Исследователи обнаружили задействование Meta (признана экстремистской) и Yandex ранее недокументированной техники, которая злоупотребляет локальными портами хоста для отслеживания мобильных пользователей, когда они просматривают веб-страницы.
Веб-сайты, использующие скрипты Meta Pixel и Yandex Metrica, открывают локальные порты на устройствах Android, позволяя деанонимизировать посетителей, чьи уникальные идентификаторы из браузеров Firefox и Chromium отправляются в их собственные приложения.
Причем злоупотребление наблюдалось только в Android, и данные свидетельствуют о том, что Meta Pixel и Yandex Metrica нацелены только на пользователей этой платформы.
При этом исследователи полагают, что чисто технически нацелиться на iOS возможно, поскольку браузеры на этой платформе позволяют разработчикам программно устанавливать локальные соединения, которые приложения могут отслеживать на локальных портах.
Однако, в отличие от iOS, Android реализует меньше контроля на локальные хост-коммуникации и фоновые выполнения мобильных приложений, а также внедряет более строгий контроль в процессах проверки магазина приложений, чтобы ограничить такие злоупотребления.
Чрезмерно разрешительная конструкция позволяет Meta Pixel и Yandex Metrica отправлять веб-запросы с идентификаторами веб-отслеживания на определенные локальные порты, которые постоянно отслеживаются приложениями Facebook, Instagram и Yandex.
Затем приложения могут связывать веб-идентификаторы с фактическими идентификаторами пользователей.
Исследователи назвали эту технику обменом идентификаторами между веб-приложениями и полагают, что она обходит механизмы защиты конфиденциальности, включая режим инкогнито, элементы управления разрешениями Android и очистку файлов cookie.
Meta и Yandex достигают обхода, злоупотребляя базовой функциональностью, встроенной в современные мобильные браузеры, которая позволяет браузеру обмениваться данными с собственным приложением.
Она позволяет браузерам отправлять веб-запросы на локальные порты Android для установки различных служб, включая медиаподключения через протокол RTC, обмен файлами и отладку для разработчиков.
Хотя технические основы различаются, и Meta Pixel, и Yandex Metrica выполняют «злоупотребление протоколом», чтобы получить непроверенный доступ, который Android предоставляет к портам localhost на IP-адресе 127.0.0.1. Браузеры получают доступ к портам без уведомления пользователя.
К расследованию оперативно подключилась Google и намерена тщательно изучить подобные злоупотребления, которые фиксируются со стороны Яндекс.Метрикой начиная с мая 2017 года, а в случае с Meta Pixel - сентября прошлого года.
Представитель Google заявил, что такое поведение нарушает условия обслуживания Play Market и ожидания пользователей в отношении конфиденциальности.
Meta прекратили использовать эту технику после того, как она была раскрыта исследователями. В свою очередь, Яндекс также сообщила, что прекращает эту практику.
Тем не менее, исследователи предупреждают, что текущие исправления настолько специфичны для кода в трекерах Meta и Yandex, что их можно будет легко обойти с помощью простого обновления.
А Google до сих пор не давала никаких указаний на то, что планирует перепроектировать способ, которым Android обрабатывает доступ к локальному порту.
Веб-сайты, использующие скрипты Meta Pixel и Yandex Metrica, открывают локальные порты на устройствах Android, позволяя деанонимизировать посетителей, чьи уникальные идентификаторы из браузеров Firefox и Chromium отправляются в их собственные приложения.
Причем злоупотребление наблюдалось только в Android, и данные свидетельствуют о том, что Meta Pixel и Yandex Metrica нацелены только на пользователей этой платформы.
При этом исследователи полагают, что чисто технически нацелиться на iOS возможно, поскольку браузеры на этой платформе позволяют разработчикам программно устанавливать локальные соединения, которые приложения могут отслеживать на локальных портах.
Однако, в отличие от iOS, Android реализует меньше контроля на локальные хост-коммуникации и фоновые выполнения мобильных приложений, а также внедряет более строгий контроль в процессах проверки магазина приложений, чтобы ограничить такие злоупотребления.
Чрезмерно разрешительная конструкция позволяет Meta Pixel и Yandex Metrica отправлять веб-запросы с идентификаторами веб-отслеживания на определенные локальные порты, которые постоянно отслеживаются приложениями Facebook, Instagram и Yandex.
Затем приложения могут связывать веб-идентификаторы с фактическими идентификаторами пользователей.
Исследователи назвали эту технику обменом идентификаторами между веб-приложениями и полагают, что она обходит механизмы защиты конфиденциальности, включая режим инкогнито, элементы управления разрешениями Android и очистку файлов cookie.
Meta и Yandex достигают обхода, злоупотребляя базовой функциональностью, встроенной в современные мобильные браузеры, которая позволяет браузеру обмениваться данными с собственным приложением.
Она позволяет браузерам отправлять веб-запросы на локальные порты Android для установки различных служб, включая медиаподключения через протокол RTC, обмен файлами и отладку для разработчиков.
Хотя технические основы различаются, и Meta Pixel, и Yandex Metrica выполняют «злоупотребление протоколом», чтобы получить непроверенный доступ, который Android предоставляет к портам localhost на IP-адресе 127.0.0.1. Браузеры получают доступ к портам без уведомления пользователя.
К расследованию оперативно подключилась Google и намерена тщательно изучить подобные злоупотребления, которые фиксируются со стороны Яндекс.Метрикой начиная с мая 2017 года, а в случае с Meta Pixel - сентября прошлого года.
Представитель Google заявил, что такое поведение нарушает условия обслуживания Play Market и ожидания пользователей в отношении конфиденциальности.
Meta прекратили использовать эту технику после того, как она была раскрыта исследователями. В свою очередь, Яндекс также сообщила, что прекращает эту практику.
Тем не менее, исследователи предупреждают, что текущие исправления настолько специфичны для кода в трекерах Meta и Yandex, что их можно будет легко обойти с помощью простого обновления.
А Google до сих пор не давала никаких указаний на то, что планирует перепроектировать способ, которым Android обрабатывает доступ к локальному порту.
Исследователи F6 представили итоги исследования новых атак группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной активности группы, относящейся к 2022 году.
Как заместили специалисты, в работе PhantomCore поменялись инструменты и цели атак: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
PhantomCore - группировка, атакующая российские и белорусские компании и впервые обнаруженная F6 в 2024 году.
Отличительная черта группы - использование вредоносного ПО собственной разработки.
Судя по количеству таких самописных ПО, а также по числу атак, команда разработчиков этой группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за появлением новых уязвимостей.
При изучении инфраструктуры PhantomCore специалисты F6 смогли найти уникальные пересечения в регистрационных данных доменов, что позволило выявить дополнительные домены и связанные с ними семплы, датируемые 2022 годом, которые удалось атрибутировать группе.
Как выяснили в F6, в 2022 году PhantomCore распространяла дроппер VALIDATOR.msi с вредоносным ПО StatRAT и исполняемым файлом-приманкой, который мимикрировал под легитимное ПО Валидатор 1.0 для проверки сети на соответствие федеральному законодательству.
Троян удалённого доступа StatRAT, помимо обработки различных команд от сервера, имел модуль стилера, а также функциональные возможности для вайпа (повреждения и уничтожения) файлов в зараженной системе.
В 2025 году PhantomCore продолжила оттачивать свои инструменты и переписывать на различные языки программирования.
5 мая с помощью своих решений F6 обнаружила и заблокировала вредоносные рассылки, которые были атрибутированы PhantomCore.
Письма с темой «Документы на рассмотрение (повторно)» были отправлены с трех различных доменов, по всей видимости, заранее скомпрометированных. Среди адресатов – организации из сфер промышленности, энергетики, ЖКХ.
Письма содержали вложенный исполняемый файл в виде архива с именем «Документы_на_рассмотрение.zip».
В качестве приманки использовался файл «Сопроводительное_письмо.pdf», представлявший собой договор на поставку материалов и оборудования между двумя коммерческими компаниями.
Исполняемый файл был классифицирован специалистами F6 как обновленная версия бэкдора группы PhantomCore, получившая название PhantomeCore.GreqBackdoor v.2.
Все технические подробности и индикаторы компрометации – в новом отчете.
Как заместили специалисты, в работе PhantomCore поменялись инструменты и цели атак: если вначале это были кража, повреждение и уничтожение данных, то к 2024 году фокус сместился на шифрование инфраструктур жертв и получение финансовой выгоды.
PhantomCore - группировка, атакующая российские и белорусские компании и впервые обнаруженная F6 в 2024 году.
Отличительная черта группы - использование вредоносного ПО собственной разработки.
Судя по количеству таких самописных ПО, а также по числу атак, команда разработчиков этой группы постоянно ищет новые решения, совершенствует свои инструменты и внимательно следит за появлением новых уязвимостей.
При изучении инфраструктуры PhantomCore специалисты F6 смогли найти уникальные пересечения в регистрационных данных доменов, что позволило выявить дополнительные домены и связанные с ними семплы, датируемые 2022 годом, которые удалось атрибутировать группе.
Как выяснили в F6, в 2022 году PhantomCore распространяла дроппер VALIDATOR.msi с вредоносным ПО StatRAT и исполняемым файлом-приманкой, который мимикрировал под легитимное ПО Валидатор 1.0 для проверки сети на соответствие федеральному законодательству.
Троян удалённого доступа StatRAT, помимо обработки различных команд от сервера, имел модуль стилера, а также функциональные возможности для вайпа (повреждения и уничтожения) файлов в зараженной системе.
В 2025 году PhantomCore продолжила оттачивать свои инструменты и переписывать на различные языки программирования.
5 мая с помощью своих решений F6 обнаружила и заблокировала вредоносные рассылки, которые были атрибутированы PhantomCore.
Письма с темой «Документы на рассмотрение (повторно)» были отправлены с трех различных доменов, по всей видимости, заранее скомпрометированных. Среди адресатов – организации из сфер промышленности, энергетики, ЖКХ.
Письма содержали вложенный исполняемый файл в виде архива с именем «Документы_на_рассмотрение.zip».
В качестве приманки использовался файл «Сопроводительное_письмо.pdf», представлявший собой договор на поставку материалов и оборудования между двумя коммерческими компаниями.
Исполняемый файл был классифицирован специалистами F6 как обновленная версия бэкдора группы PhantomCore, получившая название PhantomeCore.GreqBackdoor v.2.
Все технические подробности и индикаторы компрометации – в новом отчете.
Хабр
Отпечатки прошлого: F6 исследовала новые и ранее неизвестные активности группы PhantomCore
Эксперты департамента киберразведки компании F6 представили итоги исследования, посвящённого новым атакам группы PhantomCore, которые были совершены в мае этого года, а также ранее неизвестной...
Forwarded from Social Engineering
• Вчера @cybdetective поделилась ссылкой на очень интересный ресурс, где собрано большое количество инструментов и сервисов для поиска информации в социальных сетях. Список состоит из 113 актуальных инструментов с открытым исходным кодом, которые будут полезны OSINT и ИБ специалистам. Однозначно в избранное:
• Напомню, что дополнительную информацию вы всегда сможете найти в нашей подборке.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи BI.ZONE выявили кампанию Fairy Wolf с новым вектором распространения - через мессенджер Telegram.
В этот раз атакующие не выдавали себя за гендира или бухгалтера, как делали это ранее.
Вместо этого они предлагали финансовую помощь за участие в коррупционной схеме.
Злоумышленники засылали документ с детальными инструкциями - «Условия работы.rar» с файлом HTML Application Документ.hta, который являлся по факту дроппером стилера Unicorn.
«Документ.hta» содержал VBS-скрипт, создающий на диске файлы core_stablity_report.vbs, crash_report.vbs, service_report.vbs, update_logging.vbs, utility_report.vbs, nrgdhokmaiut.vbs.
Стилер использовал реестр для хранения зашифрованного кода VBS-функций.
