путь для двух методов обхода защиты, которые позволяют перезаписывать журнал событий, эффективно стирая аудиторские следы предыдущей активности, а также переполнять журналы безопасности.
Как отмечают исследователи, первая обнаруженная уязвимость - это не просто обход UAC: по сути, это способ выдать себя за любого пользователя с его паролем из CLI для получения максимально предоставленных привилегии в сеансе выполнения задачи с флагами /ru и /rp.
Проблемы были обнаружены в двоичном файле schtasks.exe, который позволяет администратору создавать, удалять, запрашивать, изменять, запускать и завершать запланированные задачи на локальном или удаленном компьютере.
По сути уязвимость представляет собой обход запроса контроля учетных записей, что позволяет злоумышленнику выполнять команды с высоким уровнем привилегий (SYSTEM) без одобрения пользователя.
Используя эту уязвимость, злоумышленники могут повысить свои привилегии и запустить вредоносные ПО с правами администратора, что приведет к несанкционированному доступу, краже данных или дальнейшей компрометации системы.
По данным Cymulate, проблема возникает, когда злоумышленник создает запланированную задачу с использованием пакетного входа в систему (т.е. пароля) вместо интерактивного токена, в результате чего служба планировщика задач предоставляет запущенному процессу максимально допустимые права.
Однако для того, чтобы эта атака сработала, злоумышленнику необходимо получить пароль другими способами, например, взломав хэш NTLMv2 после аутентификации на сервере SMB или использовав уязвимости, такие как CVE-2023-21726.
Конечный результат этой проблемы приводит к тому, что пользователь с низкими привилегиями может использовать двоичный файл schtasks.exe и выдать себя за члена таких групп, как «Администраторы», «Операторы резервного копирования» и «Пользователи журнала производительности», с известным паролем, чтобы получить максимально допустимые привилегии.
Регистрация запланированной задачи с использованием метода аутентификации Batch Logon с помощью XML-файла также может открыть путь для двух методов обхода защиты, которые позволяют перезаписывать журнал событий, эффективно стирая аудиторские следы предыдущей активности, а также переполнять журналы безопасности.
Как отмечают исследователи, первая обнаруженная уязвимость - это не просто обход UAC: по сути, это способ выдать себя за любого пользователя с его паролем из CLI для получения максимально предоставленных привилегии в сеансе выполнения задачи с флагами /ru и /rp.
Cymulate
Task Scheduler– New Vulnerabilities for schtasks.exe
UAC bypass, metadata poisoning, and log overflow vulnerabilities in Windows Task Scheduler reveal new tactics for defense evasion and privilege escalation
Исследователи Лаборатории Касперского совместно со специалистами Т-Технологий в ходе расследования киберинцидента обнаружили новый сложный бэкдор, нацеленный на компьютеры, подключенные к сетям ViPNet.
Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.
Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.
Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.
Имя данного файла различается от архива к архиву.
Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.
Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.
Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.
Последние инциденты зафиксированы в апреле 2025 года.
При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.
Неизвестная APT-группа задействовала его в целевых атаках на десятки организаций в России, в том числе из госсектора, финансовой сферы и промышленности, преследуя цель кибершпионажа.
Бэкдор распространяется, мимикрируя под обновление ViPNet Client, в архивах с расширением .lzh, имеющих структуру, характерную для обновления этого ПО.
Архивы включали следующие файлы: action.inf (текстовый файл), lumpdiag.exe (легитимный исполняемый файл), msinfo32.exe (вредоносный исполняемый файл небольшого размера) и зашифрованный файл с полезной нагрузкой.
Имя данного файла различается от архива к архиву.
Проанализировав содержимое архива, в ЛК установили, что текстовый файл action.inf содержит действие, которое исполняется компонентом службы обновления ViPNet (itcsrvup64.exe) при обработке архива.
