Cloudflare на время вышла из чата: в компании посетовали на плановые технические работы, однако позже уведомили пользователей о проблемах с сервисом.
Подробности будут доступны позже, по мере появления новой информации.
В Cloudflare отметили, что знают о проблеме, которая потенциально затрагивает множество клиентов, и работают над ее исправлением.
Причины не раскрываются.
При этом Downdetector также сбоит. Известно, что наибольшее число жалоб поступило из Великобритании - 8,7 тыс., США - 4,9 тыс., Японии - 4,1 тыс., Германии - 2,7 тыс., Испании и Франции - по 1,7 тыс., Италии - 1,4 тыс.
Будем следить.
P.S.: акции компании вслед за трафиком полетели вниз.
Подробности будут доступны позже, по мере появления новой информации.
В Cloudflare отметили, что знают о проблеме, которая потенциально затрагивает множество клиентов, и работают над ее исправлением.
Причины не раскрываются.
При этом Downdetector также сбоит. Известно, что наибольшее число жалоб поступило из Великобритании - 8,7 тыс., США - 4,9 тыс., Японии - 4,1 тыс., Германии - 2,7 тыс., Испании и Франции - по 1,7 тыс., Италии - 1,4 тыс.
Будем следить.
P.S.: акции компании вслед за трафиком полетели вниз.
Cloudflarestatus
Cloudflare Status
Welcome to Cloudflare's home for real-time and historical data on system performance.
Aisuru продолжает лютовать, на этот раз атаковав сеть Azure. Microsoft пришлось отражать DDoS-атаку мощностью 15,72 терабит в секунду (Тбит/с), запущенную с более чем 500 000 IP-адресов.
В атаке задействовались чрезвычайно высокоскоростные UDP-пакеты, нацеленные на конкретный публичный IP-адрес в Австралии, достигая почти 3,64 млрд. пакетов в секунду (bpps).
Aisuru представляет собой IoT-ботнет класса Turbo Mirai, который в последнее время стоит за рекордными DDoS-атаками с использованием взломанных домашних маршрутизаторов и камер, в основном у домашних интернет-провайдеров в США и других странах.
Замеченные UDP-пакеты имели минимальную подмену источника и полагались на случайные порты, что помогло упростить обратную трассировку и значительно облегчило контроль со стороны провайдера.
Ранее Cloudflare связала ботнет с рекордной DDoS-атакой со скоростью 22,2 Тбит/с, которая достигла 10,6 млрд. Tbps и была отражена в сентябре 2025 года.
Она продлилась всего 40 секунд, но была примерно эквивалентна одновременной потоковой передаче одного млн. видео в формате 4K.
Неделей ранее XLab Qi'anxin приписало еще одну DDoS-атаку мощностью 11,5 Тбит/с ботнету Aisuru, заявив, что на тот момент он контролировал около 300 000 ботов.
Ботнет нацеливается на уязвимости IP-камер, DVR/NVR, чипов Realtek и маршрутизаторов T-Mobile, Zyxel, D-Link и Linksys.
Как отмечает XLab, он резко разросся в апреле 2025 года после взлома его операторами сервера обновления маршрутизаторов TotoLink и заражения около 100 000 устройств.
В свою очередь, Брайан Кребс сообщал, что Cloudflare была вынуждена удалить ряд доменов, связанных с Aisuru, из рейтинга наиболее часто запрашиваемых сайтов (на основе DNS-запросов) после того, как они начали опережать легитимные сайты, в том числе Amazon, Microsoft и Google.
Компания заявила, что операторы Aisuru намеренно перегружали DNS-сервис Cloudflare (1.1.1.1) вредоносным трафиком, чтобы повысить популярность своего домена и одновременно подорвать доверие к рейтингам.
В атаке задействовались чрезвычайно высокоскоростные UDP-пакеты, нацеленные на конкретный публичный IP-адрес в Австралии, достигая почти 3,64 млрд. пакетов в секунду (bpps).
Aisuru представляет собой IoT-ботнет класса Turbo Mirai, который в последнее время стоит за рекордными DDoS-атаками с использованием взломанных домашних маршрутизаторов и камер, в основном у домашних интернет-провайдеров в США и других странах.
Замеченные UDP-пакеты имели минимальную подмену источника и полагались на случайные порты, что помогло упростить обратную трассировку и значительно облегчило контроль со стороны провайдера.
Ранее Cloudflare связала ботнет с рекордной DDoS-атакой со скоростью 22,2 Тбит/с, которая достигла 10,6 млрд. Tbps и была отражена в сентябре 2025 года.
Она продлилась всего 40 секунд, но была примерно эквивалентна одновременной потоковой передаче одного млн. видео в формате 4K.
Неделей ранее XLab Qi'anxin приписало еще одну DDoS-атаку мощностью 11,5 Тбит/с ботнету Aisuru, заявив, что на тот момент он контролировал около 300 000 ботов.
Ботнет нацеливается на уязвимости IP-камер, DVR/NVR, чипов Realtek и маршрутизаторов T-Mobile, Zyxel, D-Link и Linksys.
Как отмечает XLab, он резко разросся в апреле 2025 года после взлома его операторами сервера обновления маршрутизаторов TotoLink и заражения около 100 000 устройств.
В свою очередь, Брайан Кребс сообщал, что Cloudflare была вынуждена удалить ряд доменов, связанных с Aisuru, из рейтинга наиболее часто запрашиваемых сайтов (на основе DNS-запросов) после того, как они начали опережать легитимные сайты, в том числе Amazon, Microsoft и Google.
Компания заявила, что операторы Aisuru намеренно перегружали DNS-сервис Cloudflare (1.1.1.1) вредоносным трафиком, чтобы повысить популярность своего домена и одновременно подорвать доверие к рейтингам.
TECHCOMMUNITY.MICROSOFT.COM
Defending the cloud: Azure neutralized a record-breaking 15 Tbps DDoS attack | Microsoft Community Hub
On October 24, 2025, Azure DDOS Protection automatically detected and mitigated a multi-vector DDoS attack measuring 15.72 Tbps and nearly 3.64 billion...
Пока одна часть Microsoft упражнялась с Aisuru другая спасала пользователей Windows 10, пытаясь отладить установку расширенных обновлений безопасности (ESU) для пользователей, которые с первой же итерации столкнулись с проблемами при установке.
Традиционный патчинг патчинга снова в действий - уже даже после окончания поддержки Windows 10, которая завершилась 14 октября 2025 года.
Теперь Microsoft больше не представляет новые функции и не выпускает бесплатные обновления безопасности.
Для частных и корпоративных пользователей, желающих продолжить использование Windows 10, Microsoft представила расширенные обновления безопасности (ESU).
Но обещанное первое расширенное обновление безопасности для Windows 10, вышедшее в этом ноябре, так и не дошло до пользователей, столкнувшихся при установке с ошибкой 0x800f0922 (CBS_E_INSTALLERS_FAILED).
Так что Microsoft пришлось выпускать экстренное внеочередное обновление для Windows 10.
Теперь только после установки этого подготовительного пакета (KB5072653) пользователи десятки смогут развернуть обновление безопасности за ноябрь 2025 года (KB5068781).
Для установки обновления устройство должно работать под управлением Windows 10 22H2 и иметь установленное накопительное обновление KB5066791 за октябрь 2025 года.