Закрепление в системе происходило через модификацию реестра, а также путем добавления следующих заданий в планировщике задач: Edge Services\Update\Check Update, Yandex Search Service\Check core stability, Yandex Search Service\Send reports, Yandex Search Service\Start utilities, Yandex Search Service\Update services.
Стилер осуществлял сбор файлов размером менее 100 МБ с расширениями doc, docx, rtf, odt, xls, xlsx, csv, ods, vdx, zip, rar, 7z, tar, jpg, jpeg, png, pdf, txt, cdr, kmz, kml, dwg, dxf, bak, ovpn.
Также извлекались содержимое папки %APPDATA%\Telegram Desktop\tdata и учетные данные браузеров Яндекс, Google Chrome, Edge, Opera.
Эксфильтрация выполнялась через POST-запрос на URL *.[имя домена].org/gpr-.
Кроме того, по данным BI.ZONE, Fairy Wolf существенно прокачала свои мощности. В мае было замечено: более 10 атак, связанных с распространением стилера Unicorn.
Атакам подверглись российские энергетические компании, а также организации в сфере тяжелой промышленности и ВПК.
Злоумышленники для этого использовали самые разные маскировки, выдавая ВПО за резюме специалистов, акты, договоры, документы с условиями работы и пр.
Ожидаем развернутый отчет с новыми подробностями активностей Fairy Wolf.
В этот раз атакующие не выдавали себя за гендира или бухгалтера, как делали это ранее.
Вместо этого они предлагали финансовую помощь за участие в коррупционной схеме.
Злоумышленники засылали документ с детальными инструкциями - «Условия работы.rar» с файлом HTML Application Документ.hta, который являлся по факту дроппером стилера Unicorn.
«Документ.hta» содержал VBS-скрипт, создающий на диске файлы core_stablity_report.vbs, crash_report.vbs, service_report.vbs, update_logging.vbs, utility_report.vbs, nrgdhokmaiut.vbs.
Стилер использовал реестр для хранения зашифрованного кода VBS-функций.
Закрепление в системе происходило через модификацию реестра, а также путем добавления следующих заданий в планировщике задач: Edge Services\Update\Check Update, Yandex Search Service\Check core stability, Yandex Search Service\Send reports, Yandex Search Service\Start utilities, Yandex Search Service\Update services.
Стилер осуществлял сбор файлов размером менее 100 МБ с расширениями doc, docx, rtf, odt, xls, xlsx, csv, ods, vdx, zip, rar, 7z, tar, jpg, jpeg, png, pdf, txt, cdr, kmz, kml, dwg, dxf, bak, ovpn.
Также извлекались содержимое папки %APPDATA%\Telegram Desktop\tdata и учетные данные браузеров Яндекс, Google Chrome, Edge, Opera.
Эксфильтрация выполнялась через POST-запрос на URL *.[имя домена].org/gpr-.
Кроме того, по данным BI.ZONE, Fairy Wolf существенно прокачала свои мощности. В мае было замечено: более 10 атак, связанных с распространением стилера Unicorn.
Атакам подверглись российские энергетические компании, а также организации в сфере тяжелой промышленности и ВПК.
Злоумышленники для этого использовали самые разные маскировки, выдавая ВПО за резюме специалистов, акты, договоры, документы с условиями работы и пр.
Ожидаем развернутый отчет с новыми подробностями активностей Fairy Wolf.
Исследователи Cybernews сообщают об обнаружении крупнейшей утечки данных объемом 631 гигабайт, когда-либо произошедшей в Китае, раскрывшей более 4 миллиардов пользовательских записей.
Огромная база данных в открытом экземпляре без пароля оставалась без пароля, выдавая ошеломляющие миллиарды документов с финансовыми данными, сведениями WeChat и Alipay, а также другими конфиденциальными персональными данными сотен миллионов пользователей.
Cybernews полагает, что набор данных был тщательно собран и сохранен для создания всесторонних поведенческих, экономических и социальных профилей практически на любого гражданина КНР.
База данных состояла из многочисленных коллекций, содержащих от полумиллиона до более 800 миллионов записей из различных источников, открывая широкие возможности для любых вредоносных действий, начиная с фишинга и мошенничества до продвинутых APT-атак.
Внушительный объем и разнообразие типов данных в этой утечке позволяют предположить, что это, вероятно, была централизованная точка агрегации, потенциально используемая для целей наблюдения, профилирования или обогащения данных.
Несмотря на все усилия, Cybernews удалось лишь частично оценить базу данных, поскольку обнаруженный экземпляр был быстро удален, что также помешало раскрыть личность ее владельцев базы данных.
Однако сбор и поддержка такого рода базы данных требуют времени и усилий, часто связанных с высокоуровневыми субъектами угроз или очень мотивированными исследователями.
Команде удалось просмотреть шестнадцать наборов, названных, вероятно, по типу включенных в них данных.
Самая большая коллекция насчитывала более 805 миллионов записей и получила название «wechatid_db», что, скорее всего, указывает на данные, поступающие из суперприложения WeChat, принадлежащего Baidu.
Вторая по величине коллекция, address_db, содержала более 780 миллионов записей, содержащих данные о жилых помещениях с географическими идентификаторами.
Третья по величине коллекция, названная bank, содержала более 630 миллионов записей финансовых данных, включая номера платежных карт, даты рождения, имена и номера телефонов.
Другая крупная подборка была названа на китайском языке, что примерно переводится как «трехфакторные проверки». Коллекция содержала более 610 миллионов записей, скорее всего, - идентификаторы, номера телефонов и имена пользователей.
Между тем, коллекция под названием wechatinfo содержала почти 577 миллионов записей. Поскольку идентификаторы пользователей WeChat хранились в отдельной коллекции, wechatinfo, скорее всего, имел метаданные, журналы общения или даже разговоры пользователей.
Еще 300 миллионов записей хранились в zfbkt_db, содержащей информацию о картах и токенах Alipay. Более 353 миллионов записей были неравномерно распределены между девятью другими выборками по очень широкому спектру тем.
Исследователи полагают, что одна коллекция, названная tw_db, содержит сведения, связанные с Тайванем.
Несмотря на все усилия, команда не смогла приписать утечку кому-либо. Не было никаких артефактов или заголовков, указывающих на владельца, а инфраструктура была удалена из публичного доступа вскоре после обнаружения на следующий день 20 мая 2025 г.
Огромная база данных в открытом экземпляре без пароля оставалась без пароля, выдавая ошеломляющие миллиарды документов с финансовыми данными, сведениями WeChat и Alipay, а также другими конфиденциальными персональными данными сотен миллионов пользователей.
Cybernews полагает, что набор данных был тщательно собран и сохранен для создания всесторонних поведенческих, экономических и социальных профилей практически на любого гражданина КНР.
База данных состояла из многочисленных коллекций, содержащих от полумиллиона до более 800 миллионов записей из различных источников, открывая широкие возможности для любых вредоносных действий, начиная с фишинга и мошенничества до продвинутых APT-атак.
Внушительный объем и разнообразие типов данных в этой утечке позволяют предположить, что это, вероятно, была централизованная точка агрегации, потенциально используемая для целей наблюдения, профилирования или обогащения данных.
Несмотря на все усилия, Cybernews удалось лишь частично оценить базу данных, поскольку обнаруженный экземпляр был быстро удален, что также помешало раскрыть личность ее владельцев базы данных.
Однако сбор и поддержка такого рода базы данных требуют времени и усилий, часто связанных с высокоуровневыми субъектами угроз или очень мотивированными исследователями.
Команде удалось просмотреть шестнадцать наборов, названных, вероятно, по типу включенных в них данных.
Самая большая коллекция насчитывала более 805 миллионов записей и получила название «wechatid_db», что, скорее всего, указывает на данные, поступающие из суперприложения WeChat, принадлежащего Baidu.
Вторая по величине коллекция, address_db, содержала более 780 миллионов записей, содержащих данные о жилых помещениях с географическими идентификаторами.
Третья по величине коллекция, названная bank, содержала более 630 миллионов записей финансовых данных, включая номера платежных карт, даты рождения, имена и номера телефонов.
Другая крупная подборка была названа на китайском языке, что примерно переводится как «трехфакторные проверки». Коллекция содержала более 610 миллионов записей, скорее всего, - идентификаторы, номера телефонов и имена пользователей.
Между тем, коллекция под названием wechatinfo содержала почти 577 миллионов записей. Поскольку идентификаторы пользователей WeChat хранились в отдельной коллекции, wechatinfo, скорее всего, имел метаданные, журналы общения или даже разговоры пользователей.
Еще 300 миллионов записей хранились в zfbkt_db, содержащей информацию о картах и токенах Alipay. Более 353 миллионов записей были неравномерно распределены между девятью другими выборками по очень широкому спектру тем.
Исследователи полагают, что одна коллекция, названная tw_db, содержит сведения, связанные с Тайванем.
Несмотря на все усилия, команда не смогла приписать утечку кому-либо. Не было никаких артефактов или заголовков, указывающих на владельца, а инфраструктура была удалена из публичного доступа вскоре после обнаружения на следующий день 20 мая 2025 г.
Cybernews
Largest ever data leak exposes over 4 billion user records
China suffers its largest data breach ever with 4 billion user records exposed, including WeChat, Alipay, and financial data.
Хакеры приступили к эксплуатации CVE-2025-49113 - критической уязвимости в широко используемом приложении веб-почты Roundcube с открытым исходным кодом, которая позволяет выполнять удаленные действия.
Roundcube - одно из самых популярных решений, продукт включен в предложения известных хостинг-провайдеров, таких как GoDaddy, Hostinger, Dreamhost или OVH.
Проблема безопасности присутствует в Roundcube уже более десятилетия и затрагивает версии Roundcube webmail 1.1.0 по 1.6.10. Она получила исправление 1 июня, о чем ранее мы уже сообщали.
CVE-2025-49113 реализует RCE после аутентификации и получила критическую оценку серьезности 9,9 из 10, а теперь описывается как «электронный армагеддон», о чем сообщили в FearsOff, опубликовавшие технические подробности до окончания срока раскрытия информации.
Учитывая активную эксплуатацию и продажу эксплойта, исследователи решили все же выкатить полный технический анализ в интересах сообщества специалистов по ИБ , но пока без полной PoC.
Суть проблемы безопасности - отсутствие очистки параметра $_GET['_from'], что приводит к десериализации PHP-объекта. Когда восклицательный знак инициирует имя переменной сеанса, сеанс становится поврежденным и становится возможным внедрение объекта.
Злоумышленникам потребовалось всего несколько дней, чтобы отреверсить исправления, разработать эксплойт, который уже реализуется в киберподполье. Для его использования требуется работающий логин.
Однако необходимость ввода учетных данных для входа в систему не представляет сложности: селлер утверждает, что может извлечь его из журналов или взломать брутом.
В FearsOff также утверждают, что комбинацию учетных данных можно также получить с помощью подделки межсайтовых запросов (CSRF).
Исследователи также представили видео с демонстрацией того, как уязвимость может быть использована. При этом в демонстрации используется идентификатор уязвимости CVE-2025-48745, который в настоящее время отклонен как дубликат CVE-2025-49113.
Учитывая широкую распространенность приложения, исследователи FearsOff отмечают, что поверхность атаки не то, чтобы велика - она имеет промышленный характер. Действительно, в сети шарится не менее 1,2 миллиона хостов Roundcube.
Roundcube - одно из самых популярных решений, продукт включен в предложения известных хостинг-провайдеров, таких как GoDaddy, Hostinger, Dreamhost или OVH.
Проблема безопасности присутствует в Roundcube уже более десятилетия и затрагивает версии Roundcube webmail 1.1.0 по 1.6.10. Она получила исправление 1 июня, о чем ранее мы уже сообщали.
