Исследователи из Лаборатории Касперского также раскрыли новый сложный Android-троян под названием Frogblight, нацеленный, в основном, на пользователей турецкого сегмента.
Первые образцы Frogblight удалось задетектить в августе 2025 года.
Frogblight мимикрирует под легитимные официальные правительственные приложения и имеет широкий функционал, начиная от банковского трояна до полноценных шпионского инструмента.
С момента создания вредоносная ПО продвигалось за счет социнженерии, выдавая себя за приложение для доступа к материалам судебных дел через официальные государственные порталы Турции.
Основным каналом распространения выступает смишинг.
Потенциальным жертвам приходят сообщения о якобы инциированном судебном деле с предложением срочно установить «официальное» приложение для ознакомления.
После установки все выглядит максимально правдоподобно: Frogblight открывает доступ к реальному государственному ресурсу по судебному делопроизводству прямо через встроенный WebView.
Параллельно Frogblight запрашивает различные разрешения - всего 24.
Среди них - управление sms и контактами, служба специальных возможностей (Accessibility Services), обход ограничений энергосбережения и др, получая фактически полный контроль над устройством.
В случае авторизации в онлайн-банке через предложенные варианты, Frogblight внедряет вредоносный JavaScript-код и перехватывает все введённые данные, отправляя их на серверы злоумышленников.
По данным ЛК, Frogblight активно дорабатывался в течение сентября 2025 года, обрастая дополнительными возможностями от версии к версии.
Более поздние образцы маскировались уже под браузер Chrome и получили расширенный шпионский функционал: выгрузка списка контактов, журналов вызовов и запись нажатий клавиш с помощью собственной клавиатуры.
Свежие образцы задействуют WebSocket вместо REST API для связи с инфраструктурой С2, что указывает на дальнейшее развитие платформы.
Кроме того, зловред способен определять запуск в эмуляторе и не активируется на устройствах в США.
Примечательнее то, что Frogblight может реализовываться в формате MaaS.
Исследователям удалось обнаружить его панель управления, а в ней - название fr0g, поэтому семейству присвоили имя Frogblight.
При этом использование специальных ключей для аутентификации WebSocket-соединений и распределения доступа к конкретным образцам через административную панель также укладывается в эту логику.
Однозначно атрибутировать новую угрозу пока не удалось, но были найдены некоторые пересечения Frogblight с семейством Coper, код которого размещался на GitHub.
Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком.
Технические подробности и IOCs - в отчете.
Первые образцы Frogblight удалось задетектить в августе 2025 года.
Frogblight мимикрирует под легитимные официальные правительственные приложения и имеет широкий функционал, начиная от банковского трояна до полноценных шпионского инструмента.
С момента создания вредоносная ПО продвигалось за счет социнженерии, выдавая себя за приложение для доступа к материалам судебных дел через официальные государственные порталы Турции.
Основным каналом распространения выступает смишинг.
Потенциальным жертвам приходят сообщения о якобы инциированном судебном деле с предложением срочно установить «официальное» приложение для ознакомления.
После установки все выглядит максимально правдоподобно: Frogblight открывает доступ к реальному государственному ресурсу по судебному делопроизводству прямо через встроенный WebView.
Параллельно Frogblight запрашивает различные разрешения - всего 24.
Среди них - управление sms и контактами, служба специальных возможностей (Accessibility Services), обход ограничений энергосбережения и др, получая фактически полный контроль над устройством.
В случае авторизации в онлайн-банке через предложенные варианты, Frogblight внедряет вредоносный JavaScript-код и перехватывает все введённые данные, отправляя их на серверы злоумышленников.
По данным ЛК, Frogblight активно дорабатывался в течение сентября 2025 года, обрастая дополнительными возможностями от версии к версии.
Более поздние образцы маскировались уже под браузер Chrome и получили расширенный шпионский функционал: выгрузка списка контактов, журналов вызовов и запись нажатий клавиш с помощью собственной клавиатуры.
Свежие образцы задействуют WebSocket вместо REST API для связи с инфраструктурой С2, что указывает на дальнейшее развитие платформы.
Кроме того, зловред способен определять запуск в эмуляторе и не активируется на устройствах в США.
Примечательнее то, что Frogblight может реализовываться в формате MaaS.
Исследователям удалось обнаружить его панель управления, а в ней - название fr0g, поэтому семейству присвоили имя Frogblight.
При этом использование специальных ключей для аутентификации WebSocket-соединений и распределения доступа к конкретным образцам через административную панель также укладывается в эту логику.
Однозначно атрибутировать новую угрозу пока не удалось, но были найдены некоторые пересечения Frogblight с семейством Coper, код которого размещался на GitHub.
Кроме того, так как комментарии в коде Frogblight написаны на турецком языке, можно предположить, что его разработчики владеют этим языком.
Технические подробности и IOCs - в отчете.
Securelist
Банковский троянец Frogblight атакует пользователей Android в Турции
Новый Android-банкер, ориентированный на пользователей в Турции, маскируется под приложение для просмотра судебных дел, активно развивается и может стать продуктом, распространяемым по модели «вредоносное ПО как услуга» (MaaS).
Forwarded from Russian OSINT
Cisco подтвердила наличие критической уязвимости CVE-2025-20393 с максимальным рейтингом
Вендор предупреждает об отсутствии временных мер защиты и настоятельно рекомендует срочно изолировать уязвимые интерфейсы от внешних сетей. Более подробная информация в разделе General Recommendations For Hardening.
Согласно данным Cisco Talos, атаки проводит группировка, отслеживаемая под идентификатором UAT-9686.
Please open Telegram to view this post
VIEW IN TELEGRAM
Hewlett Packard Enterprise (HPE) исправила уязвимость максимальной степени серьезности в своем ПО HPE OneView, которая позволяла злоумышленникам удаленно выполнять произвольный код.
OneView - это программное обеспечение для управления инфраструктурой, которое помогает ИТ-администраторам оптимизировать операции и автоматизировать управление серверами, системами хранения данных и сетевыми устройствами из централизованного интерфейса.
Закрытую CVE-2025-37164 раскрыл вьетнамский исследователь Нгуен Куок Кхань (brocked200).
Она все версии OneView, выпущенные до v11.00 и может быть использована неавторизованными злоумышленниками в атаках с внедрением кода низкой сложности для получения возможности RCE на незащищенных системах.
Для уязвимости нет обходных путей или способов устранения, поэтому администраторам рекомендуется как можно скорее установить обновления на уязвимые системы.
Компания HPE пока не подтвердила, была ли эта уязвимость целью атак, и заявляет, что пострадавшие организации могут обновить OneView до версии 11.00 или более поздней, доступной через Центр ПО HPE.
На устройствах, работающих под управлением OneView версий от 5.20 до 10.20, уязвимость можно устранить путем развертывания исправления, которое необходимо повторно установить после обновления с версии 6.60 или более поздней до версии 7.00.00, или после любых операций переустановки системы с помощью HPE Synergy Composer.
Отдельные файлы для загрузки исправления виртуального устройства и исправления Synergy доступны на специальных страницах поддержки.
Учитывая, что услугами HPE пользуются более 55 000 организаций по всему миру, включая 90% компаний из списка Fortune 500, киберподполье не упустит открывшейся возможности. Но будем посмотреть.
OneView - это программное обеспечение для управления инфраструктурой, которое помогает ИТ-администраторам оптимизировать операции и автоматизировать управление серверами, системами хранения данных и сетевыми устройствами из централизованного интерфейса.
Закрытую CVE-2025-37164 раскрыл вьетнамский исследователь Нгуен Куок Кхань (brocked200).
Она все версии OneView, выпущенные до v11.00 и может быть использована неавторизованными злоумышленниками в атаках с внедрением кода низкой сложности для получения возможности RCE на незащищенных системах.
Для уязвимости нет обходных путей или способов устранения, поэтому администраторам рекомендуется как можно скорее установить обновления на уязвимые системы.
Компания HPE пока не подтвердила, была ли эта уязвимость целью атак, и заявляет, что пострадавшие организации могут обновить OneView до версии 11.00 или более поздней, доступной через Центр ПО HPE.
На устройствах, работающих под управлением OneView версий от 5.20 до 10.20, уязвимость можно устранить путем развертывания исправления, которое необходимо повторно установить после обновления с версии 6.60 или более поздней до версии 7.00.00, или после любых операций переустановки системы с помощью HPE Synergy Composer.
Отдельные файлы для загрузки исправления виртуального устройства и исправления Synergy доступны на специальных страницах поддержки.
Учитывая, что услугами HPE пользуются более 55 000 организаций по всему миру, включая 90% компаний из списка Fortune 500, киберподполье не упустит открывшейся возможности. Но будем посмотреть.
SonicWall предупредила клиентов о необходимости устранить уязвимость в консоли управления устройством SonicWall SMA1000 (AMC), которая использовалась в цепочке атак в качестве 0-day для EoP.
