Исследователи Positive Technologies в своем новом отчете подвели итоги работы по расследованию инцидентов за период с 4 квартала 2024 года по 3 квартал 2025 года (за предыдущий период - здесь и самая первая аналитика за 2021-2023 годы - здесь).
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
За отчетный период команда PT ESC IR реализовала более 100 проектов по расследованию и ретроспективному анализу по всему миру.
Ключевые цифры, тренды и практические выводы Позитивы отразили в довольно большом объеме, так что со своей стороны отметим главное:
1. Спрос на проекты IR остается стабильно высоким, однако изменилось их соотношение: за расследованием инцидентов заказчики обращались на 8% реже (здесь и далее - по сравнению с предыдущим отчетным периодом), за ретроспективным анализом - в 2 раза чаще.
2. Распределение по отраслям также поменялось: если годом ранее за услугами IR чаще всего обращались промышленные предприятия (23%) и госучреждения (22%), то теперь первое место по количеству обращений разделяют IT и госучреждения (24%).
Такой рост можно связать с тем, что зачастую они являются подрядчиками многих крупных организаций, и компрометация одного IT-провайдера может привести к компрометации многих его клиентов. Доля обращений компаний промышленного сектора уменьшилась до 9%.
3. Медианное значение времени от начала инцидента до обнаружения нелегитимной активности (TTD) составило 9 дней (уменьшилось на 8 дней).
Медиана длительности инцидента - 9 дней (уменьшилась на 14 дней).
Самый продолжительный инцидент, выявленный в ходе расследования, длился почти 3,5 года, а длительность самого короткого инцидента составила одни сутки.
4. Фиксируются инциденты, в которых злоумышленники публиковали информацию о том, что компания была взломана и у нее были украдены данные, а на деле э структура опубликованных данных не соответствовала какой либо известной ИС жертвы и следов взлома также не находилось.
5. В 43% компаний были выявлены следы присутствия известных APT-групп, а в 22% организаций злоумышленники (в основном, из категории Cybercrime) совершали успешные действия, направленные на шифрование либо уничтожение информации, а также нарушение бизнес-процессов.
6. В 36% случаев исходной точкой проникновения были бизнес-приложения на сетевом периметре.
Кроме того, по наблюдениям Positive Technologies, реже стали эксплуатироваться уязвимости CMS Битрикс.
При этом доля атак с использованием доверительных отношений с подрядчиками (trusted relationship) увеличилась и составила 28%.
7. По сравнению с предыдущим периодом выросла (с 50% до 55%) доля проектов, в которых инцидент привел к нарушению внутренних бизнес-процессов.
8. В числе наиболее распространенных причин, по которым компании становились жертвами кибератак, - недостаточная сегментация сети (26%), использование устаревших версий ОС и ПО (25%), отсутствие двухфакторной аутентификации (23%).
Все подробности - в отчете.
ptsecurity.com
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 | Аналитика от Positive Technologies
Итоги проектов по расследованию инцидентов и ретроспективному анализу — 2024–2025 - исследование Positive Technologies. Ключевые выводы, данные и рекомендации экспертов в области кибербезопасности.
Критическая уязвимость плагина W3 Total Cache (W3TC) для WordPress может быть использована для запуска PHP-команд на сервере посредством публикации комментария с вредоносной полезной нагрузкой.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
Уязвимость отслеживается как CVE-2025-9501, затрагивает все версии плагина W3TC до 2.8.13 и описывается как неаутентифицированная инъекция команд.
При этом затронутый W3TC установлен на более чем 1 миллионе сайтов для повышения производительности и сокращения времени загрузки.
20 октября разработчик выпустил версию 2.8.13 с исправлениями вышесказанной проблемы.
Однако, по данным WordPress, сотни тысяч веб-сайтов все еще могут быть уязвимы, поскольку с момента выхода патча было реализовано менее 430 000 загрузок.
В свою очередь, исследователи WPScan утверждают, что злоумышленник может вызвать CVE-2025-9501 и внедрить команды через функцию _parse_dynamic_mfunc(), отвечающую за обработку вызовов динамических функций, встроенных в кэшированный контент.
В целом это позволяет неаутентифицированным пользователям выполнять команды PHP, отправляя комментарий с вредоносным содержимым к сообщению.
Злоумышленник, успешно воспользовавшийся выполнением этого PHP-кода, способен получить полный контроль над уязвимым сайтом WordPress, поскольку он может выполнить любую команду на сервере без необходимости аутентификации.
Исследователи WPScan также разработали PoC для CVE-2025-9501 и намерены опубликовать его 24 ноября, оставляя временной лаг пользователям для установки обновлений.
Как мы уже не раз наблюдали, активная эксплуатация уязвимости обычно начинается практически сразу после публикации PoC-эксплойта.
Всем админам, которые не могут выполнить обновление к установленному сроку, следует рассмотреть возможность отключения плагина W3 Total Cache или ограничить функционал комментариев для блокирования доставки потенциально вредоносных данных.
Конечно, самый разумный вариант - просто обновить W3 Total Cache до версии 2.8.13 и не стать частью замаячившей атаки на цепочку мудаков.
Выражение "нагадить в комменты" прямо таки заиграло новыми красками.
WPScan
W3 Total Cache < 2.8.13 - Unauthenticated Command Injection
See details on W3 Total Cache < 2.8.13 - Unauthenticated Command Injection CVE 2025-9501. View the latest Plugin Vulnerabilities on WPScan.
Британское агентство NHS England в сфере здравоохранения выпустило предупреждение об активной эксплуатации недавно исправленной уязвимости 7-Zip в реальных атаках, которая приводит к удаленному выполнению кода (RCE) в контексте учётной записи службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
Ошибка отслеживается как CVE-2025-11001 (CVSS 7,0), описывается как проблема обхода каталога при анализе файлов и требует взаимодействия с пользователем для успешной эксплуатации.
Уязвимость влияет на обработку 7-Zip символических ссылок в ZIP-файлах, поскольку сконструированные данные могут использоваться для перехода в нежелательные каталоги во время обработки.
По данным NHS England, для нее выпущен общедоступный PoC. При этом согласно Trend Micro Zero Day Initiative (ZDI), векторы атак зависят от реализации.
Раскрытие приписывается исследователю Рёта Шига из GMO Flatt Security, который также обнаружил идентичную уязвимость, отслеживаемую как CVE-2025-11002.
По обеим проблемам разработчиков 7-Zip уведомили в мае, исправления вышли в рамках версии 25.00 в июле.
Как отмечает NHS England, злоумышленники нацеливаются на устаревшие уязвимые установки 7-Zip с использованием доступного PoC, который позволяет злоупотреблять обработкой символических ссылок для записи файлов за пределами предполагаемой папки извлечения.
Эксплуатируемая уязвимость влияет на способ, которым 7-Zip версий с 21.02 по 24.09 преобразует символические ссылки из Linux в Windows, и может быть эксплуатирована только в системах Windows.
В виду того, что анализатор помечает символические ссылки Linux с путями C:\ в стиле Windows как относительные, при этом устанавливая путь ссылки на полный путь C:\, уязвимость может быть использована для обхода проверки, которая запрещает создание ссылок на абсолютные пути.
Это позволяет злоумышленнику создать символическую ссылку, ведущую к записи вредоносного двоичного файла в выбранном им каталоге, но только если 7-Zip запущен с правами администратора.
Последнее связано с тем, что процесс 7-Zip создаёт символическую ссылку, что является привилегированной операцией в Windows.
Поэтому эксплуатация уязвимости имеет смысл только тогда, когда 7-Zip используется под учётной записью службы.
NHS England Digital
Proof-of-Concept Exploit Reported for CVE-2025-11001 in 7-Zip - NHS England Digital
A public proof-of-concept exploit is available for CVE-2025-11001, which has a CVSSv3 score of 7.0. This vulnerability could allow an attacker to execute arbitrary code on affected installations of 7-Zip.
Исследователи STRIKE из SecurityScorecard задетектили глобальную вредоносную кампанию, получившую название Operation WrtHug и нацеленную на устаревшие или вышедшие из эксплуатации маршрутизаторы ASUS WRT с использованием шести уязвимостей.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
За последние шесть месяцев удалось отследить около 50 000 уникальных IP-адресов зараженных в ходе Operation WrtHug устройств по всему миру.
Большинство взломанных устройств расположены на Тайване, в то время как другие разбросаны по странам Юго-Восточной Азии, России, Центральной Европы и США.
Примечательно, что на территории Китая не зафиксировано ни одного случая заражения, что потенциально может указывать на дислокацию источника угрозы, однако исследователи не нашли достаточных доказательств для достоверной атрибуции.
По мнению STRIKE, на основе выбора целей и методов атак прослеживаются определенные связи между Operation WrtHug и кампанией AyySSHush, впервые задокументированной GreyNoise в мае этого года.
Наблюдаемые атаки начинаются с эксплуатации ошибок внедрения команд и других известных уязвимостей в маршрутизаторах ASUS WRT, в основном это устройства серий AC и AX.
По мнению исследователей STRIKE, в WrtHug могут использовать следующие уязвимости: CVE-2023-41345 - CVE-2023-41348, CVE-2023-39780 (также использовалась в кампании AyySSHush), CVE-2024-12912 и CVE-2025-2492.
При этом CVE-2025-2492 является единственной, имеющей критический уровнь серьёзности.
В апрельском бюллетене ASUS предупреждалось о возможности ее активиции с помощью специально созданного запроса на маршрутизаторах с включённой функцией AiCloud.
Причем в отчете SecurityScorecard прямо утверждается, что в случае с Operation WrtHug злоумышленники, по-видимому, использовали службу ASUS AiCloud для развертывания целенаправленного глобального набора угроз.
Индикатором взлома в рамках этой кампании является наличие самоподписанного TLS-сертификата в сервисах AiCloud, который заменил стандартный сертификат, сгенерированный ASUS, на 99% взломанных устройств.
Новый сертификат привлёк внимание, поскольку его срок действия составляет 100 лет, в то время как оригинальный действовал всего 10 лет.
Используя этот уникальный сертификат STRIKE смогли идентифицировать более 50 000 зараженных IP-адресов.
Как и в кампании AyySSHush, злоумышленники не обновляют прошивку скомпрометированного устройства, что оставляет его открытым для захвата другими злоумышленниками.
На основе индикаторов взлома исследователи выявили следующие беспроводные маршрутизаторы ASUS, подвергшиеся атаке WrtHug: 4G-AC55U, 4G-AC860U, DSL-AC68U, GT-AC5300, GT-AX11000, RT-AC1200HP, RT-AC1300GPLUS и RT-AC1300UHP.
STRIKE полагает, что взломанные маршрутизаторы могут использоваться в качестве сетей ORB в операциях китайских хакеров в качестве скрытых ретрансляционных узлов, прокси-серверов и скрытой инфраструктуры С2.
Однако в отчёте нет анализа предпринятых злоумышленником после взлома действий.
ASUS выпустила обновления, устраняющие все уязвимости, используемые в атаках WrtHug, поэтому владельцам маршрутизаторов следует обновить прошивку до последней доступной версии, или, по крайней мере, отключить функции удаленного доступа.
Учитывая недавнее исправление ASUS другой CVE-2025-59367, позволяющей обойти аутентификацию и затрагивающуей несколько моделей серии AC, ожидается, что и она вскоре может попасть в арсенал злоумышленников.
Но будем посмотреть.
SecurityScorecard
Operation WrtHug, The Global Espionage Campaign Hiding in Your Home Router
SecurityScorecard’s STRIKE team uncovers how attackers turned thousands of ASUS routers into a worldwide spy network.