CVE-2025-49113 реализует RCE после аутентификации и получила критическую оценку серьезности 9,9 из 10, а теперь описывается как «электронный армагеддон», о чем сообщили в FearsOff, опубликовавшие технические подробности до окончания срока раскрытия информации.
Учитывая активную эксплуатацию и продажу эксплойта, исследователи решили все же выкатить полный технический анализ в интересах сообщества специалистов по ИБ , но пока без полной PoC.
Суть проблемы безопасности - отсутствие очистки параметра $_GET['_from'], что приводит к десериализации PHP-объекта. Когда восклицательный знак инициирует имя переменной сеанса, сеанс становится поврежденным и становится возможным внедрение объекта.
Злоумышленникам потребовалось всего несколько дней, чтобы отреверсить исправления, разработать эксплойт, который уже реализуется в киберподполье. Для его использования требуется работающий логин.
Однако необходимость ввода учетных данных для входа в систему не представляет сложности: селлер утверждает, что может извлечь его из журналов или взломать брутом.
В FearsOff также утверждают, что комбинацию учетных данных можно также получить с помощью подделки межсайтовых запросов (CSRF).
Исследователи также представили видео с демонстрацией того, как уязвимость может быть использована. При этом в демонстрации используется идентификатор уязвимости CVE-2025-48745, который в настоящее время отклонен как дубликат CVE-2025-49113.
Учитывая широкую распространенность приложения, исследователи FearsOff отмечают, что поверхность атаки не то, чтобы велика - она имеет промышленный характер. Действительно, в сети шарится не менее 1,2 миллиона хостов Roundcube.
fearsoff.org
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization [CVE-2025-49113]
A deep technical breakdown of CVE-2025-49113, a critical Roundcube vulnerability involving PHP session serialization. Learn how the bug was discovered, exploited, and responsibly disclosed with full PoC and recommendations for defenders and developers. Kirill…
BreachForums как бы возвращается после взлома конкурентом в середине апреля. По крайней мере, об этом говорят как бы создатели хакерского форума.
В прошлом месяце BreachForums ушел в двухнедельный бан, который, как полагают, стал результатом силовых действий спецслужб.
Теперь же один из админов форума - ShinyHunters объявил о его возвращении с полностью переписанным кодом, дабы предотвратить повторение инцидента.
Как сообщается, им удалось успешно идентифицировать и исправить эксплойт PHP, который повлиял на предыдущий бэкэнд.
После этого он был полностью переписан и поддерживает улучшенную безопасность, стабильность и производительность.
Кроме того, в ходе аудита и процесса перестройки также обнаружись уязвимости в нескольких сторонних плагинах. В качестве меры предосторожности эти плагины были временно отключены.
Будем, конечно, посмотреть. Очередной сезон охоты можно считать открытым.
В прошлом месяце BreachForums ушел в двухнедельный бан, который, как полагают, стал результатом силовых действий спецслужб.
Теперь же один из админов форума - ShinyHunters объявил о его возвращении с полностью переписанным кодом, дабы предотвратить повторение инцидента.
Как сообщается, им удалось успешно идентифицировать и исправить эксплойт PHP, который повлиял на предыдущий бэкэнд.
После этого он был полностью переписан и поддерживает улучшенную безопасность, стабильность и производительность.
Кроме того, в ходе аудита и процесса перестройки также обнаружись уязвимости в нескольких сторонних плагинах. В качестве меры предосторожности эти плагины были временно отключены.
Будем, конечно, посмотреть. Очередной сезон охоты можно считать открытым.
www.cyberdaily.au
Exclusive: BreachForums announces shock return following back-end rebuild
Infamous dark and clear web hacking forum BreachForums is back, announcing that the site has been rebuilt to prevent future takedowns.
Ресерчеры из Лаборатории Касперского провели анализ последней волны Mirai, нацеленных на устройства TBK DVR с уязвимостью CVE-2024-3721.
Злоупотребление известными уязвимостями безопасности для развертывания ботов на уязвимых системах является широко признанной проблемой.
Автоматизированные боты постоянно сканят сеть на предмет известных уязвимостей на серверах и устройствах, подключенных к Интернету, особенно на тех, на которых запущены популярные сервисы.
Они реализуют RCE-эксплойты, нацеленные на HTTP-сервисы, что позволяет злоумышленникам встраивать команды Linux в запросы GET или POST, как в случае с использованием CVE-2024-3721 в попытках развернуть бот в одном из honeypot ЛК.
Уязвимость позволяет выполнять системные команды на устройствах TBK DVR без надлежащей авторизации в качестве точки входа, используя определенный запрос POST.
Запрос POST содержит вредоносную команду, представляющую собой однострочный скрипт оболочки, который загружает и запускает двоичный файл ARM32 на взломанной машине.
Обычно заражение ботами включает в себя скрипты оболочки, которые изначально исследуют целевую машину, чтобы определить ее архитектуру и выбрать соответствующий двоичный файл.
Однако в этом случае, поскольку атака специально нацелена на устройства, которые поддерживают только двоичные файлы ARM32, этап разведки не требуется.
Замеченный вариант оказался частью ботнета Mirai, нацеленного на системы мониторинга на базе DVR, которые широко используются многими производителями и могут управляться удаленно.
Исходный код ботнета Mirai был опубликован в Интернете почти десять лет назад, с тех пор модифицировался различными киберпреступными группами.
DVR-бот также основан на исходном коде Mirai, но также включает в себя различные функции, такие как шифрование строк с использованием RC4, проверки против VM и методы антиэмуляции.
Согласно телеметрии ЛК, большинство зараженных жертв находятся в таких странах, как Китай, Индия, Египет, Украина, Россия, Турция и Бразилия.
Вместе с тем, определить точное количество уязвимых и зараженных устройств во всем мире пока не представляется возможным.
Однако, проанализировав общедоступные источники, ресерчеры выявили более 50 000 уязвимых устройств DVR в сети, что указывает на то, что у злоумышленников есть широкое возможностей для атак неисправленных, уязвимых устройств.
Индикаторы компрометации и разбор обновленного функционала ботнета - в отчете.
Злоупотребление известными уязвимостями безопасности для развертывания ботов на уязвимых системах является широко признанной проблемой.
Автоматизированные боты постоянно сканят сеть на предмет известных уязвимостей на серверах и устройствах, подключенных к Интернету, особенно на тех, на которых запущены популярные сервисы.
Они реализуют RCE-эксплойты, нацеленные на HTTP-сервисы, что позволяет злоумышленникам встраивать команды Linux в запросы GET или POST, как в случае с использованием CVE-2024-3721 в попытках развернуть бот в одном из honeypot ЛК.
Уязвимость позволяет выполнять системные команды на устройствах TBK DVR без надлежащей авторизации в качестве точки входа, используя определенный запрос POST.
Запрос POST содержит вредоносную команду, представляющую собой однострочный скрипт оболочки, который загружает и запускает двоичный файл ARM32 на взломанной машине.
Обычно заражение ботами включает в себя скрипты оболочки, которые изначально исследуют целевую машину, чтобы определить ее архитектуру и выбрать соответствующий двоичный файл.
Однако в этом случае, поскольку атака специально нацелена на устройства, которые поддерживают только двоичные файлы ARM32, этап разведки не требуется.
Замеченный вариант оказался частью ботнета Mirai, нацеленного на системы мониторинга на базе DVR, которые широко используются многими производителями и могут управляться удаленно.
Исходный код ботнета Mirai был опубликован в Интернете почти десять лет назад, с тех пор модифицировался различными киберпреступными группами.
DVR-бот также основан на исходном коде Mirai, но также включает в себя различные функции, такие как шифрование строк с использованием RC4, проверки против VM и методы антиэмуляции.
Согласно телеметрии ЛК, большинство зараженных жертв находятся в таких странах, как Китай, Индия, Египет, Украина, Россия, Турция и Бразилия.
Вместе с тем, определить точное количество уязвимых и зараженных устройств во всем мире пока не представляется возможным.
Однако, проанализировав общедоступные источники, ресерчеры выявили более 50 000 уязвимых устройств DVR в сети, что указывает на то, что у злоумышленников есть широкое возможностей для атак неисправленных, уязвимых устройств.
Индикаторы компрометации и разбор обновленного функционала ботнета - в отчете.
Securelist
New Mirai botnet campaign targets DVR devices
Kaspersky GReAT experts describe the new features of a Mirai variant: the latest botnet infections target TBK DVR devices with CVE-2024-3721.
И вновь про таинственную папку inetpub, которая создавалась после апрельских обновлений безопасности Windows и вызвала много вопросов у пользователей, которым строго настрого рекомендовалось ее не удалять.
На этот случай Microsoft выпустила целый скрипт PowerShell, который поможет восстановить C:\Inetpub, если она все же была удалена.
В Microsoft предупреждают: эта папка помогает смягчить уязвимость повышения привилегий активации процессов Windows высокой степени серьезности.
В апреле, после установки новых обновлений безопасности, пользователи Windows внезапно обнаружили создание пустой папки, а поскольку эта папка связана с Microsoft Internet Information Server, пользователи сочли странным, что она была создана, при том, что сервер не был установлен.
В связи с чем некоторые предпочли удалить папку, что сделало их снова уязвимыми для исправленной уязвимости.
Microsoft заявила, что пользователи, которые удалили ее, могут вручную воссоздать ее, установив Internet Information Services из панели управления Windows «Включение или отключение компонентов Windows».
После установки IIS в корень диска C:\ будет добавлена новая папка inetpub с файлами и тем же владельцем SYSTEM, что и у каталога, созданного апрельскими обновлениями безопасности Windows.
Кроме того, если IIS не используется, его можно удалить с помощью той же панели управления компонентами Windows, оставив папку C:\inetpub.
В новом обновлении рекомендаций по CVE-2025-21204 компания также поделилась сценарием исправления, который помогает администраторам повторно создать эту папку из оболочки PowerShell.
Как объясняет Редмонд, скрипт установит правильные разрешения IIS для предотвращения несанкционированного доступа и потенциальных уязвимостей, связанных с CVE-2025-21204.
Он также обновит записи списка управления доступом (ACL) для каталога DeviceHealthAttestation в системах Windows Server, чтобы гарантировать его безопасность в случае создания обновлений безопасности за февраль 2025 года.
Уязвимость безопасности (CVE-2025-21204), устраняемая папкой inetpub, вызвана проблемой неправильного разрешения ссылок в стеке обновлений Windows.
Вероятно, это означает, что Центр обновления Windows может переходить по символическим ссылкам на необновленных устройствах, что позволяет локальным злоумышленникам обмануть ОС, заставив ее получить доступ к нежелательным файлам и папкам или изменить их.
По словам Microsoft, успешная эксплуатация уязвимости позволяет злоумышленникам с низкими привилегиями повышать разрешения и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM.
Несмотря на отсутствие каких-либо проблем с использованием Windows после удаления папки, Microsoft в своем обновленном бюллетене требует от пользователей не удалять пустую папку %systemdrive%\inetpub независимо от того, активны ли службы IIS на целевом устройстве.
В свою очередь, ресерчер Кевин Бомонт также продемонстрировал, что пользователи, не имеющие прав администратора, могут злоупотреблять этой папкой, чтобы блокировать установку обновлений Windows, создавая соединение между C:\inetpub и любым файлом Windows.
На этот случай Microsoft выпустила целый скрипт PowerShell, который поможет восстановить C:\Inetpub, если она все же была удалена.
В Microsoft предупреждают: эта папка помогает смягчить уязвимость повышения привилегий активации процессов Windows высокой степени серьезности.
В апреле, после установки новых обновлений безопасности, пользователи Windows внезапно обнаружили создание пустой папки, а поскольку эта папка связана с Microsoft Internet Information Server, пользователи сочли странным, что она была создана, при том, что сервер не был установлен.
В связи с чем некоторые предпочли удалить папку, что сделало их снова уязвимыми для исправленной уязвимости.
