Подкатил PatchTueday от микромягких с исправлениями 57 уязвимостей, включая одну активно эксплуатируемую и две публично раскрытые 0-day.

В целом закрыты три критические RCE-уязвимости, а общее распределение представлен следующим образом: 28 - уязвимостей EoP, 19 - RCE, 4 - раскрытие информации, 3 - DoS и 2 - спуфинг. Кроме того, в Microsoft Edge и Mariner исправлено - 15 ошибок.

Активно используемая 0-day отслеживается как CVE-2025-62221 и затрагивает драйвер Windows Cloud Files Mini Filter, приводя к повышению привилегий.

Проблема связана с использование после освобождения и позволяет авторизованному злоумышленнику повысить привилегии для SYSTEM локально.

Microsoft приписала раскрытие этой уязвимости Центру анализа угроз Microsoft (MSTIC) и Центру реагирования на угрозы Microsoft (MSRC), но не раскрыла, как именно она эксплуатировалась.

Среди двух публично раскрытых нулей - CVE-2025-64671 и CVE-2025-54100.

Первая была обнаружена в GitHub Copilot и позволяла злоумышленнику выполнять команды локально, используя некорректную нейтрализацию специальных элементов, используемых в командах в Copilot.

Microsoft утверждает, что она может быть эксплуатирована с помощью вредоносной программы Cross Prompt Inject, внедряемой в ненадежные файлы или серверы MCP.

Злоумышленник сможет выполнять дополнительные команды, добавляя их к командам, разрешенным в настройках автоматического подтверждения терминала пользователя.

Компания приписала эту уязвимость Ари Марзуку недавно раскрыл ее в своем отчете «IDEsaster: новый класс уязвимостей в IDE для ИИ».

Другая 0-day затрагивает PowerShell и могла приводить к выполнению скриптов, встроенных в веб-страницу, при ее извлечении с помощью Invoke-WebRequest.

Она также связана с неправильной нейтрализацией специальных элементов, используемых в команде в Windows PowerShell, позволяя неавторизованному злоумышленнику локально выполнить код.

Microsoft реализовала изменение, приводящее к выводу предупреждения, когда PowerShell использует Invoke-WebRequest, предлагая пользователю добавить UseBasicParsing, чтобы предотвратить выполнение кода.

Компания приписала раскрытие этого недостатка исследователям Джастину Неке, DeadOverflow, Петерису Херманису Осипову, Anonymous, Мелиху Каану Йылдызу и Осману Эрену Гюнешу.

Полное описанием каждой уязвимости и затронутых ею систем - здесь.

Intel обнаружила три уязвимости, затрагивающие стандарт PCIe Integrity and Data Encryption (IDE) - CVE-2025-9612, CVE-2025-9613 и CVE-2025-9614, которые могут быть использованы для раскрытия информации, повышения привилегий или DoS-атаки.

PCIe - это широко используемый высокоскоростной аппаратный интерфейсный стандарт, применяемый для подключения графических процессоров, твердотельных накопителей, сетевых карт и других периферийных устройств внутри компьютеров и серверов.

Он также служит прямым каналом связи между центральным процессором и этими периферийными устройствами.

Интерфейс PCIe IDE, представленный в PCIe 6.0, предназначен для обеспечения безопасности передачи данных посредством шифрования и защиты целостности.

IDE использует шифрование AES-GCM для защиты конфиденциальности, целостности и устойчивости к повторному воспроизведению трафика между компонентами PCIe.

Работает между уровнем транзакций и канальным уровнем, обеспечивая защиту вблизи оборудования от несанкционированного изменения трафика канала связи.

Обнаруженные уязвимости на уровне спецификаций могут при определенных условиях привести к использованию устаревших или некорректных данных, если злоумышленнику удастся сформировать определенные шаблоны трафика на интерфейсе PCIe.

Однако все уязвимости были классифицированы как имеющие низкую степень серьезности, поскольку для их эксплуатации требуется физический или низкоуровневый доступ к интерфейсу PCIe IDE целевого компьютера. 

Однако подобные уязвимости могут быть полезны исследователям, специализирующимся на аппаратной безопасности, или опытным злоумышленникам, стремящимся получить глубокий и скрытый доступ к системе в ходе целенаправленной атаки.

Группа PCI (SIG), консорциум, ответственный за разработку и поддержку PCIe, опубликовала свой бюллетень, в котором кратко изложена каждая из уязвимостей. 

Производители оборудования, использующим PCIe, получили уведомления Engineering Change Notification, устраняющее уязвимости.

Так что теперь изучают потенциальное влияние трех недавно обнаруженных уязвимостей PCI Express (PCIe) и, как ожидается, выпустят обновления.

Правда, только Intel и AMD к настояшщему времени подтвердили, что их продукция затронута, а в Nvidia, Dell, F5 и Keysight заявили, что их на их продукцию уязвимости не повлияли.

Однако в списке потенциально уязвимых еще более чем десяток других производителей с «неизвестным» статусом влияния, включая Arm, Cisco, Google, HP, IBM, Lenovo и Qualcomm.

Intel опубликовала собственное уведомление, информирующее клиентов о том, что некоторые процессоры серий Xeon 6 и Xeon 6700P-B/6500P-B затронуты данной проблемой.

В свою очередь, AMD также выкатила предупреждение. В компании заявляют, что всё ещё ожидают дополнительных подробностей об уязвимостях, но считают, что они могут затронуть процессоры серии EPYC 9005 (включая встроенные).

Тем временем, React2Shell набирает обороты.

Если вы думали, что эксплойт React2Shell в основном ограничивается корпоративными приложениями, созданными с использованием фреймворка React, то Bitdefender вас разочарует.

Исследователи сообщают, что этот эксплойт теперь был принят на вооружение операторами IoT-ботнетов, которые задействуют его для атак на умные устройства, которые могут использовать React для своих веб-панелей управления.