SolarWinds решила отметить пятилетний юбилей прославившей ее на весь мир атаки на Orion новыми критическими RCE, которые затрагивают ее корпоративное решение для передачи файлов Serv-U.
На этой неделе компания объявила о выпуске исправлений для трех критических уязвимостей.
Одна из них - CVE-2025-40549, связана с обходом ограничения пути и может быть использована злоумышленником с правами администратора для выполнения произвольного кода в каталоге.
Поставщик отметил, что в системах Windows уязвимость имеет «средний уровень серьезности» из-за «различий в обработке путей и домашних каталогов».
Вторая уязвимость, CVE-2025-40548, - это проблема с контролем доступа, которую может использовать злоумышленник с правами администратора для выполнения произвольного кода.
И, наконец, третья CVE-2025-40547 представляет собой логическую ошибку, позволяющую реализовать RCE злоумышленнику с правами администратора.
SolarWinds отметила, что для обеих уязвимостей CVE-2025-40547 и CVE-2025-40548 их уровень серьезности в Windows - «средний», поскольку службы часто запускаются по умолчанию под учетными записями с меньшими привилегиями.
Три уязвимости безопасности затрагивают SolarWinds Serv-U 15.5.2.2.102 и были исправлены с выпуском версии 15.5.3.
Помимо этого компания также выкатила исправления для уязвимостей средней степени серьезности открытого перенаправления и XSS в Observability Self-Hosted.
В общем, юбилей отметили скромно, никого из «старых друзей» не позвали. Но они и без приглашения могут, раз уж такой праздник - без подарков точно не оставят.
Но будем посмотреть.
На этой неделе компания объявила о выпуске исправлений для трех критических уязвимостей.
Одна из них - CVE-2025-40549, связана с обходом ограничения пути и может быть использована злоумышленником с правами администратора для выполнения произвольного кода в каталоге.
Поставщик отметил, что в системах Windows уязвимость имеет «средний уровень серьезности» из-за «различий в обработке путей и домашних каталогов».
Вторая уязвимость, CVE-2025-40548, - это проблема с контролем доступа, которую может использовать злоумышленник с правами администратора для выполнения произвольного кода.
И, наконец, третья CVE-2025-40547 представляет собой логическую ошибку, позволяющую реализовать RCE злоумышленнику с правами администратора.
SolarWinds отметила, что для обеих уязвимостей CVE-2025-40547 и CVE-2025-40548 их уровень серьезности в Windows - «средний», поскольку службы часто запускаются по умолчанию под учетными записями с меньшими привилегиями.
Три уязвимости безопасности затрагивают SolarWinds Serv-U 15.5.2.2.102 и были исправлены с выпуском версии 15.5.3.
Помимо этого компания также выкатила исправления для уязвимостей средней степени серьезности открытого перенаправления и XSS в Observability Self-Hosted.
В общем, юбилей отметили скромно, никого из «старых друзей» не позвали. Но они и без приглашения могут, раз уж такой праздник - без подарков точно не оставят.
Но будем посмотреть.
Другая американская компания также присоединяется к поздравлениям по случаю юбилея Orion, анонсируя серьезную уязвимость безопасности SonicWall SonicOS SSLVPN, которая позволяет злоумышленникам отравить в DoS уязвимые межсетевые экраны.
Новая уязвимость отслеживается как CVE-2025-40601 и вызвана переполнением буфера в стеке, влияя на межсетевые экраны Gen8 и Gen7 (аппаратные и виртуальные).
Исправлена в версиях 7.3.1-7013 (Gen7) и 8.0.3-8011 (Gen8).
Уязвимость в службе SSLVPN в SonicOS позволяет удаленному неаутентифицированному злоумышленнику вызвать DoS, что может привести к сбою работы уязвимого брандмауэра.
При этом межсетевые экраны Gen6, а также продукты SSL VPN серий SMA 1000 и SMA 100 не подвержены атакам, потенциально нацеленным на эту уязвимость.
К настоящему времени SonicWall PSIRT не располагает информацией об эксплуатации уязвимости, равно как и о наличии общедоступного PoC-эксплойта.
Несмотря на это, SonicWall «настоятельно» призвала следовать рекомендациям, изложенным в бюллетене по безопасности.
Админам, не имеющим возможности оперативно накатить обновления, рекомендуется отключить службу SonicOS SSLVPN или ограничить доступ к брандмауэру SonicWall доверенными источниками.
Дабы не отставать от юбиляра SonicWall также устранила еще две уязвимости, затрагивавшие ее устройства безопасности электронной почты (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V).
Ошибки позволяют удаленным злоумышленникам получить возможность постоянного выполнения произвольного кода (CVE-2025-40604) и доступ к закрытой информации (CVE-2025-40605).
SonicWall настоятельно рекомендует пользователям продуктов Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V) немедленно обновиться.
Впрочем, клиентам SonicWall и без обновлений достается.
В сентябре компания раскрыла файлы резервных копий конфигураций брандмауэров клиентов, которые впоследствии узнали об этом после появления нежданных гостей в своей инфраструктуре.
Новая уязвимость отслеживается как CVE-2025-40601 и вызвана переполнением буфера в стеке, влияя на межсетевые экраны Gen8 и Gen7 (аппаратные и виртуальные).
Исправлена в версиях 7.3.1-7013 (Gen7) и 8.0.3-8011 (Gen8).
Уязвимость в службе SSLVPN в SonicOS позволяет удаленному неаутентифицированному злоумышленнику вызвать DoS, что может привести к сбою работы уязвимого брандмауэра.
При этом межсетевые экраны Gen6, а также продукты SSL VPN серий SMA 1000 и SMA 100 не подвержены атакам, потенциально нацеленным на эту уязвимость.
К настоящему времени SonicWall PSIRT не располагает информацией об эксплуатации уязвимости, равно как и о наличии общедоступного PoC-эксплойта.
Несмотря на это, SonicWall «настоятельно» призвала следовать рекомендациям, изложенным в бюллетене по безопасности.
Админам, не имеющим возможности оперативно накатить обновления, рекомендуется отключить службу SonicOS SSLVPN или ограничить доступ к брандмауэру SonicWall доверенными источниками.
Дабы не отставать от юбиляра SonicWall также устранила еще две уязвимости, затрагивавшие ее устройства безопасности электронной почты (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V).
Ошибки позволяют удаленным злоумышленникам получить возможность постоянного выполнения произвольного кода (CVE-2025-40604) и доступ к закрытой информации (CVE-2025-40605).
SonicWall настоятельно рекомендует пользователям продуктов Email Security (ES Appliance 5000, 5050, 7000, 7050, 9000, VMWare и Hyper-V) немедленно обновиться.
Впрочем, клиентам SonicWall и без обновлений достается.
В сентябре компания раскрыла файлы резервных копий конфигураций брандмауэров клиентов, которые впоследствии узнали об этом после появления нежданных гостей в своей инфраструктуре.
GreyNoise фиксирует резкую активизацию вредоносного сканирования, нацеленного на порталы входа в систему VPN Palo Alto Networks GlobalProtect - увеличение в 40 раз за 24 часа, что указывает на начало скоординированной кампании.
Наблюдаемая активность, направленная на порталы Palo Alto Networks GlobalProtect, начала возрастать начиная с 14 ноября и в течение недели достигла самого высокого уровня за 90 дней.
Еще в начале октября GreyNoise сообщала о 500% увеличении числа IP, сканирующих профили GlobalProtect и PAN-OS Palo Alto Networks. Тогда 91% из них были классифицированы как «подозрительные», а еще 7% - как явно вредоносные.
Еще ранее, в апреле 2025 года, GreyNoise также наблюдала всплеск сканирований порталов входа в систему GlobalProtect, в котором задействовалось 24 000 IP, большинство из которых были классифицированы как подозрительные, а 154 - как вредоносные.
GreyNoise, с большой долей вероятности, полагает, что последняя активность связана с предыдущими кампаниями, основываясь на повторяющихся отпечатках TCP/JA4t, повторном использовании тех же ASN и согласованном времени всплесков активности в разных кампаниях.
Основная ASN, использованная в этих атаках, идентифицирована как AS200373 (3xK Tech GmbH), при этом 62% IP-адресов геолоцированы в Германии, а 15% - в Канаде. Вторая задействованная ASN - AS208885 (Noyobzoda Faridduni Saidilhom).
В период с 14 по 19 ноября GreyNoise зафиксировал 2,3 миллиона сеансов, направленных на URI */global-protect/login.esp на Palo Alto PAN-OS и GlobalProtect.
URI соответствует конечной точке веб-сайта, предоставляемой брандмауэром Palo Alto Networks, на котором работает GlobalProtect, и показывает страницу, на которой пользователи VPN могут пройти аутентификацию.
Попытки входа в систему в основном ориентированы на США, Мексику и Пакистан, при этом объемы попыток во всех этих странах схожи.
GreyNoise ранее подчеркивала важность реагирования на подобные манипуляции, ведь как показывает статистика, подобные всплески обычно предшествуют обнаружению новых уязвимостей в 80% случаев, причем для продуктов Palo Alto Networks эта корреляция оказалась еще сильнее.
Так что клиентам приготовиться, а мы продолжаем следить.
Наблюдаемая активность, направленная на порталы Palo Alto Networks GlobalProtect, начала возрастать начиная с 14 ноября и в течение недели достигла самого высокого уровня за 90 дней.
Еще в начале октября GreyNoise сообщала о 500% увеличении числа IP, сканирующих профили GlobalProtect и PAN-OS Palo Alto Networks. Тогда 91% из них были классифицированы как «подозрительные», а еще 7% - как явно вредоносные.
Еще ранее, в апреле 2025 года, GreyNoise также наблюдала всплеск сканирований порталов входа в систему GlobalProtect, в котором задействовалось 24 000 IP, большинство из которых были классифицированы как подозрительные, а 154 - как вредоносные.
GreyNoise, с большой долей вероятности, полагает, что последняя активность связана с предыдущими кампаниями, основываясь на повторяющихся отпечатках TCP/JA4t, повторном использовании тех же ASN и согласованном времени всплесков активности в разных кампаниях.
Основная ASN, использованная в этих атаках, идентифицирована как AS200373 (3xK Tech GmbH), при этом 62% IP-адресов геолоцированы в Германии, а 15% - в Канаде. Вторая задействованная ASN - AS208885 (Noyobzoda Faridduni Saidilhom).
В период с 14 по 19 ноября GreyNoise зафиксировал 2,3 миллиона сеансов, направленных на URI */global-protect/login.esp на Palo Alto PAN-OS и GlobalProtect.
URI соответствует конечной точке веб-сайта, предоставляемой брандмауэром Palo Alto Networks, на котором работает GlobalProtect, и показывает страницу, на которой пользователи VPN могут пройти аутентификацию.
Попытки входа в систему в основном ориентированы на США, Мексику и Пакистан, при этом объемы попыток во всех этих странах схожи.
GreyNoise ранее подчеркивала важность реагирования на подобные манипуляции, ведь как показывает статистика, подобные всплески обычно предшествуют обнаружению новых уязвимостей в 80% случаев, причем для продуктов Palo Alto Networks эта корреляция оказалась еще сильнее.
Так что клиентам приготовиться, а мы продолжаем следить.
www.greynoise.io
Palo Alto Scanning Surges 40X in 24 Hours, Marking 90-Day High
GreyNoise has identified a significant escalation in malicious activity targeting Palo Alto Networks GlobalProtect portals. Beginning on 14 November 2025, activity rapidly intensified, culminating in a 40x surge within 24 hours, marking a new 90-day high.
