Продолжаем отслеживать React2Shell (CVE-2025-55182, CVSS 10).
Согласно новым данным Huntress, уязвимость React2Shell продолжает активно эксплуатироваться злоумышленниками, которые используют уязвимость в React Server Components для распространения майнеров и ряда ранее не описанных штаммов вредоносных ПО.
Сюда входят Linux-бэкдор PeerBlight, туннель обратного прокси CowTunnel, Go-имплантат постэксплуатации ZinFoq, wocaosinm.sh - вариант вредоносной ПО Kaiji для DDoS, а также bash-скрипт sex.sh для доставки XMRig 6.24.0, скрипт-загрузчик d5.sh для развертывания Sliver C2 и его другой вариант fn22.sh с добавленным механизмом самообновления.
Атаки были направлены на широкий спектр отраслей, но наиболее - на строительную и развлекательную индустрии.
В обновлении от 10 декабря 2025 года Palo Alto Networks сообщила об обнаружении активности, которая, вероятно, пересекается с кампанией Contagious Interview по распространению EtherRAT.
Также были замечены два других известных семейства вредоносных ПО BPFDoor и Auto-Color.
Более 50 организаций из самых разных секторов, включая финансы, бизнес-услуги, образование, высокие технологии, госуправление, консультинг, СМИ, юридические услуги, телекоммуникации и торговля, пострадали.
Среди наиболее пострадавших регионов - США, Азия, Южная Америка и Ближний Восток.
Согласно Wiz, результаты исследования демонстрируют устойчивый рост вредоносной активности со стороны расширяющегося круга злоумышленников, стремящихся использовать уязвимости React2Shell - более 15 различных групп.
Телеметрия Rapid7 показывают всплеск атак, от низкоквалифицированных злоупотреблений, таких как развертывание ботов Mirai и майнеров, до адаптации этого подхода APT-субъектами в свои TTPs.
Наблюдаются признаки корреляции эксплуатации этой уязвимости с инструментами, ранее использовавшимися бандами вымогателей.
VulnCheck охарактеризовала продолжающуюся эксплуатацию React2Shell как «вероятно, имеющую долгосрочные последствия», призвав учитывать варианты PoC и возможные модификации полезной нагрузки при разработке стратегий обнаружения.
Исследователи Лаборатории Касперского подтвердили выводы из прошлого отчета относительно широкой эксплуатации CVE-2025-55182 в самой ближайшей перспективе.
Практически сразу после публикации эксплойта ханипоты ЛК 5 декабря начали регистрировать попытки воспользоваться уязвимостью, а 8 декабря количество таких попыток кратно увеличилось и продолжает расти.
Первым делом атакующие проверяют, не является ли их цель ханипотом: выполняют команду whoami, умножение чисел в bash, вычисление MD5 или base64 от случайных строк, чтобы убедиться, что их код действительно может сработать на атакуемой машине.
Далее в большинстве случаев следует попытка загрузки вредоносных файлов с помощью консольных веб-клиентов wget или curl.
Кроме того, часть атакующих доставляет нацеленный на Windows-системы зловред на PowerShell, устанавливающий XMRig - популярный майнер Monero.
CVE-2025-55182 сразу взяли на вооружение множество вредоносных кампаний, от классических вариантов Mirai/Gafgyt до криптомайнеров и ботнета RondoDox.
Последний, попадая в систему, не теряет времени зря: первым делом скрипт загрузчика приступает к устранению конкурентов.
В некоторых атаках в качестве альтернативы загрузке вредоносного ПО злоумышленники пытались красть учетные данные, связанные с Git и облачными окружениями.
Свежие IOCs - в очтете.
Согласно новым данным Huntress, уязвимость React2Shell продолжает активно эксплуатироваться злоумышленниками, которые используют уязвимость в React Server Components для распространения майнеров и ряда ранее не описанных штаммов вредоносных ПО.
Сюда входят Linux-бэкдор PeerBlight, туннель обратного прокси CowTunnel, Go-имплантат постэксплуатации ZinFoq, wocaosinm.sh - вариант вредоносной ПО Kaiji для DDoS, а также bash-скрипт sex.sh для доставки XMRig 6.24.0, скрипт-загрузчик d5.sh для развертывания Sliver C2 и его другой вариант fn22.sh с добавленным механизмом самообновления.
Атаки были направлены на широкий спектр отраслей, но наиболее - на строительную и развлекательную индустрии.
В обновлении от 10 декабря 2025 года Palo Alto Networks сообщила об обнаружении активности, которая, вероятно, пересекается с кампанией Contagious Interview по распространению EtherRAT.
Также были замечены два других известных семейства вредоносных ПО BPFDoor и Auto-Color.
Более 50 организаций из самых разных секторов, включая финансы, бизнес-услуги, образование, высокие технологии, госуправление, консультинг, СМИ, юридические услуги, телекоммуникации и торговля, пострадали.
Среди наиболее пострадавших регионов - США, Азия, Южная Америка и Ближний Восток.
Согласно Wiz, результаты исследования демонстрируют устойчивый рост вредоносной активности со стороны расширяющегося круга злоумышленников, стремящихся использовать уязвимости React2Shell - более 15 различных групп.
Телеметрия Rapid7 показывают всплеск атак, от низкоквалифицированных злоупотреблений, таких как развертывание ботов Mirai и майнеров, до адаптации этого подхода APT-субъектами в свои TTPs.
Наблюдаются признаки корреляции эксплуатации этой уязвимости с инструментами, ранее использовавшимися бандами вымогателей.
VulnCheck охарактеризовала продолжающуюся эксплуатацию React2Shell как «вероятно, имеющую долгосрочные последствия», призвав учитывать варианты PoC и возможные модификации полезной нагрузки при разработке стратегий обнаружения.
Исследователи Лаборатории Касперского подтвердили выводы из прошлого отчета относительно широкой эксплуатации CVE-2025-55182 в самой ближайшей перспективе.
Практически сразу после публикации эксплойта ханипоты ЛК 5 декабря начали регистрировать попытки воспользоваться уязвимостью, а 8 декабря количество таких попыток кратно увеличилось и продолжает расти.
Первым делом атакующие проверяют, не является ли их цель ханипотом: выполняют команду whoami, умножение чисел в bash, вычисление MD5 или base64 от случайных строк, чтобы убедиться, что их код действительно может сработать на атакуемой машине.
Далее в большинстве случаев следует попытка загрузки вредоносных файлов с помощью консольных веб-клиентов wget или curl.
Кроме того, часть атакующих доставляет нацеленный на Windows-системы зловред на PowerShell, устанавливающий XMRig - популярный майнер Monero.
CVE-2025-55182 сразу взяли на вооружение множество вредоносных кампаний, от классических вариантов Mirai/Gafgyt до криптомайнеров и ботнета RondoDox.
Последний, попадая в систему, не теряет времени зря: первым делом скрипт загрузчика приступает к устранению конкурентов.
В некоторых атаках в качестве альтернативы загрузке вредоносного ПО злоумышленники пытались красть учетные данные, связанные с Git и облачными окружениями.
Свежие IOCs - в очтете.
Huntress
PeerBlight Linux Backdoor Exploits React2Shell CVE-2025-55182 | Huntress
Huntress is seeing threat actors exploit React2Shell (CVE-2025-55182) to deploy a Linux backdoor, a reverse proxy tunnel, and a Go-based post-exploitation implant.
Не можем не отметить очередной резонансный инцидент, который продолжает цепочку «инспирированных» сливов в отношении ведущих отраслевых игроков (как ИБ-компании, так и APT-акторы).
Новая утечка затрагивает китайскую KnownSec, специализирующейся на ИБ, которая последовала в результате взлома еще 2023 года.
Хакер, предположительно, использовал три 0-day для взлома систем KnownSec, что вовсе не смахивает на «рядовую» кибератаку.
По данным Natto Thoughts, в компании не знали об утечке, пока файлы не стали циркулировать в киберподполье.
Новая утечка затрагивает китайскую KnownSec, специализирующейся на ИБ, которая последовала в результате взлома еще 2023 года.
Хакер, предположительно, использовал три 0-day для взлома систем KnownSec, что вовсе не смахивает на «рядовую» кибератаку.
По данным Natto Thoughts, в компании не знали об утечке, пока файлы не стали циркулировать в киберподполье.
Неисправленная 0-day в Gogs, разработанном на Go в качестве альтернативы GitLab или GitHub Enterprise, позволяет реализовать RCE и использовалась для взлома 700 серверов.
CVE-2025-8110 обусловлена проблемой обхода пути в API PutContents и позволяет злоумышленникам обходить защиту, реализованную для ранее исправленной RCE-ошибки (CVE-2024-55947), используя символические ссылки для перезаписи файлов вне репозитория.
Несмотря на то, что в версиях Gogs с исправлениями CVE-2024-55947 имеется поддержка проверки имен путей для предотвращения обхода каталогов, они по-прежнему упускают верификацию целевого назначения символических ссылок.
Злоумышленники злоупотребляют этим: создав репозитории с символическими ссылками, указывающими на конфиденциальные системные файлы, можно перезаписать целевые объекты за пределами репозитория с использованием API PutContents и символической ссылки.
Перезаписывая конфигурационные файлы Git, в частности параметр sshCommand, злоумышленники добиваются выполнения произвольных команд в целевых системах.
Wiz Research обнаружила уязвимость еще в июле в ходе расследования инцидента с заражением вредоносным ПО на сервере Gogs одного из клиентов.
В общей сложности исследователям удалось задетектить более 1400 серверов Gogs, находящихся в сети, при этом более 700 из них имели признаки компрометации.
На многих по умолчанию включена функция «открытая регистрация», что обеспечивало еще большую поверхность для атак.
Все скомпрометированные экземпляры демонстрировали идентичные закономерности, включая репозитории со случайными восьмисимвольными именами, созданные в тот же период в июле: по всей видимости, компания реализована с использованием автоматизации одним и тем же актором.
Исследователи Wiz также заметили, что развернутое вредоносное ПО было создано с использованием Supershell, открытой платформы C2, которая устанавливает обратные SSH-оболочки через веб-сервисы.
Дальнейший анализ показал, что вредоносное ПО взаимодействовало с сервером С2 по адресу 119.45.176[.]196.
Исследователи уведомили об уязвимости разработчиков Gogs 17 июля, а они, в свою очередь, подтвердили недостаток лишь 30 октября, когда находились в процессе работы над патчем.
При этом согласно хронологии раскрытия информации, предоставленной Wiz Research, вторая волна атак наблюдалась как раз 1 ноября.
Пользователям Gogs рекомендуется немедленно отключить настройку открытой регистрации по умолчанию и ограничить доступ к серверу с помощью VPN или списка разрешенных серверов.
Тем, кто хочет проверить, не был ли их экземпляр уже скомпрометирован, следует обратить внимание на аномальное использование API PutContents и репозитории со случайными 8-символьными именами.
CVE-2025-8110 обусловлена проблемой обхода пути в API PutContents и позволяет злоумышленникам обходить защиту, реализованную для ранее исправленной RCE-ошибки (CVE-2024-55947), используя символические ссылки для перезаписи файлов вне репозитория.
Несмотря на то, что в версиях Gogs с исправлениями CVE-2024-55947 имеется поддержка проверки имен путей для предотвращения обхода каталогов, они по-прежнему упускают верификацию целевого назначения символических ссылок.
Злоумышленники злоупотребляют этим: создав репозитории с символическими ссылками, указывающими на конфиденциальные системные файлы, можно перезаписать целевые объекты за пределами репозитория с использованием API PutContents и символической ссылки.
Перезаписывая конфигурационные файлы Git, в частности параметр sshCommand, злоумышленники добиваются выполнения произвольных команд в целевых системах.
Wiz Research обнаружила уязвимость еще в июле в ходе расследования инцидента с заражением вредоносным ПО на сервере Gogs одного из клиентов.
В общей сложности исследователям удалось задетектить более 1400 серверов Gogs, находящихся в сети, при этом более 700 из них имели признаки компрометации.
На многих по умолчанию включена функция «открытая регистрация», что обеспечивало еще большую поверхность для атак.
Все скомпрометированные экземпляры демонстрировали идентичные закономерности, включая репозитории со случайными восьмисимвольными именами, созданные в тот же период в июле: по всей видимости, компания реализована с использованием автоматизации одним и тем же актором.