Microsoft заявила, что пользователи, которые удалили ее, могут вручную воссоздать ее, установив Internet Information Services из панели управления Windows «Включение или отключение компонентов Windows».
После установки IIS в корень диска C:\ будет добавлена новая папка inetpub с файлами и тем же владельцем SYSTEM, что и у каталога, созданного апрельскими обновлениями безопасности Windows.
Кроме того, если IIS не используется, его можно удалить с помощью той же панели управления компонентами Windows, оставив папку C:\inetpub.
В новом обновлении рекомендаций по CVE-2025-21204 компания также поделилась сценарием исправления, который помогает администраторам повторно создать эту папку из оболочки PowerShell.
Как объясняет Редмонд, скрипт установит правильные разрешения IIS для предотвращения несанкционированного доступа и потенциальных уязвимостей, связанных с CVE-2025-21204.
Он также обновит записи списка управления доступом (ACL) для каталога DeviceHealthAttestation в системах Windows Server, чтобы гарантировать его безопасность в случае создания обновлений безопасности за февраль 2025 года.
Уязвимость безопасности (CVE-2025-21204), устраняемая папкой inetpub, вызвана проблемой неправильного разрешения ссылок в стеке обновлений Windows.
Вероятно, это означает, что Центр обновления Windows может переходить по символическим ссылкам на необновленных устройствах, что позволяет локальным злоумышленникам обмануть ОС, заставив ее получить доступ к нежелательным файлам и папкам или изменить их.
По словам Microsoft, успешная эксплуатация уязвимости позволяет злоумышленникам с низкими привилегиями повышать разрешения и манипулировать или выполнять операции по управлению файлами в контексте учетной записи NT AUTHORITY\SYSTEM.
Несмотря на отсутствие каких-либо проблем с использованием Windows после удаления папки, Microsoft в своем обновленном бюллетене требует от пользователей не удалять пустую папку %systemdrive%\inetpub независимо от того, активны ли службы IIS на целевом устройстве.
В свою очередь, ресерчер Кевин Бомонт также продемонстрировал, что пользователи, не имеющие прав администратора, могут злоупотреблять этой папкой, чтобы блокировать установку обновлений Windows, создавая соединение между C:\inetpub и любым файлом Windows.
Powershellgallery
Set-InetpubFolderAcl 1.0
This script sets the security permissions on the directory inetpub. The script is designed to be run as an administrator.
If inetpub directory does not exist, it gets created and default IIS permissions are applied to the directory.
If an empty inetpub directory…
If inetpub directory does not exist, it gets created and default IIS permissions are applied to the directory.
If an empty inetpub directory…
Для всех интересующихся APT-тематикой настоятельно рекомендуем отчет об APT-группах, связанных с тайваньским ICEFCOM, разработанный представителями Национального центра реагирования на чрезвычайные ситуации с компьютерными вирусами Китая.
Основное содержание посвящено активности таких групп, как APT-C-01 (Poison Vine), APT-C-62 (Viola Tricolor), APT-C-64 (Anonymous 64), APT-C-65 (Neon Pothos) и APT-C-67 (Ursa).
Отдельного внимания заслуживает блок атрибуции с фотографиями, локациями и данными на участников.
Отчет на английском языке - здесь (PDF).
Основное содержание посвящено активности таких групп, как APT-C-01 (Poison Vine), APT-C-62 (Viola Tricolor), APT-C-64 (Anonymous 64), APT-C-65 (Neon Pothos) и APT-C-67 (Ursa).
Отдельного внимания заслуживает блок атрибуции с фотографиями, локациями и данными на участников.
Отчет на английском языке - здесь (PDF).
Исследователи iVerify обнаружили следы таинственного эксплойта, нацеленного в период с конца 2024 и начала 2025 года на iPhone пользователей США и ЕС из числа госчиновников и лиц, связанных с политическими кампаниями, медиаорганизациями и компаниями в сфере ИИ.
В частности, выявлены чрезвычайно редкие сбои, обычно связанные с изощренными атаками Zero-Click через iMessage - метод эксплуатации, ранее не наблюдавшийся каким-либо образом в США.
Последующее изучение нескольких из этих устройств в конечном итоге вывело на ранее неизвестную уязвимость в imagegent, которая, благодаря своему положению в ОС и функциональности, предоставляла бы злоумышленникам примитив для дальнейшей эксплуатации.
Эта уязвимость была исправлена Apple в iOS 18.3 и получила название NICKNAME.
Найденные артефакты указывают на ее вероятную эксплуатацию в целевых атаках совсем недавно, в марте этого года.
В частности, Apple отправляла уведомления об угрозах по крайней мере на одно устройство, принадлежащее высокопоставленному чиновнику в ЕС, на котором наблюдались крайне аномальные сбои.
Аналогичным образом, другое устройство демонстрировало поведение, связанное с успешной эксплуатацией, в частности, фиксировалось создание и удаление вложений iMessage в больших количествах в течение нескольких секунд после аномального сбоя.
Статистика этих сбоев составила всего 0,0001% телеметрии журнала сбоев, взятой из выборки из 50 000 iPhone.
До сих пор в общей сложности идентифицировано шесть устройств, которые, как считается, подверглись эксплуатации этим злоумышленником, четыре из которых продемонстрировали четкие сигнатуры, связанные с NICKNAME, а два - явные признаки успешной эксплуатации.
Причем, все жертвы либо ранее были целью китайских APT (включая Salt Typhoon) и могут представлять для них устойчивых развединтерес.
iVerify утверждает, что эксплойт был нацелен на функцию, которая позволяла пользователям iPhone устанавливать псевдоним и аватар для своих контактов.
NICKNAME, вероятно, вызвана отправкой повторяющихся, быстрых обновлений псевдонима в iMessage, что приводит к повреждению памяти use-after-free, что может быть использовано в качестве части более длинной цепочки эксплойтов.
В свою очередь, Apple категорически отрицает, что уязвимость эксплуатировалась в дикой природе.
Впрочем, разработчики из Купертино до последнего не признавали тех открытый, которые выкатили ресерчеры из Лаборатории Касперского в рамках Операции Триангуляция.
Тем не менее, полный технический анализ можно найти здесь.
В частности, выявлены чрезвычайно редкие сбои, обычно связанные с изощренными атаками Zero-Click через iMessage - метод эксплуатации, ранее не наблюдавшийся каким-либо образом в США.
Последующее изучение нескольких из этих устройств в конечном итоге вывело на ранее неизвестную уязвимость в imagegent, которая, благодаря своему положению в ОС и функциональности, предоставляла бы злоумышленникам примитив для дальнейшей эксплуатации.
Эта уязвимость была исправлена Apple в iOS 18.3 и получила название NICKNAME.
Найденные артефакты указывают на ее вероятную эксплуатацию в целевых атаках совсем недавно, в марте этого года.
В частности, Apple отправляла уведомления об угрозах по крайней мере на одно устройство, принадлежащее высокопоставленному чиновнику в ЕС, на котором наблюдались крайне аномальные сбои.
Аналогичным образом, другое устройство демонстрировало поведение, связанное с успешной эксплуатацией, в частности, фиксировалось создание и удаление вложений iMessage в больших количествах в течение нескольких секунд после аномального сбоя.
Статистика этих сбоев составила всего 0,0001% телеметрии журнала сбоев, взятой из выборки из 50 000 iPhone.
До сих пор в общей сложности идентифицировано шесть устройств, которые, как считается, подверглись эксплуатации этим злоумышленником, четыре из которых продемонстрировали четкие сигнатуры, связанные с NICKNAME, а два - явные признаки успешной эксплуатации.
Причем, все жертвы либо ранее были целью китайских APT (включая Salt Typhoon) и могут представлять для них устойчивых развединтерес.
iVerify утверждает, что эксплойт был нацелен на функцию, которая позволяла пользователям iPhone устанавливать псевдоним и аватар для своих контактов.
NICKNAME, вероятно, вызвана отправкой повторяющихся, быстрых обновлений псевдонима в iMessage, что приводит к повреждению памяти use-after-free, что может быть использовано в качестве части более длинной цепочки эксплойтов.
В свою очередь, Apple категорически отрицает, что уязвимость эксплуатировалась в дикой природе.
Впрочем, разработчики из Купертино до последнего не признавали тех открытый, которые выкатили ресерчеры из Лаборатории Касперского в рамках Операции Триангуляция.
Тем не менее, полный технический анализ можно найти здесь.
iverify.io
iVerify Uncovers Evidence of Zero-Click Mobile Exploitation in the U.S.
Examining a previously unknown iMessage vulnerability with possible exploitation in the US and EU
Исследователи из Positive Technologies окончательно расчехлили финансово мотивированную APT‑группировку DarkGaboon, кибератаки которой в отношении российских компаний удалось отследить до весны 2023 года.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.
Однако весной этого года Позитивы смогли отследить активность DarkGaboon и сложить недостающие элементы пазла в ходе расследования инцидентов в инфраструктуре российских компаний.
Прошлые атаки ранее включали только развертывание RAT.
Как оказалось, в арсенале обнаружились: сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.
Группа не является клиентом известных платформ RaaS, а вместо этого использует утекшую версию кода LockBit.
В качестве основного вектора проникновения DarkGaboon продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении.
В отличие от предыдущих кибератак, где для рассылки вредоносных писем использовались ранее скомпрометированные email, в рамках текущей кампании рассылка осуществлялась с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.
Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.
После проникновения в сеть, закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста.
Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB, извлекает и запускает на зараженном хосте два инструмента: сетевой сканер N.S. (обнаруживает и монтирует доступные сетевые шары) и 1.exe (командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов).
Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS и виртуальный Windows‑хост с RDP, как и прежде арендованный в сетях Nybula LLC с пропиской на Сейшельских островах.
Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает с помощью LockBit 3.0 (LockBit Black) доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты.
Адреса электронной почты, указанные в обнаруженных записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте - апреле 2023 года.
При этом следы предварительной эксфильтрации зашифрованных данных на инцидентах отсутствуют.
В завершение DarkGaboon зачищает цифровые следы, демаскирующие С2 инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.
Таким образом, артефакты, обнаруженные в рамках реагирования на инциденты, позволили Позитивам связать DarkGaboon с целой серией кибератак 2023-2025 гг. на российские компании с использованием LockBit и спрогнозировать сохранение высокой активности APT в будущем.
Изучению подверглись эволюция вредоносного арсенала, миграция инфраструктуры и TTP группировки, но для полного восстановления kill chain не хватало инструментов и техник конечного импакта.
Однако весной этого года Позитивы смогли отследить активность DarkGaboon и сложить недостающие элементы пазла в ходе расследования инцидентов в инфраструктуре российских компаний.
Прошлые атаки ранее включали только развертывание RAT.
Как оказалось, в арсенале обнаружились: сетевой сканер обнаружения доступных сетевых шар N.S. и шифровальщик LockBit.
Группа не является клиентом известных платформ RaaS, а вместо этого использует утекшую версию кода LockBit.
В качестве основного вектора проникновения DarkGaboon продолжает использовать email‑рассылку c текстом на русском языке с таргетом на сотрудников финансовых подразделений и акцентом на срочности изучения документов во вложении.
В отличие от предыдущих кибератак, где для рассылки вредоносных писем использовались ранее скомпрометированные email, в рамках текущей кампании рассылка осуществлялась с расположенного в России SMTP‑сервера с PHPMailer и 53 делегированных ему доменов в зоне.ru, часть из которых была зарегистрирована еще в августе 2024 года.
Прилагаемые к письмам архивы содержат документы‑приманки RTF и.scr‑файлы, являющиеся обфусцированными Themida и.NET Reactor PE билдами RAT‑троянов Revenge и XWorm, использующими названия‑омоглифы, изображение PDF‑документа и невалидные Х.509-сертификаты, якобы выпущенные на имя российских компаний либо имеющие бухгалтерский подтекст.