ThreaFabric расчехлила новый банковский троян для Android под названием Sturnus, который способен перехватывать сообщения мессенджеров со сквозным шифрованием, включая Signal, WhatsApp и Telegram, а также получать полный контроль над устройством.
Вредоносное ПО до сих пор находится на стадии разработки, но уже на этом этапе поддерживает функционал для атак в отношении ряда финансовых организациях в Европе.
Как отмечают исследователи, Sturnus - это более продвинутая угроза, нежели текущие штаммы вредоносных ПО для Android, использующая для связи с C2 комбинацию открытого текста, RSA и зашифрованного AES соединения.
Как уже отмечалось, троян может красть сообщения из защищенных приложений для обмена сообщениями после этапа расшифровки, захватывая содержимое с экрана устройства.
Нацеливание на учетные данные банковских счетов реализуется посредством HTML-наложений и включает в себя поддержку полного удаленного управления в режиме реального времени через сеанс VNC.
Заражение обычно начинается с загрузки вредоносных APK-файлов Android, замаскированных под приложения Google Chrome или Preemix Box.
Каналы распространения не установлены, но вероятнее всего это либо вредоносная реклама или рассылки в сообщениях.
После установки вредоносная программа подключается к C2 для регистрации жертвы посредством криптографического обмена.
Sturnus устанавливает зашифрованный канал HTTPS для команд и кражи данных, а также зашифрованный с помощью AES канал WebSocket для операций VNC в реальном времени.
Используя службы специальных возможностей, Sturnus реализует чтение текста на экране, фиксацию вводимых данных, мониторинг структуры пользовательского интерфейса, запуск приложений, нажатие кнопок, прокручивание страниц, ввод текста и управление телефоном.
Для обеспечения полного контроля над устройством, Sturnus получает права администратора устройства Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удаленно блокировать устройство.
При этом до тех пор, пока права администратора не будут отозваны вручную, обычное удаление или с помощью таких инструментов, как ADB, будут блокироваться, обеспечивая вредоносному ПО высокую персистентность.
При открытии WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для контроля содержания сообщений и разговоров, набранного текста и наименований контактов.
Поскольку вредоносная ПО использует журналы Accessibility Service, а не перехват сетевых данных, она способна считывать все, что появляется на экране в режиме реального времени.
Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям - все это, опят же с помощью специальных возможностей.
При необходимости Sturnus активирует черную накладку (например, фейковый процесс обновления) для выполнения скрытых от жертвы вредоносных операции в фоновом режиме, включая переводы, подтверждения, MFa, изменение настроек или установку новых приложений.
Исследователи отмечают, что Sturnus все еще находится на ранней стадии разработки и применяется редко в основном на пользователей в Южной и Центральной Европе, вероятно, для тестирования, избегая полномасштабных кампаний.
Тем не менее, сочетание богатого функционала, свойственного «топовым» вредоносным ПО для Android, и готовой к масштабированию архитектуры делают его весьма опасной угрозой.
Вредоносное ПО до сих пор находится на стадии разработки, но уже на этом этапе поддерживает функционал для атак в отношении ряда финансовых организациях в Европе.
Как отмечают исследователи, Sturnus - это более продвинутая угроза, нежели текущие штаммы вредоносных ПО для Android, использующая для связи с C2 комбинацию открытого текста, RSA и зашифрованного AES соединения.
Как уже отмечалось, троян может красть сообщения из защищенных приложений для обмена сообщениями после этапа расшифровки, захватывая содержимое с экрана устройства.
Нацеливание на учетные данные банковских счетов реализуется посредством HTML-наложений и включает в себя поддержку полного удаленного управления в режиме реального времени через сеанс VNC.
Заражение обычно начинается с загрузки вредоносных APK-файлов Android, замаскированных под приложения Google Chrome или Preemix Box.
Каналы распространения не установлены, но вероятнее всего это либо вредоносная реклама или рассылки в сообщениях.
После установки вредоносная программа подключается к C2 для регистрации жертвы посредством криптографического обмена.
Sturnus устанавливает зашифрованный канал HTTPS для команд и кражи данных, а также зашифрованный с помощью AES канал WebSocket для операций VNC в реальном времени.
Используя службы специальных возможностей, Sturnus реализует чтение текста на экране, фиксацию вводимых данных, мониторинг структуры пользовательского интерфейса, запуск приложений, нажатие кнопок, прокручивание страниц, ввод текста и управление телефоном.
Для обеспечения полного контроля над устройством, Sturnus получает права администратора устройства Android, что позволяет ему отслеживать изменения паролей и попытки разблокировки, а также удаленно блокировать устройство.
При этом до тех пор, пока права администратора не будут отозваны вручную, обычное удаление или с помощью таких инструментов, как ADB, будут блокироваться, обеспечивая вредоносному ПО высокую персистентность.
При открытии WhatsApp, Telegram или Signal, Sturnus использует свои разрешения для контроля содержания сообщений и разговоров, набранного текста и наименований контактов.
Поскольку вредоносная ПО использует журналы Accessibility Service, а не перехват сетевых данных, она способна считывать все, что появляется на экране в режиме реального времени.
Режим VNC позволяет злоумышленникам нажимать кнопки, вводить текст, прокручивать страницу и перемещаться по операционной системе телефона и приложениям - все это, опят же с помощью специальных возможностей.
При необходимости Sturnus активирует черную накладку (например, фейковый процесс обновления) для выполнения скрытых от жертвы вредоносных операции в фоновом режиме, включая переводы, подтверждения, MFa, изменение настроек или установку новых приложений.
Исследователи отмечают, что Sturnus все еще находится на ранней стадии разработки и применяется редко в основном на пользователей в Южной и Центральной Европе, вероятно, для тестирования, избегая полномасштабных кампаний.
Тем не менее, сочетание богатого функционала, свойственного «топовым» вредоносным ПО для Android, и готовой к масштабированию архитектуры делают его весьма опасной угрозой.
ThreatFabric
Sturnus: Mobile Banking Malware bypassing WhatsApp, Telegram and Signal Encryption
Sturnus is a privately operated Android banking trojan with many fraud-related capabilities, including Device Takeover and capturing decrypted messages.
Исследователи Google GTIG сообщают об обнаружении ранее незадокументированной вредоносной ПО BadAudio, которая задействовалась связанной с Китаем APT24 в ходе трехлетней шпионской кампании с весьма сложными вариантами атак.
Вредоносное ПО доставлялось жертвам различными способами, включая фишинг, взлом цепочки поставок и в атаках «на водопой».
С ноября 2022 по сентябрь 2025 года APT24 взломала более 20 легитимных сайтов из различных доменов, внедрив вредоносный JavaScript, который выбирал посетителей, представляющих для них интерес. Основное внимание уделялось системам Windows.
Как выяснили исследователи, скрипт собирал фингерпринты, подпадающие под критерии атаки, загружал фейковое всплывающее окно с предложением обновить ПО, побуждая пользователя загрузить BadAudio.
Начиная с июля 2024 года группа несколько раз взломала компанию в сфере цифрового маркетинга на Тайване, которая реализует библиотеки JavaScript для клиентских веб-сайтов.
Это позволило им внедрить вредоносный JavaScript в широко распространённую библиотеку компании.
Зарегистрировав доменное имя, выдававшее себя за легитимную сеть CDN, злоумышленники скомпрометировали более 1000 доменов.
С конца 2024 года по июль 2025 года хакеры неоднократно атаковала одну и ту же маркетинговую компанию, внедряя вредоносный, запутанный JavaScript-код в модифицированный JSON-файл, который загружался отдельным JavaScript-файлом от того же поставщика.
После запуска он сканировал каждого посетителя сайта и отправлял на сервер злоумышленников отчет в кодировке base64, что позволяло выборочно направлять ответ с URL-адресом следующего этапа.
Параллельно с этим, начиная с августа 2024 года, группировка начала практиковать фишинговые атаки, в ходе которых вредоносное ПО BadAudio распространялось с использованием в качестве приманки электронных писем якобы от зоозащитных организаций.
В некоторых вариантах таких атак APT24 использовала легитимные облачные сервисы Google Drive и OneDrive, для доставки вредоносного ПО вместо собственных серверов.
При этом многие попытки детектировались и сообщения улетали в спам. Однако в ряде случаях электронные письма содержали пиксели для отслеживания, позволяющие подтвердить открытие получателем письма.
Вредоносная ПО BadAudio сильно запутана для защиты от обнаружения и анализа.
Выполнение осуществляется посредством перехвата порядка поиска DLL - метода, который позволяет легитимному приложению загружать вредоносную полезную нагрузку.
При разработке BadAudio применялся метод сглаживания потока управления - сложная техника обфускации, которая систематически запутывает естественную структурированную логику программы.
Он заменяет линейный код серией разрозненных блоков, управляемых центральным «диспетчером» и переменной состояния, что вынуждает аналитиков вручную отслеживать каждый путь выполнения и существенно затрудняет и автоматизированную, и ручную реверс-разработку.
После запуска на целевом устройстве BadAudio собирает сведения о системе (имя хоста, имя пользователя, архитектуру), шифрует информацию с помощью жестко запрограммированного ключа AES и отправляет ее на жестко запрограммированный адрес C2.
Затем загружает зашифрованную с помощью AES полезную нагрузку с C2, расшифровывает ее и запускает в памяти с помощью загрузки DLL.
В одном случае исследователи Google наблюдали развертывание Cobalt Strike Beacon через BadAudio, но подтвердить наличие маяка во всех инцидентах не удалось.
Следует отметить, что, несмотря на использование BadAudio в течение длительного времени, тактика APT24 позволяла сохранять его в значительной степени незамеченным.
Из восьми образцов только два были помечены как вредоносные более чем 25 антивирусными решениями на VirusTotal. Остальные, созданные 7 декабря 2022 года, детектировались лишь пятью.
GTIG полагает, что переход APT24 к более скрытным атакам подчеркивает достаточно широкие оперативные возможности злоумышленника и его способностью к постоянному и адаптивному шпионажу.
Вредоносное ПО доставлялось жертвам различными способами, включая фишинг, взлом цепочки поставок и в атаках «на водопой».
С ноября 2022 по сентябрь 2025 года APT24 взломала более 20 легитимных сайтов из различных доменов, внедрив вредоносный JavaScript, который выбирал посетителей, представляющих для них интерес. Основное внимание уделялось системам Windows.
Как выяснили исследователи, скрипт собирал фингерпринты, подпадающие под критерии атаки, загружал фейковое всплывающее окно с предложением обновить ПО, побуждая пользователя загрузить BadAudio.
Начиная с июля 2024 года группа несколько раз взломала компанию в сфере цифрового маркетинга на Тайване, которая реализует библиотеки JavaScript для клиентских веб-сайтов.
Это позволило им внедрить вредоносный JavaScript в широко распространённую библиотеку компании.
Зарегистрировав доменное имя, выдававшее себя за легитимную сеть CDN, злоумышленники скомпрометировали более 1000 доменов.
С конца 2024 года по июль 2025 года хакеры неоднократно атаковала одну и ту же маркетинговую компанию, внедряя вредоносный, запутанный JavaScript-код в модифицированный JSON-файл, который загружался отдельным JavaScript-файлом от того же поставщика.
После запуска он сканировал каждого посетителя сайта и отправлял на сервер злоумышленников отчет в кодировке base64, что позволяло выборочно направлять ответ с URL-адресом следующего этапа.
Параллельно с этим, начиная с августа 2024 года, группировка начала практиковать фишинговые атаки, в ходе которых вредоносное ПО BadAudio распространялось с использованием в качестве приманки электронных писем якобы от зоозащитных организаций.
В некоторых вариантах таких атак APT24 использовала легитимные облачные сервисы Google Drive и OneDrive, для доставки вредоносного ПО вместо собственных серверов.