Microsoft утверждает, что после установки обновления KB5072653 и перезапуска системы пользователям следует повторно запустить Центр обновления Windows, чтобы установить ноябрьское расширенное обновление безопасности.
Однако некоторые админы Windows сообщили [1 и 2], что WSUS и SCCM по ошибке указывают, что устройству Windows 10 требуется расширенное обновление безопасности, даже если оно правильно зарегистрировано в программе.
В свою очередь, Microsoft заявила, что выпустит новый Scan Cab с обновленными метаданными для этого обновления, чтобы обеспечить корректную проверку обновлений на соответствие требованиям, о чем немедленно уведомит тех, кто использует CAB-файлы.
В общем, все как обычно, и комментировать нечего.
Традиционный патчинг патчинга снова в действий - уже даже после окончания поддержки Windows 10, которая завершилась 14 октября 2025 года.
Теперь Microsoft больше не представляет новые функции и не выпускает бесплатные обновления безопасности.
Для частных и корпоративных пользователей, желающих продолжить использование Windows 10, Microsoft представила расширенные обновления безопасности (ESU).
Но обещанное первое расширенное обновление безопасности для Windows 10, вышедшее в этом ноябре, так и не дошло до пользователей, столкнувшихся при установке с ошибкой 0x800f0922 (CBS_E_INSTALLERS_FAILED).
Так что Microsoft пришлось выпускать экстренное внеочередное обновление для Windows 10.
Теперь только после установки этого подготовительного пакета (KB5072653) пользователи десятки смогут развернуть обновление безопасности за ноябрь 2025 года (KB5068781).
Для установки обновления устройство должно работать под управлением Windows 10 22H2 и иметь установленное накопительное обновление KB5066791 за октябрь 2025 года.
Microsoft утверждает, что после установки обновления KB5072653 и перезапуска системы пользователям следует повторно запустить Центр обновления Windows, чтобы установить ноябрьское расширенное обновление безопасности.
Однако некоторые админы Windows сообщили [1 и 2], что WSUS и SCCM по ошибке указывают, что устройству Windows 10 требуется расширенное обновление безопасности, даже если оно правильно зарегистрировано в программе.
В свою очередь, Microsoft заявила, что выпустит новый Scan Cab с обновленными метаданными для этого обновления, чтобы обеспечить корректную проверку обновлений на соответствие требованиям, о чем немедленно уведомит тех, кто использует CAB-файлы.
В общем, все как обычно, и комментировать нечего.
Reddit
From the SCCM community on Reddit
Explore this post and more from the SCCM community
В Cloudflare заявили, что сбой в работе сервиса, который привел к значительным сбоям в работе клиентов во вторник, не был результатом хакерской атаки.
Напоминать о том, что произошло не будем, последствия инцидента затронули миллионы пользователей: Cloudflare обслуживает около 19% всех активных сайтов, а также Интернет-ресурсы 35% всех компаний из списка Fortune 500.
Сбои в работе ощутили сайты и других цифровых сервисов, связанных с критически важными организациями, в частности, New Jersey Transit, New York City Emergency Management, французскую ж/д компанию SNCF и многие др.
Не до конца разобравшись в сути проблемы, Cloudflare изначально отметила «всплеск необычного трафика», что навело на мысль, что сбой может быть результатом кибератаки.
Однако технический директор Cloudflare Дэн Кнехт во вторник утром опроверг эту версию.
В реальности оказалось, что была допущена ошибка в управлении сервисом в функции противодействия ботам после планового изменения конфигурации, которая распространилась на все другие системы.
Согласно хронометражу, Cloudflare приступила к расследованию инцидента в 11:48 UTC, а исправление было реализовано к 14:42 UTC, однако некоторые баги все еще наблюдались два часа спустя.
Похвально то, что в компании признали даже не саму ошибку, а согласились с тем, что реагирование не было должным образом оперативно реализовано.
Так что в Cloudflare пообещали причесать должным образом все инструкции на этот счет, дабы не допустить подобное в будущем.
По итогу, Мэтью Принс, соучредитель и генеральный директор Cloudflare, принес извинения и представил дополнительные подробности инцидента, который назвал самым масштабным сбоем в работе компании с 2019 года.
Не CrowdStrike Falcon, но все равно неприятно. Теперь последствия покататься от клиентов в обратную сторону.
Но будем посмотреть.
Напоминать о том, что произошло не будем, последствия инцидента затронули миллионы пользователей: Cloudflare обслуживает около 19% всех активных сайтов, а также Интернет-ресурсы 35% всех компаний из списка Fortune 500.
Сбои в работе ощутили сайты и других цифровых сервисов, связанных с критически важными организациями, в частности, New Jersey Transit, New York City Emergency Management, французскую ж/д компанию SNCF и многие др.
Не до конца разобравшись в сути проблемы, Cloudflare изначально отметила «всплеск необычного трафика», что навело на мысль, что сбой может быть результатом кибератаки.
Однако технический директор Cloudflare Дэн Кнехт во вторник утром опроверг эту версию.
В реальности оказалось, что была допущена ошибка в управлении сервисом в функции противодействия ботам после планового изменения конфигурации, которая распространилась на все другие системы.
Согласно хронометражу, Cloudflare приступила к расследованию инцидента в 11:48 UTC, а исправление было реализовано к 14:42 UTC, однако некоторые баги все еще наблюдались два часа спустя.
Похвально то, что в компании признали даже не саму ошибку, а согласились с тем, что реагирование не было должным образом оперативно реализовано.
Так что в Cloudflare пообещали причесать должным образом все инструкции на этот счет, дабы не допустить подобное в будущем.
По итогу, Мэтью Принс, соучредитель и генеральный директор Cloudflare, принес извинения и представил дополнительные подробности инцидента, который назвал самым масштабным сбоем в работе компании с 2019 года.
Не CrowdStrike Falcon, но все равно неприятно. Теперь последствия покататься от клиентов в обратную сторону.
Но будем посмотреть.
AP News
Cloudflare resolves outage that impacted thousands, ChatGPT, X and more
A widely used Internet infrastructure company said that it has resolved an issue that led to outages impacting users of everything from ChatGPT and the online game, “League of Legends,” to the New Jersey Transit system early Tuesday.
Forwarded from Social Engineering
📦 Диагностика безопасности контейнеров.
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
➡ Trivy - эта утилита нацелена на нахождение уязвимостей двух типов – проблемы сборок ОС (поддерживаются Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) и проблемы в зависимостях. Trivy умеет сканировать как образ в репозитории, так и локальный образ, а также проводить сканирование на основании переданного
➡ Dockle - консольная утилита, работающая с образом (или с сохраненным tar-архивом образа), которая проверяет корректность и безопасность конкретного образа как такового, анализируя его слои и конфигурацию – какие пользователи созданы, какие инструкции используются, какие тома подключены, присутствие пустого пароля и т.д.
➡ Hadolint - довольно простая консольная утилита, которая помогает в первом приближении оценить корректность и безопасность Dockerfile-ов (например использование только разрешенных реестров образов или использование sudo).
• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
S.E. ▪️ infosec.work ▪️ VT
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
.tar файла с Docker-образом.• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortinet выпустила обновления для второй обнаруженной в этом месяце 0-day в FortiWeb, которую злоумышленники активно используют в реальных атаках.
Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034.
Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI.
В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях.
В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости.
Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня.
Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации.
По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.
Новая уязвимость брандмауэра веб-приложений была обнаружена Джейсоном Макфэдьеном из Trend Micro и теперь отслеживается как CVE-2025-58034.
Аутентифицированные злоумышленники могут получить возможность выполнить код, успешно эксплуатируя эту уязвимость внедрения команд ОС в атаках низкой сложности, не требующих взаимодействия с пользователем.
Ошибка обусловлена неправильной нейтрализацией специальных элементов, используемых в командах ОС в FortiWeb и может быть реализована с помощью специально созданных HTTP-запросов или команд CLI.
В своем бюллетене Fortinet подтверждает, что ее специалисты фиксировали инциденты, связанные с эксплуатацией этой уязвимости в реальных условиях.
В свою очередь, Trend Micro зафиксировала около 2000 случаев атак с использованием этой уязвимости.
Для блокировки попыток входящих атак администраторам рекомендуется обновить свои устройства FortiWeb до последней доступной версии ПО, выпущенной сегодня.
Новое открытие последовало после того, как на прошлой неделе Fortinet задним числом втайне исправила еще одну широко эксплуатируемую 0-day FortiWeb (CVE-2025-64446) через три недели после того, как Defused впервые сообщила о ее активной эксплуатации.
По данным Defused, злоумышленники реализовали HTTP-запросы POST для создания новых учетных записей администратора на устройствах с доступом в Интернет.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Исследователи из Венского университета сообщают о серьезных уязвимости в WhatsApp, благодаря которым им удалось без особых сложностей и каких-либо ограничений спарсить более 3,5 млрд. аккаунтов с привязкой к телефонам, аватаркам и даже ключам шифрования.
Признанная в России экстремистской Meta устранила проблему в октябре 2025 года, однако слитые посредством нее данные фактически представляют собой одну из крупнейших потенциальных утечек.
Свои выводы исследователи раскрыли в ходе презентации исследования на конференции NDSS 2026, которое проводилось с декабря 2024 года по апрель 2025 года.
Задействовав собственную инфраструктуру WhatsApp они спарсили данные со скоростью более 100 млн. телефонных номеров в час с помощью реверс-инжиниринга API.
Примечательно, что WhatsApp никак не отреагировала на столь высокую частоту запросов, которые при этом исходили с одного университетского сервера и всего пятя аутентифицированных учётных записей.
По итогу исследователям удалось отпарсить более чем 3,5 млрд. учётных записей пользователей, включая привязанные номера телефонов, фото профилей (если они были публичными), текст «о себе» и даже ключи шифрования, используемые для сквозного шифрования переписки.
Как отмечают исследователи, давно известная своей уязвимостью к атакам методом перебора функция поиска контактов, оставалась неисправленной в течение многих лет, несмотря на предыдущие исследования, проводившихся в 2012 году и повторно в 2021 году.
Отличительными особенностями нового исследования являются его беспрецедентный масштаб и скорость.
Команда разработала инструмент libphonegen, который сгенерировал реалистичный набор из 63 млрд. потенциальных номеров мобильных телефонов из 245 стран.
Затем эти емкости проверялись на предмет регистрации в WhatsApp по протоколу XMPP с помощью модифицированного клиента с открытым исходным кодом whatsmeow.
На пиковой скорости могли верифицировать по 7000 номеров в секунду, не сталкиваясь с блокировками.
По результатам парсинга выяснилось, что 56,7% аккаунтов по всему миру имели общедоступные фото, при этом в некоторых странах Западной Африки региональные различия достигали 80%.
29,3% имели видимые текстовые статусы, некоторые из которых раскрывали политические взгляды, религиозную принадлежность, сексуальную ориентацию или даже ссылки на внешние аккаунты в соцсетях.
Около 9% относились к категории бизнес-аккаунтов, часто из-за того, что из владельцы использовали WhatsApp Business, не понимая последствий раскрытия публичных данных.
Особую тревогу вызвало обнаружение 2,9 млн. случаев повторного использования открытых ключей, включая идентификационные ключи, подписанные предварительные ключи и одноразовые предварительные ключи, что негативно влияло целостность сквозного шифрования.
В одном случае 20 телефонных номеров в США использовали ключ, состоящий исключительно из нулей, что указывает на некорректную или вредоносную криптографическую реализацию, возможно, сторонних клиентов.
Получив уведомление по BugBounty еще в апреле 2025 года, Meta ввела более строгие ограничения лишь, начиная с октября.
Однако компания заявила, что раскрытые данные уже были общедоступны, и особо подчеркнула, что переписка по-прежнему защищена шифрованием.
Тем не менее, исследователи думают иначе и полагают, что принципиальная апробированная возможность создания глобальной базы данных пользователей, включая криптографические ключи, представляет существенный риск для безопасности пользователей.
Признанная в России экстремистской Meta устранила проблему в октябре 2025 года, однако слитые посредством нее данные фактически представляют собой одну из крупнейших потенциальных утечек.
Свои выводы исследователи раскрыли в ходе презентации исследования на конференции NDSS 2026, которое проводилось с декабря 2024 года по апрель 2025 года.
Задействовав собственную инфраструктуру WhatsApp они спарсили данные со скоростью более 100 млн. телефонных номеров в час с помощью реверс-инжиниринга API.
Примечательно, что WhatsApp никак не отреагировала на столь высокую частоту запросов, которые при этом исходили с одного университетского сервера и всего пятя аутентифицированных учётных записей.
По итогу исследователям удалось отпарсить более чем 3,5 млрд. учётных записей пользователей, включая привязанные номера телефонов, фото профилей (если они были публичными), текст «о себе» и даже ключи шифрования, используемые для сквозного шифрования переписки.
Как отмечают исследователи, давно известная своей уязвимостью к атакам методом перебора функция поиска контактов, оставалась неисправленной в течение многих лет, несмотря на предыдущие исследования, проводившихся в 2012 году и повторно в 2021 году.
Отличительными особенностями нового исследования являются его беспрецедентный масштаб и скорость.
Команда разработала инструмент libphonegen, который сгенерировал реалистичный набор из 63 млрд. потенциальных номеров мобильных телефонов из 245 стран.
Затем эти емкости проверялись на предмет регистрации в WhatsApp по протоколу XMPP с помощью модифицированного клиента с открытым исходным кодом whatsmeow.
На пиковой скорости могли верифицировать по 7000 номеров в секунду, не сталкиваясь с блокировками.
По результатам парсинга выяснилось, что 56,7% аккаунтов по всему миру имели общедоступные фото, при этом в некоторых странах Западной Африки региональные различия достигали 80%.
29,3% имели видимые текстовые статусы, некоторые из которых раскрывали политические взгляды, религиозную принадлежность, сексуальную ориентацию или даже ссылки на внешние аккаунты в соцсетях.
Около 9% относились к категории бизнес-аккаунтов, часто из-за того, что из владельцы использовали WhatsApp Business, не понимая последствий раскрытия публичных данных.
Особую тревогу вызвало обнаружение 2,9 млн. случаев повторного использования открытых ключей, включая идентификационные ключи, подписанные предварительные ключи и одноразовые предварительные ключи, что негативно влияло целостность сквозного шифрования.