SMA1000 - это защищенное устройство удаленного доступа, используемое для обеспечения VPN-доступа к корпоративным сетям.
Учитывая их критически важную роль, незакрытые уязвимости несут особенно высокий риск эксплуатации.
По данным SonicWall, эта уязвимость средней степени серьезности позволяет локально повысить привилегии (CVE-2025-40602) и была обнаружена Google Threat Intelligence Group.
При этом она не затрагивает SSL-VPN, работающий на межсетевых экранах SonicWall.
Удаленные неаутентифицированные злоумышленники объединили эту уязвимость с критической ошибкой десериализации предварительной аутентификации SMA1000 (CVE-2025-23006) в атаках 0-day для выполнения произвольных команд ОС с правами root в определенных условиях.
CVE-2025-23006 была устранена в сборке версии 12.4.3-02854 (platform-hotfix) и более поздних версиях (выпущенных 22 января 2025).
В свою очередь, Shadowserver отслеживает более 950 устройств SMA1000 в сети, однако некоторые из них, возможно, уже были защищены от потенциальных атак.
Учитывая активные посягательства на решения SonicWall, пользователям продукта SMA1000 настоятельно рекомендуется обновить его до последней версии с исправлениями, чтобы устранить уязвимость и связанные с ней риски эксплуатации в реальных условиях.
SMA1000 - это защищенное устройство удаленного доступа, используемое для обеспечения VPN-доступа к корпоративным сетям.
Учитывая их критически важную роль, незакрытые уязвимости несут особенно высокий риск эксплуатации.
По данным SonicWall, эта уязвимость средней степени серьезности позволяет локально повысить привилегии (CVE-2025-40602) и была обнаружена Google Threat Intelligence Group.
При этом она не затрагивает SSL-VPN, работающий на межсетевых экранах SonicWall.
Удаленные неаутентифицированные злоумышленники объединили эту уязвимость с критической ошибкой десериализации предварительной аутентификации SMA1000 (CVE-2025-23006) в атаках 0-day для выполнения произвольных команд ОС с правами root в определенных условиях.
CVE-2025-23006 была устранена в сборке версии 12.4.3-02854 (platform-hotfix) и более поздних версиях (выпущенных 22 января 2025).
В свою очередь, Shadowserver отслеживает более 950 устройств SMA1000 в сети, однако некоторые из них, возможно, уже были защищены от потенциальных атак.
Учитывая активные посягательства на решения SonicWall, пользователям продукта SMA1000 настоятельно рекомендуется обновить его до последней версии с исправлениями, чтобы устранить уязвимость и связанные с ней риски эксплуатации в реальных условиях.
Продолжаем отслеживать кейс React2Shell, которым уже помимо замеченных акторов заинтересовались банды вымогателей, использующих CVE-2025-55182 для получения первоначального доступа к корпоративным сетям и развертывания ransomware в считанные минуты.
React2Shell - это уязвимость небезопасной десериализации в протоколе Flight компонентов сервера React (RSC), используемом библиотекой React и фреймворком Next.js.
Её можно использовать удалённо без аутентификации для выполнения кода JavaScript в контексте сервера.
Спустя несколько часов после опубличивания APT-субъекты взяли на вооружение React2Shell для проведени кибершпионажа и развертывания нового вредоносного ПО, включая EtherRAT.
Киберпреступники также быстро применили его в атаках с майнингом криптовалюты.
Теперь же исследователи из S-RM обнаружили, что 5 декабря злоумышленник использовал React2Shell в атаке, запустив штамм программы-вымогателя Weaxor.
Weaxor появился в конце 2024 года и, как полагают, является ребрендингом Mallox/FARGO (TargetCompany), которая специализировалась на взломе серверов MS-SQL.
Подобно Mallox, Weaxor - это менее изощрённая операция, которая нацелена на общедоступные серверы в ходе оппортунистических атак, требуя относительно небольшой выкуп.
Weaxor не практикует DLS-портал для целью двойного вымогательства, и вообще нет никаких признаков того, что реализуется эксфильтрация до этапа шифрования.
Исследователи S-RM утверждают, что злоумышленник развернул шифратор вскоре после получения первоначального доступа через React2Shell.
Однако вероятность автоматизации атаки не нашла своих доказательств.
Сразу после взлома хакеры выполнили зашифрованную команду PowerShell, которая развернула маяк Cobalt Strike для связи с инфраструктурой C2.
На следующем этапе злоумышленник отключил защиту в реальном времени в Windows Defender и запустил программу-вымогатель.
Все это произошло менее чем за минуту с момента первоначального доступа.
По словам исследователей, атака ограничивалась конечной точкой, уязвимой для React2Shell, никакой активности по перемещению внутри сети не наблюдалось.
После шифрования файлы получили расширение WEAX и в каждой затронутой директории обнаружился файл с запиской о выкупе под названием RECOVERY INFORMATION.txt.
При этом Weaxor также стер теневые копии томов, чтобы затруднить их восстановление, и очистил журналы событий, чтобы усложнить криминалистический анализ.
Причем впоследствии тот же хост был скомпрометирован другими злоумышленниками, использовавшими различные вредоносные ПО, что свидетельствует о весьма высоком уровне вредоносной активности вокруг React2Shell.
React2Shell - это уязвимость небезопасной десериализации в протоколе Flight компонентов сервера React (RSC), используемом библиотекой React и фреймворком Next.js.
Её можно использовать удалённо без аутентификации для выполнения кода JavaScript в контексте сервера.
Спустя несколько часов после опубличивания APT-субъекты взяли на вооружение React2Shell для проведени кибершпионажа и развертывания нового вредоносного ПО, включая EtherRAT.
Киберпреступники также быстро применили его в атаках с майнингом криптовалюты.
Теперь же исследователи из S-RM обнаружили, что 5 декабря злоумышленник использовал React2Shell в атаке, запустив штамм программы-вымогателя Weaxor.
Weaxor появился в конце 2024 года и, как полагают, является ребрендингом Mallox/FARGO (TargetCompany), которая специализировалась на взломе серверов MS-SQL.
Подобно Mallox, Weaxor - это менее изощрённая операция, которая нацелена на общедоступные серверы в ходе оппортунистических атак, требуя относительно небольшой выкуп.
Weaxor не практикует DLS-портал для целью двойного вымогательства, и вообще нет никаких признаков того, что реализуется эксфильтрация до этапа шифрования.
Исследователи S-RM утверждают, что злоумышленник развернул шифратор вскоре после получения первоначального доступа через React2Shell.
Однако вероятность автоматизации атаки не нашла своих доказательств.
Сразу после взлома хакеры выполнили зашифрованную команду PowerShell, которая развернула маяк Cobalt Strike для связи с инфраструктурой C2.
На следующем этапе злоумышленник отключил защиту в реальном времени в Windows Defender и запустил программу-вымогатель.
Все это произошло менее чем за минуту с момента первоначального доступа.
По словам исследователей, атака ограничивалась конечной точкой, уязвимой для React2Shell, никакой активности по перемещению внутри сети не наблюдалось.
После шифрования файлы получили расширение WEAX и в каждой затронутой директории обнаружился файл с запиской о выкупе под названием RECOVERY INFORMATION.txt.
При этом Weaxor также стер теневые копии томов, чтобы затруднить их восстановление, и очистил журналы событий, чтобы усложнить криминалистический анализ.
Причем впоследствии тот же хост был скомпрометирован другими злоумышленниками, использовавшими различные вредоносные ПО, что свидетельствует о весьма высоком уровне вредоносной активности вокруг React2Shell.
S-Rminform
React2Shell used as initial access vector for Weaxor ransomware deployment
S-RM has responded to an incident where a threat actor used the recently disclosed critical vulnerability known as React2Shell (CVE-2025-55182) to gain access to a corporate network and deploy ransomware.
Эти выводы также подтверждают исследователи BI.ZОNE TDR.
В декабре 2025 года они также зафиксировали серию атак на российские организации в сферах страхования, e-commerce и IT.
В основу кампании легла эксплуатация React2Shell.
В большинстве случаев злоумышленники внедряли майнер XMRig.
Также были зафиксированы инциденты с использованием импланта Sliver, ботнетов Kaiji и RustoBot.
Аналитики обнаружили и другие эпизоды эксплуатации React2Shell, не направленные на Россию.
Они связаны с распространением CrossC2 для Cobalt Strike, Tactical RMM, VShell и EtherRAT.
Все технические детали изложили - в отчете, подробно останавливаться не будем.
В декабре 2025 года они также зафиксировали серию атак на российские организации в сферах страхования, e-commerce и IT.
В основу кампании легла эксплуатация React2Shell.
В большинстве случаев злоумышленники внедряли майнер XMRig.
Также были зафиксированы инциденты с использованием импланта Sliver, ботнетов Kaiji и RustoBot.