При этом многие попытки детектировались и сообщения улетали в спам. Однако в ряде случаях электронные письма содержали пиксели для отслеживания, позволяющие подтвердить открытие получателем письма.
Вредоносная ПО BadAudio сильно запутана для защиты от обнаружения и анализа.
Выполнение осуществляется посредством перехвата порядка поиска DLL - метода, который позволяет легитимному приложению загружать вредоносную полезную нагрузку.
При разработке BadAudio применялся метод сглаживания потока управления - сложная техника обфускации, которая систематически запутывает естественную структурированную логику программы.
Он заменяет линейный код серией разрозненных блоков, управляемых центральным «диспетчером» и переменной состояния, что вынуждает аналитиков вручную отслеживать каждый путь выполнения и существенно затрудняет и автоматизированную, и ручную реверс-разработку.
После запуска на целевом устройстве BadAudio собирает сведения о системе (имя хоста, имя пользователя, архитектуру), шифрует информацию с помощью жестко запрограммированного ключа AES и отправляет ее на жестко запрограммированный адрес C2.
Затем загружает зашифрованную с помощью AES полезную нагрузку с C2, расшифровывает ее и запускает в памяти с помощью загрузки DLL.
В одном случае исследователи Google наблюдали развертывание Cobalt Strike Beacon через BadAudio, но подтвердить наличие маяка во всех инцидентах не удалось.
Следует отметить, что, несмотря на использование BadAudio в течение длительного времени, тактика APT24 позволяла сохранять его в значительной степени незамеченным.
Из восьми образцов только два были помечены как вредоносные более чем 25 антивирусными решениями на VirusTotal. Остальные, созданные 7 декабря 2022 года, детектировались лишь пятью.
GTIG полагает, что переход APT24 к более скрытным атакам подчеркивает достаточно широкие оперативные возможности злоумышленника и его способностью к постоянному и адаптивному шпионажу.
Google Cloud Blog
APT24's Pivot to Multi-Vector Attacks | Google Cloud Blog
PRC-nexus APT24 uses BADAUDIO malware in a persistent, multi-vector espionage campaign targeting Taiwan.
И, наконец, апофеозом инцидента с 0-day Oracle E-Business Suite (EBS) стал взлом самой Oracle, которая фактически стала жертвой собственной CVE-2025-61882 благодаря банде Cl0p, которая на этом завершила очередную успешную делюгу после MOVEit, Fortra GoAnywhere и Cleo.
В четверг на DLS вымогателей появилась информация о компании из Остина, штат Техас.
При этом сам пост жертвы содержал небольшой объем информации: указан офис Oracle, адрес, номер телефона, веб-сайт, годовой доход в размере 59 млрд. долл. и отрасль промышленности.
Традиционно Cl0p также пометила публикацию своей «фирменной» подписью: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!».
Правда запись по Oracle позже исчезла, остались лишь скрины, которыми делились исследователи в X.
Возможным объяснением исчезновения компании с DLS можно полагать начавшиеся переговоры по выкупу, и вероятно, - успешные для клопов.
В целом, жертвами очередной кампании Cl0p EBS, стартовавшей еще в июле этого года, стали десятки компаний.
Задействованный эксплойт, по данным Google, успешно объединяет сразу несколько уязвимостей, включая 0-day CVE-2025-61882, позволив осуществлять неаутентифицированное RCE в Oracle EBS и похитить огромные объемы данных клиентов.
Впервые об уязвимости компания сообщила 2 октября. Большинство ее клиентов в течение нескольких месяцев фактически даже не знали о ней.
Осознание пришло только в августе, когда жертвы стали получать от банды электронные письма с требованием выкупа.
По началу Oracle пыталась оперативно cреагировать и даже выпустила исправление, но оно оказалось неэффективным. Затем последовал второй критический патч, однако многие из жертв на тот момент уже были на крючке Cl0p.
Среди наиболее известных из них оказались: британская NHS, Humana, Mazda, Mazda USA, Pheonix U, The Washington Post, Гарвардский университет, American Airlines Envoy Air, DXC Technology, Chicago Public Schools и многие др.
По всей видимости, отработав всех жертв из длинного списка, участники Cl0p решили символично подвести итоги кампании Oracle EBS, разместив на его последней строке главного «виновника торжества».
В четверг на DLS вымогателей появилась информация о компании из Остина, штат Техас.
При этом сам пост жертвы содержал небольшой объем информации: указан офис Oracle, адрес, номер телефона, веб-сайт, годовой доход в размере 59 млрд. долл. и отрасль промышленности.
Традиционно Cl0p также пометила публикацию своей «фирменной» подписью: «Компания не заботится о своих клиентах. Она проигнорировала их безопасность!!!».
Правда запись по Oracle позже исчезла, остались лишь скрины, которыми делились исследователи в X.
Возможным объяснением исчезновения компании с DLS можно полагать начавшиеся переговоры по выкупу, и вероятно, - успешные для клопов.
В целом, жертвами очередной кампании Cl0p EBS, стартовавшей еще в июле этого года, стали десятки компаний.
Задействованный эксплойт, по данным Google, успешно объединяет сразу несколько уязвимостей, включая 0-day CVE-2025-61882, позволив осуществлять неаутентифицированное RCE в Oracle EBS и похитить огромные объемы данных клиентов.
Впервые об уязвимости компания сообщила 2 октября. Большинство ее клиентов в течение нескольких месяцев фактически даже не знали о ней.
Осознание пришло только в августе, когда жертвы стали получать от банды электронные письма с требованием выкупа.
По началу Oracle пыталась оперативно cреагировать и даже выпустила исправление, но оно оказалось неэффективным. Затем последовал второй критический патч, однако многие из жертв на тот момент уже были на крючке Cl0p.
Среди наиболее известных из них оказались: британская NHS, Humana, Mazda, Mazda USA, Pheonix U, The Washington Post, Гарвардский университет, American Airlines Envoy Air, DXC Technology, Chicago Public Schools и многие др.
По всей видимости, отработав всех жертв из длинного списка, участники Cl0p решили символично подвести итоги кампании Oracle EBS, разместив на его последней строке главного «виновника торжества».
D-Link под конец недели предупреждает пользователей о трех RCE-уязвимостях, которые затрагивают все модели и аппаратные версии ее одного из самых популярных маршрутизаторов DIR-878, который уже снят с производства, но все еще продается по всему миру.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
DIR-878 изначально был представлен в 2017 году как высокопроизводительный двухдиапазонный беспроводной маршрутизатор и по большей части используется в домах и в небольших офисах.
Маршрутизатор до настоящего времени можно приобрести по цене от 75 до 122 долларов.
Однако его поддержка закончилась в 2021 году и D-Link было принято решение прекратить выпускать обновления для этой модели, рекомендуя заменить ее на активно поддерживаемый продукт.
Технические подробности и код PoC-эксплойта, демонстрирующий эксплуатацию, были представлены исследователем с псевдонимом Yangyifan.
Всего в рекомендациях по безопасности D-Link отмечены четыре уязвимости, только одна из которых требует для эксплуатации физического доступа или контроля над USB-устройством:
- CVE-2025-60672: удаленное неаутентифицированное выполнение команд с помощью параметров SetDynamicDNSSettings, хранящихся в NVRAM и используемых в системных командах.
- CVE-2025-60673: удаленное выполнение неаутентифицированной команды через SetDMZSettings и несанкционированное значение IPAddress, внедренное в команды iptables.
- CVE-2025-60674: переполнение стека при обработке USB-накопителя из-за слишком большого размера поля «серийный номер» (атака на уровне физического или USB-устройства).
- CVE-2025-60676: произвольное выполнение команд через необработанные поля в /tmp/new_qos.rule, обрабатываемое двоичными файлами с помощью system().
Несмотря на то, что уязвимости можно эксплуатировать удаленно, а код эксплойта уже доступен публично, уровень серьезности этих уязвимостей оценивается как средний.
Но как мы знаем, мимо общедоступного эксплойта злоумышленники никогда не проходят, особенно это касается операторов ботнетов, которые обычно быстро его добавляют в свой арсенал для расширения зоны поражения.
В частности, как мы ранее сообщали, в ботнете RondoDox, например, используется более 56 известных уязвимостей, некоторые из которых затрагивают устройства D-Link, и их перечень продолжает пополняться.
Таким образом, новый набор уязвимостей в DIR-878 обязательно пополнит арсеналы операторов, а их владельцы получат все шансы стать невольными соучастниками атак на Пентагон.
Но будем посмотреть.
Forwarded from Russian OSINT
The Verge
Google denies ‘misleading’ reports of Gmail using your emails to train AI
Google says “we do not use your Gmail content for training our Gemini AI model.”
Google пришлось дать комментарий изданию The Verge касательно статьи Malwarebytes, утверждая, что настройка «Умные функции и персонализация» (Smart features and personalization) отвечает на самом деле за давно существующие алгоритмы: автозаполнение (Smart Compose), выделение важных писем и сортировку по папкам «Промоакции»/«Соцсети».
По словам представителя корпорации, эти функции используют данные пользователей для обучения, чтобы адаптировать работу алгоритмов под конкретного пользователя (персонализация).
The Verge отмечает, что один из сотрудников издания (как и многие из нас) обнаружил, что его настройки smart features, от которых он отказался ранее, вдруг оказались включёнными без каких-либо явных уведомлений.
Отмечается, что опция «Smart features» нужна, чтобы Gemini получил доступ к вашим данным для персонализации сервисов, а также для обучения классических алгоритмов (автозамены, спам-фильтров), при этом Google юридически обязуется не скармливать ваши личные переписки нейросети Gemini для её глобального обучения.
Google прав в узком, юридически выверенном смысле, утверждая, что пользовательский контент в Gmail не используется для обучения общей модели Gemini. Речь идёт об обучении, но для персонализации.
Эксперты Malwarebytes правы в оценке рисков, утверждая, что письма и вложения действительно используются для обучения и совершенствования ИИ-алгоритмов, а отказ от участия требует определенных действий. Интерфейс и система уведомлений спроектированы так, что без бутылки крепкого напитка и широкой огласки рядовому пользователю крайне затруднительно во всем этом разобраться.
🤔Учитывая историю штрафов Google за нарушение приватности для максимальной безопасности эксперты советуют полностью отключить «Умные функции».
✒️ Стоить помнить, что окончательный выбор всегда остается за пользователем.
✋ @Russian_OSINT
По словам представителя корпорации, эти функции используют данные пользователей для обучения, чтобы адаптировать работу алгоритмов под конкретного пользователя (персонализация).
The Verge отмечает, что один из сотрудников издания (как и многие из нас) обнаружил, что его настройки smart features, от которых он отказался ранее, вдруг оказались включёнными без каких-либо явных уведомлений.
Отмечается, что опция «Smart features» нужна, чтобы Gemini получил доступ к вашим данным для персонализации сервисов, а также для обучения классических алгоритмов (автозамены, спам-фильтров), при этом Google юридически обязуется не скармливать ваши личные переписки нейросети Gemini для её глобального обучения.
Google прав в узком, юридически выверенном смысле, утверждая, что пользовательский контент в Gmail не используется для обучения общей модели Gemini. Речь идёт об обучении, но для персонализации.
Эксперты Malwarebytes правы в оценке рисков, утверждая, что письма и вложения действительно используются для обучения и совершенствования ИИ-алгоритмов, а отказ от участия требует определенных действий. Интерфейс и система уведомлений спроектированы так, что без бутылки крепкого напитка и широкой огласки рядовому пользователю крайне затруднительно во всем этом разобраться.
