Как и ожидалось, Европол и силовой блок более чем 30 стран нейтрализовали серверы, домены и Telegram-каналы трех вредоносных сервисов - инфокрада Rhadamanthys, VenomRAT и ботнета Elysium.
Силовики сообщают, что три вида вредоносного ПО заразили сотни тысяч пользователей и похитили миллионы учётных данных, которые впоследствии использовались для развертывания ransomware или кражи криптовалюты.
Новая волна атак на киберподполье стала частью операции Endgame - проекта Европола, который стартовал в 2023 году и нацелен на криминальную инфраструктуру, используемую для осуществления атак с целью вымогательства.
В общей сложности власти конфисковали 1025 серверов, 20 доменов и провели 11 обысков. Администратор VenomRAT также был арестован после рейда в Греции в начале этого месяца.
Новости о активности силовиков начали распространяться еще во вторник, когда ряд отраслевых специалистов заметили, что администратор Rhadamanthys уведомил всех своих клиентов о необходимости сворачивать все свои кампании в связи с утратой доступа к главной панели управления.
Из трех попавших под удар правоохранителей вредоносных операций Rhadamanthys оказалась, безусловно, самой серьезной реализацией.
Как уже отмечалось, сервис был запущен в декабре 2022 года как небольшой проект, но быстро превратился в масштабную MaaS, в рамках которой другие хакеры могли взять в аренду доступ к вредоносному ПО за довольно высокую плату в размере 300 долларов США в месяц и более.
Вредоносная ПО представляла собой сложный, эффективный и широко задействуемый киберподпольем код. Европол полагает, что её админ собрал достаточно большой объем данных, получив доступ к более чем 100 000 криптокошельков.
Силовики все эти собранные Rhadamanthys слили в politie.nl/checkyourhack и haveibeenpwned.com, где пользователи могут ознакомиться и понять, были ли их данные украдены в ходе атак с использованием инфокрада.
Обеспечившие техническую поддержку Endgame 3.0 ИБ-компании также выкатили собственные отчеты по результатам исследований в рамках отслеживания вредоносного ПО: Proofpoint по VenomRAT и Rhadamanthys, а также Shadowserver Foundation по Rhadamanthys (1, 2, 3 соответственно).
Силовики сообщают, что три вида вредоносного ПО заразили сотни тысяч пользователей и похитили миллионы учётных данных, которые впоследствии использовались для развертывания ransomware или кражи криптовалюты.
Новая волна атак на киберподполье стала частью операции Endgame - проекта Европола, который стартовал в 2023 году и нацелен на криминальную инфраструктуру, используемую для осуществления атак с целью вымогательства.
В общей сложности власти конфисковали 1025 серверов, 20 доменов и провели 11 обысков. Администратор VenomRAT также был арестован после рейда в Греции в начале этого месяца.
Новости о активности силовиков начали распространяться еще во вторник, когда ряд отраслевых специалистов заметили, что администратор Rhadamanthys уведомил всех своих клиентов о необходимости сворачивать все свои кампании в связи с утратой доступа к главной панели управления.
Из трех попавших под удар правоохранителей вредоносных операций Rhadamanthys оказалась, безусловно, самой серьезной реализацией.
Как уже отмечалось, сервис был запущен в декабре 2022 года как небольшой проект, но быстро превратился в масштабную MaaS, в рамках которой другие хакеры могли взять в аренду доступ к вредоносному ПО за довольно высокую плату в размере 300 долларов США в месяц и более.
Вредоносная ПО представляла собой сложный, эффективный и широко задействуемый киберподпольем код. Европол полагает, что её админ собрал достаточно большой объем данных, получив доступ к более чем 100 000 криптокошельков.
Силовики все эти собранные Rhadamanthys слили в politie.nl/checkyourhack и haveibeenpwned.com, где пользователи могут ознакомиться и понять, были ли их данные украдены в ходе атак с использованием инфокрада.
Обеспечившие техническую поддержку Endgame 3.0 ИБ-компании также выкатили собственные отчеты по результатам исследований в рамках отслеживания вредоносного ПО: Proofpoint по VenomRAT и Rhadamanthys, а также Shadowserver Foundation по Rhadamanthys (1, 2, 3 соответственно).
www.politie.nl
Check your hack
Amazon сообщает об обнаружении более 150 000 вредоносных пакетов в реестре NPM, опубликованных в рамках недавно раскрытой скоординированной автоматизированной кампании использованием червя IndonesianFoods, нацеленной на токены tea.xyz.
Самораспространяющийся пакет в npm фактически массово «засоряет» реестр, порождая новые пакеты каждые семь секунд, создавая большие объемы «спама».
Червь получил название в виду своей отличительной схемы наименования пакетов, которая выбирает случайные индонезийские названия и названия продуктов питания.
При этом сами пакеты не содержат вредоносных компонентов для разработчиков (например, кражи данных, бэкдоринга хостов), но это может измениться с обновлением, которое может реализовать опасную полезную нагрузку.
Уровень автоматизации и растущий охват атаки создают потенциальную возможность масштабного нарушения цепочки поставок.
Исследователь Пол Маккарти первым сообщил об этой спам-кампании и расшарил страницу для отслеживания издателей npm-нарушителей и количества пакетов, выпущенных ими на платформе.
В свою гореть, Sonatype сообщает, что те же злоумышленники предприняли ещё одну попытку 10 сентября с пакетом под названием fajar-donat9-breki. Причем пакет содержал ту же логику репликации, но не имел функционала самираспространения.
Как отмечают исследователи Sonatype, новая атака затронула сразу несколько систем безопасности данных, продемонстрировав беспрецедентные масштабы.
Amazon отмечает эти пакеты в рекомендациях OSV, что вызывает массовую волну сообщений об уязвимостях. Только в базе данных Sonatype за один день появилось 72 000 новых рекомендаций.
Исследователь отметил, что IndonesianFoods, судя по всему, не фокусируется на проникновении в компьютеры разработчиков, а скорее на том, чтобы нагрузить экосистему и порушить крупнейшую в мире цепочку поставок ПО.
В отчете Endor Labs по IndonesianFoods упоминается, что некоторые пакеты, по всей видимости, злоупотребляют блокчейн-протоколом TEA, нацеливаясь на учетные записи и адреса кошельков.
Публикуя тысячи взаимосвязанных пакетов, злоумышленники завышали свои показатели воздействия, чтобы заполучить больше токенов, что указывает все же на наличие финансового мотива атаки.
Кроме того, Endor Labs сообщает, что спам-кампания фактически началась два года назад: в 2023 году было добавлено 43 000 пакетов, в 2024 году была реализована монетизация TEA, а в 2025 году был представлен червеобразный цикл репликации.
Новая масштабная кампания IndonesianFoods реализуется в контексте ряда схожих атак на цепочки поставок, основанных на автоматизации, на экосистемы с открытым исходным кодом, включая атаку GlassWorm на OpenVSX и червя Shai-Hulud.
По отдельности все эти инциденты нанесли ограниченный ущерб, но вместе подчеркивают новую тенденцию, в которой злоумышленники все чаще используют автоматизацию и масштабирование, воздействуя на экосистемы с открытым исходным кодом.
Sonatype также предупредила, что такие простые, но эффективные операции создают идеальные условия для злоумышленников, желающих внедрить более серьезное вредоносное ПО в экосистемы с открытым исходным кодом.
Поскольку атака продолжает развиваться, разработчикам ПО рекомендуется заблокировать все версии зависимостей, отслеживать аномальные шаблоны публикации и внедрять строгие политики проверки цифровых подписей.
Самораспространяющийся пакет в npm фактически массово «засоряет» реестр, порождая новые пакеты каждые семь секунд, создавая большие объемы «спама».
Червь получил название в виду своей отличительной схемы наименования пакетов, которая выбирает случайные индонезийские названия и названия продуктов питания.
При этом сами пакеты не содержат вредоносных компонентов для разработчиков (например, кражи данных, бэкдоринга хостов), но это может измениться с обновлением, которое может реализовать опасную полезную нагрузку.
Уровень автоматизации и растущий охват атаки создают потенциальную возможность масштабного нарушения цепочки поставок.
Исследователь Пол Маккарти первым сообщил об этой спам-кампании и расшарил страницу для отслеживания издателей npm-нарушителей и количества пакетов, выпущенных ими на платформе.
В свою гореть, Sonatype сообщает, что те же злоумышленники предприняли ещё одну попытку 10 сентября с пакетом под названием fajar-donat9-breki. Причем пакет содержал ту же логику репликации, но не имел функционала самираспространения.
Как отмечают исследователи Sonatype, новая атака затронула сразу несколько систем безопасности данных, продемонстрировав беспрецедентные масштабы.
Amazon отмечает эти пакеты в рекомендациях OSV, что вызывает массовую волну сообщений об уязвимостях. Только в базе данных Sonatype за один день появилось 72 000 новых рекомендаций.
Исследователь отметил, что IndonesianFoods, судя по всему, не фокусируется на проникновении в компьютеры разработчиков, а скорее на том, чтобы нагрузить экосистему и порушить крупнейшую в мире цепочку поставок ПО.