Исследователи Wiz также заметили, что развернутое вредоносное ПО было создано с использованием Supershell, открытой платформы C2, которая устанавливает обратные SSH-оболочки через веб-сервисы.
Дальнейший анализ показал, что вредоносное ПО взаимодействовало с сервером С2 по адресу 119.45.176[.]196.
Исследователи уведомили об уязвимости разработчиков Gogs 17 июля, а они, в свою очередь, подтвердили недостаток лишь 30 октября, когда находились в процессе работы над патчем.
При этом согласно хронологии раскрытия информации, предоставленной Wiz Research, вторая волна атак наблюдалась как раз 1 ноября.
Пользователям Gogs рекомендуется немедленно отключить настройку открытой регистрации по умолчанию и ограничить доступ к серверу с помощью VPN или списка разрешенных серверов.
Тем, кто хочет проверить, не был ли их экземпляр уже скомпрометирован, следует обратить внимание на аномальное использование API PutContents и репозитории со случайными 8-символьными именами.
wiz.io
Gogs Zero-Day RCE (CVE-2025-8110) Actively Exploited | Wiz Blog
Wiz Research discovered a Gogs zero-day (CVE-2025-8110) that bypasses a previous RCE fix via symlinks, leading to file overwrite and remote code execution.
Исследователи из Лаборатории Касперского анонсировали новый отчет по результатам масштабного исследования, в котором взглянули на Telegram глазами киберпреступников.
Для этого в ЛК прошерстили более 800 заблокированных каналов Telegram, активность которых охватывает период с 2021 по 2024 год.
Полученные материалы позволили исследователям оценить технические возможности мессенджера для проведения подпольных операций и проанализировать полный жизненный цикл канала Telegram от создания до цифровой смерти.
Как отмечают исследователи, Telegram смог завоевать сердца пользователей по всему миру, и киберпреступники не стали исключением. Если обычный пользователь выбирает мессенджер, основываясь на юзабилити, то киберпреступники оценивают платформы под другим углом.
При этом по части анонимности, конфиденциальности и независимости от конкретного приложения - важнейших критериев для теневого мессенджера - Telegram не так силен, как его прямые конкуренты.
Дело в том, что в нем отсутствует сквозное шифрование (E2E) по умолчанию для чатов, имеется централизованная инфраструктура (нет возможности поднять собственный сервер для связи), а серверный код закрыт.
Такая архитектура требует высокой степени доверия к платформе, но опытные киберпреступники предпочитают не полагаться на третьих лиц, когда речь идет о защите своей деятельности и, что более важно, своей личной безопасности.
Тем не менее, сегодня Telegram широко рассматривается и используется не только как инструмент общения, но и как полноценная платформа для теневого бизнеса – благодаря ряду функций, которые активно использует киберподполье.
Подробности нового исследования можно найти на сайте, а мы лишь отметим основные моменты:
- медианная продолжительность существования теневого Telegram-канала увеличилась с пяти месяцев в 2021–2022 годах до девяти месяцев в 2023–2024 годах;
- с октября 2024 года частота блокировки каналов, связанных с киберпреступностью, неуклонно возрастает;
- киберпреступники все чаще переходят в другие мессенджеры из-за частых блокировок со стороны администрации Telegram.
Для этого в ЛК прошерстили более 800 заблокированных каналов Telegram, активность которых охватывает период с 2021 по 2024 год.
Полученные материалы позволили исследователям оценить технические возможности мессенджера для проведения подпольных операций и проанализировать полный жизненный цикл канала Telegram от создания до цифровой смерти.
Как отмечают исследователи, Telegram смог завоевать сердца пользователей по всему миру, и киберпреступники не стали исключением. Если обычный пользователь выбирает мессенджер, основываясь на юзабилити, то киберпреступники оценивают платформы под другим углом.
При этом по части анонимности, конфиденциальности и независимости от конкретного приложения - важнейших критериев для теневого мессенджера - Telegram не так силен, как его прямые конкуренты.
Дело в том, что в нем отсутствует сквозное шифрование (E2E) по умолчанию для чатов, имеется централизованная инфраструктура (нет возможности поднять собственный сервер для связи), а серверный код закрыт.
Такая архитектура требует высокой степени доверия к платформе, но опытные киберпреступники предпочитают не полагаться на третьих лиц, когда речь идет о защите своей деятельности и, что более важно, своей личной безопасности.
Тем не менее, сегодня Telegram широко рассматривается и используется не только как инструмент общения, но и как полноценная платформа для теневого бизнеса – благодаря ряду функций, которые активно использует киберподполье.
Подробности нового исследования можно найти на сайте, а мы лишь отметим основные моменты:
- медианная продолжительность существования теневого Telegram-канала увеличилась с пяти месяцев в 2021–2022 годах до девяти месяцев в 2023–2024 годах;
- с октября 2024 года частота блокировки каналов, связанных с киберпреступностью, неуклонно возрастает;
- киберпреступники все чаще переходят в другие мессенджеры из-за частых блокировок со стороны администрации Telegram.
Securelist
Goodbye, dark Telegram: Blocks are pushing the underground out
Kaspersky researchers analyze changes in the lifespan of a shadow Telegram channel, blocks, and migration to other platforms.
React выпустила исправления для двух новых типов уязвимостей в React Server Components (RSC), которые в случае успешной эксплуатации могут привести к DoS или раскрытию исходного кода.
Проблемы были обнаружены сообществом ИБ-специалистов после анализа исправлений для критической React2Shell (CVE-2025-55182 с CVSS: 10.0), которая широко разошлась по киберподполью и все активнее эксплуатируется разного калибра акторами.
Среди вновь обнаруженных проблем:
- CVE-2025-55184 (CVSS: 7.5): уязвимость, приводящая к DoS до аутентификации и возникающая из-за небезопасной десериализации данных из HTTP-запросов к конечным точкам серверных функций, которая вызывает бесконечный цикл и препятствует обработке будущих HTTP-запросов.
- CVE-2025-67779 (CVSS: 7,5): неполное исправление для CVE-2025-55184, имеющее аналогичные последствия.
- CVE-2025-55183 (CVSS: 5.3): уязвимость, приводящая к утечке информации, из-за которой специально сформированный HTTP-запрос, отправленный уязвимой серверной функции, может вернуть исходный код любой серверной функции.
Однако для успешной эксплуатации уязвимости последней необходимо наличие серверной функции, которая явно или неявно предоставляет аргумент, преобразованный в строковый формат.
Уязвимости затрагивают следующие версии react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack:
- CVE-2025-55184 и CVE-2025-55183: 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1
- CVE-2025-67779: 19.0.2, 19.1.3 и 19.2.2.
Все они также затрагивают Next.js и, вероятно, другие популярные фреймворки React.
Пока что технические подробности уязвимостей намеренно не раскрываются.
Опубликованные ранее патчи теперь неактуальны.
Пользователям рекомендуется как можно скорее обновиться до версий 19.0.3, 19.1.4 и 19.2.3, особенно в свете активной эксплуатации CVE-2025-55182.
В рекомендациях также поясняется, что злоумышленникам довольно легко использовать вновь обнаруженные ошибки, в связи с чем команда React призывает к незамедлительным действиям.
Кстати, возвращаясь к наболевшей CVE-2025-55182, по состоянию на 11 декабря Shadowserver Foundation обнаружила 137 000 систем (более 165 000 IP-адресов и 644 000 доменов), которые по-прежнему подвержены React2Shell.
Большинство систем, уязвимых для React2Shell, находятся в США (88 900), за ними следуют Германия (10 900), Франция (5 500), Индия (3 700) и Китай (2 500).
Кроме того, Shadowserver также удалось отследить примерно 1200 систем, которые уже были взломаны злоумышленниками и остаются в сети.
Теперь, после еще трех дополнительных присовокупившихся уязвимостей React2Shell можно переименовывать в React4Shell.
Проблемы были обнаружены сообществом ИБ-специалистов после анализа исправлений для критической React2Shell (CVE-2025-55182 с CVSS: 10.0), которая широко разошлась по киберподполью и все активнее эксплуатируется разного калибра акторами.
Среди вновь обнаруженных проблем:
- CVE-2025-55184 (CVSS: 7.5): уязвимость, приводящая к DoS до аутентификации и возникающая из-за небезопасной десериализации данных из HTTP-запросов к конечным точкам серверных функций, которая вызывает бесконечный цикл и препятствует обработке будущих HTTP-запросов.
- CVE-2025-67779 (CVSS: 7,5): неполное исправление для CVE-2025-55184, имеющее аналогичные последствия.
- CVE-2025-55183 (CVSS: 5.3): уязвимость, приводящая к утечке информации, из-за которой специально сформированный HTTP-запрос, отправленный уязвимой серверной функции, может вернуть исходный код любой серверной функции.
Однако для успешной эксплуатации уязвимости последней необходимо наличие серверной функции, которая явно или неявно предоставляет аргумент, преобразованный в строковый формат.
Уязвимости затрагивают следующие версии react-server-dom-parcel, react-server-dom-turbopack и react-server-dom-webpack:
- CVE-2025-55184 и CVE-2025-55183: 19.0.0, 19.0.1, 19.1.0, 19.1.1, 19.1.2, 19.2.0 и 19.2.1
- CVE-2025-67779: 19.0.2, 19.1.3 и 19.2.2.
Все они также затрагивают Next.js и, вероятно, другие популярные фреймворки React.
Пока что технические подробности уязвимостей намеренно не раскрываются.
Опубликованные ранее патчи теперь неактуальны.
Пользователям рекомендуется как можно скорее обновиться до версий 19.0.3, 19.1.4 и 19.2.3, особенно в свете активной эксплуатации CVE-2025-55182.
В рекомендациях также поясняется, что злоумышленникам довольно легко использовать вновь обнаруженные ошибки, в связи с чем команда React призывает к незамедлительным действиям.
Кстати, возвращаясь к наболевшей CVE-2025-55182, по состоянию на 11 декабря Shadowserver Foundation обнаружила 137 000 систем (более 165 000 IP-адресов и 644 000 доменов), которые по-прежнему подвержены React2Shell.
Большинство систем, уязвимых для React2Shell, находятся в США (88 900), за ними следуют Германия (10 900), Франция (5 500), Индия (3 700) и Китай (2 500).
Кроме того, Shadowserver также удалось отследить примерно 1200 систем, которые уже были взломаны злоумышленниками и остаются в сети.
Теперь, после еще трех дополнительных присовокупившихся уязвимостей React2Shell можно переименовывать в React4Shell.
react.dev
Denial of Service and Source Code Exposure in React Server Components – React
The library for web and native user interfaces
Исследователи F6 предупреждают, что Buhtrap снова в деле: выявлена новая активность по распространению вредоносного ПО через сайты-приманки для бухгалтеров и юристов.
Buhtrap - название вредоносного ПО и одноименной преступной группы, действующей с 2014 года.
В 2016 году исходники Buhtrap были слиты, после чего его стали использовать разные финансово-мотивированные атакующие.
В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной ПО Buhtrap.
После атак через сервисы электронного документооборота в третьем квартале 2025 года злоумышленники вновь переключились на создание инфраструктуры для распространения Buhtrap через привычную схему с тематическими сайтами-приманками.
Сама схема попадания жертвы на целевой ресурс не изменилась.
Пользователь переходит на сайт-приманку через поисковую выдачу.
Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах.
После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса - auditok[.]org.
Пример такой ссылки - hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip.
Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.
За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js.
Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe.
Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений, и включает следующие элементы: EXE-лоадер первой стадии - stage2-дроппер - stage3-лоадер - Buhtrap RAT.
Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер, который создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.
Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe. Закрепление stage3-лоадера осуществляется через реестр.
Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp%. Имена соответствуют регулярному выражению [a-z]{6,16}\.log.
Предположительно, сделано для борьбы с песочницами.
Затем stage3-лоадер распаковывает и запускает в памяти пейлоад - Buhtrap RAT.
Далее RAT создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера, а также файл %AppData%\ntлseШ.dat, куда вводит информацию о подключенных смарткартах
В качестве С2 используются URL: hxxps://hakeowner[.]org/images/ui.png и hxxps://bucketadd[.]org/images/logo.png.
Другие технические подробности и актуальные IOCs - в отчете.