Кроме того, в Sysdig заметили новый вредоносный имплант под названием EtherRAT, развернутый в недавней атаке React2Shell.

Исследователи полагают, что вредоносное ПО схоже с инструментами хакеров из Северной Кореи, используемыми в кампаниях Contagious Interview.

Хакеры восстановили EtherRAT из скомпрометированного приложения Next.js всего через два дня после обнаружения критической уязвимости CVE-2025-55182.

Sysdig особо отмечает комплекс сложных функций EtherRAT, включая коммуникацию C2 на основе блокчейна, многоуровневую персистентность Linux, оперативное перезапись полезной нагрузки и уклонение с использованием полноценной среды выполнения Node.js.

Несмотря на существенные совпадения с операциями Contagious Interview, проводимыми Lazarus, EtherRAT все же отличается по нескольким ключевым аспектам.

EtherRAT использует многоступенчатую цепочку атак, начиная с эксплуатации React2Shell для выполнения на цели команды оболочки, закодированной в формате base64.

Команда пытается загрузить вредоносный скрипт оболочки (s.sh) с помощью curl, wget или python3 в качестве резервных вариантов и повторяет цикл каждые 300 секунд до успешного завершения.

После загрузки скрипт проверяется, преобразуется в исполняемый файл и запускается.

Скрипт создает скрытый каталог в папке пользователя $HOME/.local/share/, куда он загружает и извлекает легитимную среду выполнения Node.js v20.10.0 непосредственно с nodejs.org.

Затем он записывает зашифрованный блок полезной нагрузки и запутанный JavaScript-дроппер, который выполняется с использованием загруженного двоичного файла Node, а затем удаляется.

Зашифрованный JavaScript-дроппер (.kxnzl4mtez.js) считывает зашифрованный блог, расшифровывает его с помощью жестко закодированного ключа AES-256-CBC и записывает результат в другой скрытый JavaScript-файл.

Расшифрованная полезная нагрузка представляет собой имплант EtherRAT. Он развертывается с помощью бинарного файла Node.js, установленного на предыдущем этапе.

EtherRAT использует смарт-контракты Ethereum для C2, что обеспечивает операционную универсальность и устойчивость к блокировкам, одновременно запрашивая данные у девяти общедоступных RPC-провайдеров.

Вредоносная ПО отправляет на серверC2 случайные URL-адреса, похожие на CDN, каждые 500 мс и выполняет JavaScript, возвращаемый операторами, используя конструктор AsyncFunction в механизме, работающем как полностью интерактивная оболочка Node.js.

EtherRAT обладает чрезвычайно агрессивной способностью к закреплению в системах Linux, устанавливая пять уровней для обеспечения персистентности: Cron jobs, bashrc injection, XDG autostart, Systemd user service и Profile injection.

Еще одна уникальная особенность EtherRAT - это его способность к самообновлению путем отправки исходного кода на API-интерфейс.

Исследователи рекомендуют пользователям проверять наличие перечисленных механизмов сохранения данных, отслеживать трафик Ethereum RPC, просматривать журналы приложений и менять учетные данные.

Исследователи Cydome сообщают об обнаружении нового ботнета под названием Broadside, который нацелен на сектор морской логистики и судоходства.

Новый ботнет на базе Mirai нацелен на уязвимые цифровые видеорегистраторы DVR компании TBK Vision, подверженные CVE-2024-3721, представляющей собой ошибку внедрения команд, которую можно использовать удаленно для выполнения произвольного кода.

Недостаточная проверка входных данных, предоставляемых пользователем, позволяет удаленным, неаутентифицированным злоумышленникам выполнять произвольный код посредством специально сформированных HTTP-запросов.

Уязвимость затрагивает устройства TBK DVR-4104 и DVR-4216, однако ее влияние оказалось шире, ведь эти модели TBK также реализуются под другими брендами, включая CeNova, HVR Login, Night Owl, Novo, Pulnix, QSee и Securus.

Ошибка была раскрыта в апреле 2024 года, тогда же появился PoC, а к середине 2025 года эту уязвимость уже использовали несколько ботнетов, ориентированных на DDoS.

В начале июня исследователи Лаборатории Касперского фиксировали более 50 000 зараженных устройств DVR, дислоцированных в Китае, Индии, Египте, Украине, России, Турции и Бразилии.

Несколько недель спустя Fortinet также предупреждала о всплеске попыток эксплуатации уязвимости, приписываемых ботнетам Condi, Fodcha, Mirai и Unstable.

Теперь, по данным Cydome, на CVE-2024-3721 переключился ботнет Broadside, нацеленный на уязвимые устройства для выполнения скрипта массовой загрузки непосредственно в их память.

Загрузчик вслепую пытается загрузить и запустить полезные нагрузки, адаптированные под поддерживаемые архитектуры, выполняет вредоносное ПО в памяти и удаляет артефакты, чтобы избежать обнаружения.

Как и другие последователи Mirai, Broadside обладает возможностями DDoS посредством UDP-флуда, но использует собственный протокол C2 и сокеты ядра Netlink для мониторинга процессов.

Cydome также выявила попытки вредоносного ПО получить доступ к файлам учетных данных системы, вероятно, для горизонтального перемещения в скомпрометированную сеть.

Кроме того, Broadside имеет модуль завершения процессов, который пытается сохранить контроль над устройством, завершая процессы, соответствующие определенным шаблонам, не прошедшие проверки или считающиеся враждебными.

Компания при этом особый акцент делает на рисках, которые несет новая кампания для судоходных компаний, поскольку атакуемые цифровые видеорегистраторы повсеместно используются на судах.

Так что, зараженные устройства могут быть использованы для перехвата видео с камер на судне, злоупотребления спутниковой связью или вовсе для проникновения в критически важные системы корабля.

Google выпустила экстренные обновления для устранения еще одной, уже восьмой в этом году 0-day в Chrome, которая использовалась в реальных атаках.