В отчете Endor Labs по IndonesianFoods упоминается, что некоторые пакеты, по всей видимости, злоупотребляют блокчейн-протоколом TEA, нацеливаясь на учетные записи и адреса кошельков.
Публикуя тысячи взаимосвязанных пакетов, злоумышленники завышали свои показатели воздействия, чтобы заполучить больше токенов, что указывает все же на наличие финансового мотива атаки.
Кроме того, Endor Labs сообщает, что спам-кампания фактически началась два года назад: в 2023 году было добавлено 43 000 пакетов, в 2024 году была реализована монетизация TEA, а в 2025 году был представлен червеобразный цикл репликации.
Новая масштабная кампания IndonesianFoods реализуется в контексте ряда схожих атак на цепочки поставок, основанных на автоматизации, на экосистемы с открытым исходным кодом, включая атаку GlassWorm на OpenVSX и червя Shai-Hulud.
По отдельности все эти инциденты нанесли ограниченный ущерб, но вместе подчеркивают новую тенденцию, в которой злоумышленники все чаще используют автоматизацию и масштабирование, воздействуя на экосистемы с открытым исходным кодом.
Sonatype также предупредила, что такие простые, но эффективные операции создают идеальные условия для злоумышленников, желающих внедрить более серьезное вредоносное ПО в экосистемы с открытым исходным кодом.
Поскольку атака продолжает развиваться, разработчикам ПО рекомендуется заблокировать все версии зависимостей, отслеживать аномальные шаблоны публикации и внедрять строгие политики проверки цифровых подписей.
SourceCodeRed
"IndonesianFoods" spam campaign publishes more than 86,000 malicious NPM packages
The number of known malicious NPM packages just doubled in a day! We have identified a HUGE coordinated NPM attack involving at
Исследователи предупреждают, что уязвимость обхода пути Fortinet FortiWeb с общедоступным PoC активно эксплуатируется для создания новых административных пользователей на уязвимых устройствах без необходимости аутентификации.
Эксплуатация была впервые обнаружена компанией Defused 6 октября, которая сообщила о «неизвестном эксплойте Fortinet», используемом в отношении уязвимых устройств для создания учетных записей администраторов.
С тех пор число атак возросло, и злоумышленники теперь реализуют эту уязвимость по всему миру.
Согласно новому исследованию PwnDefend и Defused, уязвимость представляет собой проблему обхода пути, затрагивающую следующую конечную точку Fortinet: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi.
Злоумышленники отправляют по этому пути HTTP-запросы POST, содержащие полезную нагрузку, которая создает локальные учетные записи уровня администратора на целевом устройстве.
Эксплуатация, обнаруженная исследователями, включает в себя несколько наборов созданных комбинаций имён пользователей и паролей, в том числе: Testpoint, trader1 и trader.
Пароли, назначенные учётным записям, включают 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.
Атаки осуществлялись с широкого спектра IP-адресов: 107.152.41.19, 144.31.1.63, адреса в диапазоне 185.192.70.0/24 и 64.95.13.8 (из оригинального октябрьского отчета).
Исследователи из watchTowr Labs подтвердили наличие эксплойта, опубликовав на X видео с демонстрацией его работы и успешного входа в систему в качестве вновь созданного пользователя-администратора.
watchTowr также представила инструмент под названием FortiWeb Authentication Bypass Artifact Generator, укоторый призван помочь админам обнаружить уязвимые устройства.
Он пытается проэксплуатировать уязвимость, создавая пользователя-администратора с 8-символьным случайным именем пользователя, полученным из UUID.
По данным Rapid7, протестировавшей эксплойт в нескольких версиях, уязвимость затрагивает FortiWeb версии 8.0.1 и более ранние.
Уязвимость была исправлена в 8.0.2, которая, предположительно, вышла в конце октября.
Самое интересное, что не удалось найти никаких сведений об уязвимости FortiWeb на сайте PSIRT Fortinet, которые соответствовали бы той, которая эксплуатируется. В компании пока вообще не комментируют ситуацию.
Поскольку уязвимость, по всей видимости, активно эксплуатируется в реальных условиях, администраторам следует проверить свои устройства на наличие необычных административных учетных записей, проверить журналы на наличие запросов к пути fwbcgi и расследовать любую активность с выявленных подозрительных IP-адресов.
Администраторы также должны убедиться, что эти интерфейсы управления недоступны из Интернета, а подключение к ним разрешено только из доверенных сетей или через VPN.
Эксплуатация была впервые обнаружена компанией Defused 6 октября, которая сообщила о «неизвестном эксплойте Fortinet», используемом в отношении уязвимых устройств для создания учетных записей администраторов.
С тех пор число атак возросло, и злоумышленники теперь реализуют эту уязвимость по всему миру.
Согласно новому исследованию PwnDefend и Defused, уязвимость представляет собой проблему обхода пути, затрагивающую следующую конечную точку Fortinet: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi.
Злоумышленники отправляют по этому пути HTTP-запросы POST, содержащие полезную нагрузку, которая создает локальные учетные записи уровня администратора на целевом устройстве.
Эксплуатация, обнаруженная исследователями, включает в себя несколько наборов созданных комбинаций имён пользователей и паролей, в том числе: Testpoint, trader1 и trader.
Пароли, назначенные учётным записям, включают 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.
Атаки осуществлялись с широкого спектра IP-адресов: 107.152.41.19, 144.31.1.63, адреса в диапазоне 185.192.70.0/24 и 64.95.13.8 (из оригинального октябрьского отчета).
Исследователи из watchTowr Labs подтвердили наличие эксплойта, опубликовав на X видео с демонстрацией его работы и успешного входа в систему в качестве вновь созданного пользователя-администратора.
watchTowr также представила инструмент под названием FortiWeb Authentication Bypass Artifact Generator, укоторый призван помочь админам обнаружить уязвимые устройства.
Он пытается проэксплуатировать уязвимость, создавая пользователя-администратора с 8-символьным случайным именем пользователя, полученным из UUID.
По данным Rapid7, протестировавшей эксплойт в нескольких версиях, уязвимость затрагивает FortiWeb версии 8.0.1 и более ранние.
Уязвимость была исправлена в 8.0.2, которая, предположительно, вышла в конце октября.
Самое интересное, что не удалось найти никаких сведений об уязвимости FortiWeb на сайте PSIRT Fortinet, которые соответствовали бы той, которая эксплуатируется. В компании пока вообще не комментируют ситуацию.
Поскольку уязвимость, по всей видимости, активно эксплуатируется в реальных условиях, администраторам следует проверить свои устройства на наличие необычных административных учетных записей, проверить журналы на наличие запросов к пути fwbcgi и расследовать любую активность с выявленных подозрительных IP-адресов.
Администраторы также должны убедиться, что эти интерфейсы управления недоступны из Интернета, а подключение к ним разрешено только из доверенных сетей или через VPN.
X (formerly Twitter)
Defused (@DefusedCyber) on X
⚠️Unknown Fortinet exploit (possibly a CVE-2022-40684 variant) from 64.95.13.8 🇺🇸 ( BLNWX )
VirusTotal Detections: 0/95 🟢
JWT payload translates into:
{
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}
VirusTotal Detections: 0/95 🟢
JWT payload translates into:
{
"username": "admin",
"profname": "prof_admin",
"vdom": "root",
"loginname": "admin"
}
Patchstack предупреждает об RCE-уязвимости в сканере вредоносных программ ImunifyAV для серверов Linux, который используется десятками миллионов сайтов и открывает возможности для компрометации среды хостинга.
Проблема затрагивает версии компонента сканирования вредоносных программ AI-bolit до версии 32.7.4.0.
Он присутствует в пакете Imunify360, платной версии ImunifyAV+ и бесплатной версии сканера ImunifyAV.
ImunifyAV является частью пакета безопасности Imunify360, который обычно используется провайдерами хостинга или общими средами хостинга Linux.
Продукт устанавливается на уровне хостинговой платформы, а не конечными пользователями напрямую.
Он чрезвычайно распространён на тарифных планах виртуального хостинга, управляемом хостинге WordPress, серверах cPanel/WHM и Plesk.
Владельцы сайтов редко взаимодействуют с ним напрямую, но это повсеместный инструмент, незаметно работающий на 56 миллионах сайтов, если верить данным Imunify за октябрь 2024 года, где также сообщается о более чем 645 000 установок Imunify360.
По данным компании Patchstack, уязвимость стала известна с конца октября, когда поставщик ImunifyAV, CloudLinux, выпустил исправления. В настоящее время идентификатор уязвимости не присвоен.
10 ноября поставщик перенёс исправление на более старые версии антивируса Imunify360.
Кроме того, CloudLinux предупредила пользователей о критической проблеме в отдельном информационном бюллетене, порекомендовав как можно скорее обновиться до 32.7.4.0.
Первопричиной уязвимости является логика деобфускации AI-bolit, которая выполняет контролируемые злоумышленником имена функций и данные, извлеченные из обфусцированных PHP-файлов, при попытке распаковать вредоносное ПО для его сканирования.
Это происходит в виду того, что инструмент использует call_user_func_array без проверки имен функций, что позволяет выполнять опасные функции PHP, такие как system, exec, shell_exec, passthru, eval и другие.