Аналитики обнаружили и другие эпизоды эксплуатации React2Shell, не направленные на Россию.
Они связаны с распространением CrossC2 для Cobalt Strike, Tactical RMM, VShell и EtherRAT.
Все технические детали изложили - в отчете, подробно останавливаться не будем.
BI.ZONE
Злоумышленники эксплуатируют уязвимость CVE-2025-55182 в атаках на российские компании
В большинстве случаев целью атак было внедрить майнер XMRig, хотя также встречались заражения имплантами, ботнетами и другим ВПО
Исследователи из Лаборатории Касперского продолжают отслеживать серию сложных кибератак с использованием уязвимости CVE-2025-2783 в браузере Google Chrome, которая впервые была раскрыта в марте 2025 года и получила название Форумный тролль.
Ранее в ЛК подробно описали вредоносные импланты, которые использовались в этой операции: бэкдор LeetAgent, а также сложное шпионское ПО Dante, разработанное компанией Memento Labs (Hacking Team).
Однако злоумышленники, стоящие за этой кампанией, не остановились на весенних атаках и продолжили заражать цели, находящиеся в России, несмотря на все последовавшие после разоблачения оправдания от руководства Memento Labs.
В октябре 2025 года, всего за несколько дней до того, как ЛК представила доклад про атаки APT-группы ForumTroll на конференции Security Analyst Summit, была выявлена новая таргетированная фишинговая кампания этой же группы.
Осенняя кампания была уже нацелена на конкретных лиц: ученых в области политологии, международных отношений и мировой экономики из крупнейших российских университетов и научных учреждений.
Письма отправлялись с support@e-library[.]wiki, а сама рассылка велась якобы от имени научной электронной библиотеки eLibrary, реальный веб-сайт которой - elibrary.ru.
В фишинговых отправлениях содержалась вредоносная ссылка https://e-library[.]wiki/elib/wiki.php?id=<8 псевдослучайных букв и цифр> - по ней получателям предлагалось скачать отчет о проверке на плагиат в формате архива с указанием ФИО жертвы.
Стоит отметить, что атакующие довольно тщательно подготовились к отправке фишинговых писем.
Вредоносный домен регистрировался за полгода до рассылки дабы избежать попадания в спам и упрочить доверие.
Кроме того, на странице https://e-library[.]wiki атакующие разместили копию главной страницы библиотеки eLibrary. Также атакующие ограничили повторную загрузку архива, что усложнило анализ.
Вредоносные архивы включали: вредоносный lnk с ФИО жертвы и директорию .Thumbs, в которой содержалось около ста изображений с именами на русском языке.
Они не использовались для заражения и, вероятно, делали архивы менее подозрительными для защитных решений.
При нажатии на ярлык выполнялся PowerShell-скрипт, основная цель которого - загрузка полезной нагрузки на PowerShell с вредоносного сервера и ее запуск.
Скачиваемая полезная нагрузка обращалась по ссылке для получения финальной полезной загрузки - DLL-файла, который сохранялся в %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 псевдослучайные цифры>.dll.
Затем полезная нагрузка закреплялась в системе при помощи техники COM Hijacking, записывая путь к DLL-файлу в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32.
И, наконец, загружалась PDF-приманка, в которой не содержалось какой-либо полезной информации помимо размытого отчета, сгенерированного одной из российских систем проверки документов на плагиат.
DLL-файлом, загружаемым на зараженные устройства, оказался обфусцированный при помощи OLLVM загрузчик, а финальная полезная нагрузка - коммерческий фреймворк для редтиминга Tuoni, позволяющий получить удаленный доступ к устройству под управлением Windows.
Как и ранее, в качестве C2-серверов злоумышленники использовали сервис fastly.net.
Как заключили в ЛК, осенью APT-группа ForumTroll вместо нулей полностью положились на социальную инженерию и менее редкое вредоносное ПО - фреймворк Tuoni.
Учитывая продолжительный срок активности, эта APT-группа, вероятно, продолжит атаковать интересующие ее цели на территории России и Беларуси, что позволит исследователям пролить свет на находящиеся в тени вредоносные импланты, как это случилось с Dante spyware.
Ранее в ЛК подробно описали вредоносные импланты, которые использовались в этой операции: бэкдор LeetAgent, а также сложное шпионское ПО Dante, разработанное компанией Memento Labs (Hacking Team).
Однако злоумышленники, стоящие за этой кампанией, не остановились на весенних атаках и продолжили заражать цели, находящиеся в России, несмотря на все последовавшие после разоблачения оправдания от руководства Memento Labs.
В октябре 2025 года, всего за несколько дней до того, как ЛК представила доклад про атаки APT-группы ForumTroll на конференции Security Analyst Summit, была выявлена новая таргетированная фишинговая кампания этой же группы.
Осенняя кампания была уже нацелена на конкретных лиц: ученых в области политологии, международных отношений и мировой экономики из крупнейших российских университетов и научных учреждений.
Письма отправлялись с support@e-library[.]wiki, а сама рассылка велась якобы от имени научной электронной библиотеки eLibrary, реальный веб-сайт которой - elibrary.ru.
В фишинговых отправлениях содержалась вредоносная ссылка https://e-library[.]wiki/elib/wiki.php?id=<8 псевдослучайных букв и цифр> - по ней получателям предлагалось скачать отчет о проверке на плагиат в формате архива с указанием ФИО жертвы.
Стоит отметить, что атакующие довольно тщательно подготовились к отправке фишинговых писем.
Вредоносный домен регистрировался за полгода до рассылки дабы избежать попадания в спам и упрочить доверие.
Кроме того, на странице https://e-library[.]wiki атакующие разместили копию главной страницы библиотеки eLibrary. Также атакующие ограничили повторную загрузку архива, что усложнило анализ.
Вредоносные архивы включали: вредоносный lnk с ФИО жертвы и директорию .Thumbs, в которой содержалось около ста изображений с именами на русском языке.
Они не использовались для заражения и, вероятно, делали архивы менее подозрительными для защитных решений.
При нажатии на ярлык выполнялся PowerShell-скрипт, основная цель которого - загрузка полезной нагрузки на PowerShell с вредоносного сервера и ее запуск.
Скачиваемая полезная нагрузка обращалась по ссылке для получения финальной полезной загрузки - DLL-файла, который сохранялся в %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 псевдослучайные цифры>.dll.
Затем полезная нагрузка закреплялась в системе при помощи техники COM Hijacking, записывая путь к DLL-файлу в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32.
И, наконец, загружалась PDF-приманка, в которой не содержалось какой-либо полезной информации помимо размытого отчета, сгенерированного одной из российских систем проверки документов на плагиат.
DLL-файлом, загружаемым на зараженные устройства, оказался обфусцированный при помощи OLLVM загрузчик, а финальная полезная нагрузка - коммерческий фреймворк для редтиминга Tuoni, позволяющий получить удаленный доступ к устройству под управлением Windows.
Как и ранее, в качестве C2-серверов злоумышленники использовали сервис fastly.net.
Как заключили в ЛК, осенью APT-группа ForumTroll вместо нулей полностью положились на социальную инженерию и менее редкое вредоносное ПО - фреймворк Tuoni.
Учитывая продолжительный срок активности, эта APT-группа, вероятно, продолжит атаковать интересующие ее цели на территории России и Беларуси, что позволит исследователям пролить свет на находящиеся в тени вредоносные импланты, как это случилось с Dante spyware.
Securelist
Новая целевая кампания APT-группы ForumTroll
Эксперты GReAT «Лаборатории Касперского» обнаружили новую волну кибератак APT-группы «Форумный тролль», нацеленную на российских ученых-политологов, доставляющую на устройства фреймворк Tuoni.
Исследователи сорвали приличный куш на хакерском конкурсе Zeroday Cloud в Лондоне в размере 320 000 долларов за демонстрацию критических RCE-уязвимостей в компонентах, используемых в облачной инфраструктуре.
Первое подобное в своем роде мероприятие в сфере облачных систем проводит Wiz Research в партнерстве с Amazon Web Services, Microsoft и Google Cloud.
В ходе 13 хакерских сессий исследователям удалось успешно реализовать 85% попыток взлома, выявив 11 0-day.
В первый день вручены призы в размере 200 000 долларов за успешное использование уязвимостей в Redis, PostgreSQL, Grafana и ядре Linux.
На второй день исследователи заработали еще 120 000 долларов, продемонстрировав уязвимости в Redis, PostgreSQL и MariaDB - самых популярных базах данных, используемых облачными системами для хранения важной информации.
Ядро Linux было скомпрометировано из-за уязвимости, позволяющей злоумышленникам выходить из контейнеров, что дало возможность нарушить изоляцию между облачными арендаторами и подорвать ключевую гарантию безопасности облачных сервисов.