В одном случае 20 телефонных номеров в США использовали ключ, состоящий исключительно из нулей, что указывает на некорректную или вредоносную криптографическую реализацию, возможно, сторонних клиентов.
Получив уведомление по BugBounty еще в апреле 2025 года, Meta ввела более строгие ограничения лишь, начиная с октября.
Однако компания заявила, что раскрытые данные уже были общедоступны, и особо подчеркнула, что переписка по-прежнему защищена шифрованием.
Тем не менее, исследователи думают иначе и полагают, что принципиальная апробированная возможность создания глобальной базы данных пользователей, включая криптографические ключи, представляет существенный риск для безопасности пользователей.
GitHub
whatsapp-census/Hey_there_You_are_using_WhatsApp.pdf at main · sbaresearch/whatsapp-census
Contribute to sbaresearch/whatsapp-census development by creating an account on GitHub.
Исследователи Positive Technologies в своем новом отчете подвели итоги работы по расследованию инцидентов за период с 4 квартала 2024 года по 3 квартал 2025 года (за предыдущий период - здесь и самая первая аналитика за 2021-2023 годы - здесь).
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
ptsecurity.com
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 | Аналитика от Positive Technologies
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 - исследование Positive Technologies. Ключевые выводы, данные и рекомендации экспертов в области кибербезопасности.
Критическая уязвимость плагина W3 Total Cache (W3TC) для WordPress может быть использована для запуска PHP-команд на сервере посредством публикации комментария с вредоносной полезной нагрузкой.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
WPScan
W3 Total Cache < 2.8.13 - Unauthenticated Command Injection
See details on W3 Total Cache < 2.8.13 - Unauthenticated Command Injection CVE 2025-9501. View the latest Plugin Vulnerabilities on WPScan.
Британское агентство NHS England в сфере здравоохранения выпустило предупреждение об активной эксплуатации недавно исправленной уязвимости 7-Zip в реальных атаках, которая приводит к удаленному выполнению кода (RCE) в контексте учётной записи службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
NHS England Digital
Proof-of-Concept Exploit Reported for CVE-2025-11001 in 7-Zip - NHS England Digital
A public proof-of-concept exploit is available for CVE-2025-11001, which has a CVSSv3 score of 7.0. This vulnerability could allow an attacker to execute arbitrary code on affected installations of 7-Zip.
Исследователи STRIKE из SecurityScorecard задетектили глобальную вредоносную кампанию, получившую название Operation WrtHug и нацеленную на устаревшие или вышедшие из эксплуатации маршрутизаторы ASUS WRT с использованием шести уязвимостей.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
SecurityScorecard
Operation WrtHug, The Global Espionage Campaign Hiding in Your Home Router
SecurityScorecard’s STRIKE team uncovers how attackers turned thousands of ASUS routers into a worldwide spy network.
SolarWinds решила отметить пятилетний юбилей прославившей ее на весь мир атаки на Orion новыми критическими RCE, которые затрагивают ее корпоративное решение для передачи файлов Serv-U.
На этой неделе компания объявила о выпуске исправлений для трех критических уязвимостей.
Одна из них - CVE-2025-40549, связана с обходом ограничения пути и может быть использована злоумышленником с правами администратора для выполнения произвольного кода в каталоге.
Поставщик отметил, что в системах Windows уязвимость имеет «средний уровень серьезности» из-за «различий в обработке путей и домашних каталогов».
Вторая уязвимость, CVE-2025-40548, - это проблема с контролем доступа, которую может использовать злоумышленник с правами администратора для выполнения произвольного кода.
И, наконец, третья CVE-2025-40547 представляет собой логическую ошибку, позволяющую реализовать RCE злоумышленнику с правами администратора.
SolarWinds отметила, что для обеих уязвимостей CVE-2025-40547 и CVE-2025-40548 их уровень серьезности в Windows - «средний», поскольку службы часто запускаются по умолчанию под учетными записями с меньшими привилегиями.
Три уязвимости безопасности затрагивают SolarWinds Serv-U 15.5.2.2.102 и были исправлены с выпуском версии 15.5.3.
Помимо этого компания также выкатила исправления для уязвимостей средней степени серьезности открытого перенаправления и XSS в Observability Self-Hosted.
В общем, юбилей отметили скромно, никого из «старых друзей» не позвали. Но они и без приглашения могут, раз уж такой праздник - без подарков точно не оставят.
Но будем посмотреть.
На этой неделе компания объявила о выпуске исправлений для трех критических уязвимостей.
Одна из них - CVE-2025-40549, связана с обходом ограничения пути и может быть использована злоумышленником с правами администратора для выполнения произвольного кода в каталоге.
Поставщик отметил, что в системах Windows уязвимость имеет «средний уровень серьезности» из-за «различий в обработке путей и домашних каталогов».
Вторая уязвимость, CVE-2025-40548, - это проблема с контролем доступа, которую может использовать злоумышленник с правами администратора для выполнения произвольного кода.
И, наконец, третья CVE-2025-40547 представляет собой логическую ошибку, позволяющую реализовать RCE злоумышленнику с правами администратора.
SolarWinds отметила, что для обеих уязвимостей CVE-2025-40547 и CVE-2025-40548 их уровень серьезности в Windows - «средний», поскольку службы часто запускаются по умолчанию под учетными записями с меньшими привилегиями.
Три уязвимости безопасности затрагивают SolarWinds Serv-U 15.5.2.2.102 и были исправлены с выпуском версии 15.5.3.
Помимо этого компания также выкатила исправления для уязвимостей средней степени серьезности открытого перенаправления и XSS в Observability Self-Hosted.
В общем, юбилей отметили скромно, никого из «старых друзей» не позвали. Но они и без приглашения могут, раз уж такой праздник - без подарков точно не оставят.
Но будем посмотреть.
Другая американская компания также присоединяется к поздравлениям по случаю юбилея Orion, анонсируя серьезную уязвимость безопасности SonicWall SonicOS SSLVPN, которая позволяет злоумышленникам отравить в DoS уязвимые межсетевые экраны.
Новая уязвимость отслеживается как CVE-2025-40601 и вызвана переполнением буфера в стеке, влияя на межсетевые экраны Gen8 и Gen7 (аппаратные и виртуальные).
Исправлена в версиях 7.3.1-7013 (Gen7) и 8.0.3-8011 (Gen8).
Уязвимость в службе SSLVPN в SonicOS позволяет удаленному неаутентифицированному злоумышленнику вызвать DoS, что может привести к сбою работы уязвимого брандмауэра.
При этом межсетевые экраны Gen6, а также продукты SSL VPN серий SMA 1000 и SMA 100 не подвержены атакам, потенциально нацеленным на эту уязвимость.
К настоящему времени SonicWall PSIRT не располагает информацией об эксплуатации уязвимости, равно как и о наличии общедоступного PoC-эксплойта.
Несмотря на это, SonicWall «настоятельно» призвала следовать рекомендациям, изложенным в бюллетене по безопасности.
Админам, не имеющим возможности оперативно накатить обновления, рекомендуется отключить службу SonicOS SSLVPN или ограничить доступ к брандмауэру SonicWall доверенными источниками.
Дабы не отставать от юбиляра SonicWall также устранила еще две уязвимости, затрагивавшие ее устройства безопасности электронной почты (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V).