Согласно идентификатору ошибки Chromium (466192044), уязвимость была обнаружена в открытой библиотеке LibANGLE от Google, которая преобразует вызовы графики OpenGL ES в другие API, такие как Direct3D, Vulkan или Metal, и позволяет приложениям OpenGL ES работать на системах, которые не поддерживают его изначально или где альтернативные графические API обеспечивают лучшую производительность.

Согласно отчету об ошибке в Chromium, 0-day представляет собой переполнение буфера в рендерере Metal от ANGLE, вызванное неправильным определением размера буфера, что может привести к повреждению памяти, сбоям, раскрытию конфиденциальной информации и RCE.

Исправления реализованы для пользователей Windows (143.0.7499.109), macOS (143.0.7499.110) и Linux (143.0.7499.109).

Каких-либо других подробностей об этой уязвимости, включая идентификатор CVE, Google не раскрыла.

Также неясно, кто обнаружил уязвимость и когда об этом сообщили в Google. Единственная доступная информация заключается в том, что уязвимость имеет рейтинг высокой степени серьезности. 

Исследователи Zimperium сообщают о новой вредоносной ПО для Android, получившей название DroidLock, которая способна блокировать экраны жертв и выводить требования выкупа, одновременно получая доступ к широкому кругу данных.

Фактически DroidLLock позволяет оператору получить полный контроль над устройством через систему совместного доступа VNC, а также выкрасть графический ключ блокировки устройства, наложив его на экран.

По данным Zimperium, вредоносное ПО нацелено на испаноязычных пользователей и распространяется через вредоносные веб-сайты с рекламой фейковых приложений, иммигрирующих под легитимные программы.

Заражение начинается с загрузчика, который обманом заставляет пользователя установить дополнительную полезную нагрузку, содержащую собственно вредоносное ПО.

Вредоносные приложения внедряют основную полезную нагрузку посредством запроса на обновление, а затем запрашивают разрешения администратора устройства и службы специальных возможностей, что позволяет им совершать мошеннические действия.

Среди возможных действий - стирание данных с устройства, блокировка, изменение PIN-кода, пароля или биометрических данных для предотвращения доступа пользователя к устройству.

Анализ Zimperium позволил выделить у DroidLock поддержку 15 команд, позволяющих отправлять уведомления, размещать наложение на экране, отключать звук устройства, сбрасывать настройки до заводских, запускать камеру или удалять приложения.

Внешнее окно программы-вымогателя отображается через WebView сразу после получения соответствующей команды, инструктируя жертву связаться с злоумышленником по адресу электронной почты на Proton.

Владельцу девайса предъявляются требования по уплате выкупа в течение 24 часов, в противном случае операторы угрожают безвозвратно уничтожить файлы.

При этом в Zimperium поясняют, что DroidLock не шифрует файлы, но, угрожая их уничтожением без выкупа, достигает той же цели.

Кроме того, злоумышленник может заблокировать доступ к устройству, изменив код блокировки.

DroidLock способен красть графический ключ блокировки с помощью другого наложения, загруженного из ресурсов вредоносного APK-файла.

Когда пользователь рисует графический ключ на клонированном интерфейсе, он отправляет его напрямую злоумышленнику.

Цель этой функции - обеспечить удаленный доступ к устройству через VNC в периоды простоя.

Будучи членом альянса Google App Defense Alliance, Zimperium поделилась своими результатами с командой безопасности Android, благодаря чему Play Protect теперь обнаруживает и блокирует эту угрозу на современных устройствах.

Полный список МОК доступен в этом репозитории.

Исследователи Flare в своем отчете указывают на критические риски, связанные с выявлением более 10 000 образов контейнеров Docker Hub, которые раскрывают секреты, включая учетные данные для доступа к производственным системам, базам данных CI/CD или ключи модели LLM.

Все эти секреты затрагивают чуть более 100 организаций, в том числе компанию из списка Fortune 500 и крупный национальный банк.

Docker Hub - это крупнейший реестр контейнеров, где разработчики загружают, размещают, обмениваются и распространяют готовые к использованию образы Docker, содержащие все необходимое для запуска приложения.

Разработчики обычно используют образы Docker для оптимизации всего жизненного цикла разработки и развертывания ПО.

Однако, как показали предыдущие исследования, ошибки при создании этих образов может привести к раскрытию конфиденциальной информации, которая остается актуальной в течение длительного времени.

После сканирования образов контейнеров, загруженных в Docker Hub в ноябре, исследователи Flare, обнаружили, что в 10 456 был раскрыт хотя бы один или более ключей.

Наиболее часто встречающимися были токены доступа к различным моделям ИИ (OpenAI, HuggingFace, Anthropic, Gemini, Groq). В общей сложности исследователи обнаружили 4000 таких ключей.

При изучении отсканированных изображений исследователи обнаружили, что 42% из них содержали как минимум пять конфиденциальных значений.

Как отмечают в Flare, подобные утечки, затрагивающие множество секретных данных, представляют собой критические риски, поскольку зачастую обеспечивают полный доступ к облачным средам, репозиториям Git, системам CI/CD, платежным системам и другим компонентам инфраструктуры.

Анализ 205 пространств имен позволил исследователям идентифицировать в наборе данных в общей сложности 101 компанию, в основном малые и средние предприятия, а также несколько крупных компаний.

Согласно анализу, большинство организаций, чьи секреты были раскрыты, работают в секторе разработки ПО, за ними следуют компании в торговле и промышленности, а также в области ИИ и интеллектуальных систем. Кроме того, нашлось с десяток финансовых и банковских компаний.

По данным исследователей, одной из наиболее часто встречающихся ошибок было использование файлов .ENV, которые разработчики используют для хранения учетных данных базы данных, ключей доступа к облаку, токенов и различных данных аутентификации для проекта.

Кроме того, они обнаружили, что токены API для сервисов ИИ были жестко закодированы в файлах приложений Python, файлах config.json, конфигурационных файлах YAML, токенах GitHub и учетных данных для нескольких внутренних сред.