Исследователи из Zellic и DEVCORE получили грант в размере 40 000 долларов за свои достижения.
Также затрагивалась проблематика ИИ, включая попытки взлома моделей vLLM и Ollama, которые могли привести к утечке данных из закрытых моделей, наборов данных и подсказок, но обе попытки провалились из-за нехватки времени.
По итогам первого этапа соревнований Zeroday Cloud команда Xint Code стала победителем за успешную эксплуатацию уязвимостей Redis, MariaDB и PostgreSQL.
За три успешно осуществленные атаки команда Xint Code получила 90 000 долларов.
Несмотря на положительный результат, присужденная сумма составляет лишь небольшую часть от общего призового фонда в размере 4,5 млн. долл., доступного исследователям, продемонстрировавшим эффективность в борьбе с различными целевыми объектами.
В число категорий и продуктов, в которых не было обнаружено уязвимостей в ходе конкурса, вошли: ИИ (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, веб-серверы (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins и GitLab CE.
Первое подобное в своем роде мероприятие в сфере облачных систем проводит Wiz Research в партнерстве с Amazon Web Services, Microsoft и Google Cloud.
В ходе 13 хакерских сессий исследователям удалось успешно реализовать 85% попыток взлома, выявив 11 0-day.
В первый день вручены призы в размере 200 000 долларов за успешное использование уязвимостей в Redis, PostgreSQL, Grafana и ядре Linux.
На второй день исследователи заработали еще 120 000 долларов, продемонстрировав уязвимости в Redis, PostgreSQL и MariaDB - самых популярных базах данных, используемых облачными системами для хранения важной информации.
Ядро Linux было скомпрометировано из-за уязвимости, позволяющей злоумышленникам выходить из контейнеров, что дало возможность нарушить изоляцию между облачными арендаторами и подорвать ключевую гарантию безопасности облачных сервисов.
Исследователи из Zellic и DEVCORE получили грант в размере 40 000 долларов за свои достижения.
Также затрагивалась проблематика ИИ, включая попытки взлома моделей vLLM и Ollama, которые могли привести к утечке данных из закрытых моделей, наборов данных и подсказок, но обе попытки провалились из-за нехватки времени.
По итогам первого этапа соревнований Zeroday Cloud команда Xint Code стала победителем за успешную эксплуатацию уязвимостей Redis, MariaDB и PostgreSQL.
За три успешно осуществленные атаки команда Xint Code получила 90 000 долларов.
Несмотря на положительный результат, присужденная сумма составляет лишь небольшую часть от общего призового фонда в размере 4,5 млн. долл., доступного исследователям, продемонстрировавшим эффективность в борьбе с различными целевыми объектами.
В число категорий и продуктов, в которых не было обнаружено уязвимостей в ходе конкурса, вошли: ИИ (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, веб-серверы (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins и GitLab CE.
wiz.io
Zero-Days in the Age of AI: Behind the Scenes of ZeroDay.cloud 2025 | Wiz Blog
Hackers awarded $320,000 at first-of-its-kind cloud hacking competition
Позитивы продолжают подводить итоги 2025 года и делиться прогнозами относительно ландшафта угроз, на этот раз основной фокус - на ближайшее будущее.
Заглядывая в 2026, исследователи прогнозируют, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30-35%.
При этом, отмечая, что на протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников.
По данным Positive Technologies, в период с июля 2024-го по сентябрь 2025 года на нашу страну пришлось от 14% до 16% всех успешных кибератак в мире.
Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами.
Ожидается рост числа атак на цепочки поставок, приводящих к к наиболее масштабным последствиям.
Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера - темпы цифровизации и геополитическая обстановка.
Импортозамещение также усиливает риски: переход на отечественные IT-решения часто реализуется в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам - особенно при наличии 0-day или утечек исходного кода.
На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств.
Геополитика уже играет и будет играть не менее важную роль. В случае ее усугубления возрастет число целевых хактивистских атак на КИИ.
Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях.
На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов.
Большинство хактивистов используют общедоступные инструменты и вредоносное ПО по модели MaaS.
Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.
Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится.
В ближайшие годы в целом активная цифровизация, внедрение IoT и ИИ, а также переход на российские решения будут расширять поверхность атак на промышленность и госсектор.
Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак в виду особой опасности инцидентов, связанных с цепочками поставок и доверительными отношениями.
Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры.
Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации.
DDoS-атаки в 2026 году полностью не исчезнут, оставаясь эффективным инструментом давления. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности.
Если говорить про методы, то социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными.
Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать ИИ для создания персонализированных дипфейков.
При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных и нарушениям бизнес-процессов.
Отдельно Позитивы рассматривают рынок киберпреступности, который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются.
Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов.
Заглядывая в 2026, исследователи прогнозируют, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30-35%.
При этом, отмечая, что на протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников.
По данным Positive Technologies, в период с июля 2024-го по сентябрь 2025 года на нашу страну пришлось от 14% до 16% всех успешных кибератак в мире.
Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами.
Ожидается рост числа атак на цепочки поставок, приводящих к к наиболее масштабным последствиям.
Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера - темпы цифровизации и геополитическая обстановка.
Импортозамещение также усиливает риски: переход на отечественные IT-решения часто реализуется в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам - особенно при наличии 0-day или утечек исходного кода.
На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств.
Геополитика уже играет и будет играть не менее важную роль. В случае ее усугубления возрастет число целевых хактивистских атак на КИИ.
Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях.
На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов.
Большинство хактивистов используют общедоступные инструменты и вредоносное ПО по модели MaaS.
Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.
Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится.
В ближайшие годы в целом активная цифровизация, внедрение IoT и ИИ, а также переход на российские решения будут расширять поверхность атак на промышленность и госсектор.
Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак в виду особой опасности инцидентов, связанных с цепочками поставок и доверительными отношениями.
Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры.
Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации.
DDoS-атаки в 2026 году полностью не исчезнут, оставаясь эффективным инструментом давления. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности.
Если говорить про методы, то социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными.
Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать ИИ для создания персонализированных дипфейков.
При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных и нарушениям бизнес-процессов.
Отдельно Позитивы рассматривают рынок киберпреступности, который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются.
Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов.
Хабр
Ландшафт угроз в 2026-м: внимание на Россию
Привет, Хабр! Продолжаем перелистывать киберстраницы уходящего года и делиться прогнозами на ближайшее будущее. Заглянем в 2026-й! Ирина Зиновкина Руководитель направления аналитических исследований...
Материнские платы таких крупных производителей, как ASRock, Asus, Gigabyte и MSI подвержены уязвимости, которая позволяет злоумышленнику проводить атаки с использованием DMA на этапе ранней загрузки системы.
Согласно сообщению, CERT/CC Университета Карнеги-Меллона, злоумышленник может использовать эту уязвимость для доступа к данным в памяти или влияния на начальное состояние системы.
Несмотря на всю критичность проблемы, подрывающей казалось бы целостность процесса загрузки и позволяющей проводить атаки до загрузки средств защиты ОС, для ее эксплуатации необходим физический доступ к целевому устройству.
В частности, локальному злоумышленнику необходимо иметь возможность подключить вредоносное устройство PCI Express (PCIe) к компьютеру с уязвимой материнской платой.
Уязвимость, описываемая как сбой механизма защиты, связана с реализациями UEFI и блоком управления памятью ввода-вывода (IOMMU), который предназначен для предотвращения несанкционированного доступа к памяти со стороны периферийных устройств.
Проблема заключается в том, что во время загрузки микропрограмма указывает на включение защиты от прямого доступа к памяти (DMA), тогда как в действительности IOMMU не настраивается и не активируется должным образом до момента, непосредственно предшествующего передаче управления операционной системе.
А это позволяет злоумышленнику, имеющему физический доступ к целевой системе, использовать вредоносное устройство PCIe для проведения атаки с прямым доступом к памяти (DMA).
Проблема отслеживается как: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
В свою очередь, ASRock, Asus, Gigabyte и MSI подтвердили (1, 2, 3, 4 соответственно), что некоторые из их материнских плат затронуты этой проблемой. Каждая выпустила собственное уведомление, информирующее клиентов об уязвимости и доступности обновлений прошивки.
Согласно рекомендациям CERT/CC, продукция AMD, AMI, Insyde, Intel, Phoenix Technologies и Supermicro не затронута. Более десятка производителей в настоящее время имеют статус «неизвестный».
Согласно сообщению, CERT/CC Университета Карнеги-Меллона, злоумышленник может использовать эту уязвимость для доступа к данным в памяти или влияния на начальное состояние системы.
Несмотря на всю критичность проблемы, подрывающей казалось бы целостность процесса загрузки и позволяющей проводить атаки до загрузки средств защиты ОС, для ее эксплуатации необходим физический доступ к целевому устройству.