🤔Учитывая историю штрафов Google за нарушение приватности для максимальной безопасности эксперты советуют полностью отключить «Умные функции».
Please open Telegram to view this post
VIEW IN TELEGRAM
Американская CrowdStrike заявила о поимке крота в своих рядах, который, по их данным, делал скрины из внутренних систем и делился с участниками хакерской группы Scattered Lapsus$ Hunters, впоследствии публиковавшей их на своем ТГ-канале.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Ссылаясь на результаты собственного расследования, компания отметила, что в результате инцидента ее системы не были взломаны, а данные клиентов не были скомпрометированы.
На тот момент CrowdStrike не уточняла дополнительных деталей, в том числе кто из киберподполья был причастен к атаке и тем более какова роль инсайдера.
Однако позже все стало понятно, когда скриншоты систем CrowdStrike были опубликованы членами коллектива ShinyHunters, Scattered Spider и Lapsus$.
Сами хакеры отметили, что гонорар по итогам сотрудничества с бандой должен был составить 25 000 долларов и включал предоставление доступа к внутренней сети CrowdStrike.
При этом злоумышленники заявили, что в конечном итоге смогли получить файлы cookie аутентификации SSO от инсайдера, но к тому времени подозреваемый уже был под колпаком CrowdStrike, которая успела залочить ему доступ к сети.
Кроме того, банда вымогателей добавила, что они также пытались прикупить отчеты CrowdStrike по ShinyHunters и Scattered Spider, но не потерпели фиаско.
В общем, Scattered Lapsus$ Hunters можно сказать задрали планку вымогательства на достаточно высокий уровень и продолжают удивлять размахом своей хакерской активности. Чуть было не завалившийся на бок, Jaguar Land Rover (JLR), не даст соврать.
CrowdStrike повезло не угодить в их послужной список, в котором и без того именитые бренды: Google, Cisco, Toyota, Instacart, Cartier, Adidas, Sake Fifth Avenue, Air France и KLM, FedEx, Disney/Hulu, Home Depot, Marriott, Gap, McDonald's, Walgreens, Transunion, HBO MAX, UPS, Chanel и IKEA.
К настоящему времени продолжая масштабную кампанию со взломом Salesforce хакеры приступили к новой волне атак, жертвами которых уже стали: LinkedIn, GitLab, Atlassian, Thomson Reuters, Verizon, F5, SonicWall, DocuSign и Malwarebytes.
Причем запустили также и новую платформу RaaS под названием ShinySp1d3r (при участии ShinyHunters и Scattered Spider).
Ранее они использовали в атаках шифровальщики своих коллег по цеху, включая ALPHV/BlackCat, RansomHub, Qilin и DragonForce, однако теперь реализуют собственный шифровальщик, разработанный с нуля (образец был обнаружен на VirusTotal).
Так что продолжаем следить.
Исследователи Лабораторией Касперского обратили внимание на активно расширяющийся с середины 2025 года ботнет Tsundere, нацеленный на пользователей Windows.
В настоящее время подробности о том, как распространяется вредоносное ПО, мало.
Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.
При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.
По всей видимости, цели атак - пользователи пиратских версии игр.
Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.
Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.
Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.
Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.
Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.
Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.
После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.
Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.
Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.
Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.
По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.
Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.
Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.
Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.
Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.
По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.
В настоящее время подробности о том, как распространяется вредоносное ПО, мало.
Как минимум в одном случае операторы использовали легитимный инструмент RMM в качестве канала для загрузки установочного файла MSI со взломанного сайта.
При этом названия вредоносных артефактов - Valorant, r6x (Rainbow Six Siege X) и cs2 (Counter-Strike 2), также указывают на то, что имплант, вероятно, распространяется в качестве игровых приманок.
По всей видимости, цели атак - пользователи пиратских версии игр.
Независимо от используемого метода, фейковый установщик MSI предназначен для установки Node.js и запуска скрипта-загрузчика, отвечающего за расшифровку и выполнение основной полезной нагрузки ботнета.
Он также реализует среду, загружая три легитимные библиотеки, а именно ws, ethers и pm2, с помощью команды npm install.
Пакет pm2 устанавливается для обеспечения активности бота Tsundere и используется для его запуска. Кроме того, pm2 помогает обеспечить персистентность в системе, записывая данные в реестр и настраиваясь на перезапуск процесса при входе в систему.
Анализ панели C2 показал, что вредоносное ПО также распространяется в форме скрипта PowerShell, который выполняет аналогичную последовательность действий, развертывая Node.js на скомпрометированном хосте и загружая ws и ethers в качестве зависимостей.
Несмотря на то, что PowerShell не использует pm2, он выполняет те же действия, что и в установщике MSI, создавая значение ключа реестра, которое обеспечивает запуск бота при каждом входе в систему путем создания нового экземпляра самого себя.
Tsundere задействует блокчейн Ethereum для получения данных сервера WebSocket C2 (например, ws://193.24.123[.]68:3011 или ws://185.28.119[.]179:1234), создавая устойчивый механизм, позволяющий злоумышленникам менять инфраструктуру, используя смарт-контракт.
После получения адреса C2 он проверяет его на корректность URL-адреса WebSocket, а затем устанавливает WebSocket-соединение с указанным адресом и получает JavaScript-код, отправленный сервером.
Однако в ЛК так и не увидели никаких последующих команд от сервера в течение исследования.
Как отмечают исследователи высокая гибкость и динамичность бота Tsundere, позволяет операторам ботнета адаптировать его для широкого спектра действий, что также поддерживается панелью управления, которая также включает и торговую площадку в едином фронтенде.
Она позволяет зарегистрированным пользователям создавать новые артефакты с помощью MSI или PowerShell, управлять административными функциями, просматривать количество ботов в любой момент времени, создавать прокси для маршрутизации вредоносного трафика и др.
По части атрибуции артефакты указывают на русскоязычного злоумышленника koneko, а сама активность функционально перекликается с вредоносной кампанией npm, попавшей в поле зрения Checkmarx, Phylum и Socket в ноябре 2024 года.
Злоумышленник тогда пытался выдавать свои пакеты за Puppeteer, Bignum.js и другие криптовалютные библиотеки: всего было выявлено 287 вредоносных пакетов. Эта атака на цепочку поставок затронула пользователей Windows, Linux и macOS, однако просуществовала недолго.
Более того, анализ ЛК выявил связь между ботнетом Tsundere и 123 Stealer - стилером на C++, распространяемым по подписке за 120 долларов в месяц.
Панели управления обоих зловредов используют один и тот же сервер: основной домен выполняет роль фронтенда для панели управления 123 Stealer, а поддомен idk. отведен для ботнета Tsundere.
Так что можно считать, Tsundere является очередным пополнением в арсенале известного злоумышленника, демонстрирующим эволюцию атаки, замеченной в октябре прошлого года, в том числе по части новой техники со смарт-контрактами Web3 для размещения адресов С2.
По мнению ЛК, активность ботнета Tsundere в ближайшие месяцы, скорее всего, будет нарастать, а все технические подробности - в отчете.
Securelist
The Tsundere botnet uses the Ethereum blockchain to infect its targets
Kaspersky GReAT experts discovered a new campaign featuring the Tsundere botnet. Node.js-based bots abuse web3 smart contracts and are spread via MSI installers and PowerShell scripts.
Positive Technologies представила обширный отчет в отношении связанной с Китаем APT31, которая отметилась целевыми атаками на российский ИТ (прежде всего подрядчики и интеграторы для госсектора) в 2024-2025 гг.
Уникальность этой кампании заключалась в продуманной тактике злоумышленников, которая позволяла им долгое время оставаться необнаруженными.
Группа также известна как Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres и Violet Typhoon (ранее Zirconium) и, предположительно, действует как минимум с 2010 года.
За это время хакеры атаковали широкий спектр целей, включая правительственные учреждения, аэрокосмическую и оборонную промышленность, высокие технологии, строительство, машиностроение, телекоммуникации, СМИ, финансы и страхование.
Основная мотивация APT31 - кибершпионаж, в части сбора перспективной развединформации политического, экономического и военного характера в соответствии со стратегическими интересами Поднебесной.
Атаки на российском направлении характеризуются использованием легитимных облачных сервисов, предпочтительных в стране (таких как Yandex Cloud), для инфраструктуры C2 и маркированием эксфильтрации под обычный трафик для уклонения от обнаружения.
Подчеркивая особую изощренность злоумышленника, Позитивы отмечают, что хакеры размещали зашифрованные команды и полезную нагрузку в профилях соцсетей, а также практиковали атаки в выходные и праздничные дни.
Как минимум в одной атаке на IT-компанию, APT31 взломала её сеть ещё в конце 2022 года, а затем активизировала свою деятельность в период новогодних праздников 2023 года.
В рамках другого взлома в декабре 2024 года злоумышленники отправили фишинговое письмо с RAR-архивом, который, в свою очередь, включал LNK, отвечающий за запуск загрузчика Cobalt Strike, названного CloudyLoader, посредством загрузки DLL-библиотеки.
Подробности этой активности ранее были задокументированы исследователями Лаборатории Касперского в июле 2025 года, которые также выявили некоторые совпадения с кластером угроз, известным как EastWind.
Кроме того, исследователи обнаружили приманку в виде ZIP-архива, замаскированного под отчет МИД Перу, с целью в конечном итоге - запустить CloudyLoader.
Персистентность достигалась за счёт настройки запланированных задач, имитирующих работу легитимных приложений, таких как Яндекс.Диск и Google Chrome.
Для реализации последующих этапов атаки APT31 задействовала внушительный набор как сторонних (для перемещения по сети и разведки), так и собственных инструменты. При этом маскируя их под легитимное ПО.
Среди детектированных утилит и штаммов вредоносных ПО отмечены следующие: SharpADUserIP, SharpChrome.exe, SharpDir, StickyNotesExtract.exe, Tailscale VPN, Owawa, AufTime, COFFProxy, VtChatter, OneDriveDoor, LocalPlugX, CloudSorcerer и YaLeak.
В Positive Technologies отмечают, что APT31 постоянно пополняет свой арсенал, однако не отказывается от использования некоторых из своих старых инструментов, многие из которых настроены на работу в режиме сервера, ожидая подключения злоумышленников к зараженному хосту.
Группировка APT31 остается активной и по сей день. Их атаки остаются такими же продуманными - от времени атаки и до сценария команд.
Технические подробности и IOCs - в отчете.
Уникальность этой кампании заключалась в продуманной тактике злоумышленников, которая позволяла им долгое время оставаться необнаруженными.
Группа также известна как Altaire, Bronze Vinewood, Judgement Panda, PerplexedGoblin, RedBravo, Red Keres и Violet Typhoon (ранее Zirconium) и, предположительно, действует как минимум с 2010 года.
За это время хакеры атаковали широкий спектр целей, включая правительственные учреждения, аэрокосмическую и оборонную промышленность, высокие технологии, строительство, машиностроение, телекоммуникации, СМИ, финансы и страхование.
Основная мотивация APT31 - кибершпионаж, в части сбора перспективной развединформации политического, экономического и военного характера в соответствии со стратегическими интересами Поднебесной.
Атаки на российском направлении характеризуются использованием легитимных облачных сервисов, предпочтительных в стране (таких как Yandex Cloud), для инфраструктуры C2 и маркированием эксфильтрации под обычный трафик для уклонения от обнаружения.
Подчеркивая особую изощренность злоумышленника, Позитивы отмечают, что хакеры размещали зашифрованные команды и полезную нагрузку в профилях соцсетей, а также практиковали атаки в выходные и праздничные дни.
Как минимум в одной атаке на IT-компанию, APT31 взломала её сеть ещё в конце 2022 года, а затем активизировала свою деятельность в период новогодних праздников 2023 года.