Ошибки позволяют удаленным злоумышленникам получить возможность постоянного выполнения произвольного кода (CVE-2025-40604) и доступ к закрытой информации (CVE-2025-40605).
SonicWall настоятельно рекомендует пользователям продуктов Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V) немедленно обновиться.
Впрочем, клиентам SonicWall и без обновлений достается.
В сентябре компания раскрыла файлы резервных копий конфигураций брандмауэров клиентов, которые впоследствии узнали об этом после появления нежданных гостей в своей инфраструктуре.
Новая уязвимость отслеживается как CVE-2025-40601 и вызвана переполнением буфера в стеке, влияя на межсетевые экраны Gen8 и Gen7 (аппаратные и виртуальные).
Исправлена в версиях 7.3.1-7013 (Gen7) и 8.0.3-8011 (Gen8).
Уязвимость в службе SSLVPN в SonicOS позволяет удаленному неаутентифицированному злоумышленнику вызвать DoS, что может привести к сбою работы уязвимого брандмауэра.
При этом межсетевые экраны Gen6, а также продукты SSL VPN серий SMA 1000 и SMA 100 не подвержены атакам, потенциально нацеленным на эту уязвимость.
К настоящему времени SonicWall PSIRT не располагает информацией об эксплуатации уязвимости, равно как и о наличии общедоступного PoC-эксплойта.
Несмотря на это, SonicWall «настоятельно» призвала следовать рекомендациям, изложенным в бюллетене по безопасности.
Админам, не имеющим возможности оперативно накатить обновления, рекомендуется отключить службу SonicOS SSLVPN или ограничить доступ к брандмауэру SonicWall доверенными источниками.
Дабы не отставать от юбиляра SonicWall также устранила еще две уязвимости, затрагивавшие ее устройства безопасности электронной почты (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V).
Ошибки позволяют удаленным злоумышленникам получить возможность постоянного выполнения произвольного кода (CVE-2025-40604) и доступ к закрытой информации (CVE-2025-40605).
SonicWall настоятельно рекомендует пользователям продуктов Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V) немедленно обновиться.
Впрочем, клиентам SonicWall и без обновлений достается.
В сентябре компания раскрыла файлы резервных копий конфигураций брандмауэров клиентов, которые впоследствии узнали об этом после появления нежданных гостей в своей инфраструктуре.
GreyNoise фиксирует резкую активизацию вредоносного сканирования, нацеленного на порталы входа в систему VPN Palo Alto Networks GlobalProtect - увеличение в 40 раз за 24 часа, что указывает на начало скоординированной кампании.
Наблюдаемая активность, направленная на порталы Palo Alto Networks GlobalProtect, начала возрастать начиная с 14 ноября и в течение недели достигла самого высокого уровня за 90 дней.
Еще в начале октября GreyNoise сообщала о 500% увеличении числа IP, сканирующих профили GlobalProtect и PAN-OS Palo Alto Networks. Тогда 91% из них были классифицированы как «подозрительные», а еще 7% - как явно вредоносные.
Еще ранее, в апреле 2025 года, GreyNoise также наблюдала всплеск сканирований порталов входа в систему GlobalProtect, в котором задействовалось 24 000 IP, большинство из которых были классифицированы как подозрительные, а 154 - как вредоносные.
GreyNoise, с большой долей вероятности, полагает, что последняя активность связана с предыдущими кампаниями, основываясь на повторяющихся отпечатках TCP/JA4t, повторном использовании тех же ASN и согласованном времени всплесков активности в разных кампаниях.
Основная ASN, использованная в этих атаках, идентифицирована как AS200373 (3xK Tech GmbH), при этом 62% IP-адресов геолоцированы в Германии, а 15% - в Канаде. Вторая задействованная ASN - AS208885 (Noyobzoda Faridduni Saidilhom).
В период с 14 по 19 ноября GreyNoise зафиксировал 2,3 миллиона сеансов, направленных на URI */global-protect/login.esp на Palo Alto PAN-OS и GlobalProtect.
URI соответствует конечной точке веб-сайта, предоставляемой брандмауэром Palo Alto Networks, на котором работает GlobalProtect, и показывает страницу, на которой пользователи VPN могут пройти аутентификацию.
Попытки входа в систему в основном ориентированы на США, Мексику и Пакистан, при этом объемы попыток во всех этих странах схожи.
GreyNoise ранее подчеркивала важность реагирования на подобные манипуляции, ведь как показывает статистика, подобные всплески обычно предшествуют обнаружению новых уязвимостей в 80% случаев, причем для продуктов Palo Alto Networks эта корреляция оказалась еще сильнее.
Так что клиентам приготовиться, а мы продолжаем следить.
Наблюдаемая активность, направленная на порталы Palo Alto Networks GlobalProtect, начала возрастать начиная с 14 ноября и в течение недели достигла самого высокого уровня за 90 дней.
Еще в начале октября GreyNoise сообщала о 500% увеличении числа IP, сканирующих профили GlobalProtect и PAN-OS Palo Alto Networks. Тогда 91% из них были классифицированы как «подозрительные», а еще 7% - как явно вредоносные.
Еще ранее, в апреле 2025 года, GreyNoise также наблюдала всплеск сканирований порталов входа в систему GlobalProtect, в котором задействовалось 24 000 IP, большинство из которых были классифицированы как подозрительные, а 154 - как вредоносные.
GreyNoise, с большой долей вероятности, полагает, что последняя активность связана с предыдущими кампаниями, основываясь на повторяющихся отпечатках TCP/JA4t, повторном использовании тех же ASN и согласованном времени всплесков активности в разных кампаниях.
Основная ASN, использованная в этих атаках, идентифицирована как AS200373 (3xK Tech GmbH), при этом 62% IP-адресов геолоцированы в Германии, а 15% - в Канаде. Вторая задействованная ASN - AS208885 (Noyobzoda Faridduni Saidilhom).
В период с 14 по 19 ноября GreyNoise зафиксировал 2,3 миллиона сеансов, направленных на URI */global-protect/login.esp на Palo Alto PAN-OS и GlobalProtect.
URI соответствует конечной точке веб-сайта, предоставляемой брандмауэром Palo Alto Networks, на котором работает GlobalProtect, и показывает страницу, на которой пользователи VPN могут пройти аутентификацию.
Попытки входа в систему в основном ориентированы на США, Мексику и Пакистан, при этом объемы попыток во всех этих странах схожи.
GreyNoise ранее подчеркивала важность реагирования на подобные манипуляции, ведь как показывает статистика, подобные всплески обычно предшествуют обнаружению новых уязвимостей в 80% случаев, причем для продуктов Palo Alto Networks эта корреляция оказалась еще сильнее.
Так что клиентам приготовиться, а мы продолжаем следить.
www.greynoise.io
Palo Alto Scanning Surges 40X in 24 Hours, Marking 90-Day High
GreyNoise has identified a significant escalation in malicious activity targeting Palo Alto Networks GlobalProtect portals. Beginning on 14 November 2025, activity rapidly intensified, culminating in a 40x surge within 24 hours, marking a new 90-day high.
ThreaFabric расчехлила новый банковский троян для Android под названием Sturnus, который способен перехватывать сообщения мессенджеров со сквозным шифрованием, включая Signal, WhatsApp и Telegram, а также получать полный контроль над устройством.