Patchstack отмечает, что для эксплуатации необходимо, чтобы Imunify360 AV выполнял активную деобфускацию на этапе анализа, что отключено в конфигурации по умолчанию автономного AI-Bolit CLI.
Однако интеграция компонента сканера Imunify360 принудительно переводит сканирование в фоне, по требованию, инициированное пользователем или быстрое сканирование в состояние «всегда включено», что соответствует условиям эксплуатации.
Исследователи также поделились PoC, который создает PHP-файл в каталоге tmp, который запускает удаленное выполнение кода при сканировании антивирусом, что может привести к полной компрометации сайта, а если сканер работает с повышенными привилегиями в системах общего хостинга, последствия могут распространиться на весь сервер.
Исправление CloudLinux добавляет механизм белого списка, который позволяет выполнять только безопасные, детерминированные функции во время деобфускации, что блокирует выполнение произвольных функций.
Несмотря на отсутствие четких предупреждений от поставщика или CVE-ID, которые помогли бы распознать проблему и отследить ее, системным администраторам следует выполнить обновление до версии v32.7.4.0 или более новой.
В настоящее время нет никаких официальных инструкций о том, как проверять уязвимость, равно как и руководства по ее обнаружению или подтверждения ее активной эксплуатации в реальных условиях.
Поставщик также ничего не комментирует.
Проблема затрагивает версии компонента сканирования вредоносных программ AI-bolit до версии 32.7.4.0.
Он присутствует в пакете Imunify360, платной версии ImunifyAV+ и бесплатной версии сканера ImunifyAV.
ImunifyAV является частью пакета безопасности Imunify360, который обычно используется провайдерами хостинга или общими средами хостинга Linux.
Продукт устанавливается на уровне хостинговой платформы, а не конечными пользователями напрямую.
Он чрезвычайно распространён на тарифных планах виртуального хостинга, управляемом хостинге WordPress, серверах cPanel/WHM и Plesk.
Владельцы сайтов редко взаимодействуют с ним напрямую, но это повсеместный инструмент, незаметно работающий на 56 миллионах сайтов, если верить данным Imunify за октябрь 2024 года, где также сообщается о более чем 645 000 установок Imunify360.
По данным компании Patchstack, уязвимость стала известна с конца октября, когда поставщик ImunifyAV, CloudLinux, выпустил исправления. В настоящее время идентификатор уязвимости не присвоен.
10 ноября поставщик перенёс исправление на более старые версии антивируса Imunify360.
Кроме того, CloudLinux предупредила пользователей о критической проблеме в отдельном информационном бюллетене, порекомендовав как можно скорее обновиться до 32.7.4.0.
Первопричиной уязвимости является логика деобфускации AI-bolit, которая выполняет контролируемые злоумышленником имена функций и данные, извлеченные из обфусцированных PHP-файлов, при попытке распаковать вредоносное ПО для его сканирования.
Это происходит в виду того, что инструмент использует call_user_func_array без проверки имен функций, что позволяет выполнять опасные функции PHP, такие как system, exec, shell_exec, passthru, eval и другие.
Patchstack отмечает, что для эксплуатации необходимо, чтобы Imunify360 AV выполнял активную деобфускацию на этапе анализа, что отключено в конфигурации по умолчанию автономного AI-Bolit CLI.
Однако интеграция компонента сканера Imunify360 принудительно переводит сканирование в фоне, по требованию, инициированное пользователем или быстрое сканирование в состояние «всегда включено», что соответствует условиям эксплуатации.
Исследователи также поделились PoC, который создает PHP-файл в каталоге tmp, который запускает удаленное выполнение кода при сканировании антивирусом, что может привести к полной компрометации сайта, а если сканер работает с повышенными привилегиями в системах общего хостинга, последствия могут распространиться на весь сервер.
Исправление CloudLinux добавляет механизм белого списка, который позволяет выполнять только безопасные, детерминированные функции во время деобфускации, что блокирует выполнение произвольных функций.
Несмотря на отсутствие четких предупреждений от поставщика или CVE-ID, которые помогли бы распознать проблему и отследить ее, системным администраторам следует выполнить обновление до версии v32.7.4.0 или более новой.
В настоящее время нет никаких официальных инструкций о том, как проверять уязвимость, равно как и руководства по ее обнаружению или подтверждения ее активной эксплуатации в реальных условиях.
Поставщик также ничего не комментирует.
Patchstack
Critical: Remote Code Execution via Malicious Obfuscated Malware in Imunify360 AV (AI-bolit)
A critical RCE vulnerability has been patched in Imunify360 AV. Hosting companies should patch the issue immediately & check servers for signs of compromise.
Исследователи Лаборатории Касперского раскрыли неожиданные артефакты в недавней кампании GoRed (v1.1.5-34ab), обнаруженной весной 2025 года.
Впервые задокументированный еще в 2024 году GoRed, также известный как Bulldog Backdoor, представляет собой вредоносное ПО для кибершпионажа.
Функциональность подробно описана в исследовании Positive Technologies.
Бэкдор появился в 2023 году, написан на Golang и является продвинутым инструментом, который постоянно модифицируется и улучшается.
Ряд ИБ-компании приписывают его группам ExCobalt и Shedding Zmiy. В свою очередь, в ЛК отслеживают эту активность как Red Likho.
Бэкдор GoRed нацелен, в первую очередь, на российские организации из разных отраслей, включая ИТ, производство, автомобилестроение, энергетику.
GoRed обладает расширенной конфигурацией, описывающей коммуникацию с C2, и поддерживает режимы маяка, прокси-сервера и обратной оболочки для подключений операторов.
Для связи использует несколько протоколов, включая DNS, ICMP, QUIC и WebSocket Secure (WSS).
В ходе анализа новой кампании и последующих атак операторов GoRed исследователям удалось задетектить ряд новых TTPs, инструментов и объектов инфраструктуры.
В частности, выявлены ранее неописанные вектор заражения и метод доставки вредоносного ПО, а также новые C2 и версии бэкдора, профильтрованные, прежде всего, на компании в сфере разработки ПО, а значит и на цепочки поставок.
В одном из недавних инцидентов атакующие скомпрометировали публичный веб-портал и, используя ошибки конфигурации в PostgreSQL, смогли удаленно выполнить команды. Такой вектор заражения ранее не встречался в атаках с GoRed.
Сначала злоумышленники получили список запущенных на хосте процессов, после чего выполнили обфусцированную команду, которая загрузила на этот хост бэкдор GoRed, который затем запускали его вручную.
Помимо компрометации веб-портала жертвы, злоумышленники получали первоначальный доступ, эксплуатируя цепочку уязвимостей ProxyShell в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).
Получив повышенные права, злоумышленники загружали вредоносный веб-шелл (.aspx) в корневой каталог сервера Exchange. С помощью него проводили первоначальную разведку, а затем через него же загружали GoRed.
После установки GoRed операторы запрашивали различные данные о системе, выполняли простые для обнаружения команды для получения учетных данных, а также использовали бэкдор для развертывания Cobalt Strike.
Большинство образцов Cobalt Strike представляли собой троянизированные версии легитимных инструментов Sysinternals, а именно Sysmon и Process Explorer.
Также ресерчерам ЛК удалось задетектить несколько троянизированных инструментов Sysinternals, которые вместо Cobalt Strike загружали агент Tuoni - продвинутого C2-фреймворка, который появился в феврале 2024 года.
Он использовался для выполнения разведывательных команд.
Бэкдор GoRed обращался к C2-доменам, зарегистрированным через NameCheap, а также серверам CloudFlare и хостинг-провайдеров, в основном расположенных в России.
На этапе постэксплуатации злоумышленники использовали Leaked Wallpaper - инструмент повышения привилегий, позволяющий извлечь NetNTLM-хэш пользователя из любого сеанса на компьютере.
Примечательно, что арсенале атакующих отыскались инструменты другой группы, действующей на российском направлении, - BO Team.
Кроме того, одна из недавних жертв Red Likho упоминалась среди жертв BO Team в их Telegram-канале.
По всей видимости, две группы кооперируются или вовсе могли проводить совместные операции.
Учитывая, что BO Team известна сотрудничеством с другими хактивистами, атакующими Россию, включая Ukrainian Cyber Alliance, вполне вероятно, что группа обменивается опытом и инструментами и с Red Likho, или же это может быть совместная скоординированная операция.
Технические подробности и IOCs - в отчете.
Впервые задокументированный еще в 2024 году GoRed, также известный как Bulldog Backdoor, представляет собой вредоносное ПО для кибершпионажа.
Функциональность подробно описана в исследовании Positive Technologies.
Бэкдор появился в 2023 году, написан на Golang и является продвинутым инструментом, который постоянно модифицируется и улучшается.
Ряд ИБ-компании приписывают его группам ExCobalt и Shedding Zmiy. В свою очередь, в ЛК отслеживают эту активность как Red Likho.
Бэкдор GoRed нацелен, в первую очередь, на российские организации из разных отраслей, включая ИТ, производство, автомобилестроение, энергетику.
GoRed обладает расширенной конфигурацией, описывающей коммуникацию с C2, и поддерживает режимы маяка, прокси-сервера и обратной оболочки для подключений операторов.
Для связи использует несколько протоколов, включая DNS, ICMP, QUIC и WebSocket Secure (WSS).