После проникновения в сеть, закрепившись с использованием RAT‑троянов, DarkGaboon проводит горизонтальную разведку узлов внутренней сети, доступных с зараженного хоста.
Упакованный с использованием UPX дроппер расшифровывает с помощью алгоритма AES‑ECB, извлекает и запускает на зараженном хосте два инструмента: сетевой сканер N.S. (обнаруживает и монтирует доступные сетевые шары) и 1.exe (командой cleanmgr /sagerun:1 запускает утилиту очистки жесткого диска от временных файлов).
Инфраструктура для управления RAT‑сессиями на зараженных хостах претерпела незначительные изменения: DarkGaboon продолжает использовать группы доменов Dynamic DNS и виртуальный Windows‑хост с RDP, как и прежде арендованный в сетях Nybula LLC с пропиской на Сейшельских островах.
Завершив монтирование доступных сетевых шар, DarkGaboon зашифровывает с помощью LockBit 3.0 (LockBit Black) доступные файлы и оставляет записку с инструкцией на русском языке по их расшифровке, в которой в качестве контактов указаны два адреса электронной почты.
Адреса электронной почты, указанные в обнаруженных записках, ранее фигурировали в кибератаках с использованием шифровальщика LockBit на финансовые подразделения российских компаний в марте - апреле 2023 года.
При этом следы предварительной эксфильтрации зашифрованных данных на инцидентах отсутствуют.
В завершение DarkGaboon зачищает цифровые следы, демаскирующие С2 инфраструктуру, путем запуска BAT‑файла, который удаляет RAT‑троян с сессией удаленного подключения к зараженному хосту и самого себя.
Таким образом, артефакты, обнаруженные в рамках реагирования на инциденты, позволили Позитивам связать DarkGaboon с целой серией кибератак 2023-2025 гг. на российские компании с использованием LockBit и спрогнозировать сохранение высокой активности APT в будущем.
Хабр
DarkGaboon: яд кибергадюки в цифровых жилах российских компаний
В январе текущего года группа киберразведки TI‑департамента PT ESC разоблачила ранее неизвестную финансово мотивированную APT‑группировку DarkGaboon , кибератаки которой в отношении...
Исследователи Лаборатории Касперского в своем новом отчете делятся своими наблюдениями относительно APT Librarian Ghouls, также известной как Rare Werewolf и Rezet, которая атакует организации в России и странах СНГ.
По состоянию на май 2025 года группа остается активной, при этом атаки Librarian Ghouls практически не прекращались весь 2024 год.
Злоумышленники не создают собственные вредоносные бинарные модули, полагаясь на легитимное ПО сторонних разработчиков.
Замеченная ЛК функциональность кампании реализована с помощью командных файлов и PowerShell-скриптов.
Атакующие получают удаленный доступ к устройству жертвы, крадут учетные данные и устанавливают в систему майнер XMRig.
Главный начальный вектор заражения группы - целевые фишинговые письма с защищенными паролем архивами и исполняемыми файлами внутри, которые обычно замаскированы под письма от реальных организаций с якобы официальными документами во вложении.
Обнаруженный исследователями вредоносный имплант из архива, маскирующегося под платежное поручение, является самораспаковывающимся инсталлятором, созданным при помощи утилиты Smart Install Maker для Windows и включающем: архив, конфигурационный файл и пустой файл.
При распаковке они получают названия data.cab, installer.config и runtime.cab соответственно.
Основная вредоносная логика реализована в конфигурационном файле инсталлятора.
Он содержит множество команд для модификации реестра, при помощи которых выполняется автоматическая установка легитимного диспетчера открытых окон 4t Tray Minimizer в систему.
Распаковав data.cab, инсталлятор создает и запускает командный файл rezet.cmd, который обращается к C2-серверу downdown[.]ru, где размещено шесть файлов с расширением .jpg.
Rezet.cmd загружает их в директорию C:\Intel, меняя расширения следующим образом: driver.exe, blat.exe, svchost.exe, Trays.rar, wol.ps1 и dc.exe.
Первый - это кастомизированная сборка консольной версии WinRAR 3.80, второй - это утилита Blat для доставки украденных данных на сервер электронной почты злоумышленника, третий - AnyDesk для удаленного доступа и последний - ПО Defender Control, отключающее Защитник Windows.
После установки AnyDesk на зараженное устройство и загружается файл bat.bat с того же C2-сервера.
Последним действием скрипта rezet.cmd является запуск файла bat.lnk, ранее извлеченного из data.cab.
При открытии ярлыка bat.lnk запускается пакетный файл bat.bat, который выполняет серию вредоносных действий: задает пароль для ПО AnyDesk, отключает Защитник Windows, проверяет доступность хоста для удаленных подключений с помощью powercfg.
И, наконец, апускает утилиту schtasks для создания задачи планировщика ShutdownAt5AM, которая выключает ПК жертвы ежедневно в 05:00 утра.
Далее пакетный файл выполняет скрипт wol.ps1 при помощи PowerShell.
Этот скрипт используется для запуска Microsoft Edge в 01:00 ежедневно.
Ежедневный запуск браузера «будит» машину жертвы, предоставляя атакующим 4 часа для получения удаленного доступа к устройству при помощи AnyDesk, пока в 05:00 задача планировщика не выключит его.
Затем пакетный файл задает переменные окружения для работы с утилитой Blat.
Следующим шагом зловред собирает хранящуюся на устройстве информацию, интересующую злоумышленников, которая упаковывается в запароленные архивы и передается вместе с конфигурационными файлами утилиты AnyDesk атакующим по протоколу SMTP.
После чего bat.bat удаляет ненужные файлы, созданные в ходе атаки, и устанавливает в зараженную систему майнер.
Согласно телеметрии ЛК, кампания нацелена на производственные предприятия и технические университеты в России, но атаки также затронули пользователей в Беларуси и Казахстане.
Дополнительные технические подробности и индикаторы компрометации - в отчете.
По состоянию на май 2025 года группа остается активной, при этом атаки Librarian Ghouls практически не прекращались весь 2024 год.
Злоумышленники не создают собственные вредоносные бинарные модули, полагаясь на легитимное ПО сторонних разработчиков.
Замеченная ЛК функциональность кампании реализована с помощью командных файлов и PowerShell-скриптов.
Атакующие получают удаленный доступ к устройству жертвы, крадут учетные данные и устанавливают в систему майнер XMRig.
Главный начальный вектор заражения группы - целевые фишинговые письма с защищенными паролем архивами и исполняемыми файлами внутри, которые обычно замаскированы под письма от реальных организаций с якобы официальными документами во вложении.
Обнаруженный исследователями вредоносный имплант из архива, маскирующегося под платежное поручение, является самораспаковывающимся инсталлятором, созданным при помощи утилиты Smart Install Maker для Windows и включающем: архив, конфигурационный файл и пустой файл.
При распаковке они получают названия data.cab, installer.config и runtime.cab соответственно.
Основная вредоносная логика реализована в конфигурационном файле инсталлятора.
Он содержит множество команд для модификации реестра, при помощи которых выполняется автоматическая установка легитимного диспетчера открытых окон 4t Tray Minimizer в систему.
Распаковав data.cab, инсталлятор создает и запускает командный файл rezet.cmd, который обращается к C2-серверу downdown[.]ru, где размещено шесть файлов с расширением .jpg.
Rezet.cmd загружает их в директорию C:\Intel, меняя расширения следующим образом: driver.exe, blat.exe, svchost.exe, Trays.rar, wol.ps1 и dc.exe.
Первый - это кастомизированная сборка консольной версии WinRAR 3.80, второй - это утилита Blat для доставки украденных данных на сервер электронной почты злоумышленника, третий - AnyDesk для удаленного доступа и последний - ПО Defender Control, отключающее Защитник Windows.
После установки AnyDesk на зараженное устройство и загружается файл bat.bat с того же C2-сервера.
Последним действием скрипта rezet.cmd является запуск файла bat.lnk, ранее извлеченного из data.cab.
При открытии ярлыка bat.lnk запускается пакетный файл bat.bat, который выполняет серию вредоносных действий: задает пароль для ПО AnyDesk, отключает Защитник Windows, проверяет доступность хоста для удаленных подключений с помощью powercfg.
И, наконец, апускает утилиту schtasks для создания задачи планировщика ShutdownAt5AM, которая выключает ПК жертвы ежедневно в 05:00 утра.
Далее пакетный файл выполняет скрипт wol.ps1 при помощи PowerShell.
Этот скрипт используется для запуска Microsoft Edge в 01:00 ежедневно.
Ежедневный запуск браузера «будит» машину жертвы, предоставляя атакующим 4 часа для получения удаленного доступа к устройству при помощи AnyDesk, пока в 05:00 задача планировщика не выключит его.
Затем пакетный файл задает переменные окружения для работы с утилитой Blat.
Следующим шагом зловред собирает хранящуюся на устройстве информацию, интересующую злоумышленников, которая упаковывается в запароленные архивы и передается вместе с конфигурационными файлами утилиты AnyDesk атакующим по протоколу SMTP.
После чего bat.bat удаляет ненужные файлы, созданные в ходе атаки, и устанавливает в зараженную систему майнер.
Согласно телеметрии ЛК, кампания нацелена на производственные предприятия и технические университеты в России, но атаки также затронули пользователей в Беларуси и Казахстане.
Дополнительные технические подробности и индикаторы компрометации - в отчете.
Исследователи BruteCat обнаружили уязвимость, приводящую к утечке телефонных номеров, привязанных к аккаунтам, что отрывало широкие просторы для фишинга и атак с подменой SIM-карт.
Причем проблема была раскрыта тем же исследователем, который в феврале этого года продемонстрировал ошибку раскрытия личных адресов электронной почты аккаунтов YouTube.
Метод атаки заключается в использовании устаревшей версии формы восстановления имени пользователя Google с отключенной поддержкой JavaScript, в которой отсутствуют современные средства защиты от злоупотреблений.
Несмотря на то, что атака приводит к извлечению номера телефона, настроенного для восстановления аккаунта Google, в подавляющем большинстве случаев он совпадает с основным номером телефона владельца аккаунта.
Форма восстановления позволяла с помощью двух запросов POST сделать запрос о том, связан ли номер телефона с учетной записью Google, на основе отображаемого имени профиля пользователя («Джон Смит»).
При этом исследователю удалось обойти элементарные средства защиты, ограничивающие скорость передачи данных в форме, используя ротацию адресов IPv6 для генерации триллионов уникальных исходных IP-адресов через подсети /64 для этих запросов.
Отображаемые во многих запросах CAPTCHA также удалось обойти путем замены параметра «bgresponse=js_disabled» на действительный токен BotGuard из формы с поддержкой JS.
Используя эту технику, BruteCat разработала инструмент для брутфорса (gpb), который перебирает диапазоны чисел, используя форматы, специфичные для конкретной страны.
Для этих целей исследователь использовал libphonenumber от Google для генерации допустимых форматов номеров, создал базу данных масок стран для определения форматов телефонов по регионам и написал скрипт для генерации токенов BotGuard через Headless Chrome.
При скорости перебора 40 000 запросов в секунду перебор номеров США займет около 20 минут, Великобритании - 4 минуты, а Нидерландов - менее 15 секунд.
Для проведения атаки на кого-либо, необходимо указать адрес электронной почты в форме, однако Google скрыла эту информацию с прошлого года.
Тем не менее BruteCat обнаружила, что может получить его, создав документ Looker Studio и передав права на адрес Gmail цели.
После передачи прав отображаемое имя Google целевого объекта появляется на панели инструментов Looker Studio создателя документа, не требуя никакого взаимодействия с целевым объектом.
Вооружившись этим адресом электронной почты, исследователи смогли выполнять повторные запросы, чтобы определить все номера телефонов, связанные с именем профиля.