Часть конфиденциальных данных содержалась в манифесте образов Docker - файле, содержащем подробную информацию об образе.

По всей видимости, многие утечки происходят из так называемых «теневых ИТ-аккаунтов», то есть учетных записей Docker Hub, которые не подпадают под более строгие корпоративные механизмы мониторинга, например, учетных записей для личного использования или подрядчиков.

Flare отмечает, что примерно 25% разработчиков, случайно раскрывших секретные данные на Docker Hub, удалили утекший секрет из контейнера или файла манифеста в течение 48 часов.

Однако в 75% этих случаев утекший ключ не был аннулирован, а это значит, что любой, кто украл его в период утечки, мог бы использовать его позже для организации атак.

Flare рекомендовала разработчикам избегать хранения секретов в образах контейнеров, отказаться от использования статических, долгосрочных учетных данных и централизовать управление секретами с помощью выделенного хранилища или специализированного менеджера.

Организациям следует внедрять активное сканирование на протяжении всего жизненного цикла разработки ПО, немедленно отзывать раскрытые секреты и аннулировать старые сессии.

Некто Gommzystudio на GitHub вывалил общедоступный инструмент, позволяющий отслеживать активность более трех млрд. пользователей WhatsApp и Signal.

Зная лишь номер телефона, злоумышленники теперь могут определить, когда пользователь возвращаются домой, когда активно использует телефон, когда ложится спать или когда находится вне сети.

Кроме того, поддерживается функция скрытого снижения заряда и генерации стороннего трафика.

В основе отслеживания активности пользователей используются фундаментальные особенности работы протоколов обмена сообщениями WhatsApp или Signal - метод злоупотребляет подтверждениями доставки для расчета времени кругового пути (RTT) сигнала.

По всей видимости, любой пользователь способен отправить пинг на целевое устройство, при этом приложение ответит, а время отклика будет сильно варьироваться в зависимости от того, что происходит с телефоном, используется Wi-Fi или мобильные данные.

Впервые эту уязвимость, получившую название Silent Whisper, исследователи из Венского университета имени Гегенхубера и SBA Research раскрыли еще в прошлом году.

В частности, отмечалось, что противник может создавать скрытые сообщения, позволяющие с высокой частотой (до долей секунды) исследовать цель, не вызывая при этом никаких уведомлений со стороны цели и даже в отсутствие текущего разговора.

Результаты исследования gommzystudio трансформировал в работающую утилиту, демонстрирующую, насколько легко отслеживать активность пользователей мессенджеров.

Мессенджеры отправляют уведомления о доставке и прочтении всякий раз, когда пользователь получает сообщение или реагирует на него.

Однако для получения этих уведомлений злоумышленникам не нужно отправлять какие-либо реальные сообщения. Вместо этого они могут «реагировать» на несуществующие сообщения.

Как пояснил gommzystudio, трекер отправляет сообщения-реакции на несуществующие идентификаторы сообщений, что не вызывает никаких уведомлений на целевом устройстве.

Приложения отвечают, не проверив, существует ли сообщение/реакция на самом деле, поскольку для подтверждения приема сетевых пакетов на низком уровне автоматически отправляются подтверждения доставки (ACK).

На Reddit gommzystudio рассказал, как ему удавалось рассылать зондирующие запросы с интервалом примерно в 50 мс, а целевой пользователь ничего не видел - ни всплывающих окон, ни уведомлений, ни сообщений, ничего не отображалось в пользовательском интерфейсе.

При этом на устройство начиналась быстрая разрядка батареи, а потребление мобильного трафика значительно возрастало.

При этом жертва не сможет обнаружить ничего из этого, пока физически не подключит девай к компьютеру и не изучит его содержимое.

Реализуя 20 и более пингов в секунду, можно фиксировать поведение пользователя: когда человек, вероятно, находится дома (стабильное время отклика Wi-Fi), когда он, скорее всего, спит (длительные периоды ожидания/отключения), когда он находится вне дома и передвигается (характеристики времени отклика мобильных данных).

В оригинальной статье подробно описаны и другие различные способы, которыми злоумышленники могут реализовать эту уязвимость.

По части батареи исследователи смогли значительно увеличить расход заряда.

Как правило, телефон в режиме ожидания потребляет менее 1% заряда в час. Однако в ходе тестов с WhatsApp iPhone 13 Pro терял 14% в час, iPhone 11 - 18%, а Samsung Galaxy S23 - 15%.

Однако Signal внедрил ограничение скорости получения уведомлений, чего не было в WhatsApp. Поэтому после часа атаки заряд батареи снизился всего на 1%.

Возможная вредоносная активность также расходует трафик, ухудшая удобство использования других ресурсоемкими приложениями, такими как видеозвонки.

Кроме того, уязвимость RTT позволяла также зондировать местоположение пользователя.

Исследователь отдельно предупреждает, что по состоянию на декабрь 2025 года эта уязвимость по-прежнему может быть реализована в WhatsApp и Signal.

Продолжаем отслеживать React2Shell (CVE-2025-55182, CVSS 10).

Согласно новым данным Huntress, уязвимость React2Shell продолжает активно эксплуатироваться злоумышленниками, которые используют уязвимость в React Server Components для распространения майнеров и ряда ранее не описанных штаммов вредоносных ПО.

Сюда входят Linux-бэкдор PeerBlight, туннель обратного прокси CowTunnel, Go-имплантат постэксплуатации ZinFoq, wocaosinm.sh - вариант вредоносной ПО Kaiji для DDoS, а также bash-скрипт sex.sh для доставки XMRig 6.24.0, скрипт-загрузчик d5.sh для развертывания Sliver C2 и его другой вариант fn22.sh с добавленным механизмом самообновления.

Атаки были направлены на широкий спектр отраслей, но наиболее - на строительную и развлекательную индустрии.