Вредоносное ПО до сих пор находится на стадии разработки, но уже на этом этапе поддерживает функционал для атак в отношении ряда финансовых организациях в Европе.
Как отмечают исследователи, Sturnus - это более продвинутая угроза, нежели текущие штаммы вредоносных ПО для Android, использующая для связи с C2 комбинацию открытого текста, RSA и зашифрованного AES соединения.
Как уже отмечалось, троян может красть сообщения из защищенных приложений для обмена сообщениями после этапа расшифровки, захватывая содержимое с экрана устройства.
Нацеливание на учетные данные банковских счетов реализуется посредством HTML-наложений и включает в себя поддержку полного удаленного управления в режиме реального времени через сеанс VNC.
Заражение обычно начинается с загрузки вредоносных APK-файлов Android, замаскированных под приложения Google Chrome или Preemix Box.
Каналы распространения не установлены, но вероятнее всего это либо вредоносная реклама или рассылки в сообщениях.
После установки вредоносная программа подключается к C2 для регистрации жертвы посредством криптографического обмена.
Sturnus устанавливает зашифрованный канал HTTPS для команд и кражи данных, а также зашифрованный с помощью AES канал WebSocket для операций VNC в реальном времени.
Используя службы специальных возможностей, Sturnus реализует чтение текста на экране, фиксацию вводимых данных, мониторинг структуры пользовательского интерфейса, запуск приложений, нажатие кнопок, прокручивание страниц, ввод текста и управление телефоном.
Для обеспечения полного контроля над устройством, Sturnus получает права администратора устройства Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удаленно блокировать устройство.
При этом до тех пор, пока права администратора не будут отозваны вручную, обычное удаление или с помощью таких инструментов, как ADB, будут блокироваться, обеспечивая вредоносному ПО высокую персистентность.
При открытии WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для контроля содержания сообщений и разговоров, набранного текста и наименований контактов.
Поскольку вредоносная ПО использует журналы Accessibility Service, а не перехват сетевых данных, она способна считывать все, что появляется на экране в режиме реального времени.
Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям - все это, опят же с помощью специальных возможностей.
При необходимости Sturnus активирует черную накладку (например, фейковый процесс обновления) для выполнения скрытых от жертвы вредоносных операции в фоновом режиме, включая переводы, подтверждения, MFa, изменение настроек или установку новых приложений.
Исследователи отмечают, что Sturnus все еще находится на ранней стадии разработки и применяется редко в основном на пользователей в Южной и Центральной Европе, вероятно, для тестирования, избегая полномасштабных кампаний.
Тем не менее, сочетание богатого функционала, свойственного «топовым» вредоносным ПО для Android, и готовой к масштабированию архитектуры делают его весьма опасной угрозой.
Вредоносное ПО до сих пор находится на стадии разработки, но уже на этом этапе поддерживает функционал для атак в отношении ряда финансовых организациях в Европе.
Как отмечают исследователи, Sturnus - это более продвинутая угроза, нежели текущие штаммы вредоносных ПО для Android, использующая для связи с C2 комбинацию открытого текста, RSA и зашифрованного AES соединения.
Как уже отмечалось, троян может красть сообщения из защищенных приложений для обмена сообщениями после этапа расшифровки, захватывая содержимое с экрана устройства.
Нацеливание на учетные данные банковских счетов реализуется посредством HTML-наложений и включает в себя поддержку полного удаленного управления в режиме реального времени через сеанс VNC.
Заражение обычно начинается с загрузки вредоносных APK-файлов Android, замаскированных под приложения Google Chrome или Preemix Box.
Каналы распространения не установлены, но вероятнее всего это либо вредоносная реклама или рассылки в сообщениях.
После установки вредоносная программа подключается к C2 для регистрации жертвы посредством криптографического обмена.
Sturnus устанавливает зашифрованный канал HTTPS для команд и кражи данных, а также зашифрованный с помощью AES канал WebSocket для операций VNC в реальном времени.
Используя службы специальных возможностей, Sturnus реализует чтение текста на экране, фиксацию вводимых данных, мониторинг структуры пользовательского интерфейса, запуск приложений, нажатие кнопок, прокручивание страниц, ввод текста и управление телефоном.
Для обеспечения полного контроля над устройством, Sturnus получает права администратора устройства Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удаленно блокировать устройство.
При этом до тех пор, пока права администратора не будут отозваны вручную, обычное удаление или с помощью таких инструментов, как ADB, будут блокироваться, обеспечивая вредоносному ПО высокую персистентность.
При открытии WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для контроля содержания сообщений и разговоров, набранного текста и наименований контактов.
Поскольку вредоносная ПО использует журналы Accessibility Service, а не перехват сетевых данных, она способна считывать все, что появляется на экране в режиме реального времени.
Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям - все это, опят же с помощью специальных возможностей.
При необходимости Sturnus активирует черную накладку (например, фейковый процесс обновления) для выполнения скрытых от жертвы вредоносных операции в фоновом режиме, включая переводы, подтверждения, MFa, изменение настроек или установку новых приложений.
Исследователи отмечают, что Sturnus все еще находится на ранней стадии разработки и применяется редко в основном на пользователей в Южной и Центральной Европе, вероятно, для тестирования, избегая полномасштабных кампаний.
Тем не менее, сочетание богатого функционала, свойственного «топовым» вредоносным ПО для Android, и готовой к масштабированию архитектуры делают его весьма опасной угрозой.
ThreatFabric
Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption
Sturnus is a privately operated Android banking trojan with many fraud-related capabilities, including Device Takeover and capturing decrypted messages.
Исследователи Google GTIG сообщают об обнаружении ранее незадокументированной вредоносной ПО BadAudio, которая задействовалась связанной с Китаем APT24 в ходе трехлетней шпионской кампании с весьма сложными вариантами атак.
Вредоносное ПО доставлялось жертвам различными способами, включая фишинг, взлом цепочки поставок и в атаках «на водопой».
С ноября 2022 по сентябрь 2025 года APT24 взломала более 20 легитимных сайтов из различных доменов, внедрив вредоносный JavaScript, который выбирал посетителей, представляющих для них интерес. Основное внимание уделялось системам Windows.
Как выяснили исследователи, скрипт собирал фингерпринты, подпадающие под критерии атаки, загружал фейковое всплывающее окно с предложением обновить ПО, побуждая пользователя загрузить BadAudio.
Начиная с июля 2024 года группа несколько раз взломала компанию в сфере цифрового маркетинга на Тайване, которая реализует библиотеки JavaScript для клиентских веб-сайтов.
Это позволило им внедрить вредоносный JavaScript в широко распространённую библиотеку компании.
Зарегистрировав доменное имя, выдававшее себя за легитимную сеть CDN, злоумышленники скомпрометировали более 1000 доменов.
С конца 2024 года по июль 2025 года хакеры неоднократно атаковала одну и ту же маркетинговую компанию, внедряя вредоносный, запутанный JavaScript-код в модифицированный JSON-файл, который загружался отдельным JavaScript-файлом от того же поставщика.
После запуска он сканировал каждого посетителя сайта и отправлял на сервер злоумышленников отчет в кодировке base64, что позволяло выборочно направлять ответ с URL-адресом следующего этапа.