В ходе анализа новой кампании и последующих атак операторов GoRed исследователям удалось задетектить ряд новых TTPs, инструментов и объектов инфраструктуры.
В частности, выявлены ранее неописанные вектор заражения и метод доставки вредоносного ПО, а также новые C2 и версии бэкдора, профильтрованные, прежде всего, на компании в сфере разработки ПО, а значит и на цепочки поставок.
В одном из недавних инцидентов атакующие скомпрометировали публичный веб-портал и, используя ошибки конфигурации в PostgreSQL, смогли удаленно выполнить команды. Такой вектор заражения ранее не встречался в атаках с GoRed.
Сначала злоумышленники получили список запущенных на хосте процессов, после чего выполнили обфусцированную команду, которая загрузила на этот хост бэкдор GoRed, который затем запускали его вручную.
Помимо компрометации веб-портала жертвы, злоумышленники получали первоначальный доступ, эксплуатируя цепочку уязвимостей ProxyShell в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).
Получив повышенные права, злоумышленники загружали вредоносный веб-шелл (.aspx) в корневой каталог сервера Exchange. С помощью него проводили первоначальную разведку, а затем через него же загружали GoRed.
После установки GoRed операторы запрашивали различные данные о системе, выполняли простые для обнаружения команды для получения учетных данных, а также использовали бэкдор для развертывания Cobalt Strike.
Большинство образцов Cobalt Strike представляли собой троянизированные версии легитимных инструментов Sysinternals, а именно Sysmon и Process Explorer.
Также ресерчерам ЛК удалось задетектить несколько троянизированных инструментов Sysinternals, которые вместо Cobalt Strike загружали агент Tuoni - продвинутого C2-фреймворка, который появился в феврале 2024 года.
Он использовался для выполнения разведывательных команд.
Бэкдор GoRed обращался к C2-доменам, зарегистрированным через NameCheap, а также серверам CloudFlare и хостинг-провайдеров, в основном расположенных в России.
На этапе постэксплуатации злоумышленники использовали Leaked Wallpaper - инструмент повышения привилегий, позволяющий извлечь NetNTLM-хэш пользователя из любого сеанса на компьютере.
Примечательно, что арсенале атакующих отыскались инструменты другой группы, действующей на российском направлении, - BO Team.
Кроме того, одна из недавних жертв Red Likho упоминалась среди жертв BO Team в их Telegram-канале.
По всей видимости, две группы кооперируются или вовсе могли проводить совместные операции.
Учитывая, что BO Team известна сотрудничеством с другими хактивистами, атакующими Россию, включая Ukrainian Cyber Alliance, вполне вероятно, что группа обменивается опытом и инструментами и с Red Likho, или же это может быть совместная скоординированная операция.
Технические подробности и IOCs - в отчете.
Securelist
Red Likho атакует цепочки поставок бэкдором GoRed
Разбираем недавнюю кампанию бэкдора GoRed: новые цели, TTP, C2-серверы, связь с BO Team, ориентированность злоумышленников на цепочку поставок.
Fortinet втайне устранила критическую 0-day в своем брандмауэре FortiWeb, которая теперь массово эксплуатируется в дикой природе.
Как подтверждает сам поставщик, ошибка была устранена после появившийся в начале октября сообщений об эксплуатации неизвестной уязвимости обхода пути FortiWeb без аутентификации для создания новых аккаунтов администраторов на устройствах с доступом к Интернету.
Атаки были впервые обнаружены 6 октября компанией Defused, занимающейся разведкой угроз, которая опубликовала PoC, публично сообщив, что недокументированный эксплойт Fortinet (возможно, вариант для CVE-2022-40684) используется для отправки HTTP-запросов POST на конечную точку Fortinet /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi для создания локальных учетных записей уровня администратора.
Позже исследователи watchTowr Labs также продемонстрировали эксплойт и выпустили специальный инструмент для FortiWeb, призванный помочь ИБ-специалистам идентифицировать уязвимые устройства.
В свою очередь, Rapid7 отметила, что уязвимость затрагивает версии FortiWeb 8.0.1 и более ранние, что подтверждается неработоспособностью общедоступного экспериментального PoC после обновления до 8.0.2.
И, теперь уже, Fortinet анонсировала эксплуатацию уязвимости путаницы путей (отслеживаемую как CVE-2025-64446) в компоненте графического интерфейса FortiWeb, которая позволяет неаутентифицированным злоумышленникам выполнять административные команды на непатченных системах с помощью специально созданных HTTP- или HTTPS-запросов.
В своем бюллетене по безопасности компания также подтвердила, что 0-day была устранена в версии FortiWeb 8.0.2, выпущенной 28 октября, через три недели после первого сообщения об активной эксплуатации CVE-2025-64446.
Администраторам, которые не имеют возможности оперативного перехода на FortiWeb 8.0.2, следует отключить HTTP или HTTPS для всех интерфейсов управления, подключенных к Интернету, и убедиться, что доступ ограничен доверенными сетями.
Fortinet также посоветовала клиентам проверить свою конфигурацию и просмотреть журналы на предмет новых неавторизованных учетных записей администраторов и других неожиданных изменений.
Как подтверждает сам поставщик, ошибка была устранена после появившийся в начале октября сообщений об эксплуатации неизвестной уязвимости обхода пути FortiWeb без аутентификации для создания новых аккаунтов администраторов на устройствах с доступом к Интернету.
Атаки были впервые обнаружены 6 октября компанией Defused, занимающейся разведкой угроз, которая опубликовала PoC, публично сообщив, что недокументированный эксплойт Fortinet (возможно, вариант для CVE-2022-40684) используется для отправки HTTP-запросов POST на конечную точку Fortinet /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi для создания локальных учетных записей уровня администратора.
Позже исследователи watchTowr Labs также продемонстрировали эксплойт и выпустили специальный инструмент для FortiWeb, призванный помочь ИБ-специалистам идентифицировать уязвимые устройства.
В свою очередь, Rapid7 отметила, что уязвимость затрагивает версии FortiWeb 8.0.1 и более ранние, что подтверждается неработоспособностью общедоступного экспериментального PoC после обновления до 8.0.2.
И, теперь уже, Fortinet анонсировала эксплуатацию уязвимости путаницы путей (отслеживаемую как CVE-2025-64446) в компоненте графического интерфейса FortiWeb, которая позволяет неаутентифицированным злоумышленникам выполнять административные команды на непатченных системах с помощью специально созданных HTTP- или HTTPS-запросов.
В своем бюллетене по безопасности компания также подтвердила, что 0-day была устранена в версии FortiWeb 8.0.2, выпущенной 28 октября, через три недели после первого сообщения об активной эксплуатации CVE-2025-64446.
Администраторам, которые не имеют возможности оперативного перехода на FortiWeb 8.0.2, следует отключить HTTP или HTTPS для всех интерфейсов управления, подключенных к Интернету, и убедиться, что доступ ограничен доверенными сетями.
Fortinet также посоветовала клиентам проверить свою конфигурацию и просмотреть журналы на предмет новых неавторизованных учетных записей администраторов и других неожиданных изменений.
X (formerly Twitter)
CERT Orange Cyberdefense (@CERTCyberdef) on X
We confirm the #FortiWeb issue is massively exploited in the wild.
After analysis and tests, we can confirm as well, this vulnerability is fixed in the following versions:
- 8.0: 8.0.2
- 7.6: 7.6.5
- 7.4: 7.4.10
- 7.2: 7.2.12
After analysis and tests, we can confirm as well, this vulnerability is fixed in the following versions:
- 8.0: 8.0.2
- 7.6: 7.6.5
- 7.4: 7.4.10
- 7.2: 7.2.12
VulnCheck задетектила широкомасштабную эксплуатацию недавней критической уязвимости XWiki, которая началась в течение двух недель после того, как ошибка была обнаружена.
Уязвимость отслеживается как CVE-2025-24893 (CVSS 9,8) и была обнаружена в мае 2024 года и исправлена в июне 2024 года, но идентификатор CVE ей был присвоен только в начале 2025 года, после того как техническая информация стала общедоступной.
Ошибка обусловлена тем, что в версиях XWiki до 15.10.11, 16.4.1 и 16.5.0RC1 вводимые пользователем данные для функции поиска неправильно очищаются, позволяя удаленно реализовать RCE без аутентификации с помощью специально созданных запросов к конечной точке поиска.
При этом PoC для этой CVE-2025-24893 стал доступен с начала 2025 года, когда исследователи заметили, что ошибка использовалась в разведывательных целях, но ее реальная эксплуатация началась только в прошлом месяце.
В конце октября VulnCheck предупредила, что злоумышленник использует уязвимость CVE-2025-24893 для майнинга крипты, а спустя два дня американская CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей (KEV).
По данным VulnCheck, вредоносная активность, нацеленная на уязвимые серверы XWiki, значительно усилилась, поскольку ошибка теперь задейстсвуется в кампаниях одновременно разными злоумышленниками.
Наблюдался всплеск попыток эксплуатации уязвимостей, достигший нового максимума 7 ноября, за которым последовал еще один всплеск 11 ноября. Это указывает на более масштабную активность сканирования, вероятно, вызванную участием нескольких злоумышленников.