Затем запускается файл lumpdiag.exe с аргументом --msconfig. Несмотря на то, что файл является легитимным, он подвержен технике подмены пути исполнения, что позволяет злоумышленникам запустить вредоносный файл msinfo32.exe.
Файл msinfo32.exe - это загрузчик, который читает зашифрованный файл с полезной нагрузкой.
Он обрабатывает содержимое данного файла, чтобы загрузить в память бэкдор.
Последний обладает довольно универсальными возможностями: может соединяться с управляющим сервером по протоколу TCP, позволяя злоумышленнику, в частности, красть с зараженных компьютеров файлы и запускать дополнительные вредоносные компоненты.
Защитные решения Лаборатории Касперского детектируют зловред как HEUR:Trojan.Win32.Loader.gen.
Последние инциденты зафиксированы в апреле 2025 года.
При этом исследователи до сих пор продолжают исследовать связанную с этим бэкдором атаку, так что ожидаем новых подробностей.
Securelist
Российские организации атакует бэкдор, мимикрирующий под обновления ПО ViPNet Авторы Ιgor Kuznetsov, Georgy Kucherin
В ходе расследования инцидента мы обнаружили новый сложный бэкдор, который атакует российские организации, мимикрируя под ПО ViPNet.
Исследователи Cybernews раскрывают широкомасштабную кампанию по вымогательству, нацеленную на тысячи AWS S3 с использованием украденных ключей доступа.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Исследователи обнаружили общедоступный сервер, содержащий более 158 млн. записей секретных ключей AWS.
Большинство ключей представляли собой дубли, реплицированные в различных конечных точках и конфигурациях.
После обобщения и анализа стало понятно, что в распоряжении злоумышленника имеется внушительная база данных из более чем 1229 уникальных пар ключей AWS, которые используются для доступа к серверам и шифрования данных.
Несмотря на то, что многие пары ключей уже были ротированы, активные и функциональные пары привели к зашифрованным контейнерам S3, содержащим записки с требованием выкупа (средний размер в 25 000 долларов США на одну жертву).
При этом злоумышленник использовал не программу-вымогатель для шифрования данных, а собственную функцию AWS под названием Server Side Encryption with Customer Provided Keys (SSE-C).
Впервые эту технику применил Codefinger в кампании в декабре прошлого года.
Такая схема атаки допускает «тихую компрометацию», без отправления жертвам оповещений или отчетов при возникновении нарушения, и без журналов удаления файлов.
Ранее было также замечено, что злоумышленники устанавливают политики жизненного цикла S3, предусматривающие удаление зашифрованных данных в течение 7 дней, что еще больше побуждает жертв платить выкуп.
Наблюдаемая вредоносная кампания не имеет четкой атрибуции и серьезно автоматизирована.
Однако точный метод, использованный злоумышленниками для сбора коллекции ключей AWS, остается неясным.
Злоумышленник оставляет записки с требованием выкупа в файле с именем warning.txt.
У каждого зашифрованного контейнера S3 - свое собственное предупреждение с уникальным адресом BTC.
Для обратно связи хакеры указывают awsdecrypt[@]techie.com.
Некоторую тревогу вызывает и тот факт, что в ряде случаев затронутые среды AWS продолжают работать, что говорит о том, что жертвы могут все еще не знать об инциденте.
В целом, это беспрецедентный случай скоординированной кампании по вымогательству с использованием украденных учетных данных AWS для реализации шифрования на стороне сервера (SSE-C) к данным, хранящимся в контейнерах S3, без взаимодействия с владельцем.
Все это подтверждает нарастающую тенденцию, связанную с эскалацией тактики облачного вымогательства: простота делает ее особенно опасной - злоумышленникам нужны только украденные ключи и никаких сложных эксплойтов.
Cybernews
Huge ransomware campaign targets AWS S3 storage: attackers have thousands of keys
A massive database of over 1,200 unique Amazon Web Services (AWS) access keys has been amassed and exploited in a ransomware campaign.