В обновлении от 10 декабря 2025 года Palo Alto Networks сообщила об обнаружении активности, которая, вероятно, пересекается с кампанией Contagious Interview по распространению EtherRAT.

Также были замечены два других известных семейства вредоносных ПО BPFDoor и Auto-Color.

Более 50 организаций из самых разных секторов, включая финансы, бизнес-услуги, образование, высокие технологии, госуправление, консультинг, СМИ, юридические услуги, телекоммуникации и торговля, пострадали.

Среди наиболее пострадавших регионов - США, Азия, Южная Америка и Ближний Восток.

Согласно Wiz, результаты исследования демонстрируют устойчивый рост вредоносной активности со стороны расширяющегося круга злоумышленников, стремящихся использовать уязвимости React2Shell - более 15 различных групп.

Телеметрия Rapid7 показывают всплеск атак, от низкоквалифицированных злоупотреблений, таких как развертывание ботов Mirai и майнеров, до адаптации этого подхода APT-субъектами в свои TTPs.

Наблюдаются признаки корреляции эксплуатации этой уязвимости с инструментами, ранее использовавшимися бандами вымогателей.

VulnCheck охарактеризовала продолжающуюся эксплуатацию React2Shell как «вероятно, имеющую долгосрочные последствия», призвав учитывать варианты PoC и возможные модификации полезной нагрузки при разработке стратегий обнаружения.

Исследователи Лаборатории Касперского подтвердили выводы из прошлого отчета относительно широкой эксплуатации CVE-2025-55182 в самой ближайшей перспективе.

Практически сразу после публикации эксплойта ханипоты ЛК 5 декабря начали регистрировать попытки воспользоваться уязвимостью, а 8 декабря количество таких попыток кратно увеличилось и продолжает расти.

Первым делом атакующие проверяют, не является ли их цель ханипотом: выполняют команду whoami, умножение чисел в bash, вычисление MD5 или base64 от случайных строк, чтобы убедиться, что их код действительно может сработать на атакуемой машине.

Далее в большинстве случаев следует попытка загрузки вредоносных файлов с помощью консольных веб-клиентов wget или curl.

Кроме того, часть атакующих доставляет нацеленный на Windows-системы зловред на PowerShell, устанавливающий XMRig - популярный майнер Monero.

CVE-2025-55182 сразу взяли на вооружение множество вредоносных кампаний, от классических вариантов Mirai/Gafgyt до криптомайнеров и ботнета RondoDox.

Последний, попадая в систему, не теряет времени зря: первым делом скрипт загрузчика приступает к устранению конкурентов.

В некоторых атаках в качестве альтернативы загрузке вредоносного ПО злоумышленники пытались красть учетные данные, связанные с Git и облачными окружениями.

Свежие IOCs - в очтете.

Не можем не отметить очередной резонансный инцидент, который продолжает цепочку «инспирированных» сливов в отношении ведущих отраслевых игроков (как ИБ-компании, так и APT-акторы).

Новая утечка затрагивает китайскую KnownSec, специализирующейся на ИБ, которая последовала в результате взлома еще 2023 года.

Хакер, предположительно, использовал три 0-day для взлома систем KnownSec, что вовсе не смахивает на «рядовую» кибератаку.

По данным Natto Thoughts, в компании не знали об утечке, пока файлы не стали циркулировать в киберподполье.

Неисправленная 0-day в Gogs, разработанном на Go в качестве альтернативы GitLab или GitHub Enterprise, позволяет реализовать RCE и использовалась для взлома 700 серверов.

CVE-2025-8110 обусловлена проблемой обхода пути в API PutContents и позволяет злоумышленникам обходить защиту, реализованную для ранее исправленной RCE-ошибки (CVE-2024-55947), используя символические ссылки для перезаписи файлов вне репозитория.

Несмотря на то, что в версиях Gogs с исправлениями CVE-2024-55947 имеется поддержка проверки имен путей для предотвращения обхода каталогов, они по-прежнему упускают верификацию целевого назначения символических ссылок.

Злоумышленники злоупотребляют этим: создав репозитории с символическими ссылками, указывающими на конфиденциальные системные файлы, можно перезаписать целевые объекты за пределами репозитория с использованием API PutContents и символической ссылки.

Перезаписывая конфигурационные файлы Git, в частности параметр sshCommand, злоумышленники добиваются выполнения произвольных команд в целевых системах.

Wiz Research обнаружила уязвимость еще в июле в ходе расследования инцидента с заражением вредоносным ПО на сервере Gogs одного из клиентов.

В общей сложности исследователям удалось задетектить более 1400 серверов Gogs, находящихся в сети, при этом более 700 из них имели признаки компрометации.

На многих по умолчанию включена функция «открытая регистрация», что обеспечивало еще большую поверхность для атак.

Все скомпрометированные экземпляры демонстрировали идентичные закономерности, включая репозитории со случайными восьмисимвольными именами, созданные в тот же период в июле: по всей видимости, компания реализована с использованием автоматизации одним и тем же актором.

Исследователи Wiz также заметили, что развернутое вредоносное ПО было создано с использованием Supershell, открытой платформы C2, которая устанавливает обратные SSH-оболочки через веб-сервисы.

Дальнейший анализ показал, что вредоносное ПО взаимодействовало с сервером С2 по адресу 119.45.176[.]196.

Исследователи уведомили об уязвимости разработчиков Gogs 17 июля, а они, в свою очередь, подтвердили недостаток лишь 30 октября, когда находились в процессе работы над патчем.

При этом согласно хронологии раскрытия информации, предоставленной Wiz Research, вторая волна атак наблюдалась как раз 1 ноября.

Пользователям Gogs рекомендуется немедленно отключить настройку открытой регистрации по умолчанию и ограничить доступ к серверу с помощью VPN или списка разрешенных серверов.

Тем, кто хочет проверить, не был ли их экземпляр уже скомпрометирован, следует обратить внимание на аномальное использование API PutContents и репозитории со случайными 8-символьными именами.