В частности, локальному злоумышленнику необходимо иметь возможность подключить вредоносное устройство PCI Express (PCIe) к компьютеру с уязвимой материнской платой.
Уязвимость, описываемая как сбой механизма защиты, связана с реализациями UEFI и блоком управления памятью ввода-вывода (IOMMU), который предназначен для предотвращения несанкционированного доступа к памяти со стороны периферийных устройств.
Проблема заключается в том, что во время загрузки микропрограмма указывает на включение защиты от прямого доступа к памяти (DMA), тогда как в действительности IOMMU не настраивается и не активируется должным образом до момента, непосредственно предшествующего передаче управления операционной системе.
А это позволяет злоумышленнику, имеющему физический доступ к целевой системе, использовать вредоносное устройство PCIe для проведения атаки с прямым доступом к памяти (DMA).
Проблема отслеживается как: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.
В свою очередь, ASRock, Asus, Gigabyte и MSI подтвердили (1, 2, 3, 4 соответственно), что некоторые из их материнских плат затронуты этой проблемой. Каждая выпустила собственное уведомление, информирующее клиентов об уязвимости и доступности обновлений прошивки.
Согласно рекомендациям CERT/CC, продукция AMD, AMI, Insyde, Intel, Phoenix Technologies и Supermicro не затронута. Более десятка производителей в настоящее время имеют статус «неизвестный».
Asus
ASUS Security Advisory | Latest Vulnerability Update
Stay updated with ASUS security advisories, firmware patches, and vulnerability reports. Learn how to protect your devices and report issues.
Более 115 000 устройств WatchGuard Firebox в сети уязвимы для RCE и остаются без обновлений для критической проблемы записи за пределами допустимого диапазона, которая активно используется в атаках.
CVE-2025-14733 межсетевые экраны Firebox под управлением Fireware OS 11.x и более поздних версий (включая 11.12.4_Update1), 12.x и более поздних версий (включая 12.11.5), а также версий 2025.1 и до 2025.1.3 включительно.
Успешная эксплуатация позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код на уязвимых устройствах в атаках низкой сложности, не требующих взаимодействия с пользователем.
Как пояснила WatchGuard в своем бюллетене, CVE-2025-14733 эксплуатируется в реальных условиях, но только в том случае, если необновленные межсетевые экраны Firebox настроены для VPN-подключения IKEv2.
Компания также предупредила, что даже если уязвимые конфигурации будут удалены, межсетевой экран все еще может быть подвержен риску, если по-прежнему настроено VPN-подключение филиала (BOVPN) к статическому шлюзу.
WatchGuard также предоставила соответствующие IOCs для клиентов, позволяющих выявлять скомпрометированные устройства Firebox в сетях.
Компания также предложила временные меры по смягчению последствий, предусматривающие отключение динамических одноранговых BOVPN, добавление новых политик межсетевого экрана и отключение стандартных системных политик, обрабатывающих VPN-трафик.
В свою очередь, Shadowserver обнаружила более 124 658 незащищенных экземпляров Firebox, находящихся в открытом доступе, в воскресенье их число немного уменьшилось до 117 490.
Через день после выпуска WatchGuard патчей CISA добавила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что именно этот тип уязвимости является частым вектором атак для киберпреступников.
Беспокойства WatchGuard можно понять, ведь в она сотрудничает с более чем 17 000 поставщиками услуг в сфере безопасности, обеспечивая защиту сетей для 250 000 малых и средних компаний по всему миру, почти половина из которых сейчас под угрозой атак.
CVE-2025-14733 межсетевые экраны Firebox под управлением Fireware OS 11.x и более поздних версий (включая 11.12.4_Update1), 12.x и более поздних версий (включая 12.11.5), а также версий 2025.1 и до 2025.1.3 включительно.
Успешная эксплуатация позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код на уязвимых устройствах в атаках низкой сложности, не требующих взаимодействия с пользователем.
Как пояснила WatchGuard в своем бюллетене, CVE-2025-14733 эксплуатируется в реальных условиях, но только в том случае, если необновленные межсетевые экраны Firebox настроены для VPN-подключения IKEv2.
Компания также предупредила, что даже если уязвимые конфигурации будут удалены, межсетевой экран все еще может быть подвержен риску, если по-прежнему настроено VPN-подключение филиала (BOVPN) к статическому шлюзу.
WatchGuard также предоставила соответствующие IOCs для клиентов, позволяющих выявлять скомпрометированные устройства Firebox в сетях.
Компания также предложила временные меры по смягчению последствий, предусматривающие отключение динамических одноранговых BOVPN, добавление новых политик межсетевого экрана и отключение стандартных системных политик, обрабатывающих VPN-трафик.
В свою очередь, Shadowserver обнаружила более 124 658 незащищенных экземпляров Firebox, находящихся в открытом доступе, в воскресенье их число немного уменьшилось до 117 490.
Через день после выпуска WatchGuard патчей CISA добавила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что именно этот тип уязвимости является частым вектором атак для киберпреступников.
Беспокойства WatchGuard можно понять, ведь в она сотрудничает с более чем 17 000 поставщиками услуг в сфере безопасности, обеспечивая защиту сетей для 250 000 малых и средних компаний по всему миру, почти половина из которых сейчас под угрозой атак.
Watchguard
WatchGuard Firebox iked Out of Bounds Write Vulnerability
Updated 19 December 2025: Updated to clarify the significance of outbound vs inbound connections involving the IP addresses listed under the Indicators of Attack An Out-of-bounds Write vulnerability in the WatchGuard Fireware OS iked process may allow a remote…
Forwarded from Russian OSINT
Эксперты BI.ZONE подвели итоги 🇷🇺2025 года. Если раньше хакеры требовали выкуп или сливали данные, то теперь всё чаще цель — полное
В 2025 году зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы корпоративной инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.
Команда BI.ZONE DFIR не участвовала в реагировании на все зафиксированные инциденты. Но объем проектов, в которых она была задействована, позволяет выделить тенденции и сформировать статистическую картину по атакам и реакции компаний на них.
📊 Ключевые метрики 2025 года:
📊Тенденции атак и новые угрозы 2025 года:
В конечном счете цель не в том, чтобы избежать атаки, — это невозможно. Задача компаний в том, чтобы сократить время обнаружения угроз и минимизировать потенциальный ущерб, обеспечить непрерывность бизнес-процессов и не дать злоумышленнику закрепиться в инфраструктуре. Чем лучше организация понимает свою инфраструктуру, процессы и риски, тем быстрее она реагирует и тем меньше шансов у атакующих.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ботнет для Android под названием Kimwolf, связанный с ботнетом Aisuru IoT и созданный с использованием NDK (Native Development Kit), смог захватить 1,8 миллиона устройств, отправив более 1,7 млрд. команд в рамках DDoS-атак.
Обнаружили новинку исследователи китайской QiAnXin XLab, отмечая широкий функуционал ботнета: реализация прокси-серверов, обратной оболочки и управления файлами.
По данным XLab, Kimwolf в основном специализируется на проксировании трафика, но, как было замечено, в период с 19 по 22 ноября он отдал более 1,7 миллиарда команд для DDoS-атак.
В общей сложности поддерживает 13 методов DDoS-атак по протоколам UDP, TCP и ICMP.
Это позволило его домену С2 14emeliaterracewestroxburyma02132[.]su занять первое место в глобальном рейтинге популярности доменов Cloudflare, обогнав google.com.
По данным компании, вредоносное ПО использует протокол DNS over TLS (DoT) для инкапсуляции DNS-запросов и обхода обнаружения, а также механизм проверки подписи для подтверждения инструкций связи.
Kimwolf в основном нацелен на телевизионные приставки Android TV, используемые в домашних сетях, при этом зараженные устройства распространены более чем в 220 странах.
При этом наибольшая концентрация - в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах.
Среди затронутых моделей устройств - TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10.
Однако точный механизм распространения вредоносного ПО на эти устройства в настоящее время неясен.
Сама вредоносная ПО довольно проста.
После запуска она гарантирует, что на зараженном устройстве будет работать только один экземпляр процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.
Из-за динамических механизмов распределения IP-адресов и глобального распространения зараженных устройств фактический размер ботнета остается неизвестным.
По данным XLab, домены С2, связанные с ботнетом, как минимум трижды выводились из строя третьими лицами, что вынудило разработчиков усилить защиту инфраструктуры, используя домены ENS (Ethereum Name Service).
XLab инциировала расследование в отношении ботнета после того, как 24 октября 2025 года она получила от доверенного партнера из сообщества артефакт «версии 4» Kimwolf.
С тех пор, по состоянию на прошлый месяц, было обнаружено еще восемь образцов.
Предполагается, что злоумышленники использовали код AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf, чтобы избежать обнаружения.
Эти два крупных ботнета распространялись с помощью одних и тех же скриптов заражения в период с сентября по ноябрь, сосуществуя в одной и той же партии устройств.