В частности, эксплойт для CVE был добавлен инструментарии боднет RondoDox, так что начиная с 3 ноября уязвимость стала активно использоваться его операторами в атаках.
RondoDox - ботнет, который быстро добавляет новые векторы эксплуатации, объединяя уязвимые устройства в ботнет для проведения распределенных атак типа DDoS с использованием протоколов HTTP, UDP и TCP.
С 7 ноября уязвимость начала применяться в другой кампании, связанной с майнингом, в то время как - предыдущий эксплуататор предпринял меры по расширению своих атак, добавив дополнительные сервера для размещения полезной нагрузки.
VulnCheck также зафиксировала атаки, в которых IP-адрес, связанный с AWS, без истории злоупотреблений, использовался «для создания обратного шелла к самому себе с помощью двоичного файла BusyBox nc», вероятно, в рамках целенаправленной атаки.
Вообще, веб-шеллы на уязвимых серверах XWiki пытались устанавливать и другие злоумышленники.
Кроме того, VulnCheck зафиксировала массовые сканирования уязвимых серверов со стороны различных субъектов угроз, в том числе с использованием шаблонов Nuclei.
Уязвимость отслеживается как CVE-2025-24893 (CVSS 9,8) и была обнаружена в мае 2024 года и исправлена в июне 2024 года, но идентификатор CVE ей был присвоен только в начале 2025 года, после того как техническая информация стала общедоступной.
Ошибка обусловлена тем, что в версиях XWiki до 15.10.11, 16.4.1 и 16.5.0RC1 вводимые пользователем данные для функции поиска неправильно очищаются, позволяя удаленно реализовать RCE без аутентификации с помощью специально созданных запросов к конечной точке поиска.
При этом PoC для этой CVE-2025-24893 стал доступен с начала 2025 года, когда исследователи заметили, что ошибка использовалась в разведывательных целях, но ее реальная эксплуатация началась только в прошлом месяце.
В конце октября VulnCheck предупредила, что злоумышленник использует уязвимость CVE-2025-24893 для майнинга крипты, а спустя два дня американская CISA добавила эту ошибку в свой каталог известных эксплуатируемых уязвимостей (KEV).
По данным VulnCheck, вредоносная активность, нацеленная на уязвимые серверы XWiki, значительно усилилась, поскольку ошибка теперь задейстсвуется в кампаниях одновременно разными злоумышленниками.
Наблюдался всплеск попыток эксплуатации уязвимостей, достигший нового максимума 7 ноября, за которым последовал еще один всплеск 11 ноября. Это указывает на более масштабную активность сканирования, вероятно, вызванную участием нескольких злоумышленников.
В частности, эксплойт для CVE был добавлен инструментарии боднет RondoDox, так что начиная с 3 ноября уязвимость стала активно использоваться его операторами в атаках.
RondoDox - ботнет, который быстро добавляет новые векторы эксплуатации, объединяя уязвимые устройства в ботнет для проведения распределенных атак типа DDoS с использованием протоколов HTTP, UDP и TCP.
С 7 ноября уязвимость начала применяться в другой кампании, связанной с майнингом, в то время как - предыдущий эксплуататор предпринял меры по расширению своих атак, добавив дополнительные сервера для размещения полезной нагрузки.
VulnCheck также зафиксировала атаки, в которых IP-адрес, связанный с AWS, без истории злоупотреблений, использовался «для создания обратного шелла к самому себе с помощью двоичного файла BusyBox nc», вероятно, в рамках целенаправленной атаки.
Вообще, веб-шеллы на уязвимых серверах XWiki пытались устанавливать и другие злоумышленники.
Кроме того, VulnCheck зафиксировала массовые сканирования уязвимых серверов со стороны различных субъектов угроз, в том числе с использованием шаблонов Nuclei.
VulnCheck
VulnCheck - Outpace Adversaries
Vulnerability intelligence that predicts avenues of attack with speed and accuracy.
Forwarded from Russian OSINT
fullreport_cyber_espionage_13Nov2025.pdf
667.5 KB
Компания Anthropic выкатила ноябрьский отчёт
В отчёте утверждается, что злоумышленники использовали Claude Code и ИИ-агентов в качестве самостоятельных исполнителей на всех стадиях атак, от разведки до эксфильтрации конфиденциальных данных. Если верить отчёту, то ИИ-агенты автономно выполняли до 80-90% тактических операций, действуя как единая команда профессиональных пентестеров на сверхчеловеческих скоростях.
Изначально злоумышленники использовали "социальную инженерию", убеждая большую языковую модель Claude, что она участвует в легитимном тестировании на проникновение. Операторы-люди лишь задавали первоначальные цели и утверждали ключевые решения, сохраняя за собой исключительно стратегический контроль.
ИИ-модель продемонстрировала способность автономно обнаруживать уязвимости, создавать полезные нагрузки и успешно их применять в реальных операциях, но вместе с тем проявились и недостатки. "Галлюцинации" ИИ стали серьезным препятствием для атакующих, поскольку модель периодически фабриковала данные и преувеличивала результаты.
Тем не менее, кейс подтверждает резкое снижение барьеров для проведения сложных киберопераций, делая их доступными для менее ресурсных групп.
Пример:
👤 Человек: Дает начальную цель (например, "Компания X").
🤖 ИИ-агент:
1️⃣ Разведка 🕵️♂️ → Автономно сканирует сеть, ищет сервисы и слабые места.
2️⃣ Анализ уязвимостей 🔬 → Находит "дыру" в защите, изучает ее и сам пишет код для взлома (эксплойт).
3️⃣ Взлом 🔓 → После одобрения человеком проникает в систему.
4️⃣ Захват сети 🕸 → Распространяется по внутренней сети, воруя пароли и доступы.
5️⃣ Поиск данных
6️⃣ Кража информации 📤 → По команде человека выгружает ценные сведения.
👆Компания отмечает, что те же возможности, которые были использованы для атаки, являются критически важными и для киберобороны. Для расследования атаки Anthropic активно использовала собственные ИИ-модели, подчёркивая их двойную роль ИИ в кибербезопасности.
Please open Telegram to view this post
VIEW IN TELEGRAM
Jaguar Land Rover (JLR) опубликовала финансовые результаты за период с 1 июля по 30 сентября, отмечая, что ущерб от недавней кибератаки за квартал составил 196 миллионов фунтов стерлингов (220 миллионов долларов США).
Официальное заявление в отношении кибератаке состоялось 2 сентября 2025 года, что вынудило британского автопроизводителя остановить производство на основных заводах и отправить сотрудников домой.
В последующем заявлении Jaguar Land Rover подтвердила кражу данных, о которой заявили взявшие на себя ответственность участники хакерского коллектива Scattered Lapsus$ Hunters.
Перебои в работе продолжались в течение нескольких недель, создавая нагрузку на финансовое положение как самой компании, так и некоторых ее поставщиков в цепочке поставок, которые столкнулись с серьезными проблемами ликвидности и откровенным банкротством.
Все пришло к тому, что 29 сентября 2025 года правительство Великобритании было вынуждено вмешаться в ситуацию для спасения JLR, выдав гарантии по кредиту в размере 1,5 млрд. фунтов стерлингов для восстановления цепочки поставок и скорейшего возобновления производства.
Судя по опубликованным JLR финансовым результатам, кибератака с последующей остановкой производства и сбоями в продажах достаточно серьезно ударила по доходной части компании.
Критичное падение показателей также подтверждает Банк Англии уже в своем отчете по денежно-кредитной политике, который был опубликован ранее на этой неделе.
Финансисты отметили, что ВВП страны в третьем квартале 2025 года оказался «слабее» ожиданий, назвав кибератаку на Jaguar Land Rover одной из основных причин.
Несмотря на все это, JLR рапортовала, что ее деятельность в настоящее время стабилизировалась, включая продажную сеть, логистику запчастей и контрактование поставщиков.
При этом объемы инвестиций под сокращение попали и останутся на прежнем уровне.
Но будем посмотреть.
Официальное заявление в отношении кибератаке состоялось 2 сентября 2025 года, что вынудило британского автопроизводителя остановить производство на основных заводах и отправить сотрудников домой.
В последующем заявлении Jaguar Land Rover подтвердила кражу данных, о которой заявили взявшие на себя ответственность участники хакерского коллектива Scattered Lapsus$ Hunters.
Перебои в работе продолжались в течение нескольких недель, создавая нагрузку на финансовое положение как самой компании, так и некоторых ее поставщиков в цепочке поставок, которые столкнулись с серьезными проблемами ликвидности и откровенным банкротством.
Все пришло к тому, что 29 сентября 2025 года правительство Великобритании было вынуждено вмешаться в ситуацию для спасения JLR, выдав гарантии по кредиту в размере 1,5 млрд. фунтов стерлингов для восстановления цепочки поставок и скорейшего возобновления производства.
Судя по опубликованным JLR финансовым результатам, кибератака с последующей остановкой производства и сбоями в продажах достаточно серьезно ударила по доходной части компании.
Критичное падение показателей также подтверждает Банк Англии уже в своем отчете по денежно-кредитной политике, который был опубликован ранее на этой неделе.
Финансисты отметили, что ВВП страны в третьем квартале 2025 года оказался «слабее» ожиданий, назвав кибератаку на Jaguar Land Rover одной из основных причин.