Исследователи из Лаборатории Касперского анонсировали новый отчет по результатам масштабного исследования, в котором взглянули на Telegram глазами киберпреступников.

Для этого в ЛК прошерстили более 800 заблокированных каналов Telegram, активность которых охватывает период с 2021 по 2024 год.

Полученные материалы позволили исследователям оценить технические возможности мессенджера для проведения подпольных операций и проанализировать полный жизненный цикл канала Telegram от создания до цифровой смерти.

Как отмечают исследователи, Telegram смог завоевать сердца пользователей по всему миру, и киберпреступники не стали исключением. Если обычный пользователь выбирает мессенджер, основываясь на юзабилити, то киберпреступники оценивают платформы под другим углом.

При этом по части анонимности, конфиденциальности и независимости от конкретного приложения - важнейших критериев для теневого мессенджера - Telegram не так силен, как его прямые конкуренты.

Дело в том, что в нем отсутствует сквозное шифрование (E2E) по умолчанию для чатов, имеется централизованная инфраструктура (нет возможности поднять собственный сервер для связи), а серверный код закрыт.

Такая архитектура требует высокой степени доверия к платформе, но опытные киберпреступники предпочитают не полагаться на третьих лиц, когда речь идет о защите своей деятельности и, что более важно, своей личной безопасности.

Тем не менее, сегодня Telegram широко рассматривается и используется не только как инструмент общения, но и как полноценная платформа для теневого бизнеса – благодаря ряду функций, которые активно использует киберподполье.

Подробности нового исследования можно найти на сайте, а мы лишь отметим основные моменты:

- медианная продолжительность существования теневого Telegram-канала увеличилась с пяти месяцев в 2021–2022 годах до девяти месяцев в 2023–2024 годах;

- с октября 2024 года частота блокировки каналов, связанных с киберпреступностью, неуклонно возрастает;

- киберпреступники все чаще переходят в другие мессенджеры из-за частых блокировок со стороны администрации Telegram.

React выпустила исправления для двух новых типов уязвимостей в React Server Components (RSC), которые в случае успешной эксплуатации могут привести к DoS или раскрытию исходного кода.

Проблемы были обнаружены сообществом ИБ-специалистов после анализа исправлений для критической React2Shell (CVE-2025-55182 с CVSS: 10.0), которая широко разошлась по киберподполью и все активнее эксплуатируется разного калибра акторами.

Среди вновь обнаруженных проблем:

- CVE-2025-55184 (CVSS: 7.5): уязвимость, приводящая к DoS до аутентификации и возникающая из-за небезопасной десериализации данных из HTTP-запросов к конечным точкам серверных функций, которая вызывает бесконечный цикл и препятствует обработке будущих HTTP-запросов.

- CVE-2025-67779 (CVSS: 7,5): неполное исправление для CVE-2025-55184, имеющее аналогичные последствия.

- CVE-2025-55183 (CVSS: 5.3): уязвимость, приводящая к утечке информации, из-за которой специально сформированный HTTP-запрос, отправленный уязвимой серверной функции, может вернуть исходный код любой серверной функции.

Однако для успешной эксплуатации уязвимости последней необходимо наличие серверной функции, которая явно или неявно предоставляет аргумент, преобразованный в строковый формат.

Уязвимости затрагивают следующие версии react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack:
- CVE-2025-55184 и CVE-2025-55183: 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1
- CVE-2025-67779: 19.0.2, 19.1.3 и 19.2.2.

Все они также затрагивают Next.js и, вероятно, другие популярные фреймворки React.

Пока что технические подробности уязвимостей намеренно не раскрываются.

Опубликованные ранее патчи теперь неактуальны.

Пользователям рекомендуется как можно скорее обновиться до версий 19.0.3, 19.1.4 и 19.2.3, особенно в свете активной эксплуатации CVE-2025-55182.

В рекомендациях также поясняется, что злоумышленникам довольно легко использовать вновь обнаруженные ошибки, в связи с чем команда React призывает к незамедлительным действиям.

Кстати, возвращаясь к наболевшей CVE-2025-55182, по состоянию на 11 декабря Shadowserver Foundation обнаружила 137 000 систем (более 165 000 IP-адресов и 644 000 доменов), которые по-прежнему подвержены React2Shell.

Большинство систем, уязвимых для React2Shell, находятся в США (88 900), за ними следуют Германия (10 900), Франция (5 500), Индия (3 700) и Китай (2 500).

Кроме того, Shadowserver также удалось отследить примерно 1200 систем, которые уже были взломаны злоумышленниками и остаются в сети.

Теперь, после еще трех дополнительных присовокупившихся уязвимостей React2Shell можно переименовывать в React4Shell.

Исследователи F6 предупреждают, что Buhtrap снова в деле: выявлена новая активность по распространению вредоносного ПО через сайты-приманки для бухгалтеров и юристов.

Buhtrap - название вредоносного ПО и одноименной преступной группы, действующей с 2014 года.

В 2016 году исходники Buhtrap были слиты, после чего его стали использовать разные финансово-мотивированные атакующие.

В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной ПО Buhtrap.

После атак через сервисы электронного документооборота в третьем квартале 2025 года злоумышленники вновь переключились на создание инфраструктуры для распространения Buhtrap через привычную схему с тематическими сайтами-приманками.

Сама схема попадания жертвы на целевой ресурс не изменилась.

Пользователь переходит на сайт-приманку через поисковую выдачу.

Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах.

После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса - auditok[.]org.

Пример такой ссылки - hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip.

Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.

За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js.

Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe.

Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений, и включает следующие элементы: EXE-лоадер первой стадии - stage2-дроппер - stage3-лоадер - Buhtrap RAT.

Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер, который создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.

Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe. Закрепление stage3-лоадера осуществляется через реестр.

Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp%. Имена соответствуют регулярному выражению [a-z]{6,16}\.log.