Buhtrap - название вредоносного ПО и одноименной преступной группы, действующей с 2014 года.
В 2016 году исходники Buhtrap были слиты, после чего его стали использовать разные финансово-мотивированные атакующие.
В последние годы злоумышленники рассылают фишинговые письма, а также используют взломанные или фейковые бухгалтерские веб-ресурсы, чтобы заразить системы российских организаций вредоносной ПО Buhtrap.
После атак через сервисы электронного документооборота в третьем квартале 2025 года злоумышленники вновь переключились на создание инфраструктуры для распространения Buhtrap через привычную схему с тематическими сайтами-приманками.
Сама схема попадания жертвы на целевой ресурс не изменилась.
Пользователь переходит на сайт-приманку через поисковую выдачу.
Ресурс предлагает скачать бланки-образцы для формирования отчетов о финансах.
После нажатия на бланк происходит скачивание архива с вредоносной нагрузкой с другого ресурса - auditok[.]org.
Пример такой ссылки - hxxps://www.auditok[.]org/uploads/2025_12_09_10_18_33.zip.
Архив генерируется по принципу YYYY_MM_DD_HH_MM_SS.zip, дата и время указывается текущее в момент нажатия на кнопку загрузки.
За механизм загрузки отвечает обфусцированный js-скрипт по пути nashglavbuh[.]org/js/event.js.
Архив содержит EXE-лоадер первой стадии копия \([0-9]+\)\.exe.
Цепочка заражения аналогичная атакам через ЭДО, за исключением небольших изменений, и включает следующие элементы: EXE-лоадер первой стадии - stage2-дроппер - stage3-лоадер - Buhtrap RAT.
Файл копия \([0-9]+\)\.exe является EXE-лоадером, который распаковывает stage2-дроппер, который создает процесс C:\Program Files\Windows NT\Accessories\wordpad.exe с пустым документом с целью обхода песочниц.
Если окно wordpad было корректно закрыто, то сбрасывается лоадер третьей стадии по пути %LocalAppData%\\[a-z]{6,16}\\[a-z]{6,16}\.exe. Закрепление stage3-лоадера осуществляется через реестр.
Stage3-лоадер создает 3 текстовых файла со случайными именами во временном каталоге %Temp%. Имена соответствуют регулярному выражению [a-z]{6,16}\.log.
Предположительно, сделано для борьбы с песочницами.
Затем stage3-лоадер распаковывает и запускает в памяти пейлоад - Buhtrap RAT.
Далее RAT создает файл %AppData%\araba\barada.dat и записывает в него логи кейлоггера, а также файл %AppData%\ntлseШ.dat, куда вводит информацию о подключенных смарткартах
В качестве С2 используются URL: hxxps://hakeowner[.]org/images/ui.png и hxxps://bucketadd[.]org/images/logo.png.
Другие технические подробности и актуальные IOCs - в отчете.
Хабр
Вернулись к истокам: злоумышленники провели новую атаку ВПО Buhtrap через сайты-приманки
После атак через сервис электронного документооборота (ЭДО) в третьем квартале 2025 года злоумышленники переключились на создание инфраструктуры для распространения ВПО Buhtrap через...
Возвращаясь к наиболее трендовым уязвимостям, не можем не отметить следующие:
1. ACROS Security выкатила неофициальные патчи для новой 0-day в Windows, которая позволяет злоумышленникам вызвать DoS в работе службы Remote Access Connection Manager (RasMan) и была выявлена при изучении другой CVE-2025-59230.
Причем в сочетании с последней нуль позволяет злоумышленникам выполнять код, выдавая себя за службу RasMan.
2. Хакеры используют новую ранее не описанную уязвимость (без CVE) в реализации криптографического алгоритма в решениях Gladinet CentreStack и Triofox.
Используя эту проблему, злоумышленники могут получить жестко закодированные криптографические ключи и осуществить RCE.
Исследователи Huntress выявили как минимум девять организаций, которые подверглись атакам с использованием новой уязвимости, а также более старой, CVE-2025-30406.
Обновления были выпущены 29 ноября.
3. Push Security раскрыла подробности новой разновидности атаки ClickFix, получившей название ConsentFix, которая использует приложение Azure CLI OAuth для взлома учетных записей Microsoft без необходимости ввода пароля или для обхода MFA.
Новая техника ConsentFix основана на обмане пользователей, заставляя их копировать и вставлять текст, содержащий их данные OAuth, на веб-страницу, контролируемую злоумышленником.
4. MITRE выпустила рейтинг 25 самых опасных уязвимостей ПО за этот год, сообщая о регистрации более 39 000 уязвимостей в период с июня 2024 по июнь 2025 года.
5. Приложения .NET обзавелись новым набором уязвимостей, известных как SOAPwn, которые были обнаружены WatchTowr Labs и могут привести к атакам с RCE.
уязвимым приложениям относятся CMS Umbraco, Service Center от Barracuda, Ivanti Endpoint Manager и другие.
Microsoft классифицировала эти проблемы как DONOTFIX (не подлежит исправлению) и до сих пор они не устранены.
6. Разработчики Notepad++ выпустили патч для исправления своей системы обновлений.
Все случилось после того, как пользователи начали жаловаться на появление обновлений с вредоносным ПО.
Теперь патч обеспечивает проверку подписи файлов и сертификатов, предотвращая перенаправление пользователей на вредоносные серверы обновлений.
7. Bitsight обнаружила более 1000 MCP-серверов в открытом доступе без соответствующего разрешения и содержащих конфиденциальные данные.
8. Intruder по результатам просканирования почти 5 млн. одностраничных приложений нашли более 42 000 токенов, скрытых в их коде.
9. Fortinet устранила критические уязвимости, позволяющие обойти аутентификацию. В частности, CVE-2025-59718 и CVE-2025-59719 (CVSS 9,8) затрагивают FortiOS, FortiWeb, FortiProxy и FortiSwitchManager при включенной аутентификации FortiCloud SSO.
10. Опубликованы подробности о ZeroBoot, уязвимости, позволяющей выполнить холодную загрузку и обойти FBE на смартфонах Samsung A25.
11. Исследователи Positive Technologies представили свой декабрьский дайджест «В тренде VM», куда вошли трендовые уязвимости в Windows, expr-eval, Control Web Panel и Django (CVE-2025-62215, CVE-2025-12735, CVE-2025-48703, CVE-2025-64459).
1. ACROS Security выкатила неофициальные патчи для новой 0-day в Windows, которая позволяет злоумышленникам вызвать DoS в работе службы Remote Access Connection Manager (RasMan) и была выявлена при изучении другой CVE-2025-59230.
Причем в сочетании с последней нуль позволяет злоумышленникам выполнять код, выдавая себя за службу RasMan.
2. Хакеры используют новую ранее не описанную уязвимость (без CVE) в реализации криптографического алгоритма в решениях Gladinet CentreStack и Triofox.
Используя эту проблему, злоумышленники могут получить жестко закодированные криптографические ключи и осуществить RCE.
Исследователи Huntress выявили как минимум девять организаций, которые подверглись атакам с использованием новой уязвимости, а также более старой, CVE-2025-30406.
Обновления были выпущены 29 ноября.
3. Push Security раскрыла подробности новой разновидности атаки ClickFix, получившей название ConsentFix, которая использует приложение Azure CLI OAuth для взлома учетных записей Microsoft без необходимости ввода пароля или для обхода MFA.
Новая техника ConsentFix основана на обмане пользователей, заставляя их копировать и вставлять текст, содержащий их данные OAuth, на веб-страницу, контролируемую злоумышленником.
4. MITRE выпустила рейтинг 25 самых опасных уязвимостей ПО за этот год, сообщая о регистрации более 39 000 уязвимостей в период с июня 2024 по июнь 2025 года.
5. Приложения .NET обзавелись новым набором уязвимостей, известных как SOAPwn, которые были обнаружены WatchTowr Labs и могут привести к атакам с RCE.
уязвимым приложениям относятся CMS Umbraco, Service Center от Barracuda, Ivanti Endpoint Manager и другие.
Microsoft классифицировала эти проблемы как DONOTFIX (не подлежит исправлению) и до сих пор они не устранены.
6. Разработчики Notepad++ выпустили патч для исправления своей системы обновлений.
Все случилось после того, как пользователи начали жаловаться на появление обновлений с вредоносным ПО.
Теперь патч обеспечивает проверку подписи файлов и сертификатов, предотвращая перенаправление пользователей на вредоносные серверы обновлений.
7. Bitsight обнаружила более 1000 MCP-серверов в открытом доступе без соответствующего разрешения и содержащих конфиденциальные данные.
8. Intruder по результатам просканирования почти 5 млн. одностраничных приложений нашли более 42 000 токенов, скрытых в их коде.
9. Fortinet устранила критические уязвимости, позволяющие обойти аутентификацию. В частности, CVE-2025-59718 и CVE-2025-59719 (CVSS 9,8) затрагивают FortiOS, FortiWeb, FortiProxy и FortiSwitchManager при включенной аутентификации FortiCloud SSO.
10. Опубликованы подробности о ZeroBoot, уязвимости, позволяющей выполнить холодную загрузку и обойти FBE на смартфонах Samsung A25.
11. Исследователи Positive Technologies представили свой декабрьский дайджест «В тренде VM», куда вошли трендовые уязвимости в Windows, expr-eval, Control Web Panel и Django (CVE-2025-62215, CVE-2025-12735, CVE-2025-48703, CVE-2025-64459).
0Patch
Free Micropatches for Windows Remote Access Connection Manager DoS (0day)
During our investigation of CVE-2025-59230 , a Windows Remote Access Connection Manager elevation of privilege vulnerability that was patc...
Apple выпустила экстренные обновления для устранения двух 0-day, которые использовались в чрезвычайно сложной атаке, направленной в отношении конкретного круга лиц на версиях, предшествующих iOS 26.
Уязвимости отслеживаются как CVE-2025-43529 и CVE-2025-14174.
Первая связана с RCE в WebKit и обусловлена use-after-free, может быть использована для обработки специально созданного вредоносного веб-контента.
По данным Apple, уязвимость была обнаружена Google TAG.
Вторая, CVE-2025-14174 - это уязвимость WebKit, приводящая к повреждению памяти.
Apple отметила, что она была обнаружена внутри компании при участии тех же исследователей из Гугла.
Обе затрагивают следующую линейку устройств: iPhone 11, iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения) и iPad mini (5-го поколения), и более поздних версий.
Apple исправила ошибки в iOS 26.2 и iPadOS 26.2, iOS 18.7.3 и iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 и Safari 26.2.
Как мы ранее уже сообщали, Google также исправила таинственную 0-day в Google Chrome, первоначально отметив её как 466192044 с высоким уровнем серьезности.
Теперь же Google обновила свое уведомление, обозначив ошибку как CVE-2025-14174 и связав ее с выходом за пределы допустимого диапазона доступа к памяти в ANGLE, что совпадает с CVE, исправленной Apple, и указывает на скоординированное раскрытие.
Тем не менее, Apple не раскрыла технических подробностей атак, ограничившись заявлением о том, что они были направлены на пользователей, использующих версии iOS, предшествующие 26.
Поскольку обе уязвимости затрагивают WebKit, который используется Google Chrome на iOS, данная активность соответствует таргету spyware.
Несмотря на это, пользователям все же настоятельно рекомендуется установить последние обновления, дабы снизить риски потенциально возможной эксплуатации.
Уязвимости отслеживаются как CVE-2025-43529 и CVE-2025-14174.
Первая связана с RCE в WebKit и обусловлена use-after-free, может быть использована для обработки специально созданного вредоносного веб-контента.
По данным Apple, уязвимость была обнаружена Google TAG.
Вторая, CVE-2025-14174 - это уязвимость WebKit, приводящая к повреждению памяти.
Apple отметила, что она была обнаружена внутри компании при участии тех же исследователей из Гугла.
Обе затрагивают следующую линейку устройств: iPhone 11, iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения) и iPad mini (5-го поколения), и более поздних версий.
Apple исправила ошибки в iOS 26.2 и iPadOS 26.2, iOS 18.7.3 и iPadOS 18.7.3, macOS Tahoe 26.2, tvOS 26.2, watchOS 26.2, visionOS 26.2 и Safari 26.2.