Они фактически принадлежат одной и той же хакерской группе.
Оценка основана на сходстве APK-пакетов, загруженных на платформу VirusTotal, в некоторых случаях даже с использованием одного и того же сертификата подписи кода (John Dinglebert Dinglenut VIII VanSack Smith).
Дополнительные убедительные доказательства появились 8 декабря 2025 года с обнаружением активного сервера загрузки (93.95.112[.]59), содержащего скрипт, ссылающийся на APK-файлы как Kimwolf, так и AISURU.
По мнению исследователей, ботнет был причастен как минимум к двум крупномасштабным DDoS-атакам, включая инцидент с мощностью почти 30 Тбит/с, о котором сообщалось ранее в этом месяце.
Хотя многочисленные масштабные DDoS-атаки в последнее время были приписаны Aisuru, XLab считает, что именно Kimwolf мог быть ведущим ботнетом в этих инцидентах.
Обнаружили новинку исследователи китайской QiAnXin XLab, отмечая широкий функуционал ботнета: реализация прокси-серверов, обратной оболочки и управления файлами.
По данным XLab, Kimwolf в основном специализируется на проксировании трафика, но, как было замечено, в период с 19 по 22 ноября он отдал более 1,7 миллиарда команд для DDoS-атак.
В общей сложности поддерживает 13 методов DDoS-атак по протоколам UDP, TCP и ICMP.
Это позволило его домену С2 14emeliaterracewestroxburyma02132[.]su занять первое место в глобальном рейтинге популярности доменов Cloudflare, обогнав google.com.
По данным компании, вредоносное ПО использует протокол DNS over TLS (DoT) для инкапсуляции DNS-запросов и обхода обнаружения, а также механизм проверки подписи для подтверждения инструкций связи.
Kimwolf в основном нацелен на телевизионные приставки Android TV, используемые в домашних сетях, при этом зараженные устройства распространены более чем в 220 странах.
При этом наибольшая концентрация - в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах.
Среди затронутых моделей устройств - TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10.
Однако точный механизм распространения вредоносного ПО на эти устройства в настоящее время неясен.
Сама вредоносная ПО довольно проста.
После запуска она гарантирует, что на зараженном устройстве будет работать только один экземпляр процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.
Из-за динамических механизмов распределения IP-адресов и глобального распространения зараженных устройств фактический размер ботнета остается неизвестным.
По данным XLab, домены С2, связанные с ботнетом, как минимум трижды выводились из строя третьими лицами, что вынудило разработчиков усилить защиту инфраструктуры, используя домены ENS (Ethereum Name Service).
XLab инциировала расследование в отношении ботнета после того, как 24 октября 2025 года она получила от доверенного партнера из сообщества артефакт «версии 4» Kimwolf.
С тех пор, по состоянию на прошлый месяц, было обнаружено еще восемь образцов.
Предполагается, что злоумышленники использовали код AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf, чтобы избежать обнаружения.
Эти два крупных ботнета распространялись с помощью одних и тех же скриптов заражения в период с сентября по ноябрь, сосуществуя в одной и той же партии устройств.
Они фактически принадлежат одной и той же хакерской группе.
Оценка основана на сходстве APK-пакетов, загруженных на платформу VirusTotal, в некоторых случаях даже с использованием одного и того же сертификата подписи кода (John Dinglebert Dinglenut VIII VanSack Smith).
Дополнительные убедительные доказательства появились 8 декабря 2025 года с обнаружением активного сервера загрузки (93.95.112[.]59), содержащего скрипт, ссылающийся на APK-файлы как Kimwolf, так и AISURU.
По мнению исследователей, ботнет был причастен как минимум к двум крупномасштабным DDoS-атакам, включая инцидент с мощностью почти 30 Тбит/с, о котором сообщалось ранее в этом месяце.
Хотя многочисленные масштабные DDoS-атаки в последнее время были приписаны Aisuru, XLab считает, что именно Kimwolf мог быть ведущим ботнетом в этих инцидентах.
奇安信 X 实验室
Kimwolf Exposed: The Massive Android Botnet with 1.8 Million Infected Devices
Background
On October 24, 2025, a trusted partner in the security community provided us with a brand-new botnet sample. The most distinctive feature of this sample was its C2 domain, 14emeliaterracewestroxburyma02132[.]su, which at the time ranked 2nd in…
On October 24, 2025, a trusted partner in the security community provided us with a brand-new botnet sample. The most distinctive feature of this sample was its C2 domain, 14emeliaterracewestroxburyma02132[.]su, which at the time ranked 2nd in…
Исследователи из Лаборатории Касперского рассказали о том, как им удалось препарировать модем в головном устройстве автомобиля в режиме God Mode.
Просто представьте: вы едете на своем новеньком электромобиле, а на огромном мультимедийном дисплее вместо навигации запускается культовый Doom и начинает рубиться в него удаленно.
Такой сценарии, на первый взгляд, кажется невероятной - но в ЛК наглядно доказали, что в современных условиях это более чем реально.
Дело в том, что Интернет используют не только гаджеты, но и заводы, автомобили и даже поезда.
Как правило, они подключаются к мобильным сетям (3G/4G/5G) с помощью модемов, которые зачастую интегрированы в систему на кристалле SoC.
Она выполняет одновременно несколько функций, используя модемный процессор Communication Processor для одних и процессор приложений Application Processor для других.
Операционная система общего назначения, такая как Android, вполне может работать на AP, в то время как CP, предназначенный для взаимодействия с мобильной сетью, обычно реализуется на базе специализированных ОС.
При этом взаимосвязь между AP, CP и RAM на этом кристалле на уровне микроархитектуры представляет собой «черный ящик» и известна только производителю, хотя напрямую влияет на безопасность всей SoC.
При этом считается, что обход механизмов безопасности 3G/LTE - это чисто академическая задача.
Ведь при подключении пользовательского устройства User Equipment к базовой станции сотовой связи Evolved Node B создается безопасный канал связи.
Даже если кто-то сможет обойти его защитные механизмы, обнаружить уязвимость в модеме и выполнить на нем свой код, это, скорее всего, не затронет бизнес-логику устройства.
Эта логика (например, пользовательские приложения, история браузера, звонки и SMS на смартфоне) находится на АР и, как предполагается, не может быть доступна с модема.
Чтобы выяснить, так ли это, исследователи ЛК оценили безопасность современной SoC Unisoc UIS7862A со встроенным 2G/3G/4G-модемом.
Такие чипы встречаются в китайских и отечественных мобильных устройствах, а также в головных устройствах современных китайских автомобилей, количество которых на дорогах растет.
Головное устройство - один из ключевых объектов автомобиля, и его компрометация угрожает не только сохранности пользовательских данных, но и безопасности дорожного движения.
В ходе этого исследования ЛК смогла выявить критические уязвимости на разных уровнях стека сотовых протоколов модема Unisoc UIS7862A.
В частности, уязвимость переполнения стека в реализации протокола 3G RLC (CVE-2024-39432), которая позволяет удаленно выполнять код на ранних этапах подключения, до активации каких-либо защитных механизмов.
Однако получение возможности выполнения своего кода на модеме - лишь точка входа для полной удаленной компрометации всей SoC.
Но исследователям удалось найти несколько способов получения доступа к AP, в том числе с использованием аппаратной уязвимости в виде скрытого DMA-устройства для выполнения горизонтального перемещения внутри SoC.
В конечном итоге, это позволило установить собственный патч к работающему ядру Android и выполнить произвольный код на AP с наивысшими привилегиями.
Технический разбор - в отчете, а полная версия материала с подробным описанием разработки эксплойта для АР и демонстрацией DOOM на головном устройстве автомобиля также доступен на сайте ICS CERT.
Просто представьте: вы едете на своем новеньком электромобиле, а на огромном мультимедийном дисплее вместо навигации запускается культовый Doom и начинает рубиться в него удаленно.
Такой сценарии, на первый взгляд, кажется невероятной - но в ЛК наглядно доказали, что в современных условиях это более чем реально.
Дело в том, что Интернет используют не только гаджеты, но и заводы, автомобили и даже поезда.
Как правило, они подключаются к мобильным сетям (3G/4G/5G) с помощью модемов, которые зачастую интегрированы в систему на кристалле SoC.
Она выполняет одновременно несколько функций, используя модемный процессор Communication Processor для одних и процессор приложений Application Processor для других.
Операционная система общего назначения, такая как Android, вполне может работать на AP, в то время как CP, предназначенный для взаимодействия с мобильной сетью, обычно реализуется на базе специализированных ОС.
При этом взаимосвязь между AP, CP и RAM на этом кристалле на уровне микроархитектуры представляет собой «черный ящик» и известна только производителю, хотя напрямую влияет на безопасность всей SoC.
При этом считается, что обход механизмов безопасности 3G/LTE - это чисто академическая задача.