Предположительно, сделано для борьбы с песочницами. 

Затем stage3-лоадер распаковывает и запускает в памяти пейлоад - Buhtrap RAT.

Далее RAT создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера, а также файл %AppData%\ntлseШ.dat, куда вводит информацию о подключенных смарткартах

В качестве С2 используются URL: hxxps://hakeowner[.]org/images/ui.png и hxxps://bucketadd[.]org/images/logo.png.

Другие технические подробности и актуальные IOCs - в отчете.

Возвращаясь к наиболее трендовым уязвимостям, не можем не отметить следующие:

1. ACROS Security выкатила неофициальные патчи для новой 0-day в Windows, которая позволяет злоумышленникам вызвать DoS в работе службы Remote Access Connection Manager (RasMan) и была выявлена при изучении другой CVE-2025-59230.

Причем в сочетании с последней нуль позволяет злоумышленникам выполнять код, выдавая себя за службу RasMan.

2. Хакеры используют новую ранее не описанную уязвимость (без CVE) в реализации криптографического алгоритма в решениях Gladinet CentreStack и Triofox.

Используя эту проблему, злоумышленники могут получить жестко закодированные криптографические ключи и осуществить RCE.

Исследователи Huntress выявили как минимум девять организаций, которые подверглись атакам с использованием новой уязвимости, а также более старой, CVE-2025-30406.

Обновления были выпущены 29 ноября.

3. Push Security раскрыла подробности новой разновидности атаки ClickFix, получившей название ConsentFix, которая использует приложение Azure CLI OAuth для взлома учетных записей Microsoft без необходимости ввода пароля или для обхода MFA.

Новая техника ConsentFix основана на обмане пользователей, заставляя их копировать и вставлять текст, содержащий их данные OAuth, на веб-страницу, контролируемую злоумышленником.

4. MITRE выпустила рейтинг 25 самых опасных уязвимостей ПО за этот год, сообщая о регистрации более 39 000 уязвимостей в период с июня 2024 по июнь 2025 года.

5. Приложения .NET обзавелись новым набором уязвимостей, известных как SOAPwn, которые были обнаружены WatchTowr Labs и могут привести к атакам с RCE.

уязвимым приложениям относятся CMS Umbraco, Service Center от Barracuda, Ivanti Endpoint Manager и другие.

Microsoft классифицировала эти проблемы как DONOTFIX (не подлежит исправлению) и до сих пор они не устранены.

6. Разработчики Notepad++ выпустили патч для исправления своей системы обновлений.

Все случилось после того, как пользователи начали жаловаться на появление обновлений с вредоносным ПО.

Теперь патч обеспечивает проверку подписи файлов и сертификатов, предотвращая перенаправление пользователей на вредоносные серверы обновлений.

7. Bitsight обнаружила более 1000 MCP-серверов в открытом доступе без соответствующего разрешения и содержащих конфиденциальные данные.

8. Intruder по результатам просканирования почти 5 млн. одностраничных приложений нашли более 42 000 токенов, скрытых в их коде.

9. Fortinet устранила критические уязвимости, позволяющие обойти аутентификацию. В частности, CVE-2025-59718 и CVE-2025-59719 (CVSS 9,8) затрагивают FortiOS, FortiWeb, FortiProxy и FortiSwitchManager при включенной аутентификации FortiCloud SSO.

10. Опубликованы подробности о ZeroBoot, уязвимости, позволяющей выполнить холодную загрузку и обойти FBE на смартфонах Samsung A25.

11. Исследователи Positive Technologies представили свой декабрьский дайджест «В тренде VM», куда вошли трендовые уязвимости в Windows, expr-eval, Control Web Panel и Django (CVE-2025-62215, CVE-2025-12735, CVE-2025-48703, CVE-2025-64459).

Apple выпустила экстренные обновления для устранения двух 0-day, которые использовались в чрезвычайно сложной атаке, направленной в отношении конкретного круга лиц на версиях, предшествующих iOS 26.

Уязвимости отслеживаются как CVE-2025-43529 и CVE-2025-14174.

Первая связана с RCE в WebKit и обусловлена use-after-free, может быть использована для обработки специально созданного вредоносного веб-контента.

По данным Apple, уязвимость была обнаружена Google TAG.

Вторая, CVE-2025-14174 - это уязвимость WebKit, приводящая к повреждению памяти.

Apple отметила, что она была обнаружена внутри компании при участии тех же исследователей из Гугла.

Обе затрагивают следующую линейку устройств: iPhone 11, iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения) и iPad mini (5-го поколения), и более поздних версий.

Apple исправила ошибки в iOS 26.2 и iPadOS 26.2, iOS 18.7.3 и iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 и Safari 26.2.

Как мы ранее уже сообщали, Google также исправила таинственную 0-day в Google Chrome, первоначально отметив её как 466192044 с высоким уровнем серьезности.

Теперь же Google обновила свое уведомление, обозначив ошибку как CVE-2025-14174 и связав ее с выходом за пределы допустимого диапазона доступа к памяти в ANGLE, что совпадает с CVE, исправленной Apple, и указывает на скоординированное раскрытие.

Тем не менее, Apple не раскрыла технических подробностей атак, ограничившись заявлением о том, что они были направлены на пользователей, использующих версии iOS, предшествующие 26.

Поскольку обе уязвимости затрагивают WebKit, который используется Google Chrome на iOS, данная активность соответствует таргету spyware.

Несмотря на это, пользователям все же настоятельно рекомендуется установить последние обновления, дабы снизить риски потенциально возможной эксплуатации.

Исследователи из Лаборатории Касперского представили дельный must-have, рассказав как обнаружить в инфраструктуре на основе анализа трафика следы Mythic, который активно стал задействоваться киберпреступниками в своих наступательных операциях.

Злоумышленники часто используют фреймворки для постэксплуатации в компьютерных атаках - для контроля за взломанными узлами и горизонтального перемещения внутри сети организации.