В рамках другого взлома в декабре 2024 года злоумышленники отправили фишинговое письмо с RAR-архивом, который, в свою очередь, включал LNK, отвечающий за запуск загрузчика Cobalt Strike, названного CloudyLoader, посредством загрузки DLL-библиотеки.
Подробности этой активности ранее были задокументированы исследователями Лаборатории Касперского в июле 2025 года, которые также выявили некоторые совпадения с кластером угроз, известным как EastWind.
Кроме того, исследователи обнаружили приманку в виде ZIP-архива, замаскированного под отчет МИД Перу, с целью в конечном итоге - запустить CloudyLoader.
Персистентность достигалась за счёт настройки запланированных задач, имитирующих работу легитимных приложений, таких как Яндекс.Диск и Google Chrome.
Для реализации последующих этапов атаки APT31 задействовала внушительный набор как сторонних (для перемещения по сети и разведки), так и собственных инструменты. При этом маскируя их под легитимное ПО.
Среди детектированных утилит и штаммов вредоносных ПО отмечены следующие: SharpADUserIP, SharpChrome.exe, SharpDir, StickyNotesExtract.exe, Tailscale VPN, Owawa, AufTime, COFFProxy, VtChatter, OneDriveDoor, LocalPlugX, CloudSorcerer и YaLeak.
В Positive Technologies отмечают, что APT31 постоянно пополняет свой арсенал, однако не отказывается от использования некоторых из своих старых инструментов, многие из которых настроены на работу в режиме сервера, ожидая подключения злоумышленников к зараженному хосту.
Группировка APT31 остается активной и по сей день. Их атаки остаются такими же продуманными - от времени атаки и до сценария команд.
Технические подробности и IOCs - в отчете.
ptsecurity.com
Атаки разящей панды: APT31 сегодня
APT31 — кибершпионская группа, нацеленная в основном на промышленный шпионаж и кражу интеллектуальной собственности. Группа маскирует свои инструменты под легитимное программное обеспечение. Для создания двухстороннего канала связи с ВПО использует легитимные…
Forwarded from Social Engineering
• Данный материал содержит практические примеры и актуальные методы для анализа безопасности Wi-Fi:
• В дополнение
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Shai-Hulud вернулся с новой волной атакой на цепочку поставок, заразив 640 пакетов NPM.
Причем обновленная самовоспроизводящаяся версия червя обладает разрушительными возможностями: стирает содержимое домашнего каталога, если не может распространиться на другие репозитории.
Первая итерация Shai-Hulud произошла еще в середине сентября, тогда под раздачу попало более 180 пакетов, что привело к раскрытию учетных данных GitHub, NPM, AWS и Google Cloud, ключей Atlassian и ключей API Datadog.
После запуска на системе жертвы вредоносная ПО искала токены NPM, обобщала пакеты, к которым у жертвы есть доступ, внедряла в них скрипт после установки для своего распространения, переупаковывала их, а затем публиковала версии вредоносных пакетов в репозитории.
В течение нескольких дней Shai-Hulud скомпрометировала десятки учётных записей разработчиков, опубликовав более 700 версий вредоносных пакетов.
Собранная конфиденциальная информация жертв публиковалась в публичных репозиториях, также данные из приватных репозиториев переносились в публичные.
Исследователи предупреждают, что в новой версии атаки на цепочку поставок, запущенной на выходных, червь Shai-Hulud стал еще более агрессивным и обновился, получив разрушительные возможности.
Как отмечают в Wiz, в отличие от предыдущей версии, новые образцы Shai-Hulud используют для распространения предустановленные скрипты пакетов NPM, что значительно расширяет горизонт поражения на машинах разработки и конвейерах CI/CD.
Червь распространяет два файла: setup_bun.js и bun_environment.js, которые содержат загрузчик и полезную нагрузку соответственно.
Он также добавляет несколько рабочих процессов GitHub Actions, включая бэкдор, поддерживающий выполнение команд, инициированных через обсуждения в репозитории GitHub.
В свою очередь, JFrog заметила, что после заражения DNS-сервер системы перехватывается.
Если червь не находит токены GitHub или NPM для злоупотребления, он выполняет функцию очистки, удаляя все пользовательские данные в Windows, а также стерая все файлы и пустые каталоги в системах на базе Unix.
В Upwind обнаружили, что вредоносная ПО также запускает привилегированные контейнеры Docker и изменяет файлы sudoers, чтобы получить права root для повышения привилегий.
Wiz и Upwind заявили, что идентифицировали более 25 000 вредоносных репозиториев, опубликованных вредоносным ПО.
Wiz предупредила, что каждые 30 минут публикуется около 1000 новых пакетов.
Как и в сентябре, Shai-Hulud стремится собрать секреты разработчиков, включая токены, файлы cookie и данные локального рабочего пространства, которые он загружает в репозитории GitHub под контролем злоумышленников.
Как поясняет ReversingLabs, репозитории, связанные с утечкой данных и связанные с атакой, имеют случайные названия и описание Sha1-Hulud: Second Coming.
Компания выявила 27 000 таких репозиториев.
В отличие от предыдущей версии, новая версия Shai-Hulud может заразить до 100 пакетов NPM, поддерживаемых любой из жертв.
При этом первым троянизированным пакетом, распространяющим червя, мог быть asyncapi/specs, количество загрузок которого в неделю составляет около 1,4 млн.
Aikido сообщает, что обнаружила 36 пакетов AsyncAPI, которые были троянизированы.
Злоумышленники внедрили вредоносный код в сотни пакетов NPM, включая крупные пакеты Zapier, ENS, AsyncAPI, PostHog, Browserbase, Postman и др.
Если разработчик устанавливает один из этих вредоносных пакетов, вредоносное ПО незаметно запускается во время установки, ещё до того, как что-либо будет установлено. Общее количество ежемесячных загрузок скомпрометированных пакетов превышает 130 миллионов.
Как отмечает Upwind, серьезную угрозу новой атаке на цепочку поставок представляют скорость и автоматизация, превращающие каждого зараженного в точку усиления.
Украденные токены мгновенно используются для повторной публикации вредоносных пакетов и внедрения мошеннических рабочих процессов, превращая Shai Hulud 2.0 в червя всей экосистемы, а не в изолированный инцидент в цепочке поставок.
Причем обновленная самовоспроизводящаяся версия червя обладает разрушительными возможностями: стирает содержимое домашнего каталога, если не может распространиться на другие репозитории.
Первая итерация Shai-Hulud произошла еще в середине сентября, тогда под раздачу попало более 180 пакетов, что привело к раскрытию учетных данных GitHub, NPM, AWS и Google Cloud, ключей Atlassian и ключей API Datadog.
После запуска на системе жертвы вредоносная ПО искала токены NPM, обобщала пакеты, к которым у жертвы есть доступ, внедряла в них скрипт после установки для своего распространения, переупаковывала их, а затем публиковала версии вредоносных пакетов в репозитории.
В течение нескольких дней Shai-Hulud скомпрометировала десятки учётных записей разработчиков, опубликовав более 700 версий вредоносных пакетов.
Собранная конфиденциальная информация жертв публиковалась в публичных репозиториях, также данные из приватных репозиториев переносились в публичные.
Исследователи предупреждают, что в новой версии атаки на цепочку поставок, запущенной на выходных, червь Shai-Hulud стал еще более агрессивным и обновился, получив разрушительные возможности.
Как отмечают в Wiz, в отличие от предыдущей версии, новые образцы Shai-Hulud используют для распространения предустановленные скрипты пакетов NPM, что значительно расширяет горизонт поражения на машинах разработки и конвейерах CI/CD.
Червь распространяет два файла: setup_bun.js и bun_environment.js, которые содержат загрузчик и полезную нагрузку соответственно.
Он также добавляет несколько рабочих процессов GitHub Actions, включая бэкдор, поддерживающий выполнение команд, инициированных через обсуждения в репозитории GitHub.
В свою очередь, JFrog заметила, что после заражения DNS-сервер системы перехватывается.
Если червь не находит токены GitHub или NPM для злоупотребления, он выполняет функцию очистки, удаляя все пользовательские данные в Windows, а также стерая все файлы и пустые каталоги в системах на базе Unix.
В Upwind обнаружили, что вредоносная ПО также запускает привилегированные контейнеры Docker и изменяет файлы sudoers, чтобы получить права root для повышения привилегий.
Wiz и Upwind заявили, что идентифицировали более 25 000 вредоносных репозиториев, опубликованных вредоносным ПО.
Wiz предупредила, что каждые 30 минут публикуется около 1000 новых пакетов.
Как и в сентябре, Shai-Hulud стремится собрать секреты разработчиков, включая токены, файлы cookie и данные локального рабочего пространства, которые он загружает в репозитории GitHub под контролем злоумышленников.
Как поясняет ReversingLabs, репозитории, связанные с утечкой данных и связанные с атакой, имеют случайные названия и описание Sha1-Hulud: Second Coming.
Компания выявила 27 000 таких репозиториев.
В отличие от предыдущей версии, новая версия Shai-Hulud может заразить до 100 пакетов NPM, поддерживаемых любой из жертв.
При этом первым троянизированным пакетом, распространяющим червя, мог быть asyncapi/specs, количество загрузок которого в неделю составляет около 1,4 млн.
Aikido сообщает, что обнаружила 36 пакетов AsyncAPI, которые были троянизированы.
Злоумышленники внедрили вредоносный код в сотни пакетов NPM, включая крупные пакеты Zapier, ENS, AsyncAPI, PostHog, Browserbase, Postman и др.
Если разработчик устанавливает один из этих вредоносных пакетов, вредоносное ПО незаметно запускается во время установки, ещё до того, как что-либо будет установлено. Общее количество ежемесячных загрузок скомпрометированных пакетов превышает 130 миллионов.
Как отмечает Upwind, серьезную угрозу новой атаке на цепочку поставок представляют скорость и автоматизация, превращающие каждого зараженного в точку усиления.
Украденные токены мгновенно используются для повторной публикации вредоносных пакетов и внедрения мошеннических рабочих процессов, превращая Shai Hulud 2.0 в червя всей экосистемы, а не в изолированный инцидент в цепочке поставок.
wiz.io
Sha1-Hulud 2.0 Supply Chain Attack: 25K+ Repos Exposed | Wiz Blog
Shai-Hulud is back, spreading an npm malware worm through thousands of GitHub repos. Learn the impact, attacker methods, and how to defend your supply chain.
Исследователи из Лаборатории Касперского в новом отчете анализируют методологию APT ToddyCat по получению доступа к служебной почте целевых компаний.
ToddyCat, действующая с 2020 года, имеет богатый опыт атак на различные организации в Европе и Азии с использованием различных инструментов, включая Samurai и TomBerBil, для обеспечения доступа и кражи файлов.
Ранее в апреле этого года хакерской группе приписывали эксплуатацию уязвимости в сканере командной строки ESET (CVE-2024-11859, CVSS: 6,8) для распространения вредоносного ПО под кодовым названием TCESB.
Помимо изучения самих инцидентов второй половины 2024 - начала 2025 года, в ЛК подробно остановились на том, как злоумышленники смогли реализовать новый вектор атаки с использованием специального инструмента под названием TCSectorCopy.
Вновь выявленная атака позволяет с помощью браузера пользователя получить токены для протокола авторизации OAuth 2.0, которые можно использовать вне периметра скомпрометированной инфраструктуры для доступа к корпоративной почте.
В атаках, наблюдавшихся с мая по июнь 2024 года, задействовалась версия TomBerBil на PowerShell (в отличие от версий C++ и C#, отмеченных ранее), которая позволяет извлекать данные из Mozilla Firefox.