Несмотря на все это, JLR рапортовала, что ее деятельность в настоящее время стабилизировалась, включая продажную сеть, логистику запчастей и контрактование поставщиков.
При этом объемы инвестиций под сокращение попали и останутся на прежнем уровне.
Но будем посмотреть.
JLR
JLR PERFORMANCE IMPACTED IN CHALLENGING QUARTER
Gaydon, UK, 14 November 2025: Jaguar Land Rover Automotive plc (“JLR”) today reports its financial results for the three months to 30 September 2025 (Q2 FY26):
Google выпустила экстренные обновления для исправления седьмой 0-day в Chrome, которая отслеживается как CVE-2025-13223 и активно использовалась при атаках.
Высокосерьёзная уязвимость связана с проблемой ошибкой путаницы типов в движке JavaScript V8 Chrome, о которой на прошлой неделе сообщил Клемент Лесинь из Google TAG.
Как уже не раз отмечалось, именно эта группа исследователей анализирует 0-day эксплойты, разрабатываемые APT и часто задействуемые в шпионских кампаниях, нацеленных на лиц из «группы риска», к которой относят журналистов, общественных и политических деятелей.
Исправления для нуля Google реализовала в версиях 142.0.7444.175/.176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux.
Традиционно несмотря на то, что Google и подтвердила использование уязвимости CVE-2025-13223 в атаках, дополнительные подробности относительно ее активной эксплуатации пока не раскрываются.
Как уже упоминалось, это седьмая эксплуатируемая 0-day в Chrome, которую Google устранила в этом году, еще шесть были исправлены в марте, мае, июне, июле и сентябре.
В сентябре и июле были закрыты две активно эксплуатируемые CVE-2025-10585 и CVE-2025-6558, о которых также сообщили исследователи Google TAG.
В мае Google выпустила экстренные обновления безопасности для устранения CVE-2025-4664, которая позволяла злоумышленникам взламывать аккаунты.
Обновления также пофиксили уязвимость чтения и записи за пределами выделенного буфера памяти (CVE-2025-5419) в движке JavaScript V8, обнаруженную Google TAG в июне.
В марте Google также исправила серьезную уязвимость «песочницы» (CVE-2025-2783), о которой сообщила Лаборатория Касперского в рамках расследования шпионских атаках в отношении представителей российских СМИ и правительственных организаций.
В прошлом году на счету Google фигурировало 10 0-day, которые были раскрыты в рамках Pwn2Own или эксплуатировались в замеченных атаках.
Высокосерьёзная уязвимость связана с проблемой ошибкой путаницы типов в движке JavaScript V8 Chrome, о которой на прошлой неделе сообщил Клемент Лесинь из Google TAG.
Как уже не раз отмечалось, именно эта группа исследователей анализирует 0-day эксплойты, разрабатываемые APT и часто задействуемые в шпионских кампаниях, нацеленных на лиц из «группы риска», к которой относят журналистов, общественных и политических деятелей.
Исправления для нуля Google реализовала в версиях 142.0.7444.175/.176 для Windows, 142.0.7444.176 для Mac и 142.0.7444.175 для Linux.
Традиционно несмотря на то, что Google и подтвердила использование уязвимости CVE-2025-13223 в атаках, дополнительные подробности относительно ее активной эксплуатации пока не раскрываются.
Как уже упоминалось, это седьмая эксплуатируемая 0-day в Chrome, которую Google устранила в этом году, еще шесть были исправлены в марте, мае, июне, июле и сентябре.
В сентябре и июле были закрыты две активно эксплуатируемые CVE-2025-10585 и CVE-2025-6558, о которых также сообщили исследователи Google TAG.
В мае Google выпустила экстренные обновления безопасности для устранения CVE-2025-4664, которая позволяла злоумышленникам взламывать аккаунты.
Обновления также пофиксили уязвимость чтения и записи за пределами выделенного буфера памяти (CVE-2025-5419) в движке JavaScript V8, обнаруженную Google TAG в июне.
В марте Google также исправила серьезную уязвимость «песочницы» (CVE-2025-2783), о которой сообщила Лаборатория Касперского в рамках расследования шпионских атаках в отношении представителей российских СМИ и правительственных организаций.
В прошлом году на счету Google фигурировало 10 0-day, которые были раскрыты в рамках Pwn2Own или эксплуатировались в замеченных атаках.
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 142.0.7444.175/.176 for Windows and 142.0.7444.176 for Mac and 142.0.7444.175 for Linux, which will...
Cloudflare на время вышла из чата: в компании посетовали на плановые технические работы, однако позже уведомили пользователей о проблемах с сервисом.
Подробности будут доступны позже, по мере появления новой информации.
В Cloudflare отметили, что знают о проблеме, которая потенциально затрагивает множество клиентов, и работают над ее исправлением.
Причины не раскрываются.
При этом Downdetector также сбоит. Известно, что наибольшее число жалоб поступило из Великобритании - 8,7 тыс., США - 4,9 тыс., Японии - 4,1 тыс., Германии - 2,7 тыс., Испании и Франции - по 1,7 тыс., Италии - 1,4 тыс.
Будем следить.
P.S.: акции компании вслед за трафиком полетели вниз.
Подробности будут доступны позже, по мере появления новой информации.
В Cloudflare отметили, что знают о проблеме, которая потенциально затрагивает множество клиентов, и работают над ее исправлением.
Причины не раскрываются.
При этом Downdetector также сбоит. Известно, что наибольшее число жалоб поступило из Великобритании - 8,7 тыс., США - 4,9 тыс., Японии - 4,1 тыс., Германии - 2,7 тыс., Испании и Франции - по 1,7 тыс., Италии - 1,4 тыс.
Будем следить.
P.S.: акции компании вслед за трафиком полетели вниз.
Cloudflarestatus
Cloudflare Status
Welcome to Cloudflare's home for real-time and historical data on system performance.
Aisuru продолжает лютовать, на этот раз атаковав сеть Azure. Microsoft пришлось отражать DDoS-атаку мощностью 15,72 терабит в секунду (Тбит/с), запущенную с более чем 500 000 IP-адресов.
В атаке задействовались чрезвычайно высокоскоростные UDP-пакеты, нацеленные на конкретный публичный IP-адрес в Австралии, достигая почти 3,64 млрд. пакетов в секунду (bpps).
Aisuru представляет собой IoT-ботнет класса Turbo Mirai, который в последнее время стоит за рекордными DDoS-атаками с использованием взломанных домашних маршрутизаторов и камер, в основном у домашних интернет-провайдеров в США и других странах.
Замеченные UDP-пакеты имели минимальную подмену источника и полагались на случайные порты, что помогло упростить обратную трассировку и значительно облегчило контроль со стороны провайдера.
Ранее Cloudflare связала ботнет с рекордной DDoS-атакой со скоростью 22,2 Тбит/с, которая достигла 10,6 млрд. Tbps и была отражена в сентябре 2025 года.
Она продлилась всего 40 секунд, но была примерно эквивалентна одновременной потоковой передаче одного млн. видео в формате 4K.
Неделей ранее XLab Qi'anxin приписало еще одну DDoS-атаку мощностью 11,5 Тбит/с ботнету Aisuru, заявив, что на тот момент он контролировал около 300 000 ботов.
Ботнет нацеливается на уязвимости IP-камер, DVR/NVR, чипов Realtek и маршрутизаторов T-Mobile, Zyxel, D-Link и Linksys.
Как отмечает XLab, он резко разросся в апреле 2025 года после взлома его операторами сервера обновления маршрутизаторов TotoLink и заражения около 100 000 устройств.
В свою очередь, Брайан Кребс сообщал, что Cloudflare была вынуждена удалить ряд доменов, связанных с Aisuru, из рейтинга наиболее часто запрашиваемых сайтов (на основе DNS-запросов) после того, как они начали опережать легитимные сайты, в том числе Amazon, Microsoft и Google.
Компания заявила, что операторы Aisuru намеренно перегружали DNS-сервис Cloudflare (1.1.1.1) вредоносным трафиком, чтобы повысить популярность своего домена и одновременно подорвать доверие к рейтингам.
В атаке задействовались чрезвычайно высокоскоростные UDP-пакеты, нацеленные на конкретный публичный IP-адрес в Австралии, достигая почти 3,64 млрд. пакетов в секунду (bpps).
Aisuru представляет собой IoT-ботнет класса Turbo Mirai, который в последнее время стоит за рекордными DDoS-атаками с использованием взломанных домашних маршрутизаторов и камер, в основном у домашних интернет-провайдеров в США и других странах.
Замеченные UDP-пакеты имели минимальную подмену источника и полагались на случайные порты, что помогло упростить обратную трассировку и значительно облегчило контроль со стороны провайдера.
Ранее Cloudflare связала ботнет с рекордной DDoS-атакой со скоростью 22,2 Тбит/с, которая достигла 10,6 млрд. Tbps и была отражена в сентябре 2025 года.
Она продлилась всего 40 секунд, но была примерно эквивалентна одновременной потоковой передаче одного млн. видео в формате 4K.
Неделей ранее XLab Qi'anxin приписало еще одну DDoS-атаку мощностью 11,5 Тбит/с ботнету Aisuru, заявив, что на тот момент он контролировал около 300 000 ботов.