Параллельно с этим, начиная с августа 2024 года, группировка начала практиковать фишинговые атаки, в ходе которых вредоносное ПО BadAudio распространялось с использованием в качестве приманки электронных писем якобы от зоозащитных организаций.
В некоторых вариантах таких атак APT24 использовала легитимные облачные сервисы Google Drive и OneDrive, для доставки вредоносного ПО вместо собственных серверов.
При этом многие попытки детектировались и сообщения улетали в спам. Однако в ряде случаях электронные письма содержали пиксели для отслеживания, позволяющие подтвердить открытие получателем письма.
Вредоносная ПО BadAudio сильно запутана для защиты от обнаружения и анализа.
Выполнение осуществляется посредством перехвата порядка поиска DLL - метода, который позволяет легитимному приложению загружать вредоносную полезную нагрузку.
При разработке BadAudio применялся метод сглаживания потока управления - сложная техника обфускации, которая систематически запутывает естественную структурированную логику программы.
Он заменяет линейный код серией разрозненных блоков, управляемых центральным «диспетчером» и переменной состояния, что вынуждает аналитиков вручную отслеживать каждый путь выполнения и существенно затрудняет и автоматизированную, и ручную реверс-разработку.
После запуска на целевом устройстве BadAudio собирает сведения о системе (имя хоста, имя пользователя, архитектуру), шифрует информацию с помощью жестко запрограммированного ключа AES и отправляет ее на жестко запрограммированный адрес C2.
Затем загружает зашифрованную с помощью AES полезную нагрузку с C2, расшифровывает ее и запускает в памяти с помощью загрузки DLL.
В одном случае исследователи Google наблюдали развертывание Cobalt Strike Beacon через BadAudio, но подтвердить наличие маяка во всех инцидентах не удалось.
Следует отметить, что, несмотря на использование BadAudio в течение длительного времени, тактика APT24 позволяла сохранять его в значительной степени незамеченным.
Из восьми образцов только два были помечены как вредоносные более чем 25 антивирусными решениями на VirusTotal. Остальные, созданные 7 декабря 2022 года, детектировались лишь пятью.
GTIG полагает, что переход APT24 к более скрытным атакам подчеркивает достаточно широкие оперативные возможности злоумышленника и его способностью к постоянному и адаптивному шпионажу.
Вредоносное ПО доставлялось жертвам различными способами, включая фишинг, взлом цепочки поставок и в атаках «на водопой».
С ноября 2022 по сентябрь 2025 года APT24 взломала более 20 легитимных сайтов из различных доменов, внедрив вредоносный JavaScript, который выбирал посетителей, представляющих для них интерес. Основное внимание уделялось системам Windows.
Как выяснили исследователи, скрипт собирал фингерпринты, подпадающие под критерии атаки, загружал фейковое всплывающее окно с предложением обновить ПО, побуждая пользователя загрузить BadAudio.
Начиная с июля 2024 года группа несколько раз взломала компанию в сфере цифрового маркетинга на Тайване, которая реализует библиотеки JavaScript для клиентских веб-сайтов.
Это позволило им внедрить вредоносный JavaScript в широко распространённую библиотеку компании.
Зарегистрировав доменное имя, выдававшее себя за легитимную сеть CDN, злоумышленники скомпрометировали более 1000 доменов.
С конца 2024 года по июль 2025 года хакеры неоднократно атаковала одну и ту же маркетинговую компанию, внедряя вредоносный, запутанный JavaScript-код в модифицированный JSON-файл, который загружался отдельным JavaScript-файлом от того же поставщика.
После запуска он сканировал каждого посетителя сайта и отправлял на сервер злоумышленников отчет в кодировке base64, что позволяло выборочно направлять ответ с URL-адресом следующего этапа.
Параллельно с этим, начиная с августа 2024 года, группировка начала практиковать фишинговые атаки, в ходе которых вредоносное ПО BadAudio распространялось с использованием в качестве приманки электронных писем якобы от зоозащитных организаций.
В некоторых вариантах таких атак APT24 использовала легитимные облачные сервисы Google Drive и OneDrive, для доставки вредоносного ПО вместо собственных серверов.
При этом многие попытки детектировались и сообщения улетали в спам. Однако в ряде случаях электронные письма содержали пиксели для отслеживания, позволяющие подтвердить открытие получателем письма.
Вредоносная ПО BadAudio сильно запутана для защиты от обнаружения и анализа.
Выполнение осуществляется посредством перехвата порядка поиска DLL - метода, который позволяет легитимному приложению загружать вредоносную полезную нагрузку.
При разработке BadAudio применялся метод сглаживания потока управления - сложная техника обфускации, которая систематически запутывает естественную структурированную логику программы.
Он заменяет линейный код серией разрозненных блоков, управляемых центральным «диспетчером» и переменной состояния, что вынуждает аналитиков вручную отслеживать каждый путь выполнения и существенно затрудняет и автоматизированную, и ручную реверс-разработку.
После запуска на целевом устройстве BadAudio собирает сведения о системе (имя хоста, имя пользователя, архитектуру), шифрует информацию с помощью жестко запрограммированного ключа AES и отправляет ее на жестко запрограммированный адрес C2.
Затем загружает зашифрованную с помощью AES полезную нагрузку с C2, расшифровывает ее и запускает в памяти с помощью загрузки DLL.
В одном случае исследователи Google наблюдали развертывание Cobalt Strike Beacon через BadAudio, но подтвердить наличие маяка во всех инцидентах не удалось.
Следует отметить, что, несмотря на использование BadAudio в течение длительного времени, тактика APT24 позволяла сохранять его в значительной степени незамеченным.
Из восьми образцов только два были помечены как вредоносные более чем 25 антивирусными решениями на VirusTotal. Остальные, созданные 7 декабря 2022 года, детектировались лишь пятью.
GTIG полагает, что переход APT24 к более скрытным атакам подчеркивает достаточно широкие оперативные возможности злоумышленника и его способностью к постоянному и адаптивному шпионажу.
Google Cloud Blog
APT24's Pivot to Multi-Vector Attacks | Google Cloud Blog
PRC-nexus APT24 uses BADAUDIO malware in a persistent, multi-vector espionage campaign targeting Taiwan.
И, наконец, апофеозом инцидента с 0-day Oracle E-Business Suite (EBS) стал взлом самой Oracle, которая фактически стала жертвой собственной CVE-2025-61882 благодаря банде Cl0p, которая на этом завершила очередную успешную делюгу после MOVEit, Fortra GoAnywhere и Cleo.
В четверг на DLS вымогателей появилась информация о компании из Остина, штат Техас.
При этом сам пост жертвы содержал небольшой объем информации: указан офис Oracle, адрес, номер телефона, веб-сайт, годовой доход в размере 59 млрд. долл. и отрасль промышленности.
Традиционно Cl0p также пометила публикацию своей «фирменной» подписью: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!».
Правда запись по Oracle позже исчезла, остались лишь скрины, которыми делились исследователи в X.
Возможным объяснением исчезновения компании с DLS можно полагать начавшиеся переговоры по выкупу, и вероятно, - успешные для клопов.
В целом, жертвами очередной кампании Cl0p EBS, стартовавшей еще в июле этого года, стали десятки компаний.
Задействованный эксплойт, по данным Google, успешно объединяет сразу несколько уязвимостей, включая 0-day CVE-2025-61882, позволив осуществлять неаутентифицированное RCE в Oracle EBS и похитить огромные объемы данных клиентов.