Однако, поскольку аккаунтов с одинаковым именем профиля могут быть тысячи, исследователь сузил круг поиска, используя частичный номер целевого объекта.
Для его получения исследователь воспользовался процедурой «восстановления аккаунта» Google, которая отображает две цифры номера телефона, указанного для восстановления.
Кроме того, существует возможность идентификации с помощью подсказок по номеру телефона из форм сброса пароля в других сервисах, таких как PayPal, которые раскрывают несколько дополнительных цифр (например, +14•••••1779).
BruteCat раскрыла свои выводы 14 апреля 2025 года через через программу вознаграждений Google, которая по итогу рассмотрения 22 мая 2025 года присвоила проблеме средний уровень и выплатила исследователю 5000 долл.
6 июня 2025 года Google подтвердила, что полностью прекратила поддержку уязвимой конечной точки восстановления без JS.
Вектор атаки больше не может быть реализован, понять, использовался ли он когда-либо злонамеренно также невозможно.
Причем проблема была раскрыта тем же исследователем, который в феврале этого года продемонстрировал ошибку раскрытия личных адресов электронной почты аккаунтов YouTube.
Метод атаки заключается в использовании устаревшей версии формы восстановления имени пользователя Google с отключенной поддержкой JavaScript, в которой отсутствуют современные средства защиты от злоупотреблений.
Несмотря на то, что атака приводит к извлечению номера телефона, настроенного для восстановления аккаунта Google, в подавляющем большинстве случаев он совпадает с основным номером телефона владельца аккаунта.
Форма восстановления позволяла с помощью двух запросов POST сделать запрос о том, связан ли номер телефона с учетной записью Google, на основе отображаемого имени профиля пользователя («Джон Смит»).
При этом исследователю удалось обойти элементарные средства защиты, ограничивающие скорость передачи данных в форме, используя ротацию адресов IPv6 для генерации триллионов уникальных исходных IP-адресов через подсети /64 для этих запросов.
Отображаемые во многих запросах CAPTCHA также удалось обойти путем замены параметра «bgresponse=js_disabled» на действительный токен BotGuard из формы с поддержкой JS.
Используя эту технику, BruteCat разработала инструмент для брутфорса (gpb), который перебирает диапазоны чисел, используя форматы, специфичные для конкретной страны.
Для этих целей исследователь использовал libphonenumber от Google для генерации допустимых форматов номеров, создал базу данных масок стран для определения форматов телефонов по регионам и написал скрипт для генерации токенов BotGuard через Headless Chrome.
При скорости перебора 40 000 запросов в секунду перебор номеров США займет около 20 минут, Великобритании - 4 минуты, а Нидерландов - менее 15 секунд.
Для проведения атаки на кого-либо, необходимо указать адрес электронной почты в форме, однако Google скрыла эту информацию с прошлого года.
Тем не менее BruteCat обнаружила, что может получить его, создав документ Looker Studio и передав права на адрес Gmail цели.
После передачи прав отображаемое имя Google целевого объекта появляется на панели инструментов Looker Studio создателя документа, не требуя никакого взаимодействия с целевым объектом.
Вооружившись этим адресом электронной почты, исследователи смогли выполнять повторные запросы, чтобы определить все номера телефонов, связанные с именем профиля.
Однако, поскольку аккаунтов с одинаковым именем профиля могут быть тысячи, исследователь сузил круг поиска, используя частичный номер целевого объекта.
Для его получения исследователь воспользовался процедурой «восстановления аккаунта» Google, которая отображает две цифры номера телефона, указанного для восстановления.
Кроме того, существует возможность идентификации с помощью подсказок по номеру телефона из форм сброса пароля в других сервисах, таких как PayPal, которые раскрывают несколько дополнительных цифр (например, +14•••••1779).
BruteCat раскрыла свои выводы 14 апреля 2025 года через через программу вознаграждений Google, которая по итогу рассмотрения 22 мая 2025 года присвоила проблеме средний уровень и выплатила исследователю 5000 долл.
6 июня 2025 года Google подтвердила, что полностью прекратила поддержку уязвимой конечной точки восстановления без JS.
Вектор атаки больше не может быть реализован, понять, использовался ли он когда-либо злонамеренно также невозможно.
Brutecat
Leaking the phone number of any Google user
From rate limits to no limits: How IPv6's massive address space and a crafty botguard bypass left every Google user's phone number vulnerable
Исследователи SentinelOne поделились подробностями инцидента, связанного с попыткой атаки на цепочку поставок со стороны китайских хакеров через фирму-подрядчика.
Учитывая, что использование EDR/XDR-решений в защите критической инфраструктуры и корпоративного сектора, SentinelOne представляет весьма интересную цель для APT-субъектов, поскольку ее взлом может открыть доступ к корпоративным сетям нижестоящего уровня.
SentinelLabs впервые раскрыла попытку атаки в апреле, а в новом отчете сообщает о выявлении в ходе ее расследования более широкой кампании, нацеленной на более чем 70 организаций по всему миру в период с июня 2024 года по март 2025 года.
Целями выступали компании в госсекторе, в сфере телекоммуникаций, СМИ, финансов, производства, исследований и ИТ.
Сама кампания разделена на два кластера.
Первый из них - PurpleHaze: приписывается APT15 и UNC5174 и охватывает период с сентября по октябрь 2024 года.
При этом SentinelOne была целью обоих кластеров: один раз для разведки, а другой - для вторжения в цепочку поставок.
Исследователи подозревают, что злоумышленники в обеих кампаниях в качестве вектора первоначального доступа использовали уязвимости в открытых сетевых устройствах, включая устройства Ivanti Cloud Service и шлюзы Check Point.
Кроме того, фиксировалась связь с серверами ShadowPad C2, исходящую от серверов Fortinet Fortigate, Microsoft IIS, SonicWall и CrushFTP, что позволяет предположить потенциальную эксплуатацию и этих систем.
Волна атак PurpleHaze на SentinelOne в октябре 2024 года была нацелена на сканирование серверов компании, подключенных к Интернету, через порт 443, в попытках сопоставить доступные сервисы.
Злоумышленники также зарегистрировали домены, маскирующиеся под инфраструктуру SentinelOne, такие как sentinelxdr[.]us и secmailbox[.]us.
На основании полученных в ходе расследования PurpleHaze артефактов, исследователи установили, что в реализации атак хакеры задействовали бэкдор GOREshell, который внедрялся на открытые сетевые конечные точки с использованием 0-day эксплойтов.
Более поздний кластер активности - ShadowPad: был инициирован APT41 в период с июня 2024 года по март 2025 года.
И вновь в начале 2025 года злоумышленники пытались осуществить атаку на цепочку поставок SentinelOne, предположительно, с помощью вредоносного ПО ShadowPad, замаскированного с помощью ScatterBrain, через доверенного подрядчика - логистическую компанию.
Атакующие доставили вредоносное ПО к цели через PowerShell, который использовал 60-секундную задержку для обхода песочницы.
Затем вредоносное ПО осуществляло перезагрузку системы через 30 минут, чтобы зачистить следы в памяти.
Хакеры развернули среду удаленного доступа с открытым исходным кодом Nimbo-C2, реализующую широкий спектр удаленных возможностей, включая снимки экрана, выполнение команд PowerShell, файловые операции, обход UAC и многое другое.
Злоумышленники также задействовали скрипт эксфильтрации на основе PowerShell, который выполняет рекурсивный поиск конфиденциальных пользовательских документов, архивирует их в защищенном паролем архиве 7-Zip и извлекает их.
SentinelOne отмечает, что конечные цели злоумышленников остаются неясными, но наиболее вероятным сценарием является взлом цепочки поставок.
Компания тщательно проверила свои активы и сообщила, что никаких нарушений в программном обеспечении или оборудовании SentinelOne обнаружено не было. Как было на самом деле - вряд ли кто расскажет.
Но будем посмотреть.
Учитывая, что использование EDR/XDR-решений в защите критической инфраструктуры и корпоративного сектора, SentinelOne представляет весьма интересную цель для APT-субъектов, поскольку ее взлом может открыть доступ к корпоративным сетям нижестоящего уровня.
SentinelLabs впервые раскрыла попытку атаки в апреле, а в новом отчете сообщает о выявлении в ходе ее расследования более широкой кампании, нацеленной на более чем 70 организаций по всему миру в период с июня 2024 года по март 2025 года.
Целями выступали компании в госсекторе, в сфере телекоммуникаций, СМИ, финансов, производства, исследований и ИТ.
Сама кампания разделена на два кластера.
Первый из них - PurpleHaze: приписывается APT15 и UNC5174 и охватывает период с сентября по октябрь 2024 года.
При этом SentinelOne была целью обоих кластеров: один раз для разведки, а другой - для вторжения в цепочку поставок.
Исследователи подозревают, что злоумышленники в обеих кампаниях в качестве вектора первоначального доступа использовали уязвимости в открытых сетевых устройствах, включая устройства Ivanti Cloud Service и шлюзы Check Point.
Кроме того, фиксировалась связь с серверами ShadowPad C2, исходящую от серверов Fortinet Fortigate, Microsoft IIS, SonicWall и CrushFTP, что позволяет предположить потенциальную эксплуатацию и этих систем.
Волна атак PurpleHaze на SentinelOne в октябре 2024 года была нацелена на сканирование серверов компании, подключенных к Интернету, через порт 443, в попытках сопоставить доступные сервисы.
Злоумышленники также зарегистрировали домены, маскирующиеся под инфраструктуру SentinelOne, такие как sentinelxdr[.]us и secmailbox[.]us.
На основании полученных в ходе расследования PurpleHaze артефактов, исследователи установили, что в реализации атак хакеры задействовали бэкдор GOREshell, который внедрялся на открытые сетевые конечные точки с использованием 0-day эксплойтов.
Более поздний кластер активности - ShadowPad: был инициирован APT41 в период с июня 2024 года по март 2025 года.
И вновь в начале 2025 года злоумышленники пытались осуществить атаку на цепочку поставок SentinelOne, предположительно, с помощью вредоносного ПО ShadowPad, замаскированного с помощью ScatterBrain, через доверенного подрядчика - логистическую компанию.
Атакующие доставили вредоносное ПО к цели через PowerShell, который использовал 60-секундную задержку для обхода песочницы.
Затем вредоносное ПО осуществляло перезагрузку системы через 30 минут, чтобы зачистить следы в памяти.
Хакеры развернули среду удаленного доступа с открытым исходным кодом Nimbo-C2, реализующую широкий спектр удаленных возможностей, включая снимки экрана, выполнение команд PowerShell, файловые операции, обход UAC и многое другое.
Злоумышленники также задействовали скрипт эксфильтрации на основе PowerShell, который выполняет рекурсивный поиск конфиденциальных пользовательских документов, архивирует их в защищенном паролем архиве 7-Zip и извлекает их.
SentinelOne отмечает, что конечные цели злоумышленников остаются неясными, но наиболее вероятным сценарием является взлом цепочки поставок.
Компания тщательно проверила свои активы и сообщила, что никаких нарушений в программном обеспечении или оборудовании SentinelOne обнаружено не было. Как было на самом деле - вряд ли кто расскажет.
Но будем посмотреть.
SentinelOne
Follow the Smoke | China-nexus Threat Actors Hammer At the Doors of Top Tier Targets
This report uncovers a set of related threat clusters linked to PurpleHaze and ShadowPad operators targeting organizations, including cybersecurity vendors.
Forwarded from Social Engineering
• Вот вам забавная история из мира вирусологии: в 2001 году датский программист Ян де Вит создал червя, который назвал "Anna Kournikova". Название было выбрано не случайно: в то время Анна занимала восьмое место среди женщин, которых больше всего ищут в гугле. Обходили ее только певицы и актрисы – например, Бритни Спирс, Памела Андерсон, Дженнифер Лопес и Шакира. Огромная популярность повышала шанс того, что файлик с таким названием будут открывать чаще всего...