Ведь при подключении пользовательского устройства User Equipment к базовой станции сотовой связи Evolved Node B создается безопасный канал связи.
Даже если кто-то сможет обойти его защитные механизмы, обнаружить уязвимость в модеме и выполнить на нем свой код, это, скорее всего, не затронет бизнес-логику устройства.
Эта логика (например, пользовательские приложения, история браузера, звонки и SMS на смартфоне) находится на АР и, как предполагается, не может быть доступна с модема.
Чтобы выяснить, так ли это, исследователи ЛК оценили безопасность современной SoC Unisoc UIS7862A со встроенным 2G/3G/4G-модемом.
Такие чипы встречаются в китайских и отечественных мобильных устройствах, а также в головных устройствах современных китайских автомобилей, количество которых на дорогах растет.
Головное устройство - один из ключевых объектов автомобиля, и его компрометация угрожает не только сохранности пользовательских данных, но и безопасности дорожного движения.
В ходе этого исследования ЛК смогла выявить критические уязвимости на разных уровнях стека сотовых протоколов модема Unisoc UIS7862A.
В частности, уязвимость переполнения стека в реализации протокола 3G RLC (CVE-2024-39432), которая позволяет удаленно выполнять код на ранних этапах подключения, до активации каких-либо защитных механизмов.
Однако получение возможности выполнения своего кода на модеме - лишь точка входа для полной удаленной компрометации всей SoC.
Но исследователям удалось найти несколько способов получения доступа к AP, в том числе с использованием аппаратной уязвимости в виде скрытого DMA-устройства для выполнения горизонтального перемещения внутри SoC.
В конечном итоге, это позволило установить собственный патч к работающему ядру Android и выполнить произвольный код на AP с наивысшими привилегиями.
Технический разбор - в отчете, а полная версия материала с подробным описанием разработки эксплойта для АР и демонстрацией DOOM на головном устройстве автомобиля также доступен на сайте ICS CERT.
Securelist
Взлом головного устройства автомобиля через модем
Рассказываем, как с помощью одной уязвимости в модеме можно получить доступ к головному устройству автомобиля.
Исследователи сингапурской Group-IB задетектили вредоносные дропперы, мимикрирующие под приложения, для распространения SMS-стилера для Android под названием Wonderland в атаках, нацеленнных на Узбекистан.
Если ранее пользователи получали «чистые» троянские APK, которые сразу после установки действовали как вредоносное ПО, то теперь злоумышленники все чаще задействуют дропперы, замаскированные под легитимные приложения.
Он выглядит безобидным, на первый взгляд, но содержит встроенную вредоносную полезную нагрузку, которая развертывается локально после установки - даже без активного подключения к интернету.
Wonderland (WretchedCat) обеспечивает двустороннюю связь C2 для выполнения команд в режиме реального времени, что позволяет отправлять произвольные USSD и совершать кражу SMS.
При этом маскируется под Google Play или файлы других форматов, включая видео, фото и свадебные приглашения.
Финансово мотивированный злоумышленник TrickyWonders, стоящий за этим вредоносным ПО, использует Telegram в качестве основной платформы для координации различных аспектов своей деятельности.
Впервые Wonderland был обнаружен в ноябре 2023 года и относится к двум семействам вредоносных программ-дропперов, предназначенных для сокрытия основной зашифрованной полезной нагрузки: MidnightDat (замечен 27 августа 2025) и RoundRift (замечен 15 октября 2025).
Wonderland распространяется в основном с помощью фейковых веб-страниц Google Play Store, рекламных кампаний в соцсетях, а также аккаунтов в приложениях для знакомств и мессенджерах.
Злоумышленники применяют для этого украденные сессии Telegram узбекских пользователей, которые продаются в даркнете, распространяя APK-файлы среди контактов и через чаты жертв.
После установки вредоносная ПО получает доступ к SMS и перехватывает OTP, которые затем используются для вывода средств с банковских карт жертв.
Среди других возможностей - излучение телефонных номеров, кража списка контактов, скрытие push-уведомлений, а также отправка SMS-сообщений с зараженных устройств для горизонтального перемещения.
Однако для установки приложения из неизвестных источников пользователям необходимо сначала включить параметр, разрешающий установку из неизвестных источников, что достигается путем отображения экрана обновления и «установки обновлений».
В момент устанавки APK и получения необходимых разрешений, злоумышленники перехватывают номер телефона и пытаются войти в учетную запись Telegram, зарегистрированную на этот номер. После авторизации процесс распространения повторяется, создавая циклическую цепочку заражения.
Wonderland знаменует собой вершину эволюцию мобильного вредоносного ПО в Узбекистане: от примитивных вредоносных ПО, типа Ajina.Banker для масштабных спам-кампаний к более серьезным, таким как Qwizzserial, маскирующимся под безобидные медиафайлы.
Как отмечают исследователи, дропперы представляют собой стратегический сдвиг, поскольку это позволяет обходить проверки безопасности. Кроме того, как дропперы, так и SMS-стилеры сильно обфусцированы и поддерживают защиту от анализа.
Более того, использование двусторонней связи C2 превращает вредоносную ПО из пассивного похитителя SMS-сообщений в активного удаленно управляемого агента, способного выполнять произвольные USSD, отправляемые сервером.
Вспомогательная инфраструктура также стала более динамичной и устойчивой. Разработчики полагаются на быстро меняющиеся домены, каждый из которых используется только для ограниченного набора сборок.
Вредоносные APK создаются с помощью Telegram-бота, которые затем распространяется привлеченными операторами в обмен на долю украденных средств.
В рамках этой операции каждый файл связан со своим собственным доменом C2 так, чтобы любая блокировка не привела к сбою всей инфраструктуры.
В преступный синдикат также входят владельцы групп, разработчики и вбиверы.
Подобная иерархическая структура подчеркивает новый этап в реализации финансового мошенничества и изощренном подходе киберподполья к взлому современных Android.
Если ранее пользователи получали «чистые» троянские APK, которые сразу после установки действовали как вредоносное ПО, то теперь злоумышленники все чаще задействуют дропперы, замаскированные под легитимные приложения.
Он выглядит безобидным, на первый взгляд, но содержит встроенную вредоносную полезную нагрузку, которая развертывается локально после установки - даже без активного подключения к интернету.
Wonderland (WretchedCat) обеспечивает двустороннюю связь C2 для выполнения команд в режиме реального времени, что позволяет отправлять произвольные USSD и совершать кражу SMS.
При этом маскируется под Google Play или файлы других форматов, включая видео, фото и свадебные приглашения.
Финансово мотивированный злоумышленник TrickyWonders, стоящий за этим вредоносным ПО, использует Telegram в качестве основной платформы для координации различных аспектов своей деятельности.
Впервые Wonderland был обнаружен в ноябре 2023 года и относится к двум семействам вредоносных программ-дропперов, предназначенных для сокрытия основной зашифрованной полезной нагрузки: MidnightDat (замечен 27 августа 2025) и RoundRift (замечен 15 октября 2025).
Wonderland распространяется в основном с помощью фейковых веб-страниц Google Play Store, рекламных кампаний в соцсетях, а также аккаунтов в приложениях для знакомств и мессенджерах.
Злоумышленники применяют для этого украденные сессии Telegram узбекских пользователей, которые продаются в даркнете, распространяя APK-файлы среди контактов и через чаты жертв.
После установки вредоносная ПО получает доступ к SMS и перехватывает OTP, которые затем используются для вывода средств с банковских карт жертв.
Среди других возможностей - излучение телефонных номеров, кража списка контактов, скрытие push-уведомлений, а также отправка SMS-сообщений с зараженных устройств для горизонтального перемещения.
Однако для установки приложения из неизвестных источников пользователям необходимо сначала включить параметр, разрешающий установку из неизвестных источников, что достигается путем отображения экрана обновления и «установки обновлений».
В момент устанавки APK и получения необходимых разрешений, злоумышленники перехватывают номер телефона и пытаются войти в учетную запись Telegram, зарегистрированную на этот номер. После авторизации процесс распространения повторяется, создавая циклическую цепочку заражения.
Wonderland знаменует собой вершину эволюцию мобильного вредоносного ПО в Узбекистане: от примитивных вредоносных ПО, типа Ajina.Banker для масштабных спам-кампаний к более серьезным, таким как Qwizzserial, маскирующимся под безобидные медиафайлы.
Как отмечают исследователи, дропперы представляют собой стратегический сдвиг, поскольку это позволяет обходить проверки безопасности. Кроме того, как дропперы, так и SMS-стилеры сильно обфусцированы и поддерживают защиту от анализа.
Более того, использование двусторонней связи C2 превращает вредоносную ПО из пассивного похитителя SMS-сообщений в активного удаленно управляемого агента, способного выполнять произвольные USSD, отправляемые сервером.