Как мы ранее уже сообщали, Google также исправила таинственную 0-day в Google Chrome, первоначально отметив её как 466192044 с высоким уровнем серьезности.
Теперь же Google обновила свое уведомление, обозначив ошибку как CVE-2025-14174 и связав ее с выходом за пределы допустимого диапазона доступа к памяти в ANGLE, что совпадает с CVE, исправленной Apple, и указывает на скоординированное раскрытие.
Тем не менее, Apple не раскрыла технических подробностей атак, ограничившись заявлением о том, что они были направлены на пользователей, использующих версии iOS, предшествующие 26.
Поскольку обе уязвимости затрагивают WebKit, который используется Google Chrome на iOS, данная активность соответствует таргету spyware.
Несмотря на это, пользователям все же настоятельно рекомендуется установить последние обновления, дабы снизить риски потенциально возможной эксплуатации.
Apple Support
About the security content of iOS 26.2 and iPadOS 26.2 - Apple Support
This document describes the security content of iOS 26.2 and iPadOS 26.2.
Forwarded from Social Engineering
• Top CVE Trends & Expert Vulnerability Insights — агрегатор с "термометром хайповости" для топ-10 обсуждаемых в соц.сетях уязвимостей за сутки.
• CVE Crowd — агрегатор, собирающий информацию о популярных уязвимостях из соц.сетей типа Fediverse (Mastodon в основном). Ранее упоминал его в канале.
• Feedly Trending Vulnerabilities — подборка обсуждаемых уязвимостей от TI-портала Feedly. Из интересного функционала можно выделить временную шкалу, демонстрирующую "важные" моменты жизненного цикла уязвимости (первое публичное упоминание, добавление в различные каталоги т .п.).
• CVEShield — уже ветеран среди агрегаторов, который также ранжирует трендовые уязвимости по упоминанию в различных источниках. Ранее упоминал его в канале.
• CVE Radar [VPN] — агрегатор от компании SOCRadar. Создавался в поддержку проекта CVETrends, закрытого из-за изменения политики доступа к API сети X.
• Vulners — в разделе поиска можно найти дашборд "Discussed in social networks". В целом, на сайте есть много интересных топов/фильтров, например, Daily Hot, Security news, Blogs review.
• Vulmon Vulnerability Trends — тренды от поисковика Vulmon. Из плюсов: можно посмотреть популярное за предыдущие дни.
• SecurityVulnerability Trends — видимо какой-то новый агрегатор, т.к. в тренде только одна свежая уязвимость, но выглядит неплохо по функционалу, надеюсь будет развиваться.
• CVESky — агрегатор обсуждаемых уязвимостей в децентрализованной сети микроблогов BlueSky. Есть топы за каждый день, а для уязвимостей приводится описание, оценка CVSS, наличие эксплойта, вхождение в каталог CISA KEV, а также ссылки на ресурсы, где можно почитать подробнее про уязвимость, в т.ч. ссылка на ресурс с таймлайном жизни уязвимости.
• Vulnerability-lookup — ресурс Люксембургского CERT, где помимо общей информации об уязвимостях есть информация об упоминании в социальных сетях и иных ресурсах, а также топы уязвимостей по упоминаниям за неделю. Статистику можно скачивать по API.
• Fedi Sec Feeds — агрегатор обсуждаемых в соц.сетях типа Fediverse уязвимостей (как и CVE Crowd). Помимо описания узвимости есть информация по оценкам CVSS, EPSS, количестве постов с обсуждением и репозиториев с PoC/Exploit, а также ссылки на шаблоны детектов Nuclei. Данные можно выкачивать в json-формате.
• Talkback — довольно крутой агрегатор новостей из сферы ИБ с прикрученным ИИ. На ресурсе есть раздел про уязвимости, в котором для каждой записи проставляется "температурная" метка обсуждаемости. К сожалению, подробного описания механики работы "градусника" нет, но можно предположить, что он выставляется на основе упоминаний уязвимости в новостях за определенный промежуток времени.
• CVE Watch — сообщество Reddit, где каждый день публикуют топ-10 обсуждаемых интересных уязвимостей.
• DBugs — трендовые уязвимости на портале уязвимостей от компании Positive Technologies. В разделе трендов можно также посмотреть статистику по упоминанию уязвимости в соц.сети X (посты, репосты, суммарная аудитория подписчиков, временной график) и текст постов из различных ресурсов.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского представили дельный must-have, рассказав как обнаружить в инфраструктуре на основе анализа трафика следы Mythic, который активно стал задействоваться киберпреступниками в своих наступательных операциях.
Злоумышленники часто используют фреймворки для постэксплуатации в компьютерных атаках - для контроля за взломанными узлами и горизонтального перемещения внутри сети организации.
При этом если раньше они предпочитали закрытые фреймворки (Cobalt Strike и Brute Ratel C4), то в последние годы популярность обрели проекты с открытым исходным кодом, включая Mythic, Sliver, Havoc, а также сравнительно новые фреймворки - такие, как AdaptixC2.
Mythic C2 - это многопользовательская платформа C2, предназначенная для управления вредоносными агентами в сложных кибератаках.
Он построен на базе контейнерной архитектуры Docker, а его основные компоненты - сервер, агенты и транспортные модули - написаны на Python. Такая архитектура позволяет операторам добавлять новые агенты, каналы связи и пользовательские модификации на лету.
Этот фреймворк в последнее время пользуется популярностью у различных групп злоумышленников, в том числе APT Mythic Likho (Arcane Wolf) и GOFFEE (Paper Werewolf), позиционирующих себя как проукраинские и продолжающих активно атаковать российские компании.
Поскольку Mythic является универсальным инструментом для атакующего, с точки зрения защитника его использование может соответствовать многим этапам Unified Kill Chain, а также большому количеству TTPs в MITRE ATT&CK, включая Pivoting, сбор данных (Collection, TA0009), эксфильтрация (Exfiltration, TA0010), организация управления (Command and Control, TA0011)
Mythic и подобные фреймворки предоставляют расширенные C2-функции (выполнение команд по расписанию, туннелирование, мультиканальность), что усложняет обнаружение и блокировку их активности.
В целом, анализ популярных фреймворков показал, что при их разработке основное внимание уделяется механизмам уклонения от обнаружения антивирусами и EDR-решениями, но не системами анализа сетевого трафика.
Замаскировать сетевую активность агентов в целом довольно сложно, при этом агентам неизбежно нужно взаимодействовать с управляющими серверами. При этом различные реализации сетевых коммуникаций в Mythic имеют много общих черт и практически не меняются.
Соответственно, присутствие агента в системе и его вредоносные действия можно выявлять при помощи различных сетевых систем обнаружения атак (IDS) и, конечно, решений класса Network Detection and Response (NDR).
Mythic поддерживает достаточно много вариантов управления агентами на основе ряда сетевых протоколов. Анализ коммуникаций по этим ним показал, что их активность можно выявлять при помощи поиска данных в сетевом трафике по определенным шаблонам.
Основной критерий обнаружения заключается в отслеживании строк UUID в определенных позициях передаваемых данных, закодированных по алгоритму base64.
Однако, несмотря на то что в общем и целом подход к выявлению активности агентов одинаков для разных протоколов, для каждого из них используются и специфичные для него фильтры. Так что универсальной сигнатуры не существует.
В новом отчете исследователи ЛК сосредоточились исключительно на тактике Command and Control, техники которой могут быть эффективно детектированы в сетевом трафике агентов Mythic, рассмотрев возможные способы обнаружения на базе сигнатур из Kaspersky NDR.
Злоумышленники часто используют фреймворки для постэксплуатации в компьютерных атаках - для контроля за взломанными узлами и горизонтального перемещения внутри сети организации.
При этом если раньше они предпочитали закрытые фреймворки (Cobalt Strike и Brute Ratel C4), то в последние годы популярность обрели проекты с открытым исходным кодом, включая Mythic, Sliver, Havoc, а также сравнительно новые фреймворки - такие, как AdaptixC2.
Mythic C2 - это многопользовательская платформа C2, предназначенная для управления вредоносными агентами в сложных кибератаках.
Он построен на базе контейнерной архитектуры Docker, а его основные компоненты - сервер, агенты и транспортные модули - написаны на Python. Такая архитектура позволяет операторам добавлять новые агенты, каналы связи и пользовательские модификации на лету.
Этот фреймворк в последнее время пользуется популярностью у различных групп злоумышленников, в том числе APT Mythic Likho (Arcane Wolf) и GOFFEE (Paper Werewolf), позиционирующих себя как проукраинские и продолжающих активно атаковать российские компании.
Поскольку Mythic является универсальным инструментом для атакующего, с точки зрения защитника его использование может соответствовать многим этапам Unified Kill Chain, а также большому количеству TTPs в MITRE ATT&CK, включая Pivoting, сбор данных (Collection, TA0009), эксфильтрация (Exfiltration, TA0010), организация управления (Command and Control, TA0011)
Mythic и подобные фреймворки предоставляют расширенные C2-функции (выполнение команд по расписанию, туннелирование, мультиканальность), что усложняет обнаружение и блокировку их активности.
В целом, анализ популярных фреймворков показал, что при их разработке основное внимание уделяется механизмам уклонения от обнаружения антивирусами и EDR-решениями, но не системами анализа сетевого трафика.
Замаскировать сетевую активность агентов в целом довольно сложно, при этом агентам неизбежно нужно взаимодействовать с управляющими серверами. При этом различные реализации сетевых коммуникаций в Mythic имеют много общих черт и практически не меняются.
Соответственно, присутствие агента в системе и его вредоносные действия можно выявлять при помощи различных сетевых систем обнаружения атак (IDS) и, конечно, решений класса Network Detection and Response (NDR).
Mythic поддерживает достаточно много вариантов управления агентами на основе ряда сетевых протоколов. Анализ коммуникаций по этим ним показал, что их активность можно выявлять при помощи поиска данных в сетевом трафике по определенным шаблонам.
Основной критерий обнаружения заключается в отслеживании строк UUID в определенных позициях передаваемых данных, закодированных по алгоритму base64.
Однако, несмотря на то что в общем и целом подход к выявлению активности агентов одинаков для разных протоколов, для каждого из них используются и специфичные для него фильтры. Так что универсальной сигнатуры не существует.
В новом отчете исследователи ЛК сосредоточились исключительно на тактике Command and Control, техники которой могут быть эффективно детектированы в сетевом трафике агентов Mythic, рассмотрев возможные способы обнаружения на базе сигнатур из Kaspersky NDR.
Securelist
Как выявить активность Mythic при помощи решений класса NDR
Разбираем сетевую активность Mythic, в частности коммуникацию агентов с C2 и создаем детектирующие правила для решений класса Network Detection and Response (NDR) на основе сигнатурного и поведенческого анализа.
Horizon3 обнаружила серию уязвимостей в платформе с открытым исходным кодом FreePBX для частных телефонных станций (PBX), включая критическую ошибку, которая при определенных конфигурациях может привести к обходу аутентификации.
В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:
- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.
- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).
- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.
Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».
Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.
Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.
Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.
Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).
Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.
В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.
В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.
В числе найденных проблем, о которых исследователи уведомили сопровождающих проект еще 15 сентября:
- CVE-2025-61675 (CVSS: 8.6): включает уязвимости, позволяющие осуществлять аутентифицированные SQL-инъекции, затрагивающие четыре уникальные конечные точки (базовая станция, модель, микропрограмма и пользовательское расширение) и 11 уязвимых параметров, обеспечивающих доступ на чтение и запись к базовой базе данных SQL.
- CVE-2025-61678 (CVSS: 8.6): уязвимость, позволяющая использовать конечную точку загрузки прошивки для загрузки веб-оболочки PHP после получения действительного PHPSESSID и выполнения произвольных команд для утечки содержимого конфиденциальных файлов (например, "/etc/passwd»).
- CVE-2025-66039 (CVSS: 9.3): уязвимость обхода аутентификации, возникающая, когда параметр AUTHTYPE установлен на «веб-сервер», что позволяет злоумышленнику войти в панель управления администратора через поддельный заголовок авторизации.
Стоит отметить, что в конфигурации FreePBX по умолчанию обход аутентификации невозможен, поскольку параметр «Тип авторизации» отображается только тогда, когда в разделе «подробные настройки» для трех следующих параметров установлено значение «да».