• Итак, пользователь получал письмо с якобы фотографией известной теннисистки Курниковой. Фотки там естественно не было, но был червь, который заражал компьютер. Имя фала было таковым
AnnaKournikova.jpg.vbs. Причина, по которой пользователь мог не задумываясь открыть файл в стандартных настройках Windows, которые скрывали расширение файла. Таким образом пользователь видел следующее — AnnaKournikova.jpg. Далее червь сканировал базу адресов почты в Microsoft Outlook и рассылал себя всем контактам.• Разработка червя заняла у де Вита пару часов. По данным следствия он использовал специальную программу на Visual Basic «Worm Generator». В полицию Ян де Вит пришел сам. Адвокаты настаивали на том, что де Вит не желал никому зла и создал червя без оглядки на последствия. Однако ФБР предоставили доказательства того, что вред все же был, и не маленький, больше 166 000 долларов. В итоге, Ян был осужден к 150 часам общественных работ или 75 дням лишения свободы.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Вслед за Касперскими за Mirai принялись ресерчеры из Akamai, которые заметили активную эксплуатацию критической RCE-уязвимости платформы Wazuh, отлеживаемую как CVE-2025-24016.
Wazuh - это общедоступная платформа безопасности с открытым исходным кодом, предназначенная для обнаружения и реагирования на угрозы.
Ее разработчики объявили 10 февраля об исправлении CVE-2025-24016, проблему десериализации, затрагивающую серверы, работающие под управлением версии 4.4.0 и более новых версий, до 4.9.1, которая включает исправление.
Как поясняют разработчики, ошибка позволяет удаленно выполнять код на серверах Wazuh и может быть активирована любым с доступом к API (скомпрометированная панель управления или серверы Wazuh в кластере) или, в определенных конфигурациях, даже скомпрометированным агентом.
На момент раскрытия информации уже был доступен PoC, позволяющий проводить DoS-атаки, а несколько дней спустя вышел PoC, предназначенный и для выполнения произвольного кода.
Согласно телеметрии ханипотов Akamai, попытки эксплуатации in-the-wild начались еще в марте.
Тогда исследователи зафиксировали сразу две кампании Mirai, использующие CVE-2025-24016 для взлома серверов Wazuh.
Один из вариантов ботнета Mirai нацелен на уязвимость с начала марта, при этом эксплойт разработан для извлечения и выполнения вредоносного скрипта оболочки, который служит загрузчиком для вредоносной нагрузки Mirai.
Тот же ботнет также нацелен на уязвимости в Hadoop YARN, а также маршрутизаторах TP-Link и ZTE.
Второй штамм Mirai, нацеленный на CVE-2025-24016, был обнаружен в начале мая, и некоторые данные свидетельствуют о том, что кампания могла быть нацелена на устройства италоязычных пользователей.
Исследователи отмечают, что распространение Mirai неуклонно продолжается, что объясняется простотой модификации старых исходников для настройки или создания новых ботнетов и задействованием свежих эксплойтов.
Индикаторы компрометации (IoC) - в отчете.
Wazuh - это общедоступная платформа безопасности с открытым исходным кодом, предназначенная для обнаружения и реагирования на угрозы.
Ее разработчики объявили 10 февраля об исправлении CVE-2025-24016, проблему десериализации, затрагивающую серверы, работающие под управлением версии 4.4.0 и более новых версий, до 4.9.1, которая включает исправление.
Как поясняют разработчики, ошибка позволяет удаленно выполнять код на серверах Wazuh и может быть активирована любым с доступом к API (скомпрометированная панель управления или серверы Wazuh в кластере) или, в определенных конфигурациях, даже скомпрометированным агентом.
На момент раскрытия информации уже был доступен PoC, позволяющий проводить DoS-атаки, а несколько дней спустя вышел PoC, предназначенный и для выполнения произвольного кода.
Согласно телеметрии ханипотов Akamai, попытки эксплуатации in-the-wild начались еще в марте.
Тогда исследователи зафиксировали сразу две кампании Mirai, использующие CVE-2025-24016 для взлома серверов Wazuh.
Один из вариантов ботнета Mirai нацелен на уязвимость с начала марта, при этом эксплойт разработан для извлечения и выполнения вредоносного скрипта оболочки, который служит загрузчиком для вредоносной нагрузки Mirai.
Тот же ботнет также нацелен на уязвимости в Hadoop YARN, а также маршрутизаторах TP-Link и ZTE.
Второй штамм Mirai, нацеленный на CVE-2025-24016, был обнаружен в начале мая, и некоторые данные свидетельствуют о том, что кампания могла быть нацелена на устройства италоязычных пользователей.
Исследователи отмечают, что распространение Mirai неуклонно продолжается, что объясняется простотой модификации старых исходников для настройки или создания новых ботнетов и задействованием свежих эксплойтов.
Индикаторы компрометации (IoC) - в отчете.
GitHub
Remote code execution in Wazuh server
### Summary
An unsafe deserialization vulnerability allows for remote code execution on Wazuh servers.
The vulnerability can be triggered by anybody with API access (compromised dashboard or Wa...
An unsafe deserialization vulnerability allows for remote code execution on Wazuh servers.
The vulnerability can be triggered by anybody with API access (compromised dashboard or Wa...
Исследователи Binarly раскрыли способ обхода Secure Boot, который отслеживается как CVE-2025-3052 и затрагивает практически все системы, которые доверяют сертификату Microsoft UEFI CA 2011, то есть практически все оборудование, поддерживающее безопасную загрузку.
ОБнаружить уязвимость позволил анализ утилиты для перепрошивки BIOS, которая первоначально была разработана для защищенных планшетов, но поскольку она подписана сертификатом UEFI от Microsoft, ее можно запустить на любой системе с поддержкой Secure Boot.
Расследования показало, что уязвимый модуль циркулировал в сети по крайней мере с конца 2022 года, а затем, в 2024 году, был загружен на VirusTotal, где его и задетектила компания Binarly.
Последняя сообщила о найденной уязвимости в CERT/CC 26 февраля 2025 года, исправления для нее подкатили в рамках Patch Tuesday от Microsoft за июнь 2025 года.
По результатам отработки Microsoft пришла к выводу, что проблема затронула не один модуль, как предполагалось изначально, а на самом деле 14 различных модулей.
Так что обновленный dbx, выпущенный во время Patch Tuesday 10 июня 2025 года, содержит 14 новых хешей.
Уязвимость вызвана легальной утилитой обновления BIOS, подписанной сертификатом Microsoft UEFI CA 2011, которому доверяют большинство современных систем, использующих прошивку UEFI.
Она считывает переменную NVRAM (IhisiParamBuffer), доступную для записи пользователем, без ее проверки.
Если у злоумышленника есть права администратора операционной системы, он может изменить эту переменную, чтобы произвольные данные записывались в области памяти во время процесса загрузки UEFI. Выполнение реализуется еще до загрузки операционной системы или даже ядра.
Используя эту уязвимость, исследователи Binarly разработали PoC для обнуления глобальной переменной gSecurity2, которая используется для обеспечения безопасной загрузки.
Эта переменная содержит указатель на архитектурный протокол Security2, который функция LoadImage использует для обеспечения безопасной загрузки.
Установив его в ноль, удается фактически отключить безопасную загрузку, разрешая выполнение любых неподписанных модулей UEFI.
После отключения злоумышленники могут установить вредоносное ПО типа буткит со всеми вытекающими отсюда последствиями.
Для исправления CVE-2025-3052 Microsoft добавила хэши затронутых модулей в список отзыва Secure Boot dbx.
Кроме того, для защиты своих устройств Binarly и Microsoft настоятельно рекомендуют пользователям немедленно установить обновленный файл dbx с помощью доступных обновлений безопасности.
Помимо CVE-2025-3052 Microsoft пофиксила еще один обход Secure Boot, влияющий на UEFI-совместимую прошивку на основе Insyde H2O.
Уязвимость, названная Hydroph0bia и отслеживаемая как CVE-2025-4275, была раскрыта Insyde и исправлена через 90 дней.
ОБнаружить уязвимость позволил анализ утилиты для перепрошивки BIOS, которая первоначально была разработана для защищенных планшетов, но поскольку она подписана сертификатом UEFI от Microsoft, ее можно запустить на любой системе с поддержкой Secure Boot.
Расследования показало, что уязвимый модуль циркулировал в сети по крайней мере с конца 2022 года, а затем, в 2024 году, был загружен на VirusTotal, где его и задетектила компания Binarly.
Последняя сообщила о найденной уязвимости в CERT/CC 26 февраля 2025 года, исправления для нее подкатили в рамках Patch Tuesday от Microsoft за июнь 2025 года.
По результатам отработки Microsoft пришла к выводу, что проблема затронула не один модуль, как предполагалось изначально, а на самом деле 14 различных модулей.
Так что обновленный dbx, выпущенный во время Patch Tuesday 10 июня 2025 года, содержит 14 новых хешей.
Уязвимость вызвана легальной утилитой обновления BIOS, подписанной сертификатом Microsoft UEFI CA 2011, которому доверяют большинство современных систем, использующих прошивку UEFI.
Она считывает переменную NVRAM (IhisiParamBuffer), доступную для записи пользователем, без ее проверки.
Если у злоумышленника есть права администратора операционной системы, он может изменить эту переменную, чтобы произвольные данные записывались в области памяти во время процесса загрузки UEFI. Выполнение реализуется еще до загрузки операционной системы или даже ядра.
Используя эту уязвимость, исследователи Binarly разработали PoC для обнуления глобальной переменной gSecurity2, которая используется для обеспечения безопасной загрузки.
Эта переменная содержит указатель на архитектурный протокол Security2, который функция LoadImage использует для обеспечения безопасной загрузки.
Установив его в ноль, удается фактически отключить безопасную загрузку, разрешая выполнение любых неподписанных модулей UEFI.
После отключения злоумышленники могут установить вредоносное ПО типа буткит со всеми вытекающими отсюда последствиями.
Для исправления CVE-2025-3052 Microsoft добавила хэши затронутых модулей в список отзыва Secure Boot dbx.
Кроме того, для защиты своих устройств Binarly и Microsoft настоятельно рекомендуют пользователям немедленно установить обновленный файл dbx с помощью доступных обновлений безопасности.
Помимо CVE-2025-3052 Microsoft пофиксила еще один обход Secure Boot, влияющий на UEFI-совместимую прошивку на основе Insyde H2O.
Уязвимость, названная Hydroph0bia и отслеживаемая как CVE-2025-4275, была раскрыта Insyde и исправлена через 90 дней.
www.binarly.io
Another Crack in the Chain of Trust: Uncovering (Yet Another) Secure Boot Bypass
Binarly uncovers CVE-2025-3052: a Secure Boot bypass affecting most UEFI devices, enabling attackers to run unsigned code before OS load.
Forwarded from Russian OSINT
ИБ-компания LayerX опубликовала исследование, где раскрывает подробно информацию о сети вредоносных расширений для браузера Google Chrome. Расширения маскируются под безобидные инструменты, например, для управления звуком и скачаны почти у 1,5 миллионов пользователей по всему миру. Действуют они по принципу "спящих агентов" в духе сказки «Спящая красавица», готовые в час Х проснуться и выполнить вредоносные команды.
Самое крупное из них,
🔊Атакующие обещают пользователю расширение для "улучшения звука" в браузере.
Эксперты LayerX обнаружили как минимум 4 популярных расширения, которые, несмотря на кажущуюся легитимность, содержат скрытую инфраструктуру для проведения потенциальных кибератак.