Важной особенностью этой версии является то, что она работает на контроллерах домена от имени привилегированного пользователя и способна получать доступ к файлам браузера через общие сетевые ресурсы по протоколу SMB.
В ЛК отметили, что вредоносная ПО запускалась с помощью запланированной задачи, выполняющей команду PowerShell. В частности, она ищет историю браузера, файлы cookie и сохранённые учётные данные на удалённом хосте по протоколу SMB.
Несмотря на шифрование с помощью API защиты данных Windows (DPAPI) скопированных файлов с этой информацией, TomBerBil может перехватить ключ шифрования, необходимый для их расшифровки.
Предыдущая версия TomBerBil работала на хосте и копировала токен пользователя. В результате DPAPI использовался для расшифровки главного ключа в текущем сеансе пользователя, а затем и самих файлов.
В новой серверной версии TomBerBil копирует файлы, содержащие пользовательские ключи шифрования, используемые DPAPI. Используя эти ключи, а также SID и пароль пользователя, злоумышленники могут расшифровать все скопированные файлы локально.
Кроме того, установлено, что злоумышленники получают доступ к корпоративным электронным письмам в локальном хранилище Microsoft Outlook в виде файлов OST с помощью TCSectorCopy (xCopy.exe), обходя ограничения доступа к таким файлам при работе приложения.
Написанный на C++, TCSectorCopy принимает на вход файл для копирования (в данном случае OST-файлы), а затем открывает диск как устройство только для чтения и последовательно копирует его содержимое посекторно.
После записи OST-файлов в папку, выбранную злоумышленником, содержимое электронной переписки извлекается с помощью XstReader - программы с открытым исходным кодом для просмотра OST- и PST-файлов Outlook.
Другая тактика, применяемая ToddyCat, реализуется через получение токенов доступа непосредственно из памяти в случаях, когда жертва использовала облачный сервис Microsoft 365.
Веб-токены JSON (JWT) достаются с помощью инструмента SharpTokenFinder на C# с открытым исходным кодом, который считывает приложения Microsoft 365 для получения токенов аутентификации в виде простого текста.
Однако, как отмечают исследователи, злоумышленник столкнулся с неудачной попыткой как минимум в одном расследованном инциденте после того, как установленное в системе защитное ПО заблокировало попытку SharpTokenFinder создать дамп процесса Outlook.exe.
Чтобы нивелировать это ограничение, злоумышленник использовал инструмент ProcDump из пакета Sysinternals с определёнными аргументами для создания дампа памяти процесса Outlook.
В ЛК заключили, что APT ToddyCat постоянно совершенствует свои техники, ориентируясь на те, которые бы позволили скрыть следы доступа к корпоративной переписке внутри скомпрометированной инфраструктуры.
В ЛК большинство таких техник успешно детектируются, а IOCs и матчасть - в отчете.
ToddyCat, действующая с 2020 года, имеет богатый опыт атак на различные организации в Европе и Азии с использованием различных инструментов, включая Samurai и TomBerBil, для обеспечения доступа и кражи файлов.
Ранее в апреле этого года хакерской группе приписывали эксплуатацию уязвимости в сканере командной строки ESET (CVE-2024-11859, CVSS: 6,8) для распространения вредоносного ПО под кодовым названием TCESB.
Помимо изучения самих инцидентов второй половины 2024 - начала 2025 года, в ЛК подробно остановились на том, как злоумышленники смогли реализовать новый вектор атаки с использованием специального инструмента под названием TCSectorCopy.
Вновь выявленная атака позволяет с помощью браузера пользователя получить токены для протокола авторизации OAuth 2.0, которые можно использовать вне периметра скомпрометированной инфраструктуры для доступа к корпоративной почте.
В атаках, наблюдавшихся с мая по июнь 2024 года, задействовалась версия TomBerBil на PowerShell (в отличие от версий C++ и C#, отмеченных ранее), которая позволяет извлекать данные из Mozilla Firefox.
Важной особенностью этой версии является то, что она работает на контроллерах домена от имени привилегированного пользователя и способна получать доступ к файлам браузера через общие сетевые ресурсы по протоколу SMB.
В ЛК отметили, что вредоносная ПО запускалась с помощью запланированной задачи, выполняющей команду PowerShell. В частности, она ищет историю браузера, файлы cookie и сохранённые учётные данные на удалённом хосте по протоколу SMB.
Несмотря на шифрование с помощью API защиты данных Windows (DPAPI) скопированных файлов с этой информацией, TomBerBil может перехватить ключ шифрования, необходимый для их расшифровки.
Предыдущая версия TomBerBil работала на хосте и копировала токен пользователя. В результате DPAPI использовался для расшифровки главного ключа в текущем сеансе пользователя, а затем и самих файлов.
В новой серверной версии TomBerBil копирует файлы, содержащие пользовательские ключи шифрования, используемые DPAPI. Используя эти ключи, а также SID и пароль пользователя, злоумышленники могут расшифровать все скопированные файлы локально.
Кроме того, установлено, что злоумышленники получают доступ к корпоративным электронным письмам в локальном хранилище Microsoft Outlook в виде файлов OST с помощью TCSectorCopy (xCopy.exe), обходя ограничения доступа к таким файлам при работе приложения.
Написанный на C++, TCSectorCopy принимает на вход файл для копирования (в данном случае OST-файлы), а затем открывает диск как устройство только для чтения и последовательно копирует его содержимое посекторно.
После записи OST-файлов в папку, выбранную злоумышленником, содержимое электронной переписки извлекается с помощью XstReader - программы с открытым исходным кодом для просмотра OST- и PST-файлов Outlook.
Другая тактика, применяемая ToddyCat, реализуется через получение токенов доступа непосредственно из памяти в случаях, когда жертва использовала облачный сервис Microsoft 365.
Веб-токены JSON (JWT) достаются с помощью инструмента SharpTokenFinder на C# с открытым исходным кодом, который считывает приложения Microsoft 365 для получения токенов аутентификации в виде простого текста.
Однако, как отмечают исследователи, злоумышленник столкнулся с неудачной попыткой как минимум в одном расследованном инциденте после того, как установленное в системе защитное ПО заблокировало попытку SharpTokenFinder создать дамп процесса Outlook.exe.
Чтобы нивелировать это ограничение, злоумышленник использовал инструмент ProcDump из пакета Sysinternals с определёнными аргументами для создания дампа памяти процесса Outlook.
В ЛК заключили, что APT ToddyCat постоянно совершенствует свои техники, ориентируясь на те, которые бы позволили скрыть следы доступа к корпоративной переписке внутри скомпрометированной инфраструктуры.
В ЛК большинство таких техник успешно детектируются, а IOCs и матчасть - в отчете.
Securelist
Новые инструменты и техники APT-группы ToddyCat
Эксперты «Лаборатории Касперского» разбирают атаки APT ToddyCat через корпоративную электронную почту. Изучаем новую версию TomBerBil, инструменты TCSectorCopy и XstReader, а также способы кражи токенов доступа из Outlook.
Исследователи Positive Technologies задетектили фишинговую активность хакерской группы NetMedved, которая атакует российские компании с использованием вредоносной версии NetSupport Manager (NetSupportRAT).
Первые фишинговые рассылки попали в поле зрения Позитивов в середине октября 2025 года. Отправления содержали архивы с набором приманок, имитирующих документооборот российских компаний, а также замаскированным вредоносным LNK.
В системе жертвы он запускал PowerShell в скрытом режиме с командой из тела LNK, в начале которой была вставлена последовательность из наборов букв, визуально похожих на слова. Затем подгружалась сборка System.Windows.Forms для проверок окружения и антианализа.
При этом перенос развернутой антианализ-логики непосредственно в командную строку LNK представляет собой характерную особенность (в типичных фишинговых сценариях все ограничивается командой запуска PowerShell без сложных проверок).
После антиотладочных проверок LNK инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows.
Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском, что обеспечивает закрепление в системе.
Состав архива помимо NetSupportRAT и приманки включает исполняемый набор библиотек для корректной работы вредоносного ПО и конфигурационный client32.ini с жёстко заданными доменами в качестве С2 и точек подключения клиента.
Характерной деталью является то, что используемая сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой.
Аналогичные экземпляры уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября атаки расширились за счёт использования домена metrics-strange[.]com (помимо уже засвеченного cdn-reserved[.]com) и структурно повторяли общую схему.
Одновременно с этим в первых числах ноября злоумышленники модифицировали цепочку, отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней.
Однако LNK стал работать иначе: в нем также присутствовала длинная последовательность символов, однако вместо скачивания PowerShell запускалась командная строка Windows, в которой выполнялся запрос finger к узлу api.metrics-strange[.]com.
Ключевой приём заключается в том, что вывод запроса целиком перенаправляется в cmd для исполнения, в результате чего код второй стадии динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Внутри кода реализуется проверка, после чего создаётся случайный путь в LocalAppData и с использованием копии curl под случайным именем для загрузки zip с домена metrics-strange[.]com, замаскированного под PDF.
Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, открывается документ-приманка, а через rundll32 запускается NetSupportRAT.
В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters.
Ретроспективный анализ связей между файлами конфигурации NetSupport RAT и архивами, позволил выявить фишинговую активность середины августа - начала сентября с доменом real-fishburger[.]com и вредоносными HTA.
Кроме того, были выявлены инфраструктурные пересечения кампании с ранее зафиксированными атаками Lumma Stealer и NetSupportRAT, где использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения приманок и вредоносного ПО.
На основе указанных пересечений этот кластер был обозначен Позитивами как TA NetMedved: Net отражает использование NetSupportRAT, а Medved - отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Первые фишинговые рассылки попали в поле зрения Позитивов в середине октября 2025 года. Отправления содержали архивы с набором приманок, имитирующих документооборот российских компаний, а также замаскированным вредоносным LNK.
В системе жертвы он запускал PowerShell в скрытом режиме с командой из тела LNK, в начале которой была вставлена последовательность из наборов букв, визуально похожих на слова. Затем подгружалась сборка System.Windows.Forms для проверок окружения и антианализа.
При этом перенос развернутой антианализ-логики непосредственно в командную строку LNK представляет собой характерную особенность (в типичных фишинговых сценариях все ограничивается командой запуска PowerShell без сложных проверок).
После антиотладочных проверок LNK инициирует загрузку и выполнение PowerShell-сценария, который создаёт рабочий каталог в LocalAppData, скачивает с задействованного домена ZIP, замаскированный под PDF-документ, и распаковывает его штатными средствами Windows.
Далее из распакованного каталога запускается документ-приманка и параллельно исполняется NetSupportRAT, после чего в планировщике Windows создаётся задача с автозапуском, что обеспечивает закрепление в системе.
Состав архива помимо NetSupportRAT и приманки включает исполняемый набор библиотек для корректной работы вредоносного ПО и конфигурационный client32.ini с жёстко заданными доменами в качестве С2 и точек подключения клиента.
Характерной деталью является то, что используемая сборка NetSupportRAT по метаданным датируется 2017 годом и не является новой разработкой.
Аналогичные экземпляры уже фигурировали в ряде операций, а в 2023 году исследователи VMware отдельно описывали кампанию с применением той же сборки NetSupportRAT.
К концу октября и началу ноября атаки расширились за счёт использования домена metrics-strange[.]com (помимо уже засвеченного cdn-reserved[.]com) и структурно повторяли общую схему.
Одновременно с этим в первых числах ноября злоумышленники модифицировали цепочку, отказавшись от PowerShell-скрипта. Первичная нагрузка оставалась прежней.