Однако, как только будет выполнено необходимое условие, злоумышленник сможет отправлять специально сформированные HTTP-запросы, чтобы обойти аутентификацию и внедрить вредоносного пользователя в таблицу базы данных ampusers.
Фактически это позволит добиться что-то похожее на CVE-2025-57819, другую уязвимость в FreePBX, которая, как стало известно в сентябре этого года, активно использовалась злоумышленниками.
Как отмечают исследователи Horizon3, все эти уязвимости достаточно легко эксплуатируются и позволяют как авторизованным, так и неавторизованным удаленным злоумышленникам выполнять удаленный код на уязвимых экземплярах FreePBX.
Проблемы были устранены в версиях: CVE-2025-61675 и CVE-2025-61678 - в версиях 16.0.92 и 17.0.6 (исправлено 14 октября) и CVE-2025-66039 - в версиях 16.0.44 и 17.0.23 (исправлено 9 декабря).
Кроме того, возможность выбора поставщика аутентификации теперь удалена из расширенных настроек и требует от пользователей установки его вручную через командную строку с помощью fwconsole.
В качестве временных мер FreePBX рекомендует пользователям установить для параметра «тип авторизации» значение «usermanager», для параметра «переопределить параметры только для чтения» значение «нет», применить новую конфигурацию и перезагрузить систему.
В случае, если параметр AUTHTYPE веб-сервера был включен по ошибке, то пользователям следует тщательно проанализировать свою систему на предмет признаков потенциального взлома.
Horizon3.ai
The FreePBX Rabbit Hole: CVE-2025-66039 & More
Horizon3.ai uncovers FreePBX flaws, including CVE-2025-66039 auth bypass, SQL injection, and file upload RCE—and shows how NodeZero detects them.
Новая кампания ShinyHunters с Mixpanel получила неожиданное продолжение вслед за утечкой OpenAI и CoinTracker в ход пошли порноданные.
Пострадали премиум-клиенты PornHub, чья история поиска и просмотров теперь ушла в киберподполье и стала предметом шантажа. Компания подтвердила инцидиент.
Взлом Mixpanel случился 8 ноября 2025 года в результате SMS-фишинговой атаки (смишинга), которая позволила злоумышленникам скомпрометировать ее системы.
Как отмечает PornHub, взлом затронул только некоторых пользователей Premium и не повлиял на системы Pornhub: пароли, платежные данные и финансовая информация не были раскрыты.
При этом PornHub категорически заявляет, что не сотрудничает с Mixpanel с 2021 года, указывая на то, что украденные записи представляют собой исторические аналитические данные за 2021 год или более ранний период.
Новый инцидент примечателен тем, что теперь публично подтверждено, что за взломом Mixpanel стояла ShinyHunters.
В свою очередь, Mixpanel продолжает настаивать, что утечка данных затронула «ограниченное число» клиентов, а порноданные не были получены в результате недавней утечки данных в ноябре.
Во всяком случае компания не нашла каких-либо следов у себя.
Последний доступ к данным осуществлялся через легитимный аккаунт сотрудника материнской компании Pornhub в 2023 году.
Так что если эти данные оказались в руках неавторизованного лица, в Mixpanel не считают, что это результат инцидента безопасности на их стороне.
Так или иначе, на прошлой неделе ShinyHunters начали вымогать деньги у клиентов Mixpanel, рассылая электронные письма и предупреждая, что украденные данные будут опубликованы, если не будет выплачен выкуп.
В своем требовании о вымогательстве, направленном PornHub, ShinyHunters утверждает, что украла 94 ГБ данных, содержащих более 200 миллионов записей личной информации (результаты поиска, просмотров и скачиваний), в результате утечки данных Mixpanel.
Небольшая выборка данных показывает, что аналитические события, отправляемые в Mixpanel, содержат большое количество конфиденциальной информации, которую пользователи PornHub вряд ли хотели бы увидеть в публичном поле.
Слитые данные включают адрес электронной почты пользователя PornHub Premium, тип активности, местоположение, URL-адрес видео, название видео, ключевые слова, связанные с видео, а также временные метки.
В общем, послужная линейка ShinyHunters, включающая недавние Salesforce, GainSight и Oracle E-Business Suite, однозначно пополнилась не менее эффектной кампанией Mixpanel. А в совокупности стала серией самых крупных утечек данных в 2025 году, затронувшие сотни компаний.
Пострадали премиум-клиенты PornHub, чья история поиска и просмотров теперь ушла в киберподполье и стала предметом шантажа. Компания подтвердила инцидиент.
Взлом Mixpanel случился 8 ноября 2025 года в результате SMS-фишинговой атаки (смишинга), которая позволила злоумышленникам скомпрометировать ее системы.
Как отмечает PornHub, взлом затронул только некоторых пользователей Premium и не повлиял на системы Pornhub: пароли, платежные данные и финансовая информация не были раскрыты.
При этом PornHub категорически заявляет, что не сотрудничает с Mixpanel с 2021 года, указывая на то, что украденные записи представляют собой исторические аналитические данные за 2021 год или более ранний период.
Новый инцидент примечателен тем, что теперь публично подтверждено, что за взломом Mixpanel стояла ShinyHunters.
В свою очередь, Mixpanel продолжает настаивать, что утечка данных затронула «ограниченное число» клиентов, а порноданные не были получены в результате недавней утечки данных в ноябре.
Во всяком случае компания не нашла каких-либо следов у себя.
Последний доступ к данным осуществлялся через легитимный аккаунт сотрудника материнской компании Pornhub в 2023 году.
Так что если эти данные оказались в руках неавторизованного лица, в Mixpanel не считают, что это результат инцидента безопасности на их стороне.
Так или иначе, на прошлой неделе ShinyHunters начали вымогать деньги у клиентов Mixpanel, рассылая электронные письма и предупреждая, что украденные данные будут опубликованы, если не будет выплачен выкуп.
В своем требовании о вымогательстве, направленном PornHub, ShinyHunters утверждает, что украла 94 ГБ данных, содержащих более 200 миллионов записей личной информации (результаты поиска, просмотров и скачиваний), в результате утечки данных Mixpanel.
Небольшая выборка данных показывает, что аналитические события, отправляемые в Mixpanel, содержат большое количество конфиденциальной информации, которую пользователи PornHub вряд ли хотели бы увидеть в публичном поле.
Слитые данные включают адрес электронной почты пользователя PornHub Premium, тип активности, местоположение, URL-адрес видео, название видео, ключевые слова, связанные с видео, а также временные метки.
В общем, послужная линейка ShinyHunters, включающая недавние Salesforce, GainSight и Oracle E-Business Suite, однозначно пополнилась не менее эффектной кампанией Mixpanel. А в совокупности стала серией самых крупных утечек данных в 2025 году, затронувшие сотни компаний.
Pornhub Help
Important Message From Pornhub
For: Pornhub Premium UsersRe: Cybersecurity Incident 2025Dated: December 12, 2025; updated December 18, 2025 Overview.A recent cybersecurity incident involving data from a third-party data analytic...
Forwarded from Russian OSINT
🇻🇪Венесуэльская PDVSA заявляет, что стала жертвой кибератаки, и возлагает ответственность на 🇺🇸США
Как пишет Reuters, стало известно, что государственная нефтяная компания Венесуэлы PDVSA подверглась кибератаке, которая могла быть организована Соединенными Штатами при содействии сообщников внутри страны. Об этом говорится в совместном заявлении компании и Министерства нефти Венесуэлы.
В ведомстве утверждают, что производственные процессы не пострадали, однако, по данным четырех источников, корпоративные системы остаются отключенными, что негативно сказывается на отгрузке. В заявлении не приводится технических подробностей кибератаки.
👆Инцидент произошел на фоне крайней напряженности в отношениях между Вашингтоном и Каракасом. Ситуация усугубляется масштабным наращиванием военного присутствия США в южной части Карибского бассейна, ударами американских сил по судам, подозреваемым в наркотрафике (в результате которых погибло около 80 человек), а также заявлениями президента США Дональда Трампа о возможном скором начале наземной операции в Венесуэле.
Государственный департамент США не предоставил комментария в ответ на запрос.
✋ @Russian_OSINT
Как пишет Reuters, стало известно, что государственная нефтяная компания Венесуэлы PDVSA подверглась кибератаке, которая могла быть организована Соединенными Штатами при содействии сообщников внутри страны. Об этом говорится в совместном заявлении компании и Министерства нефти Венесуэлы.
В ведомстве утверждают, что производственные процессы не пострадали, однако, по данным четырех источников, корпоративные системы остаются отключенными, что негативно сказывается на отгрузке. В заявлении не приводится технических подробностей кибератаки.
ОФИЦИАЛЬНОЕ СООБЩЕНИЕ:
Компания «Petróleos de Venezuela, S.A.» (PDVSA) информирует венесуэльский народ и международное сообщество о том, что предприятие стало объектом целенаправленной кибератаки, целью которой была полная остановка его деятельности....
Данная попытка агрессии является дополнением к публичной стратегии правительства США по завладению венесуэльской нефтью методами силы и пиратства. Рабочий класс нефтегазовой промышленности уже сталкивался с посягательствами подобного рода в прошлом. Именно его приверженность делу, опыт и лояльность позволили выявить и нейтрализовать эту новую атаку.
👆Инцидент произошел на фоне крайней напряженности в отношениях между Вашингтоном и Каракасом. Ситуация усугубляется масштабным наращиванием военного присутствия США в южной части Карибского бассейна, ударами американских сил по судам, подозреваемым в наркотрафике (в результате которых погибло около 80 человек), а также заявлениями президента США Дональда Трампа о возможном скором начале наземной операции в Венесуэле.
Государственный департамент США не предоставил комментария в ответ на запрос.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В Positive Technologies приступили к подведению итогов 2025 года и прогнозированию основных трендов на ландшафте угроз в ближайшей перспективе.
Одним словом о том, с какими вызовами столкнулась отрасль ИБ в этом году, по мнению исследователей, - это кибершторм, а более подробно Позитивы решили разложить аналитику частями.
Первая из них про общие тренды и прогнозы вышла при непосредственном участии Алексея Лукацкого.
В 2025 году кибербезопасность столкнулась с рядом серьезных тенденций: участники отрасли по всему миру осознали новые риски и предприняли ответные шаги - от финансовых гарантий со стороны поставщиков ИБ до усиления государственных регуляторных мер.
Из основных итогов 2025 года и ожидаемых направлений развития в 2026, которые, по мнению эксперта, являются определяющими для понимания будущего кибербезопасности в России, отметим следующие:
- Одна из ярких тенденций 2025 года - новый взгляд на финансовую ответственность поставщиков решений по кибербезопасности за результаты своей работы, прежде всего, предоставление гарантий от взлома, в части, компенсации убытков.
При этом тренд подхватывают не только западные, но и российские игроки. Правда, пока такие инициативы носят скорее пилотный характер, но в 2026 году можно ожидать их развития.
- Год запомнился чередой киберинцидентов с рекордно высокими убытками, которые ощутили на себе крупные организации в разных отраслях по всему миру, включая и Россию. Тут и британский ритейлер Marks & Spencer, и Asahi Group в Японии.
В 2026 году, вероятно, все больше компаний будут уделять внимание оценке своей реальной киберустойчивости и потенциального ущерба, закладывая такую оценку в финансовое планирование и страховые резервы.
- В 2025-м стало очевидно, что кибератака на одну крупную организацию может вызвать цепную реакцию проблем у ее партнеров и подрядчиков. Ярким примером является атака на Jaguar Land Rover (JLR).
Подобный эффект домино наблюдался и в других случаях. Атаки на провайдеров IT-сервисов или ПО приводят к сбоям у тысяч клиентов по всему миру.
В 2025 году тревожным звоночком стали атаки на российских IT-подрядчиков: число таких инцидентов приблизилось к 100.
Следует ожидать, что в 2026 году крупные компании будут проверять киберустойчивость поставщиков и закладывать планы на случай их простоя. Возрастет спрос на страхование сбоев в бизнесе, а государство выкатит новые требований ко экосистеме партнеров объектов КИИ.
- В 2025 году по всему миру, и в России, усилилась тенденция к государственному контролю над интернет-инфраструктурой, трафиком и контентом по соображениям национальной безопасности. Общий тренд таков, что эра «дикого» интернета сменяется эпохой контроля.