Все расширения используют идентичные фрагменты кода, которые ранее были замечены в других вредоносных программах, уже удаленных из Chrome Web Store. В частности, упоминается класс
ExtStatTracker, который был частью печально известного расширения ReadBee. Компонент способен в фоновом режиме отслеживать действия пользователя (установку, удаление), отправлять зашифрованные данные на удаленный сервер и, что самое опасное, открывать любые веб-страницы в новых вкладках по команде извне.Расширения способны загружать конфигурационные файлы с удаленных серверов. Злоумышленники могут активировать вредоносные функции, даже не обновляя само расширение, и таким образом обойти стандартные проверки безопасности магазина Chrome. Например, команды могут включать перенаправление трафика, загрузку вирусов или кражу данных.
Установлено, что расширения обмениваются данными с доменами, которые уже числятся в базах вредоносных ресурсов, например, francjohn[.]com. Другие домены, с которыми они связываются, размещены на IP-адресах, ранее замеченных в распространении зловредов.
Для сокрытия своей деятельности код использует шифрование и обфускацию через Base64, что усложняет анализ их поведения.
Исследование LayerX подчеркивает новую, тревожную тенденцию в мире киберугроз. Создание сети «спящих» расширений вполне простой и эффективный способ получить контроль над миллионами устройств в отличие от создания ботнетов из взломанных IoT-устройств. Браузерное расширение предоставляет прямой доступ к самой ценной информации: файлам cookie, паролям, истории посещений и даже содержимому веб-страниц.
Эксперты призывают пользователей с осторожностью относиться к установке браузерных расширений.
Please open Telegram to view this post
VIEW IN TELEGRAM
Подкатила очередная подборка уязвимостей и обновлений, отметим наиболее основные:
1. Разработчики Jenkins опубликовали обновление безопасности для своих плагинов Gatling.
2. Тайваньский производитель NAS-устройств QNAP выпустил обновления безопасности для девяти своих продуктов.
3. Cisco устранила четыре уязвимости в платформе Splunk SIEM.
4. В платформе Apache InLong устранена уязвимость ненадежной сериализации данных.
5. SolarWinds представила обновление безопасности для инструмента удаленного рабочего стола DameWare Mini Remote Control.
6. Исследователь Эджидио Романано анализирует, как исправление уязвимости внедрения PHP-объектов 2014 года в программное обеспечение vBulletin привело к тайному внедрению вектора атаки десериализации, называя это хрестоматийным примером поспешных исправлений.
Заменив serialize() на json_encode() в попытке исправить предполагаемые уязвимости PHP Object Injection, разработчики непреднамеренно открыли возможность подписывать и отправлять полезные данные в кодировке base64.
Затем эти полезные данные можно использовать для вызова функции PHP unserialize(), что позволяет десериализовать вредоносные объекты.
7. Команда Orange выкатила технический анализ для пяти уязвимостей, обнаруженных в устройствах SMA 500 SonicWall, которые были исправлены в декабре 2024 года.
8. DFSEC опубликовала анализ эксплойта BLASTPASS для iOS.
9. Исследователи SecureLayer7 выдали описание и PoC для RCE в пользовательском интерфейсе AWS Amplify Codegen, отслеживаемой как CVE-2025-4318.
10. Исследователь cR0w сообщает об обнаружении на прошлой неделе крупной партии PoC-документов для маршрутизаторов Tenda (1, 2, 3, 4, 5 и 6).
11. Исследователь Дэвид Бьюкенен обнаружил первый эксплойт для Nintendo Switch 2 в первый день после запуска продукта.
12. Исследователи Codean Labs обнаружили уязвимость (CVE-2025-47934) в библиотеке OpenPGP.js, которую можно использовать для подделки действительных результатов проверки подписи.
13. Исследователь обвиняют Apple в молчаливом исправлении эксплойта iMessage с нулевым щелчком.
Джозеф Гойдиш утверждает, что эксплойт мог позволить удаленные атаки на выполнение кода и кражу ключей Secure Enclave и данных криптокошелька.
Apple якобы исправила две ошибки, связанные с цепочкой эксплойтов, в апреле без какого-либо упоминания или подтверждения, несмотря на ответственное раскрытие информации.
1. Разработчики Jenkins опубликовали обновление безопасности для своих плагинов Gatling.
2. Тайваньский производитель NAS-устройств QNAP выпустил обновления безопасности для девяти своих продуктов.
3. Cisco устранила четыре уязвимости в платформе Splunk SIEM.
4. В платформе Apache InLong устранена уязвимость ненадежной сериализации данных.
5. SolarWinds представила обновление безопасности для инструмента удаленного рабочего стола DameWare Mini Remote Control.
6. Исследователь Эджидио Романано анализирует, как исправление уязвимости внедрения PHP-объектов 2014 года в программное обеспечение vBulletin привело к тайному внедрению вектора атаки десериализации, называя это хрестоматийным примером поспешных исправлений.
Заменив serialize() на json_encode() в попытке исправить предполагаемые уязвимости PHP Object Injection, разработчики непреднамеренно открыли возможность подписывать и отправлять полезные данные в кодировке base64.
Затем эти полезные данные можно использовать для вызова функции PHP unserialize(), что позволяет десериализовать вредоносные объекты.
7. Команда Orange выкатила технический анализ для пяти уязвимостей, обнаруженных в устройствах SMA 500 SonicWall, которые были исправлены в декабре 2024 года.
8. DFSEC опубликовала анализ эксплойта BLASTPASS для iOS.
9. Исследователи SecureLayer7 выдали описание и PoC для RCE в пользовательском интерфейсе AWS Amplify Codegen, отслеживаемой как CVE-2025-4318.
10. Исследователь cR0w сообщает об обнаружении на прошлой неделе крупной партии PoC-документов для маршрутизаторов Tenda (1, 2, 3, 4, 5 и 6).
11. Исследователь Дэвид Бьюкенен обнаружил первый эксплойт для Nintendo Switch 2 в первый день после запуска продукта.
12. Исследователи Codean Labs обнаружили уязвимость (CVE-2025-47934) в библиотеке OpenPGP.js, которую можно использовать для подделки действительных результатов проверки подписи.
13. Исследователь обвиняют Apple в молчаливом исправлении эксплойта iMessage с нулевым щелчком.
Джозеф Гойдиш утверждает, что эксплойт мог позволить удаленные атаки на выполнение кода и кражу ключей Secure Enclave и данных криптокошелька.
Apple якобы исправила две ошибки, связанные с цепочкой эксплойтов, в апреле без какого-либо упоминания или подтверждения, несмотря на ответственное раскрытие информации.
Jenkins Security Advisory 2025-06-06
Jenkins – an open source automation server which enables developers around the world to reliably build, test, and deploy their software
Microsoft выкатила июньский Patch Tuesday с обновлениями безопасности для 66 уязвимостей, включая одну активно эксплуатируемую и другую публично раскрытую 0-day.
В целом в текущем Patch Tuesday исправлены десять критических уязвимостей, восемь из которых связаны с RCE, а две - с EoP.
Общее распределение по каждой из категории представлено следующим образом: 13 уязвимостей связаны с EoP, 3 - обходом функций безопасности, 25 - RCE,
17 - раскрытием информации, 6 - DoS, 2 - спуфингом.
В числе исправленных нулей Patch Tuesday включает:
RCE-уязвимость в Web Distributed Authoring and Versioning (WEBDAV), которая отслеживается как CVE-2025-33053.
Проблема была обнаружена исследователями Check Point Research.
Успешная эксплуатация позволяет удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
В рекомендациях Microsoft также отмечается, что для эксплуатации пользователь должен щелкнуть по специально созданному URL-адресу WebDav.
Согласно отчету Check Point Research, CVE-2025-33053 задействовалась в атаках в качестве нуля APT-группой Stealth Falcon.
Как пояснили в Check Point, попытка кибератаки на оборонную компанию в Турции была выявлена в марте 2025 года.
Злоумышленники использовали ранее нераскрытую технику для выполнения файлов, размещенных на контролируемом ими сервере WebDAV, путем манипулирования рабочим каталогом легитимного встроенного инструмента Windows.
В числе исправленных в рамках июньского обновления также указана другая публично раскрытая уязвимость нулевого дня, которая отслеживается как CVE-2025-33073 и связана с повышением привилегий клиента Windows SMB.
Ошибка позволяет злоумышленникам получать привилегии SYSTEM на уязвимых устройствах.
Как поясняет Microsoft, нправильный контроль доступа в Windows SMB позволяет авторизованному злоумышленнику повысить привилегии в сети.
Чтобы воспользоваться уязвимостью, злоумышленник может выполнить специально созданный вредоносный скрипт, чтобы заставить машину-жертву подключиться обратно к атакуемой системе с помощью SMB и пройти аутентификацию.
Это может привести к повышению привилегий.
Microsoft традиционно не поделилась какими-либо подробностями относительно этой проблемы.
Однако Born City сообщает, что DFN-CERT начала распространять предупреждения от RedTeam Pentesting об уязвимости на этой неделе.
Хотя обновление уже доступно, уязвимость можно устранить, включив принудительную подпись SMB на стороне сервера с помощью групповой политики.
Microsoft приписывает обнаружение этой уязвимости нескольким исследователям из CrowdStrike, Synacktiv, SySS GmbH, RedTeam Pentesting GmbH и Google Project Zero.
Полный список исправленных текущим патчем уязвимостей с описанием каждой уязвимости и систем, которые она затрагивает - здесь.
В целом в текущем Patch Tuesday исправлены десять критических уязвимостей, восемь из которых связаны с RCE, а две - с EoP.
Общее распределение по каждой из категории представлено следующим образом: 13 уязвимостей связаны с EoP, 3 - обходом функций безопасности, 25 - RCE,
17 - раскрытием информации, 6 - DoS, 2 - спуфингом.
В числе исправленных нулей Patch Tuesday включает:
RCE-уязвимость в Web Distributed Authoring and Versioning (WEBDAV), которая отслеживается как CVE-2025-33053.
Проблема была обнаружена исследователями Check Point Research.
Успешная эксплуатация позволяет удаленному злоумышленнику выполнить произвольный код в уязвимой системе.
В рекомендациях Microsoft также отмечается, что для эксплуатации пользователь должен щелкнуть по специально созданному URL-адресу WebDav.
Согласно отчету Check Point Research, CVE-2025-33053 задействовалась в атаках в качестве нуля APT-группой Stealth Falcon.
Как пояснили в Check Point, попытка кибератаки на оборонную компанию в Турции была выявлена в марте 2025 года.
Злоумышленники использовали ранее нераскрытую технику для выполнения файлов, размещенных на контролируемом ими сервере WebDAV, путем манипулирования рабочим каталогом легитимного встроенного инструмента Windows.
В числе исправленных в рамках июньского обновления также указана другая публично раскрытая уязвимость нулевого дня, которая отслеживается как CVE-2025-33073 и связана с повышением привилегий клиента Windows SMB.
Ошибка позволяет злоумышленникам получать привилегии SYSTEM на уязвимых устройствах.
Как поясняет Microsoft, нправильный контроль доступа в Windows SMB позволяет авторизованному злоумышленнику повысить привилегии в сети.
Чтобы воспользоваться уязвимостью, злоумышленник может выполнить специально созданный вредоносный скрипт, чтобы заставить машину-жертву подключиться обратно к атакуемой системе с помощью SMB и пройти аутентификацию.
Это может привести к повышению привилегий.
Microsoft традиционно не поделилась какими-либо подробностями относительно этой проблемы.
Однако Born City сообщает, что DFN-CERT начала распространять предупреждения от RedTeam Pentesting об уязвимости на этой неделе.
Хотя обновление уже доступно, уязвимость можно устранить, включив принудительную подпись SMB на стороне сервера с помощью групповой политики.
Microsoft приписывает обнаружение этой уязвимости нескольким исследователям из CrowdStrike, Synacktiv, SySS GmbH, RedTeam Pentesting GmbH и Google Project Zero.
Полный список исправленных текущим патчем уязвимостей с описанием каждой уязвимости и систем, которые она затрагивает - здесь.