Однако LNK стал работать иначе: в нем также присутствовала длинная последовательность символов, однако вместо скачивания PowerShell запускалась командная строка Windows, в которой выполнялся запрос finger к узлу api.metrics-strange[.]com.
Ключевой приём заключается в том, что вывод запроса целиком перенаправляется в cmd для исполнения, в результате чего код второй стадии динамически подгружается с удалённого сервера через протокол finger и воспринимается оболочкой как обычный пакет команд.
Внутри кода реализуется проверка, после чего создаётся случайный путь в LocalAppData и с использованием копии curl под случайным именем для загрузки zip с домена metrics-strange[.]com, замаскированного под PDF.
Затем создаётся каталог, содержимое архива распаковывается встроенной утилитой tar, открывается документ-приманка, а через rundll32 запускается NetSupportRAT.
В завершение при помощи PowerShell создаётся задача планировщика с автозапуском Fosters.
Ретроспективный анализ связей между файлами конфигурации NetSupport RAT и архивами, позволил выявить фишинговую активность середины августа - начала сентября с доменом real-fishburger[.]com и вредоносными HTA.
Кроме того, были выявлены инфраструктурные пересечения кампании с ранее зафиксированными атаками Lumma Stealer и NetSupportRAT, где использовался GitHub-репозиторий NonaDoc/Nonadoc для распространения приманок и вредоносного ПО.
На основе указанных пересечений этот кластер был обозначен Позитивами как TA NetMedved: Net отражает использование NetSupportRAT, а Medved - отсылку к учётной записи prevedmedved6724993 как характерному лингвистическому маркеру инфраструктуры злоумышленников.
Хабр
«Медвед» атакует: что мы узнали про фишинговую кампанию группировки, нацеленной на российские организации
В октябре 2025 года наша команда киберразведки департамента Threat Intelligence зафиксировала продолжающуюся фишинговую активность хакерской группировки, которую мы назвали NetMedved. Обоснование...
В США хакеры положили систему оповещения о чрезвычайных ситуациях, взломав платформу OnSolve CodeRED, что подтвердил ее разработчик - Crisis24.
Платформа CodeRED задействуется в работе федеральных и местных властей, полицейскими и пожарными по всей стране, позволяя оперативно информировать жителей о чрезвычайных ситуациях, погодных катаклизмах и доставки других важных сообщений.
В результате инцидента Crisis24 была вынуждена вывести из эксплуатации среду CodeRED, что привело к масштабным сбоям в работе всех ее пользователей.
Компания отметила, что атака ограничилась средой CodeRED и не затронула ни одну из других систем компании.
Тем не менее, в результате предварительного расследования также был установлен факт кражи данных с платформы.
Среди них - имена, адреса, адреса электронной почты, номера телефонов и пароли, используемые для пользователей CodeRED.
На текущий момент в Crisis24 заявляют, что пока не видели никаких признаков того, что украденные данные были публично опубликованы.
Поставщик активно восстанавливает работу, используя резервные копии от 31 марта 2025 года, так что отлаживать упущенное придется уже в ручном режиме, что определенно затянет процесс.
Официально Crisis24 упоминает о причастности к инциденту «организованной киберпреступной группы».
Однако в киберподполье ответственность за атаку уже взяла на себя банда вымогателей INC.
Хакеры уже отметили OnSolve на своем сайте DLS и опубликовали скрины, на которых, по всей видимости, фигурируют данные клиентов, включая адреса электронной почты и связанные с ними пароли в открытом виде.
Сами злоумышленники утверждают, что взломали системы OnSolve еще 1 ноября 2025 года и зашифровали файлы немного позже - 10 ноября.
После того, как переговоры по выкупу не удались, злоумышленники теперь намерены распродать данные в молотка.
Платформа CodeRED задействуется в работе федеральных и местных властей, полицейскими и пожарными по всей стране, позволяя оперативно информировать жителей о чрезвычайных ситуациях, погодных катаклизмах и доставки других важных сообщений.
В результате инцидента Crisis24 была вынуждена вывести из эксплуатации среду CodeRED, что привело к масштабным сбоям в работе всех ее пользователей.
Компания отметила, что атака ограничилась средой CodeRED и не затронула ни одну из других систем компании.
Тем не менее, в результате предварительного расследования также был установлен факт кражи данных с платформы.
Среди них - имена, адреса, адреса электронной почты, номера телефонов и пароли, используемые для пользователей CodeRED.
На текущий момент в Crisis24 заявляют, что пока не видели никаких признаков того, что украденные данные были публично опубликованы.
Поставщик активно восстанавливает работу, используя резервные копии от 31 марта 2025 года, так что отлаживать упущенное придется уже в ручном режиме, что определенно затянет процесс.
Официально Crisis24 упоминает о причастности к инциденту «организованной киберпреступной группы».
Однако в киберподполье ответственность за атаку уже взяла на себя банда вымогателей INC.
Хакеры уже отметили OnSolve на своем сайте DLS и опубликовали скрины, на которых, по всей видимости, фигурируют данные клиентов, включая адреса электронной почты и связанные с ними пароли в открытом виде.
Сами злоумышленники утверждают, что взломали системы OnSolve еще 1 ноября 2025 года и зашифровали файлы немного позже - 10 ноября.
После того, как переговоры по выкупу не удались, злоумышленники теперь намерены распродать данные в молотка.
www.uptexas.org
Emergency Notifications | University Park, TX
When rapid notification is necessary in response to public safety emergencies like floods, chemical spills, gas leaks or bomb threats, the CodeRed Notification System is a valuable communications tool.
Исследователи F6 продолжают отслеживать активности VasyGrek (предыдущий разбор - здесь), связанные с фишинговыми рассылками в адрес российских организаций с целью кражи информации.
VasyGrek (Fluffy Wolf) - русскоязычный злоумышленник, нацеленный на российские компании различных сфер, действует как минимум с 2016 года.
Кибератаки проводились с использованием вредоносного ПО через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.
Обычно VasyGrek применял вредоносные модификации легитимных RMS и TeamViewer, разработанные Mr.Burns и классифицируемые как семейство BurnsRAT, а также стилеры RedLine и META, троян AveMaria и ПО от разработчика PureCoder (PureCrypter, PureHVNC (PureRAT), PureLogs Stealer).
После публикации в июле 2024 года исследования, в том числе о его сотрудничестве с продавцом ВПО Mr.Burns, VasyGrek перестал использовать BurnsRAT, но в целом цепочки заражений злоумышленника с того момента не претерпевали существенных изменений.
Он по-прежнему рассылал фишинговые письма, в которых вредоносный файл доставлялся потенциальной жертве как в виде вложения, так и по ссылкам на репозитории GitHub или на домены, регистрируемые VasyGrek.
Вредоносный файл представлял собой архив с исполняемым файлом внутри или сразу исполняемый файл PureCrypter, которое имеет возможность доставлять на систему жертвы последующие стадии и внедрять полезные нагрузки в нужные процессы.
Стадии могли как загружаться с внешних ресурсов, так и храниться локально в зашифрованном виде. VasyGrek отдавал предпочтение инструментам от разработчика PureCoder, но иногда к ним в дополнение шла нетипичная полезная нагрузка - в ряде случаев Pay2Key.
В новом отчете F6 подробно остановились на инструментах и атаках VasyGrek в августе-ноябре 2025 года.
В частности, замечены некоторые изменения цепочек заражений: в качестве вложений писем вместо архивов с исполняемыми файлами внутри стали использоваться архивы с файлами BAT и VBS.
В цепочке с файлом VBS конечной полезной нагрузкой было вредоносное ПО PureHVNC, но для его доставки вместо привычного PureCrypter использовался другой загрузчик - powershell stego downloader.
Он использовался разными атакующими, в частности, неоднократно был замечен в арсенале группы Sticky Werewolf.
Группа использовала его для доставки полезных нагрузок Ozone RAT и Darktrack и инжектировала их в процесс RegAsm.exe.
За этот период VasyGrek атаковал российские компании из следующих сфер деятельности: промышленность, строительство, энергетика, сельское хозяйство, безопасность, торговля, финансы, информационные технологии, медиа, развлечения.
Злоумышленник продолжал использовать ранее зарегистрированные и регистрировал новые домены для загрузки вредоносного ПО.
В качестве С2 почти год использовал IP-адрес 195[.]26[.]227[.]209 (с декабря 2024), но в конце октября 2025 года сменил его на 195[.]26[.]225[.]113.
Все детали и IOCs из атак VasyGrek за август-ноябрь 2025 года - в отчете.
VasyGrek (Fluffy Wolf) - русскоязычный злоумышленник, нацеленный на российские компании различных сфер, действует как минимум с 2016 года.
Кибератаки проводились с использованием вредоносного ПО через рассылки на бухгалтерскую тематику и фишинговые домены, которые, как правило, имитировали сайты финансовых организаций.
Обычно VasyGrek применял вредоносные модификации легитимных RMS и TeamViewer, разработанные Mr.Burns и классифицируемые как семейство BurnsRAT, а также стилеры RedLine и META, троян AveMaria и ПО от разработчика PureCoder (PureCrypter, PureHVNC (PureRAT), PureLogs Stealer).
После публикации в июле 2024 года исследования, в том числе о его сотрудничестве с продавцом ВПО Mr.Burns, VasyGrek перестал использовать BurnsRAT, но в целом цепочки заражений злоумышленника с того момента не претерпевали существенных изменений.
Он по-прежнему рассылал фишинговые письма, в которых вредоносный файл доставлялся потенциальной жертве как в виде вложения, так и по ссылкам на репозитории GitHub или на домены, регистрируемые VasyGrek.
Вредоносный файл представлял собой архив с исполняемым файлом внутри или сразу исполняемый файл PureCrypter, которое имеет возможность доставлять на систему жертвы последующие стадии и внедрять полезные нагрузки в нужные процессы.
Стадии могли как загружаться с внешних ресурсов, так и храниться локально в зашифрованном виде. VasyGrek отдавал предпочтение инструментам от разработчика PureCoder, но иногда к ним в дополнение шла нетипичная полезная нагрузка - в ряде случаев Pay2Key.
В новом отчете F6 подробно остановились на инструментах и атаках VasyGrek в августе-ноябре 2025 года.
В частности, замечены некоторые изменения цепочек заражений: в качестве вложений писем вместо архивов с исполняемыми файлами внутри стали использоваться архивы с файлами BAT и VBS.
В цепочке с файлом VBS конечной полезной нагрузкой было вредоносное ПО PureHVNC, но для его доставки вместо привычного PureCrypter использовался другой загрузчик - powershell stego downloader.
Он использовался разными атакующими, в частности, неоднократно был замечен в арсенале группы Sticky Werewolf.
Группа использовала его для доставки полезных нагрузок Ozone RAT и Darktrack и инжектировала их в процесс RegAsm.exe.
За этот период VasyGrek атаковал российские компании из следующих сфер деятельности: промышленность, строительство, энергетика, сельское хозяйство, безопасность, торговля, финансы, информационные технологии, медиа, развлечения.
Злоумышленник продолжал использовать ранее зарегистрированные и регистрировал новые домены для загрузки вредоносного ПО.
В качестве С2 почти год использовал IP-адрес 195[.]26[.]227[.]209 (с декабря 2024), но в конце октября 2025 года сменил его на 195[.]26[.]225[.]113.
Все детали и IOCs из атак VasyGrek за август-ноябрь 2025 года - в отчете.
Хабр
Неугомонный VasyGrek: F6 изучила атаки злоумышленника в августе-ноябре 2025 года
В июле 2024 года был опубликован блог об исследовании специалистами Threat Intelligence компании F6 активности VasyGrek и его сотрудничестве с продавцом ВПО Mr.Burns . После...