В 2026 году, вероятно, эта линия продолжится: власти могут перейти от точечных блокировок к более тотальному инспектированию трафика, вплоть до применения технологий DPI на всем магистральном уровне.
- По итогам 2025 года можно уверенно говорить: для высшего руководства и советов директоров крупных компаний киберриски вышли на первый план. Исследования показывают резкий рост вовлеченности топ-менеджеров в обсуждение кибербезопасности.
В следующем году эта тенденция продолжится и, возможно, выйдет на уровень целых отраслей и даже всего государства.
- Развитие систем искусственного интеллекта стремительно отражается и на ландшафте киберугроз: из теории кибер-ИИ перешел в плоскость боевого применения.
С одной стороны, киберпреступники начали активно использовать генеративные модели и большие языковые модели (LLM) для усиления атак. С другой, ИИ стал мощным инструментом и для защитников - появилась множество новинок на рынке ИБ с приставкой AI.
В 2026 году эта гонка искусственных интеллектов по обе стороны баррикад лишь ускорится.
- В 2025 году в России наметился явный курс на централизацию государственного управления ИБ в руках силовых структур, прежде всего ФСБ, а следующий год принесет дальнейшие реформы.
Одним словом о том, с какими вызовами столкнулась отрасль ИБ в этом году, по мнению исследователей, - это кибершторм, а более подробно Позитивы решили разложить аналитику частями.
Первая из них про общие тренды и прогнозы вышла при непосредственном участии Алексея Лукацкого.
В 2025 году кибербезопасность столкнулась с рядом серьезных тенденций: участники отрасли по всему миру осознали новые риски и предприняли ответные шаги - от финансовых гарантий со стороны поставщиков ИБ до усиления государственных регуляторных мер.
Из основных итогов 2025 года и ожидаемых направлений развития в 2026, которые, по мнению эксперта, являются определяющими для понимания будущего кибербезопасности в России, отметим следующие:
- Одна из ярких тенденций 2025 года - новый взгляд на финансовую ответственность поставщиков решений по кибербезопасности за результаты своей работы, прежде всего, предоставление гарантий от взлома, в части, компенсации убытков.
При этом тренд подхватывают не только западные, но и российские игроки. Правда, пока такие инициативы носят скорее пилотный характер, но в 2026 году можно ожидать их развития.
- Год запомнился чередой киберинцидентов с рекордно высокими убытками, которые ощутили на себе крупные организации в разных отраслях по всему миру, включая и Россию. Тут и британский ритейлер Marks & Spencer, и Asahi Group в Японии.
В 2026 году, вероятно, все больше компаний будут уделять внимание оценке своей реальной киберустойчивости и потенциального ущерба, закладывая такую оценку в финансовое планирование и страховые резервы.
- В 2025-м стало очевидно, что кибератака на одну крупную организацию может вызвать цепную реакцию проблем у ее партнеров и подрядчиков. Ярким примером является атака на Jaguar Land Rover (JLR).
Подобный эффект домино наблюдался и в других случаях. Атаки на провайдеров IT-сервисов или ПО приводят к сбоям у тысяч клиентов по всему миру.
В 2025 году тревожным звоночком стали атаки на российских IT-подрядчиков: число таких инцидентов приблизилось к 100.
Следует ожидать, что в 2026 году крупные компании будут проверять киберустойчивость поставщиков и закладывать планы на случай их простоя. Возрастет спрос на страхование сбоев в бизнесе, а государство выкатит новые требований ко экосистеме партнеров объектов КИИ.
- В 2025 году по всему миру, и в России, усилилась тенденция к государственному контролю над интернет-инфраструктурой, трафиком и контентом по соображениям национальной безопасности. Общий тренд таков, что эра «дикого» интернета сменяется эпохой контроля.
В 2026 году, вероятно, эта линия продолжится: власти могут перейти от точечных блокировок к более тотальному инспектированию трафика, вплоть до применения технологий DPI на всем магистральном уровне.
- По итогам 2025 года можно уверенно говорить: для высшего руководства и советов директоров крупных компаний киберриски вышли на первый план. Исследования показывают резкий рост вовлеченности топ-менеджеров в обсуждение кибербезопасности.
В следующем году эта тенденция продолжится и, возможно, выйдет на уровень целых отраслей и даже всего государства.
- Развитие систем искусственного интеллекта стремительно отражается и на ландшафте киберугроз: из теории кибер-ИИ перешел в плоскость боевого применения.
С одной стороны, киберпреступники начали активно использовать генеративные модели и большие языковые модели (LLM) для усиления атак. С другой, ИИ стал мощным инструментом и для защитников - появилась множество новинок на рынке ИБ с приставкой AI.
В 2026 году эта гонка искусственных интеллектов по обе стороны баррикад лишь ускорится.
- В 2025 году в России наметился явный курс на централизацию государственного управления ИБ в руках силовых структур, прежде всего ФСБ, а следующий год принесет дальнейшие реформы.
Хабр
Кибербезопасность 2025-2026. Год в кибершторме — настанет ли затишье?
Привет, Хабр! На связи команда Positive Technologies, и мы начинаем подводить киберитоги 2025 года и делиться прогнозами на ближайшее будущее. С какими вызовами столкнулась отрасль ИБ в этом году, что...
Исследователи из Лаборатории Касперского в новом исследовании провели оценку безопасности протокола Zigbee в промышленной среде.
Современную жизнь уже сложно представить без различных IoT-устройств и систем домашней автоматизации - от умных колонок до датчиков, автоматически управляющих водяными насосами.
Для пользователя такие системы кажутся простыми и понятными, но за ними стоит сложное взаимодействие множества устройств и протоколов.
Один из них - упомянутый Zigbee.
Он представляет собой беспроводной протокол с низким энергопотреблением на основе стандарта IEEE 802.15.4, который обеспечивает обмен данными между умными устройствами.
Широко используется в умных домах, а также на промышленных объектах, где стабильность технологических процессов зависит от скоординированной работы сотен или даже тысяч датчиков.
Как отмечают в ЛК, в сети представлено достаточно большое количество руководств по оценке безопасности Zigbee, в основном сосредоточенных на «домашнем» использовании протокола, практически не затрагивая его развертывания на промышленных предприятиях.
Исследователи решили заполнить этот пробел, подробно изучив в отчете безопасность Zigbee от основ протокола до потенциальной поверхности атаки в типичных сценариях использования на примере двух реалистичных векторов, с которыми можно столкнуться на объектах.
Подробно останавливаться не будем, с технической частью и блоком рекомендаций предлагаем ознакомиться - в первоисточнике.
Современную жизнь уже сложно представить без различных IoT-устройств и систем домашней автоматизации - от умных колонок до датчиков, автоматически управляющих водяными насосами.
Для пользователя такие системы кажутся простыми и понятными, но за ними стоит сложное взаимодействие множества устройств и протоколов.
Один из них - упомянутый Zigbee.
Он представляет собой беспроводной протокол с низким энергопотреблением на основе стандарта IEEE 802.15.4, который обеспечивает обмен данными между умными устройствами.
Широко используется в умных домах, а также на промышленных объектах, где стабильность технологических процессов зависит от скоординированной работы сотен или даже тысяч датчиков.
Как отмечают в ЛК, в сети представлено достаточно большое количество руководств по оценке безопасности Zigbee, в основном сосредоточенных на «домашнем» использовании протокола, практически не затрагивая его развертывания на промышленных предприятиях.
Исследователи решили заполнить этот пробел, подробно изучив в отчете безопасность Zigbee от основ протокола до потенциальной поверхности атаки в типичных сценариях использования на примере двух реалистичных векторов, с которыми можно столкнуться на объектах.
Подробно останавливаться не будем, с технической частью и блоком рекомендаций предлагаем ознакомиться - в первоисточнике.
Securelist
Оценка безопасности протокола Zigbee
Эксперт «Лаборатории Касперского» рассматривает протокол беспроводной связи Zigbee и описывает два вектора атаки прикладного уровня, позволяющих включать и выключать конечную точку Zigbee.
Исследователи F6 также выкатили свои предварительные итоги 2025 года, отмечая со своей стороны ряд ключевых трендов.
В 2025 году аналитики выявили на тематических Telegram-каналах и на андеграундных форумах 225 ранее не опубликованных украденных баз данных российских компаний (в 2024 году - 455) и 20 баз данных компаний из других стран СНГ, включая 10 по Беларуси.
Самой объемной «мегаутечкой» в очередной раз стал архив из 457 баз данных.
Скомпрометированные базы чаще всего содержали данные ФИО, даты рождения, адреса пользователей, электронные почтовые адреса, номера телефонов.
Наиболее пострадавшими в 2025 году по части утечек в первую очередь оказались ритейл, госсектор, профессиональные услуги, здравоохранение и IT.
Исследователи отмечают, что в условиях геополитического противостояния кибератаки на российские компании для диверсий или шпионажа продолжаются, однако их количество и интенсивность относительно стабилизировались.
Всего в 2025 году аналитики задетектили 27 APT-групп, атакующих Россию и СНГ (в 2024 году - 24).
Часть групп не проявляли активности, но появились и новые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.
В их фокусе в 2025 году оказались госучреждения (их атаковали 13 групп), промышленность (11), НИИ (9), предприятия ВПК (8), ТЭК (7).
При этом замечен повышенный интерес злоумышленников к IT-компаниям, которые могут использоваться как плацдарм для атак на их клиентов.
В отчетном периоде выявлена активность более 20 финансово-мотивированных группировок. Наиболее примечательные из них: Vasy Grek, Hive0117, CapFIX.
Всего 4 группы отметились DDoS-атаками: CyberSec's (BadB), Himars DDOS, Кіберкорпус, IT Army of Ukraine.
Фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей.
В 2025 году более десяти таких группировок отметились хотя бы одной атакой с использованием этой разновидности вредоносного ПО.
В 2025 году количество ransomware-атак выросло на 15% по сравнению с предыдущим.
При этом в 15% подобных инцидентов, связанных со средними и крупными предприятиями, целью киберпреступников был не выкуп, а диверсия.
Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 000 000 рублей на момент атаки), побив рекорд прошлого года - 240 000 000 рублей.
В среднем, суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 000 000 до 40 000 000 рублей.
Для малого и среднего бизнеса - от 240 000 до 4 000 000 рублей.
Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (17,1%), организации из сфер оптовой (14,3%) и розничной (12,9%) торговли, ИТ (7,1%), транспорта и логистики (7,1%).
Наиболее активными проукраинскими группировками в этом году стали: Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12), 3119/TR4CK (не менее 4), Blackjack/Mordor (не менее 4), Shadow (не менее 4).
Малый и средний российский бизнес с целью выкупа больше всего атаковали: Mimic/Pay2Key, Proton/Shinra, C77L.
В своих атаках киберпреступники чаще всего использовали программы-вымогатели (шифровальщики) Mimic/Pay2Key и LockBit 3 Black - на них пришлось до 25% и 21% инцидентов, а также Proton/Shinra (11,4%), Babuk (10,2%).
Кроме того, в 7,5% инцидентов для достижения целей вымогатели использовали легитимные программы для архивации файлов и полнодискового шифрования.
Подробная инфографика, а также аналитика по векторам, фишку и скаму - в отчете.
В 2026 F6 обещает выпустить еще более содержательный отраслевой анализ в качестве практического руководства для стратегического и тактического планирования проактивной киберзащиты.
В 2025 году аналитики выявили на тематических Telegram-каналах и на андеграундных форумах 225 ранее не опубликованных украденных баз данных российских компаний (в 2024 году - 455) и 20 баз данных компаний из других стран СНГ, включая 10 по Беларуси.
Самой объемной «мегаутечкой» в очередной раз стал архив из 457 баз данных.
Скомпрометированные базы чаще всего содержали данные ФИО, даты рождения, адреса пользователей, электронные почтовые адреса, номера телефонов.
Наиболее пострадавшими в 2025 году по части утечек в первую очередь оказались ритейл, госсектор, профессиональные услуги, здравоохранение и IT.
Исследователи отмечают, что в условиях геополитического противостояния кибератаки на российские компании для диверсий или шпионажа продолжаются, однако их количество и интенсивность относительно стабилизировались.
Всего в 2025 году аналитики задетектили 27 APT-групп, атакующих Россию и СНГ (в 2024 году - 24).