Впервые об уязвимости компания сообщила 2 октября. Большинство ее клиентов в течение нескольких месяцев фактически даже не знали о ней.
Осознание пришло только в августе, когда жертвы стали получать от банды электронные письма с требованием выкупа.
По началу Oracle пыталась оперативно cреагировать и даже выпустила исправление, но оно оказалось неэффективным. Затем последовал второй критический патч, однако многие из жертв на тот момент уже были на крючке Cl0p.
Среди наиболее известных из них оказались: британская NHS, Humana, Mazda, Mazda USA, Pheonix U, The Washington Post, Гарвардский университет, American Airlines Envoy Air, DXC Technology, Chicago Public Schools и многие др.
По всей видимости, отработав всех жертв из длинного списка, участники Cl0p решили символично подвести итоги кампании Oracle EBS, разместив на его последней строке главного «виновника торжества».
В четверг на DLS вымогателей появилась информация о компании из Остина, штат Техас.
При этом сам пост жертвы содержал небольшой объем информации: указан офис Oracle, адрес, номер телефона, веб-сайт, годовой доход в размере 59 млрд. долл. и отрасль промышленности.
Традиционно Cl0p также пометила публикацию своей «фирменной» подписью: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!».
Правда запись по Oracle позже исчезла, остались лишь скрины, которыми делились исследователи в X.
Возможным объяснением исчезновения компании с DLS можно полагать начавшиеся переговоры по выкупу, и вероятно, - успешные для клопов.
В целом, жертвами очередной кампании Cl0p EBS, стартовавшей еще в июле этого года, стали десятки компаний.
Задействованный эксплойт, по данным Google, успешно объединяет сразу несколько уязвимостей, включая 0-day CVE-2025-61882, позволив осуществлять неаутентифицированное RCE в Oracle EBS и похитить огромные объемы данных клиентов.
Впервые об уязвимости компания сообщила 2 октября. Большинство ее клиентов в течение нескольких месяцев фактически даже не знали о ней.
Осознание пришло только в августе, когда жертвы стали получать от банды электронные письма с требованием выкупа.
По началу Oracle пыталась оперативно cреагировать и даже выпустила исправление, но оно оказалось неэффективным. Затем последовал второй критический патч, однако многие из жертв на тот момент уже были на крючке Cl0p.
Среди наиболее известных из них оказались: британская NHS, Humana, Mazda, Mazda USA, Pheonix U, The Washington Post, Гарвардский университет, American Airlines Envoy Air, DXC Technology, Chicago Public Schools и многие др.
По всей видимости, отработав всех жертв из длинного списка, участники Cl0p решили символично подвести итоги кампании Oracle EBS, разместив на его последней строке главного «виновника торжества».
D-Link под конец недели предупреждает пользователей о трех RCE-уязвимостях, которые затрагивают все модели и аппаратные версии ее одного из самых популярных маршрутизаторов DIR-878, который уже снят с производства, но все еще продается по всему миру.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
Forwarded from Russian OSINT
The Verge
Google denies ‘misleading’ reports of Gmail using your emails to train AI
Google says “we do not use your Gmail content for training our Gemini AI model.”
Google пришлось дать комментарий изданию The Verge касательно статьи Malwarebytes, утверждая, что настройка «Умные функции и персонализация» (Smart features and personalization) отвечает на самом деле за давно существующие алгоритмы: автозаполнение (Smart Compose), выделение важных писем и сортировку по папкам «Промоакции»/«Соцсети».
По словам представителя корпорации, эти функции используют данные пользователей для обучения, чтобы адаптировать работу алгоритмов под конкретного пользователя (персонализация).
The Verge отмечает, что один из сотрудников издания (как и многие из нас) обнаружил, что его настройки smart features, от которых он отказался ранее, вдруг оказались включёнными без каких-либо явных уведомлений.
Отмечается, что опция «Smart features» нужна, чтобы Gemini получил доступ к вашим данным для персонализации сервисов, а также для обучения классических алгоритмов (автозамены, спам-фильтров), при этом Google юридически обязуется не скармливать ваши личные переписки нейросети Gemini для её глобального обучения.
Google прав в узком, юридически выверенном смысле, утверждая, что пользовательский контент в Gmail не используется для обучения общей модели Gemini. Речь идёт об обучении, но для персонализации.
Эксперты Malwarebytes правы в оценке рисков, утверждая, что письма и вложения действительно используются для обучения и совершенствования ИИ-алгоритмов, а отказ от участия требует определенных действий. Интерфейс и система уведомлений спроектированы так, что без бутылки крепкого напитка и широкой огласки рядовому пользователю крайне затруднительно во всем этом разобраться.
🤔Учитывая историю штрафов Google за нарушение приватности для максимальной безопасности эксперты советуют полностью отключить «Умные функции».
✒️ Стоить помнить, что окончательный выбор всегда остается за пользователем.
✋ @Russian_OSINT
По словам представителя корпорации, эти функции используют данные пользователей для обучения, чтобы адаптировать работу алгоритмов под конкретного пользователя (персонализация).
The Verge отмечает, что один из сотрудников издания (как и многие из нас) обнаружил, что его настройки smart features, от которых он отказался ранее, вдруг оказались включёнными без каких-либо явных уведомлений.
Отмечается, что опция «Smart features» нужна, чтобы Gemini получил доступ к вашим данным для персонализации сервисов, а также для обучения классических алгоритмов (автозамены, спам-фильтров), при этом Google юридически обязуется не скармливать ваши личные переписки нейросети Gemini для её глобального обучения.
Google прав в узком, юридически выверенном смысле, утверждая, что пользовательский контент в Gmail не используется для обучения общей модели Gemini. Речь идёт об обучении, но для персонализации.
Эксперты Malwarebytes правы в оценке рисков, утверждая, что письма и вложения действительно используются для обучения и совершенствования ИИ-алгоритмов, а отказ от участия требует определенных действий. Интерфейс и система уведомлений спроектированы так, что без бутылки крепкого напитка и широкой огласки рядовому пользователю крайне затруднительно во всем этом разобраться.
🤔Учитывая историю штрафов Google за нарушение приватности для максимальной безопасности эксперты советуют полностью отключить «Умные функции».
Please open Telegram to view this post
VIEW IN TELEGRAM
Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Исследователи Лабораторией Касперского обратили внимание на активно расширяющийся с середины 2025 года ботнет Tsundere, нацеленный на пользователей Windows.
В настоящее время подробности о том, как распространяется вредоносное ПО, мало.
Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.
При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.
По всей видимости, цели атак - пользователи пиратских версии игр.
Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.
Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.
Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.
Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.
Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.
Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.
После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.
Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.
Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.
Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.
По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.
Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.
Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.
Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.
Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.
По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.
В настоящее время подробности о том, как распространяется вредоносное ПО, мало.
Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.
При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.
По всей видимости, цели атак - пользователи пиратских версии игр.
Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.
Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.
Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.
Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.
Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.
Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.
После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.
Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.
Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.
Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.
По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.
Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.
Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.
Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.
Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.
По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.
Securelist
The Tsundere botnet uses the Ethereum blockchain to infect its targets
Kaspersky GReAT experts discovered a new campaign featuring the Tsundere botnet. Node.js-based bots abuse web3 smart contracts and are spread via MSI installers and PowerShell scripts.