Ботнет нацеливается на уязвимости IP-камер, DVR/NVR, чипов Realtek и маршрутизаторов T-Mobile, Zyxel, D-Link и Linksys.
Как отмечает XLab, он резко разросся в апреле 2025 года после взлома его операторами сервера обновления маршрутизаторов TotoLink и заражения около 100 000 устройств.
В свою очередь, Брайан Кребс сообщал, что Cloudflare была вынуждена удалить ряд доменов, связанных с Aisuru, из рейтинга наиболее часто запрашиваемых сайтов (на основе DNS-запросов) после того, как они начали опережать легитимные сайты, в том числе Amazon, Microsoft и Google.
Компания заявила, что операторы Aisuru намеренно перегружали DNS-сервис Cloudflare (1.1.1.1) вредоносным трафиком, чтобы повысить популярность своего домена и одновременно подорвать доверие к рейтингам.
TECHCOMMUNITY.MICROSOFT.COM
Defending the cloud: Azure neutralized a record-breaking 15 Tbps DDoS attack | Microsoft Community Hub
On October 24, 2025, Azure DDOS Protection automatically detected and mitigated a multi-vector DDoS attack measuring 15.72 Tbps and nearly 3.64 billion...
Пока одна часть Microsoft упражнялась с Aisuru другая спасала пользователей Windows 10, пытаясь отладить установку расширенных обновлений безопасности (ESU) для пользователей, которые с первой же итерации столкнулись с проблемами при установке.
Традиционный патчинг патчинга снова в действий - уже даже после окончания поддержки Windows 10, которая завершилась 14 октября 2025 года.
Теперь Microsoft больше не представляет новые функции и не выпускает бесплатные обновления безопасности.
Для частных и корпоративных пользователей, желающих продолжить использование Windows 10, Microsoft представила расширенные обновления безопасности (ESU).
Но обещанное первое расширенное обновление безопасности для Windows 10, вышедшее в этом ноябре, так и не дошло до пользователей, столкнувшихся при установке с ошибкой 0x800f0922 (CBS_E_INSTALLERS_FAILED).
Так что Microsoft пришлось выпускать экстренное внеочередное обновление для Windows 10.
Теперь только после установки этого подготовительного пакета (KB5072653) пользователи десятки смогут развернуть обновление безопасности за ноябрь 2025 года (KB5068781).
Для установки обновления устройство должно работать под управлением Windows 10 22H2 и иметь установленное накопительное обновление KB5066791 за октябрь 2025 года.
Microsoft утверждает, что после установки обновления KB5072653 и перезапуска системы пользователям следует повторно запустить Центр обновления Windows, чтобы установить ноябрьское расширенное обновление безопасности.
Однако некоторые админы Windows сообщили [1 и 2], что WSUS и SCCM по ошибке указывают, что устройству Windows 10 требуется расширенное обновление безопасности, даже если оно правильно зарегистрировано в программе.
В свою очередь, Microsoft заявила, что выпустит новый Scan Cab с обновленными метаданными для этого обновления, чтобы обеспечить корректную проверку обновлений на соответствие требованиям, о чем немедленно уведомит тех, кто использует CAB-файлы.
В общем, все как обычно, и комментировать нечего.
Традиционный патчинг патчинга снова в действий - уже даже после окончания поддержки Windows 10, которая завершилась 14 октября 2025 года.
Теперь Microsoft больше не представляет новые функции и не выпускает бесплатные обновления безопасности.
Для частных и корпоративных пользователей, желающих продолжить использование Windows 10, Microsoft представила расширенные обновления безопасности (ESU).
Но обещанное первое расширенное обновление безопасности для Windows 10, вышедшее в этом ноябре, так и не дошло до пользователей, столкнувшихся при установке с ошибкой 0x800f0922 (CBS_E_INSTALLERS_FAILED).
Так что Microsoft пришлось выпускать экстренное внеочередное обновление для Windows 10.
Теперь только после установки этого подготовительного пакета (KB5072653) пользователи десятки смогут развернуть обновление безопасности за ноябрь 2025 года (KB5068781).
Для установки обновления устройство должно работать под управлением Windows 10 22H2 и иметь установленное накопительное обновление KB5066791 за октябрь 2025 года.
Microsoft утверждает, что после установки обновления KB5072653 и перезапуска системы пользователям следует повторно запустить Центр обновления Windows, чтобы установить ноябрьское расширенное обновление безопасности.
Однако некоторые админы Windows сообщили [1 и 2], что WSUS и SCCM по ошибке указывают, что устройству Windows 10 требуется расширенное обновление безопасности, даже если оно правильно зарегистрировано в программе.
В свою очередь, Microsoft заявила, что выпустит новый Scan Cab с обновленными метаданными для этого обновления, чтобы обеспечить корректную проверку обновлений на соответствие требованиям, о чем немедленно уведомит тех, кто использует CAB-файлы.
В общем, все как обычно, и комментировать нечего.
Reddit
From the SCCM community on Reddit
Explore this post and more from the SCCM community
В Cloudflare заявили, что сбой в работе сервиса, который привел к значительным сбоям в работе клиентов во вторник, не был результатом хакерской атаки.
Напоминать о том, что произошло не будем, последствия инцидента затронули миллионы пользователей: Cloudflare обслуживает около 19% всех активных сайтов, а также Интернет-ресурсы 35% всех компаний из списка Fortune 500.
Сбои в работе ощутили сайты и других цифровых сервисов, связанных с критически важными организациями, в частности, New Jersey Transit, New York City Emergency Management, французскую ж/д компанию SNCF и многие др.
Не до конца разобравшись в сути проблемы, Cloudflare изначально отметила «всплеск необычного трафика», что навело на мысль, что сбой может быть результатом кибератаки.
Однако технический директор Cloudflare Дэн Кнехт во вторник утром опроверг эту версию.
В реальности оказалось, что была допущена ошибка в управлении сервисом в функции противодействия ботам после планового изменения конфигурации, которая распространилась на все другие системы.
Согласно хронометражу, Cloudflare приступила к расследованию инцидента в 11:48 UTC, а исправление было реализовано к 14:42 UTC, однако некоторые баги все еще наблюдались два часа спустя.
Похвально то, что в компании признали даже не саму ошибку, а согласились с тем, что реагирование не было должным образом оперативно реализовано.
Так что в Cloudflare пообещали причесать должным образом все инструкции на этот счет, дабы не допустить подобное в будущем.
По итогу, Мэтью Принс, соучредитель и генеральный директор Cloudflare, принес извинения и представил дополнительные подробности инцидента, который назвал самым масштабным сбоем в работе компании с 2019 года.
Не CrowdStrike Falcon, но все равно неприятно. Теперь последствия покататься от клиентов в обратную сторону.
Но будем посмотреть.
Напоминать о том, что произошло не будем, последствия инцидента затронули миллионы пользователей: Cloudflare обслуживает около 19% всех активных сайтов, а также Интернет-ресурсы 35% всех компаний из списка Fortune 500.
Сбои в работе ощутили сайты и других цифровых сервисов, связанных с критически важными организациями, в частности, New Jersey Transit, New York City Emergency Management, французскую ж/д компанию SNCF и многие др.
Не до конца разобравшись в сути проблемы, Cloudflare изначально отметила «всплеск необычного трафика», что навело на мысль, что сбой может быть результатом кибератаки.
Однако технический директор Cloudflare Дэн Кнехт во вторник утром опроверг эту версию.
В реальности оказалось, что была допущена ошибка в управлении сервисом в функции противодействия ботам после планового изменения конфигурации, которая распространилась на все другие системы.
Согласно хронометражу, Cloudflare приступила к расследованию инцидента в 11:48 UTC, а исправление было реализовано к 14:42 UTC, однако некоторые баги все еще наблюдались два часа спустя.
Похвально то, что в компании признали даже не саму ошибку, а согласились с тем, что реагирование не было должным образом оперативно реализовано.
Так что в Cloudflare пообещали причесать должным образом все инструкции на этот счет, дабы не допустить подобное в будущем.
По итогу, Мэтью Принс, соучредитель и генеральный директор Cloudflare, принес извинения и представил дополнительные подробности инцидента, который назвал самым масштабным сбоем в работе компании с 2019 года.
Не CrowdStrike Falcon, но все равно неприятно. Теперь последствия покататься от клиентов в обратную сторону.
Но будем посмотреть.
AP News
Cloudflare resolves outage that impacted thousands, ChatGPT, X and more
A widely used Internet infrastructure company said that it has resolved an issue that led to outages impacting users of everything from ChatGPT and the online game, “League of Legends,” to the New Jersey Transit system early Tuesday.
Forwarded from Social Engineering
📦 Диагностика безопасности контейнеров.
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
➡ Trivy - эта утилита нацелена на нахождение уязвимостей двух типов – проблемы сборок ОС (поддерживаются Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) и проблемы в зависимостях. Trivy умеет сканировать как образ в репозитории, так и локальный образ, а также проводить сканирование на основании переданного
➡ Dockle - консольная утилита, работающая с образом (или с сохраненным tar-архивом образа), которая проверяет корректность и безопасность конкретного образа как такового, анализируя его слои и конфигурацию – какие пользователи созданы, какие инструкции используются, какие тома подключены, присутствие пустого пароля и т.д.