Часть групп не проявляли активности, но появились и новые: Silent Lynx, Telemancon, Mythic Likho, NGC6061, NGC4141, SkyCloak, NGC5081.
В их фокусе в 2025 году оказались госучреждения (их атаковали 13 групп), промышленность (11), НИИ (9), предприятия ВПК (8), ТЭК (7).
При этом замечен повышенный интерес злоумышленников к IT-компаниям, которые могут использоваться как плацдарм для атак на их клиентов.
В отчетном периоде выявлена активность более 20 финансово-мотивированных группировок. Наиболее примечательные из них: Vasy Grek, Hive0117, CapFIX.
Всего 4 группы отметились DDoS-атаками: CyberSec's (BadB), Himars DDOS, Кіберкорпус, IT Army of Ukraine.
Фокус политически мотивированных групп смещается на нанесение большего ущерба за счет использования программ-вымогателей.
В 2025 году более десяти таких группировок отметились хотя бы одной атакой с использованием этой разновидности вредоносного ПО.
В 2025 году количество ransomware-атак выросло на 15% по сравнению с предыдущим.
При этом в 15% подобных инцидентов, связанных со средними и крупными предприятиями, целью киберпреступников был не выкуп, а диверсия.
Максимальная сумма первоначального выкупа, заявленная группировкой CyberSec’s в 2025 году, составила 50 BTC (около 500 000 000 рублей на момент атаки), побив рекорд прошлого года - 240 000 000 рублей.
В среднем, суммы первоначального выкупа за расшифровку данных в 2025 году колебались от 4 000 000 до 40 000 000 рублей.
Для малого и среднего бизнеса - от 240 000 до 4 000 000 рублей.
Чаще всего злоумышленники атаковали производственные и инжиниринговые компании (17,1%), организации из сфер оптовой (14,3%) и розничной (12,9%) торговли, ИТ (7,1%), транспорта и логистики (7,1%).
Наиболее активными проукраинскими группировками в этом году стали: Bearlyfy/ЛАБУБУ (не менее 55 атак), THOR (не менее 12), 3119/TR4CK (не менее 4), Blackjack/Mordor (не менее 4), Shadow (не менее 4).
Малый и средний российский бизнес с целью выкупа больше всего атаковали: Mimic/Pay2Key, Proton/Shinra, C77L.
В своих атаках киберпреступники чаще всего использовали программы-вымогатели (шифровальщики) Mimic/Pay2Key и LockBit 3 Black - на них пришлось до 25% и 21% инцидентов, а также Proton/Shinra (11,4%), Babuk (10,2%).
Кроме того, в 7,5% инцидентов для достижения целей вымогатели использовали легитимные программы для архивации файлов и полнодискового шифрования.
Подробная инфографика, а также аналитика по векторам, фишку и скаму - в отчете.
В 2026 F6 обещает выпустить еще более содержательный отраслевой анализ в качестве практического руководства для стратегического и тактического планирования проактивной киберзащиты.
Хабр
Киберугрозы-2025: F6 назвала основные тренды вымогателей, утечек и фишинга
Компания F6, ведущий разработчик технологий для борьбы с киберпреступностью, подвела предварительные итоги 2025 года. Наряду с тем, что количество и интенсивность атак на российские компании...
Киберподполье приступило к активной эксплуатации критических уязвимостей в решениях Fortinet для получения несанкционированного доступа к учетным записям администраторов и кражи файлов конфигурации систем.
Обе проблемы отслеживаются как CVE-2025-59718 и CVE-2025-59719.
Первая из них связана с обходом аутентификации FortiCloud SSO и затрагивает FortiOS, FortiProxy и FortiSwitchManager.
Она обусловлена некорректной проверкой криптографических подписей в сообщениях SAML, что позволяет злоумышленнику войти в систему без действительной аутентификации, отправив специально созданное утверждение SAML.
Другая, CVE-2025-59719, также с обходом аутентификации FortiCloud SSO влияет на FortiWeb, возникая в виду аналогичной проблемы с проверкой криптографической подписи сообщений SAML и позволяя получить неаутентифицированный административный доступ через поддельный SSO.
Обе ошибки могут быть использованы только при включенной FortiCloud SSO, что не является настройкой по умолчанию.
Однако, если эта функция явно не отключена, она активируется автоматически при регистрации устройств через пользовательский интерфейс FortiCare.
Исследователи Arctic Wolf выявили атаки с использованием этих двух уязвимостей, начиная с 12 декабря.
Они отмечают, что вторжения осуществлялись с нескольких IP-адресов, связанных с The Constant Company, BL Networks и Kaopu Cloud HK.
Согласно данным Arctic Wolf, злоумышленники атаковали учетные записи администраторов с помощью вредоносных систем единого входа (SSO).
Получив доступ с правами администратора, хакеры через веб-интерфейс управления выполняли загрузку файлов конфигурации системы.
При этом в них потенциально раскрывается информацию о структуре сети, доступных из сервисах, политиках брандмауэра, потенциально уязвимых интерфейсах, таблицах маршрутизации, а также хешированных паролях.
Обе уязвимости затрагивают несколько версий продуктов Fortinet, за исключением FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2.
Для нейтрализации потенциальных атак Fortinet рекомендует администраторам, использующим уязвимую версию, временно отключить функцию входа в FortiCloud до тех пор, пока не станет возможным обновление до: FortiOS 7.6.4, 7.4.9, 7.2.12 и 7.0.18, FortiProxy 7.6.4, 7.4.11, 7.2.15, 7.0.22, FortiSwitchManager 7.2.7, 7.0.6 и FortiWeb 8.0.1, 7.6.5, 7.4.10 (и более поздние).
При обнаружении любых признаков компрометации рекомендуется как можно скорее сменить учетные данные брандмауэра.
Arctic Wolf также рекомендует ограничить доступ к управлению брандмауэром/VPN только доверенными внутренними сетями.
Обе проблемы отслеживаются как CVE-2025-59718 и CVE-2025-59719.
Первая из них связана с обходом аутентификации FortiCloud SSO и затрагивает FortiOS, FortiProxy и FortiSwitchManager.
Она обусловлена некорректной проверкой криптографических подписей в сообщениях SAML, что позволяет злоумышленнику войти в систему без действительной аутентификации, отправив специально созданное утверждение SAML.
Другая, CVE-2025-59719, также с обходом аутентификации FortiCloud SSO влияет на FortiWeb, возникая в виду аналогичной проблемы с проверкой криптографической подписи сообщений SAML и позволяя получить неаутентифицированный административный доступ через поддельный SSO.
Обе ошибки могут быть использованы только при включенной FortiCloud SSO, что не является настройкой по умолчанию.
Однако, если эта функция явно не отключена, она активируется автоматически при регистрации устройств через пользовательский интерфейс FortiCare.
Исследователи Arctic Wolf выявили атаки с использованием этих двух уязвимостей, начиная с 12 декабря.
Они отмечают, что вторжения осуществлялись с нескольких IP-адресов, связанных с The Constant Company, BL Networks и Kaopu Cloud HK.
Согласно данным Arctic Wolf, злоумышленники атаковали учетные записи администраторов с помощью вредоносных систем единого входа (SSO).
Получив доступ с правами администратора, хакеры через веб-интерфейс управления выполняли загрузку файлов конфигурации системы.
При этом в них потенциально раскрывается информацию о структуре сети, доступных из сервисах, политиках брандмауэра, потенциально уязвимых интерфейсах, таблицах маршрутизации, а также хешированных паролях.
Обе уязвимости затрагивают несколько версий продуктов Fortinet, за исключением FortiOS 6.4, FortiWeb 7.0 и FortiWeb 7.2.
Для нейтрализации потенциальных атак Fortinet рекомендует администраторам, использующим уязвимую версию, временно отключить функцию входа в FortiCloud до тех пор, пока не станет возможным обновление до: FortiOS 7.6.4, 7.4.9, 7.2.12 и 7.0.18, FortiProxy 7.6.4, 7.4.11, 7.2.15, 7.0.22, FortiSwitchManager 7.2.7, 7.0.6 и FortiWeb 8.0.1, 7.6.5, 7.4.10 (и более поздние).
При обнаружении любых признаков компрометации рекомендуется как можно скорее сменить учетные данные брандмауэра.
Arctic Wolf также рекомендует ограничить доступ к управлению брандмауэром/VPN только доверенными внутренними сетями.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Исследователи iVerify обратили внимание на новую засветившуюся на просторах даркнета вредоносную ПО для Android под названием Cellik, которая реализует широкий функиуонал, включая возможность встраивания в любое приложение, доступное в Google Play Store.
В частности, злоумышленники могут выбрать любое приложение из официального магазина Android и создавать его троянизированные версии, которые полностью мимикрируют под оригинал, сохраняя при этом интерфейс и функциональность настоящего приложения.
Благодаря этому заражение Cellik может оставаться незамеченным в течение более длительного времени.
Кроме того, продавец утверждает, что подобная упаковка вредоносного ПО позволяет обойти Play Protect, хотя это не подтверждено.
Исследователи iVerify обнаружили объявления о реализации Cellik на хакерских форумах по цене в 150 долларов за месяц или 900 - за безлимитный доступ.
Cellik представляет собой полноценную вредоносную ПО для Android, способную захватывать экран жертвы в режиме реального времени, перехватывать уведомления приложений, работать с файловой системой, удалять данные и взаимодействовать с С2 по зашифрованному каналу.
Вредоносная программа также имеет скрытый режим браузера, который злоумышленники могут использовать для доступа к веб-сайтам с зараженного устройства, используя сохраненные файлы cookie жертвы.
Система внедрения вредоносного кода в приложения позволяет злоумышленникам накладывать фейковые экраны входа в систему или внедрять вредоносный код в любое приложение для кражи учетных данных жертвы.
В числе перечисленных возможностей также есть опция внедрения вредоносных ПО в установленные приложения, что еще больше затруднит выявление источника заражения, поскольку давно зарекомендовавшие себя приложения внезапно станут вредоносными.
Однако главным преимуществом является интеграция Play Store в конструктор APK-файлов Cellik, которая позволяет киберпреступникам просматривать магазин в поисках приложений, выбирать нужные и создавать их вредоносные версии.
Разработчик утверждает, что Cellik способен обходить функции безопасности Google Play, интегрируя свой вредоносный код в доверенные приложения, тем самым, по сути, отключая обнаружение Play Protect.
Несмотря на то, что Google Play Protect обычно помечает неизвестные или вредоносные приложения, однако трояны, скрытые внутри популярных пакетов приложений, могут ускользнуть от автоматической проверки или сканирования на уровне устройства.
В Google на этот счет пока не дают никаких комментариев. Но, вероятно, какая-то реакция определенно последует, так что будем посмотреть.
В частности, злоумышленники могут выбрать любое приложение из официального магазина Android и создавать его троянизированные версии, которые полностью мимикрируют под оригинал, сохраняя при этом интерфейс и функциональность настоящего приложения.
Благодаря этому заражение Cellik может оставаться незамеченным в течение более длительного времени.
Кроме того, продавец утверждает, что подобная упаковка вредоносного ПО позволяет обойти Play Protect, хотя это не подтверждено.
Исследователи iVerify обнаружили объявления о реализации Cellik на хакерских форумах по цене в 150 долларов за месяц или 900 - за безлимитный доступ.
Cellik представляет собой полноценную вредоносную ПО для Android, способную захватывать экран жертвы в режиме реального времени, перехватывать уведомления приложений, работать с файловой системой, удалять данные и взаимодействовать с С2 по зашифрованному каналу.
Вредоносная программа также имеет скрытый режим браузера, который злоумышленники могут использовать для доступа к веб-сайтам с зараженного устройства, используя сохраненные файлы cookie жертвы.
Система внедрения вредоносного кода в приложения позволяет злоумышленникам накладывать фейковые экраны входа в систему или внедрять вредоносный код в любое приложение для кражи учетных данных жертвы.
В числе перечисленных возможностей также есть опция внедрения вредоносных ПО в установленные приложения, что еще больше затруднит выявление источника заражения, поскольку давно зарекомендовавшие себя приложения внезапно станут вредоносными.
Однако главным преимуществом является интеграция Play Store в конструктор APK-файлов Cellik, которая позволяет киберпреступникам просматривать магазин в поисках приложений, выбирать нужные и создавать их вредоносные версии.