При этом если раньше они предпочитали закрытые фреймворки (Cobalt Strike и Brute Ratel C4), то в последние годы популярность обрели проекты с открытым исходным кодом, включая Mythic, Sliver, Havoc, а также сравнительно новые фреймворки - такие, как AdaptixC2.

Mythic C2 - это многопользовательская платформа C2, предназначенная для управления вредоносными агентами в сложных кибератаках.

Он построен на базе контейнерной архитектуры Docker, а его основные компоненты - сервер, агенты и транспортные модули - написаны на Python. Такая архитектура позволяет операторам добавлять новые агенты, каналы связи и пользовательские модификации на лету.

Этот фреймворк в последнее время пользуется популярностью у различных групп злоумышленников, в том числе APT Mythic Likho (Arcane Wolf) и GOFFEE (Paper Werewolf), позиционирующих себя как проукраинские и продолжающих активно атаковать российские компании.

Поскольку Mythic является универсальным инструментом для атакующего, с точки зрения защитника его использование может соответствовать многим этапам Unified Kill Chain, а также большому количеству TTPs в MITRE ATT&CK, включая Pivoting, сбор данных (Collection, TA0009), эксфильтрация (Exfiltration, TA0010), организация управления (Command and Control, TA0011)

Mythic и подобные фреймворки предоставляют расширенные C2-функции (выполнение команд по расписанию, туннелирование, мультиканальность), что усложняет обнаружение и блокировку их активности.

В целом, анализ популярных фреймворков показал, что при их разработке основное внимание уделяется механизмам уклонения от обнаружения антивирусами и EDR-решениями, но не системами анализа сетевого трафика.

Замаскировать сетевую активность агентов в целом довольно сложно, при этом агентам неизбежно нужно взаимодействовать с управляющими серверами. При этом различные реализации сетевых коммуникаций в Mythic имеют много общих черт и практически не меняются.

Соответственно, присутствие агента в системе и его вредоносные действия можно выявлять при помощи различных сетевых систем обнаружения атак (IDS) и, конечно, решений класса Network Detection and Response (NDR).

Mythic поддерживает достаточно много вариантов управления агентами на основе ряда сетевых протоколов. Анализ коммуникаций по этим ним показал, что их активность можно выявлять при помощи поиска данных в сетевом трафике по определенным шаблонам.

Основной критерий обнаружения заключается в отслеживании строк UUID в определенных позициях передаваемых данных, закодированных по алгоритму base64.

Однако, несмотря на то что в общем и целом подход к выявлению активности агентов одинаков для разных протоколов, для каждого из них используются и специфичные для него фильтры. Так что универсальной сигнатуры не существует.

В новом отчете исследователи ЛК сосредоточились исключительно на тактике Command and Control, техники которой могут быть эффективно детектированы в сетевом трафике агентов Mythic, рассмотрев возможные способы обнаружения на базе сигнатур из Kaspersky NDR.

Horizon3 обнаружила серию уязвимостей в платформе с открытым исходным кодом FreePBX для частных телефонных станций (PBX), включая критическую ошибку, которая при определенных конфигурациях может привести к обходу аутентификации.

В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:

- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.

- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).

- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.

Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».

Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.

Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.

Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.

Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).

Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.

В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.

В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.

Новая кампания ShinyHunters с Mixpanel получила неожиданное продолжение вслед за утечкой OpenAI и CoinTracker в ход пошли порноданные.

Пострадали премиум-клиенты PornHub, чья история поиска и просмотров теперь ушла в киберподполье и стала предметом шантажа. Компания подтвердила инцидиент.

Взлом Mixpanel случился 8 ноября 2025 года в результате SMS-фишинговой атаки (смишинга), которая позволила злоумышленникам скомпрометировать ее системы.

Как отмечает PornHub, взлом затронул только некоторых пользователей Premium и не повлиял на системы Pornhub: пароли, платежные данные и финансовая информация не были раскрыты.

При этом PornHub категорически заявляет, что не сотрудничает с Mixpanel с 2021 года, указывая на то, что украденные записи представляют собой исторические аналитические данные за 2021 год или более ранний период.

Новый инцидент примечателен тем, что теперь публично подтверждено, что за взломом Mixpanel стояла ShinyHunters.

В свою очередь, Mixpanel продолжает настаивать, что утечка данных затронула «ограниченное число» клиентов, а порноданные не были получены в результате недавней утечки данных в ноябре.

Во всяком случае компания не нашла каких-либо следов у себя.

Последний доступ к данным осуществлялся через легитимный аккаунт сотрудника материнской компании Pornhub в 2023 году.

Так что если эти данные оказались в руках неавторизованного лица, в Mixpanel не считают, что это результат инцидента безопасности на их стороне.

Так или иначе, на прошлой неделе ShinyHunters начали вымогать деньги у клиентов Mixpanel, рассылая электронные письма и предупреждая, что украденные данные будут опубликованы, если не будет выплачен выкуп.

В своем требовании о вымогательстве, направленном PornHub, ShinyHunters утверждает, что украла 94 ГБ данных, содержащих более 200 миллионов записей личной информации (результаты поиска, просмотров и скачиваний), в результате утечки данных Mixpanel.

Небольшая выборка данных показывает, что аналитические события, отправляемые в Mixpanel, содержат большое количество конфиденциальной информации, которую пользователи PornHub вряд ли хотели бы увидеть в публичном поле.

Слитые данные включают адрес электронной почты пользователя PornHub Premium, тип активности, местоположение, URL-адрес видео, название видео, ключевые слова, связанные с видео, а также временные метки.

В общем, послужная линейка ShinyHunters, включающая недавние Salesforce, GainSight и Oracle E-Business Suite, однозначно пополнилась не менее эффектной кампанией Mixpanel. А в совокупности стала серией самых крупных утечек данных в 2025 году, затронувшие сотни компаний.