➡ Hadolint - довольно простая консольная утилита, которая помогает в первом приближении оценить корректность и безопасность Dockerfile-ов (например использование только разрешенных реестров образов или использование sudo).
• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
S.E. ▪️ infosec.work ▪️ VT
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
.tar файла с Docker-образом.• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortinet выпустила обновления для второй обнаруженной в этом месяце 0-day в FortiWeb, которую злоумышленники активно используют в реальных атаках.
Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034.
Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI.
В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях.
В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости.
Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня.
Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации.
По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.
Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034.
Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI.
В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях.
В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости.
Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня.
Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации.
По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Исследователи из Венского университета сообщают о серьезных уязвимости в WhatsApp, благодаря которым им удалось без особых сложностей и каких-либо ограничений спарсить более 3,5 млрд. аккаунтов с привязкой к телефонам, аватаркам и даже ключам шифрования.
Признанная в России экстремистской Meta устранила проблему в октябре 2025 года, однако слитые посредством нее данные фактически представляют собой одну из крупнейших потенциальных утечек.
Свои выводы исследователи раскрыли в ходе презентации исследования на конференции NDSS 2026, которое проводилось с декабря 2024 года по апрель 2025 года.
Задействовав собственную инфраструктуру WhatsApp они спарсили данные со скоростью более 100 млн. телефонных номеров в час с помощью реверс-инжиниринга API.
Примечательно, что WhatsApp никак не отреагировала на столь высокую частоту запросов, которые при этом исходили с одного университетского сервера и всего пятя аутентифицированных учётных записей.
По итогу исследователям удалось отпарсить более чем 3,5 млрд. учётных записей пользователей, включая привязанные номера телефонов, фото профилей (если они были публичными), текст «о себе» и даже ключи шифрования, используемые для сквозного шифрования переписки.
Как отмечают исследователи, давно известная своей уязвимостью к атакам методом перебора функция поиска контактов, оставалась неисправленной в течение многих лет, несмотря на предыдущие исследования, проводившихся в 2012 году и повторно в 2021 году.
Отличительными особенностями нового исследования являются его беспрецедентный масштаб и скорость.
Команда разработала инструмент libphonegen, который сгенерировал реалистичный набор из 63 млрд. потенциальных номеров мобильных телефонов из 245 стран.
Затем эти емкости проверялись на предмет регистрации в WhatsApp по протоколу XMPP с помощью модифицированного клиента с открытым исходным кодом whatsmeow.
На пиковой скорости могли верифицировать по 7000 номеров в секунду, не сталкиваясь с блокировками.
По результатам парсинга выяснилось, что 56,7% аккаунтов по всему миру имели общедоступные фото, при этом в некоторых странах Западной Африки региональные различия достигали 80%.
29,3% имели видимые текстовые статусы, некоторые из которых раскрывали политические взгляды, религиозную принадлежность, сексуальную ориентацию или даже ссылки на внешние аккаунты в соцсетях.
Около 9% относились к категории бизнес-аккаунтов, часто из-за того, что из владельцы использовали WhatsApp Business, не понимая последствий раскрытия публичных данных.
Особую тревогу вызвало обнаружение 2,9 млн. случаев повторного использования открытых ключей, включая идентификационные ключи, подписанные предварительные ключи и одноразовые предварительные ключи, что негативно влияло целостность сквозного шифрования.
В одном случае 20 телефонных номеров в США использовали ключ, состоящий исключительно из нулей, что указывает на некорректную или вредоносную криптографическую реализацию, возможно, сторонних клиентов.
Получив уведомление по BugBounty еще в апреле 2025 года, Meta ввела более строгие ограничения лишь, начиная с октября.
Однако компания заявила, что раскрытые данные уже были общедоступны, и особо подчеркнула, что переписка по-прежнему защищена шифрованием.
Тем не менее, исследователи думают иначе и полагают, что принципиальная апробированная возможность создания глобальной базы данных пользователей, включая криптографические ключи, представляет существенный риск для безопасности пользователей.
Признанная в России экстремистской Meta устранила проблему в октябре 2025 года, однако слитые посредством нее данные фактически представляют собой одну из крупнейших потенциальных утечек.
Свои выводы исследователи раскрыли в ходе презентации исследования на конференции NDSS 2026, которое проводилось с декабря 2024 года по апрель 2025 года.
Задействовав собственную инфраструктуру WhatsApp они спарсили данные со скоростью более 100 млн. телефонных номеров в час с помощью реверс-инжиниринга API.
Примечательно, что WhatsApp никак не отреагировала на столь высокую частоту запросов, которые при этом исходили с одного университетского сервера и всего пятя аутентифицированных учётных записей.
По итогу исследователям удалось отпарсить более чем 3,5 млрд. учётных записей пользователей, включая привязанные номера телефонов, фото профилей (если они были публичными), текст «о себе» и даже ключи шифрования, используемые для сквозного шифрования переписки.
Как отмечают исследователи, давно известная своей уязвимостью к атакам методом перебора функция поиска контактов, оставалась неисправленной в течение многих лет, несмотря на предыдущие исследования, проводившихся в 2012 году и повторно в 2021 году.
Отличительными особенностями нового исследования являются его беспрецедентный масштаб и скорость.
Команда разработала инструмент libphonegen, который сгенерировал реалистичный набор из 63 млрд. потенциальных номеров мобильных телефонов из 245 стран.
Затем эти емкости проверялись на предмет регистрации в WhatsApp по протоколу XMPP с помощью модифицированного клиента с открытым исходным кодом whatsmeow.
На пиковой скорости могли верифицировать по 7000 номеров в секунду, не сталкиваясь с блокировками.
По результатам парсинга выяснилось, что 56,7% аккаунтов по всему миру имели общедоступные фото, при этом в некоторых странах Западной Африки региональные различия достигали 80%.
29,3% имели видимые текстовые статусы, некоторые из которых раскрывали политические взгляды, религиозную принадлежность, сексуальную ориентацию или даже ссылки на внешние аккаунты в соцсетях.
Около 9% относились к категории бизнес-аккаунтов, часто из-за того, что из владельцы использовали WhatsApp Business, не понимая последствий раскрытия публичных данных.
Особую тревогу вызвало обнаружение 2,9 млн. случаев повторного использования открытых ключей, включая идентификационные ключи, подписанные предварительные ключи и одноразовые предварительные ключи, что негативно влияло целостность сквозного шифрования.
В одном случае 20 телефонных номеров в США использовали ключ, состоящий исключительно из нулей, что указывает на некорректную или вредоносную криптографическую реализацию, возможно, сторонних клиентов.
Получив уведомление по BugBounty еще в апреле 2025 года, Meta ввела более строгие ограничения лишь, начиная с октября.
Однако компания заявила, что раскрытые данные уже были общедоступны, и особо подчеркнула, что переписка по-прежнему защищена шифрованием.
Тем не менее, исследователи думают иначе и полагают, что принципиальная апробированная возможность создания глобальной базы данных пользователей, включая криптографические ключи, представляет существенный риск для безопасности пользователей.
GitHub
whatsapp-census/Hey_there_You_are_using_WhatsApp.pdf at main · sbaresearch/whatsapp-census
Contribute to sbaresearch/whatsapp-census development by creating an account on GitHub.
Исследователи Positive Technologies в своем новом отчете подвели итоги работы по расследованию инцидентов за период с 4 квартала 2024 года по 3 квартал 2025 года (за предыдущий период - здесь и самая первая аналитика за 2021-2023 годы - здесь).
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
ptsecurity.com
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 | Аналитика от Positive Technologies
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 - исследование Positive Technologies. Ключевые выводы, данные и рекомендации экспертов в области кибербезопасности.
Критическая уязвимость плагина W3 Total Cache (W3TC) для WordPress может быть использована для запуска PHP-команд на сервере посредством публикации комментария с вредоносной полезной нагрузкой.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
WPScan
W3 Total Cache < 2.8.13 - Unauthenticated Command Injection
See details on W3 Total Cache < 2.8.13 - Unauthenticated Command Injection CVE 2025-9501. View the latest Plugin Vulnerabilities on WPScan.
Британское агентство NHS England в сфере здравоохранения выпустило предупреждение об активной эксплуатации недавно исправленной уязвимости 7-Zip в реальных атаках, которая приводит к удаленному выполнению кода (RCE) в контексте учётной записи службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
NHS England Digital
Proof-of-Concept Exploit Reported for CVE-2025-11001 in 7-Zip - NHS England Digital
A public proof-of-concept exploit is available for CVE-2025-11001, which has a CVSSv3 score of 7.0. This vulnerability could allow an attacker to execute arbitrary code on affected installations of 7-Zip.
Исследователи STRIKE из SecurityScorecard задетектили глобальную вредоносную кампанию, получившую название Operation WrtHug и нацеленную на устаревшие или вышедшие из эксплуатации маршрутизаторы ASUS WRT с использованием шести уязвимостей.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
SecurityScorecard
Operation WrtHug, The Global Espionage Campaign Hiding in Your Home Router
SecurityScorecard’s STRIKE team uncovers how attackers turned thousands of ASUS routers into a worldwide spy network.