Разработчик утверждает, что Cellik способен обходить функции безопасности Google Play, интегрируя свой вредоносный код в доверенные приложения, тем самым, по сути, отключая обнаружение Play Protect.
Несмотря на то, что Google Play Protect обычно помечает неизвестные или вредоносные приложения, однако трояны, скрытые внутри популярных пакетов приложений, могут ускользнуть от автоматической проверки или сканирования на уровне устройства.
В Google на этот счет пока не дают никаких комментариев. Но, вероятно, какая-то реакция определенно последует, так что будем посмотреть.
iverify.io
Meet Cellik - A New Android RAT With Play Store Integration
Discover how Cellik Android RAT enables full device surveillance with live screen access, keylogging, app injection, and Play Store APK wrapping.
Исследователи из Уханьского университета, Нанкинского университета авиации и космонавтики, Национального университета оборонных технологий и Пекинского университета почты и телекоммуникаций анонсировали Touchscreen Electromagnetic Side-channel Leakage Attack.
Результаты исследования будут представлены на 61-й конференции ACM/IEEE по автоматизации проектирования (DAC'26).
Новая бесконтактная техника атаки под названием TESLA позволяет в точности восстанавливать прикосновения к сенсорным экранам смартфонов путем перехвата электромагнитных излучений.
Уязвимость была обнаружена в ходе исследования электромагнитных побочных излучений в емкостных сенсорных экранах.
В отличие от традиционных атак с использованием датчиков или акустических каналов, TESLA работает полностью пассивно и без доступа к устройству, полагаясь исключительно на электромагнитные сигналы, непреднамеренно излучаемые в ходе взаимодействия с экраном.
Эти излучения являются побочным эффектом работы емкостных экранов в части обнаружения касаний, использующих метод последовательного сканирования (SDM) и основанных на сетке передающих (TX) и принимающих (RX) электродов.
Когда пользователь пишет на экране, синхронизация этих сигналов, модулированная емкостной связью человеческого тела, создает едва уловимые электромагнитные сигналы, которые могут быть зафиксированы поблизости.
Исследователи воспользовались этим, разместив недорогой электромагнитный зонд (стоимостью менее 100 долларов) на расстоянии 15 см от смартфона.
Затем полученный сигнал обрабатывался с помощью конвейера глубокого обучения на основе трансформерных нейронных сетей, которые с высокой точностью восстанавливали двумерные траектории рукописного ввода.
Исследователи протестировали TESLA на четырех популярных смартфонах: iPhone X, Xiaomi 10 Pro, Samsung S10 и Huawei Mate 30 Pro.
Опыты при этом проводились как в изолированных помещениях, так и общественных местах, демонстрируя высокую точность распознавания символов - до 76,8%.
Восстановление данных было возможно даже на расстоянии до 15 см, при этом точность распознавания составила 73%.
Важно отметить, что TESLA показала стабильные результаты для разных марок и технологий отображения, подтверждая, что эта утечка не является специфическим недостатком устройства, а представляет собой системную уязвимость в конструкции емкостных сенсорных экранов.
Восстановленные траектории не просто читаемы - они сохраняют достаточный объем уникальных пространственных характеристик, даже чтобы потенциально подделать биометрические подписи.
Атака продемонстрировала эффективность не только в извлечении содержимого (например, рукописных заметок), но и в имитации механизмов аутентификации рукописного текста, таких как проверка подписи, широко используемых в финансовой и юридической сферах.
Метод TESLA превосходит предыдущие методы по скрытности и главное - практичности, поскольку не требует установки ПО на целевое устройство, не предполагает особых требований к стилю письма и дорогостоящего оборудования (в отличие от радиолокационных систем).
TESLA реализуема на коммерчески доступных зондах, общедоступных фреймворках машинного обучения и простых методах съема данных (например, под столами или внутри сумок).
Исследователи предупреждают, что современная архитектура смартфонов не обладают достаточной электромагнитной защитой для блокирования подобных атак, а программные средства (например, рандомизация времени сигнала) могут сказаться на производительности.
Так что теперь пользователям, полагающимся на рукописный ввод на смартфонах при выполнении важных задач, следует помнить, что без защиты система остается уязвимой для пассивного наблюдения в общественных и полузакрытых помещениях.
Результаты исследования будут представлены на 61-й конференции ACM/IEEE по автоматизации проектирования (DAC'26).
Новая бесконтактная техника атаки под названием TESLA позволяет в точности восстанавливать прикосновения к сенсорным экранам смартфонов путем перехвата электромагнитных излучений.
Уязвимость была обнаружена в ходе исследования электромагнитных побочных излучений в емкостных сенсорных экранах.
В отличие от традиционных атак с использованием датчиков или акустических каналов, TESLA работает полностью пассивно и без доступа к устройству, полагаясь исключительно на электромагнитные сигналы, непреднамеренно излучаемые в ходе взаимодействия с экраном.
Эти излучения являются побочным эффектом работы емкостных экранов в части обнаружения касаний, использующих метод последовательного сканирования (SDM) и основанных на сетке передающих (TX) и принимающих (RX) электродов.
Когда пользователь пишет на экране, синхронизация этих сигналов, модулированная емкостной связью человеческого тела, создает едва уловимые электромагнитные сигналы, которые могут быть зафиксированы поблизости.
Исследователи воспользовались этим, разместив недорогой электромагнитный зонд (стоимостью менее 100 долларов) на расстоянии 15 см от смартфона.
Затем полученный сигнал обрабатывался с помощью конвейера глубокого обучения на основе трансформерных нейронных сетей, которые с высокой точностью восстанавливали двумерные траектории рукописного ввода.
Исследователи протестировали TESLA на четырех популярных смартфонах: iPhone X, Xiaomi 10 Pro, Samsung S10 и Huawei Mate 30 Pro.
Опыты при этом проводились как в изолированных помещениях, так и общественных местах, демонстрируя высокую точность распознавания символов - до 76,8%.
Восстановление данных было возможно даже на расстоянии до 15 см, при этом точность распознавания составила 73%.
Важно отметить, что TESLA показала стабильные результаты для разных марок и технологий отображения, подтверждая, что эта утечка не является специфическим недостатком устройства, а представляет собой системную уязвимость в конструкции емкостных сенсорных экранов.
Восстановленные траектории не просто читаемы - они сохраняют достаточный объем уникальных пространственных характеристик, даже чтобы потенциально подделать биометрические подписи.
Атака продемонстрировала эффективность не только в извлечении содержимого (например, рукописных заметок), но и в имитации механизмов аутентификации рукописного текста, таких как проверка подписи, широко используемых в финансовой и юридической сферах.
Метод TESLA превосходит предыдущие методы по скрытности и главное - практичности, поскольку не требует установки ПО на целевое устройство, не предполагает особых требований к стилю письма и дорогостоящего оборудования (в отличие от радиолокационных систем).
TESLA реализуема на коммерчески доступных зондах, общедоступных фреймворках машинного обучения и простых методах съема данных (например, под столами или внутри сумок).
Исследователи предупреждают, что современная архитектура смартфонов не обладают достаточной электромагнитной защитой для блокирования подобных атак, а программные средства (например, рандомизация времени сигнала) могут сказаться на производительности.
Так что теперь пользователям, полагающимся на рукописный ввод на смартфонах при выполнении важных задач, следует помнить, что без защиты система остается уязвимой для пассивного наблюдения в общественных и полузакрытых помещениях.
Исследователи из Лаборатории Касперского также раскрыли новый сложный Android-троян под названием Frogblight, нацеленный, в основном, на пользователей турецкого сегмента.
Первые образцы Frogblight удалось задетектить в августе 2025 года.
Frogblight мимикрирует под легитимные официальные правительственные приложения и имеет широкий функционал, начиная от банковского трояна до полноценных шпионского инструмента.
С момента создания вредоносная ПО продвигалось за счет социнженерии, выдавая себя за приложение для доступа к материалам судебных дел через официальные государственные порталы Турции.
Основным каналом распространения выступает смишинг.
Потенциальным жертвам приходят сообщения о якобы инциированном судебном деле с предложением срочно установить «официальное» приложение для ознакомления.
После установки все выглядит максимально правдоподобно: Frogblight открывает доступ к реальному государственному ресурсу по судебному делопроизводству прямо через встроенный WebView.
Параллельно Frogblight запрашивает различные разрешения - всего 24.
Среди них - управление sms и контактами, служба специальных возможностей (Accessibility Services), обход ограничений энергосбережения и др, получая фактически полный контроль над устройством.
В случае авторизации в онлайн-банке через предложенные варианты, Frogblight внедряет вредоносный JavaScript-код и перехватывает все введённые данные, отправляя их на серверы злоумышленников.
По данным ЛК, Frogblight активно дорабатывался в течение сентября 2025 года, обрастая дополнительными возможностями от версии к версии.
Более поздние образцы маскировались уже под браузер Chrome и получили расширенный шпионский функционал: выгрузка списка контактов, журналов вызовов и запись нажатий клавиш с помощью собственной клавиатуры.
Свежие образцы задействуют WebSocket вместо REST API для связи с инфраструктурой С2, что указывает на дальнейшее развитие платформы.
Кроме того, зловред способен определять запуск в эмуляторе и не активируется на устройствах в США.
Примечательнее то, что Frogblight может реализовываться в формате MaaS.
Исследователям удалось обнаружить его панель управления, а в ней - название fr0g, поэтому семейству присвоили имя Frogblight.
При этом использование специальных ключей для аутентификации WebSocket-соединений и распределения доступа к конкретным образцам через административную панель также укладывается в эту логику.
Однозначно атрибутировать новую угрозу пока не удалось, но были найдены некоторые пересечения Frogblight с семейством Coper, код которого размещался на GitHub.
Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком.
Технические подробности и IOCs - в отчете.
Первые образцы Frogblight удалось задетектить в августе 2025 года.
Frogblight мимикрирует под легитимные официальные правительственные приложения и имеет широкий функционал, начиная от банковского трояна до полноценных шпионского инструмента.
С момента создания вредоносная ПО продвигалось за счет социнженерии, выдавая себя за приложение для доступа к материалам судебных дел через официальные государственные порталы Турции.
Основным каналом распространения выступает смишинг.
Потенциальным жертвам приходят сообщения о якобы инциированном судебном деле с предложением срочно установить «официальное» приложение для ознакомления.
После установки все выглядит максимально правдоподобно: Frogblight открывает доступ к реальному государственному ресурсу по судебному делопроизводству прямо через встроенный WebView.
Параллельно Frogblight запрашивает различные разрешения - всего 24.
Среди них - управление sms и контактами, служба специальных возможностей (Accessibility Services), обход ограничений энергосбережения и др, получая фактически полный контроль над устройством.
В случае авторизации в онлайн-банке через предложенные варианты, Frogblight внедряет вредоносный JavaScript-код и перехватывает все введённые данные, отправляя их на серверы злоумышленников.
По данным ЛК, Frogblight активно дорабатывался в течение сентября 2025 года, обрастая дополнительными возможностями от версии к версии.
Более поздние образцы маскировались уже под браузер Chrome и получили расширенный шпионский функционал: выгрузка списка контактов, журналов вызовов и запись нажатий клавиш с помощью собственной клавиатуры.
Свежие образцы задействуют WebSocket вместо REST API для связи с инфраструктурой С2, что указывает на дальнейшее развитие платформы.
Кроме того, зловред способен определять запуск в эмуляторе и не активируется на устройствах в США.
Примечательнее то, что Frogblight может реализовываться в формате MaaS.
Исследователям удалось обнаружить его панель управления, а в ней - название fr0g, поэтому семейству присвоили имя Frogblight.
При этом использование специальных ключей для аутентификации WebSocket-соединений и распределения доступа к конкретным образцам через административную панель также укладывается в эту логику.
Однозначно атрибутировать новую угрозу пока не удалось, но были найдены некоторые пересечения Frogblight с семейством Coper, код которого размещался на GitHub.
Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком.
Технические подробности и IOCs - в отчете.
Securelist
Банковский троянец Frogblight атакует пользователей Android в Турции
Новый Android-банкер, ориентированный на пользователей в Турции, маскируется под приложение для просмотра судебных дел, активно развивается и может стать продуктом, распространяемым по модели «вредоносное ПО как услуга» (MaaS).