Вспомогательная инфраструктура также стала более динамичной и устойчивой. Разработчики полагаются на быстро меняющиеся домены, каждый из которых используется только для ограниченного набора сборок.
Вредоносные APK создаются с помощью Telegram-бота, которые затем распространяется привлеченными операторами в обмен на долю украденных средств.
В рамках этой операции каждый файл связан со своим собственным доменом C2 так, чтобы любая блокировка не привела к сбою всей инфраструктуры.
В преступный синдикат также входят владельцы групп, разработчики и вбиверы.
Подобная иерархическая структура подчеркивает новый этап в реализации финансового мошенничества и изощренном подходе киберподполья к взлому современных Android.
Group-IB
Choose Your Fighter: A New Stage in the Evolution of Android SMS Stealers in Uzbekistan
Group-IB analyzes the evolution of Android malware in Uzbekistan, revealing advanced droppers, encrypted payload delivery, anti-analysis techniques, and Wonderland’s bidirectional SMS-stealing capabilities driving large-scale financial fraud.
Критическая уязвимость в платформе автоматизации рабочих процессов n8n, которая в случае успешной эксплуатации может привести к выполнению произвольного кода, затрагивая тысячи экземпляров.
Уязвимость отслеживается как CVE-2025-68613, имеет оценку CVSS 9,9 из 10 возможных.
Согласно статистике npm, пакет еженедельно скачивается около 57 000 раз.
Как заявили сопровождающие пакета, при определенных условиях выражения, предоставленные авторизованными пользователями во время настройки рабочего процесса, могут быть оценены в контексте выполнения, который недостаточно изолирован от базовой среды выполнения.
Аутентифицированный злоумышленник может использовать это поведение для выполнения произвольного кода с привилегиями процесса n8n.
Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций системного уровня.
Проблема затрагивает все версии, включая 0.211.0 и ниже 1.120.4, и была исправлена в версиях 1.120.4, 1.121.1 и 1.122.0.
По данным Censys, по состоянию на 22 декабря 2025 года насчитывается 103 476 потенциально уязвимых экземпляров, большинство из которых располагаются в США, Германии, Франции, Бразилии и Сингапуре, а также немалое число - и в России.
Ввиду критичности уязвимости пользователям рекомендуется как можно скорее установить обновления.
В противном случае рекомендуется ограничить права на создание и редактирование рабочих процессов только доверенными пользователями и развернуть n8n в защищенной среде с ограниченными правами доступа к операционной системе и сети для снижения риска.
Уязвимость отслеживается как CVE-2025-68613, имеет оценку CVSS 9,9 из 10 возможных.
Согласно статистике npm, пакет еженедельно скачивается около 57 000 раз.
Как заявили сопровождающие пакета, при определенных условиях выражения, предоставленные авторизованными пользователями во время настройки рабочего процесса, могут быть оценены в контексте выполнения, который недостаточно изолирован от базовой среды выполнения.
Аутентифицированный злоумышленник может использовать это поведение для выполнения произвольного кода с привилегиями процесса n8n.
Успешная эксплуатация может привести к полной компрометации затронутого экземпляра, включая несанкционированный доступ к конфиденциальным данным, изменение рабочих процессов и выполнение операций системного уровня.
Проблема затрагивает все версии, включая 0.211.0 и ниже 1.120.4, и была исправлена в версиях 1.120.4, 1.121.1 и 1.122.0.
По данным Censys, по состоянию на 22 декабря 2025 года насчитывается 103 476 потенциально уязвимых экземпляров, большинство из которых располагаются в США, Германии, Франции, Бразилии и Сингапуре, а также немалое число - и в России.
Ввиду критичности уязвимости пользователям рекомендуется как можно скорее установить обновления.
В противном случае рекомендуется ограничить права на создание и редактирование рабочих процессов только доверенными пользователями и развернуть n8n в защищенной среде с ограниченными правами доступа к операционной системе и сети для снижения риска.
GitHub
Remote Code Execution via Expression Injection
### Impact
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
n8n contains a critical Remote Code Execution (RCE) vulnerability in its workflow expression evaluation system. Under certain conditions, expressions supplied by authenticated users dur...
Новый вредоносный дроппер для инфокрада MacSync обходит проверки Gatekeeper в macOS, о чем предупреждают исследователи Jamf.
Последняя версия инфокрада MacSync, нацеленная на системы macOS, реализуется через https://zkcall[.]net/download посредством приложения Swift с цифровой подписью и нотариальным заверением, располагаясь в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg.
Такой метод распространения представляет собой серьезную эволюцию по сравнению с предыдущими версиями, в которых использовались менее сложные методы, включая «перетаскивание в терминал» или ClickFix, устраняя необходимость во взаимодействии с терминалом.
На момент проведения анализа Jamf заявила, что последняя версия MacSync имела действительную цифровую подпись и могла обходить проверки Gatekeeper, системы безопасности macOS.
После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, исследователи подтвердили, что он имеет цифровую подпись и нотариальное заверение.
При этом подпись была связана с идентификатором команды разработчиков GNJLS3UYZ4.
Однако после прямого обращения в отношении сертификате в Apple, он был оперативно аннулирован.
Вредоносная ПО распространяется в системе через закодированный дроппер.
После расшифровки полезной нагрузки исследователи обнаружили типичные признаки MacSync Stealer.
Она использует ряд механизмов обхода защиты, включая увеличение размера файла DMG до 25,5 МБ путем внедрения фейковых PDF, удаление скриптов, используемых в цепочке выполнения, и проверку подключения к интернету перед выполнением для обхода изолированных сред.
Инфокрад для macOS появился в апреле 2025 года под названием Mac.C и был создан злоумышленником Mentalpositive.
Но уже к июлю он набрал обороты, присоединившись к менее многочисленному, но все еще прибыльному сегменту программ-стилеров для macOS наряду с AMOS и Odyssey.
Согласно анализу Mac.C от MacPaw Moonlock, установлено, что эта программа способна красть учетные данные связки ключей iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптокошельков и файлы из системы.
Причем в своем интервью для g0njxa в сентябре Mentalpositive, автор вредоносного ПО заявил, что введение более жесткой политики нотаризации приложений в macOS 10.14.5 и более поздних оказало наибольшее влияние на разработку и, как показывает практика, находит отражение в последних обнаруженных версиях.
Последняя версия инфокрада MacSync, нацеленная на системы macOS, реализуется через https://zkcall[.]net/download посредством приложения Swift с цифровой подписью и нотариальным заверением, располагаясь в образе диска под названием zk-call-messenger-installer-3.9.2-lts.dmg.
Такой метод распространения представляет собой серьезную эволюцию по сравнению с предыдущими версиями, в которых использовались менее сложные методы, включая «перетаскивание в терминал» или ClickFix, устраняя необходимость во взаимодействии с терминалом.
На момент проведения анализа Jamf заявила, что последняя версия MacSync имела действительную цифровую подпись и могла обходить проверки Gatekeeper, системы безопасности macOS.
После проверки бинарного файла Mach-O, представляющего собой универсальную сборку, исследователи подтвердили, что он имеет цифровую подпись и нотариальное заверение.
При этом подпись была связана с идентификатором команды разработчиков GNJLS3UYZ4.
Однако после прямого обращения в отношении сертификате в Apple, он был оперативно аннулирован.
Вредоносная ПО распространяется в системе через закодированный дроппер.
После расшифровки полезной нагрузки исследователи обнаружили типичные признаки MacSync Stealer.
Она использует ряд механизмов обхода защиты, включая увеличение размера файла DMG до 25,5 МБ путем внедрения фейковых PDF, удаление скриптов, используемых в цепочке выполнения, и проверку подключения к интернету перед выполнением для обхода изолированных сред.
Инфокрад для macOS появился в апреле 2025 года под названием Mac.C и был создан злоумышленником Mentalpositive.
Но уже к июлю он набрал обороты, присоединившись к менее многочисленному, но все еще прибыльному сегменту программ-стилеров для macOS наряду с AMOS и Odyssey.
Согласно анализу Mac.C от MacPaw Moonlock, установлено, что эта программа способна красть учетные данные связки ключей iCloud, пароли, хранящиеся в браузерах, системные метаданные, данные криптокошельков и файлы из системы.
Причем в своем интервью для g0njxa в сентябре Mentalpositive, автор вредоносного ПО заявил, что введение более жесткой политики нотаризации приложений в macOS 10.14.5 и более поздних оказало наибольшее влияние на разработку и, как показывает практика, находит отражение в последних обнаруженных версиях.
Jamf
MacSync Stealer Evolves: From ClickFix to Code-Signed Swift Malware — Jamf Threat Labs
Jamf Threat Labs discovers MacSync Stealer's evolution to code-signed, notarized Swift applications that silently download and execute payloads, bypassing traditional macOS security measures.
Исследователи из Лаборатории Касперского продолжают отслеживать активность Cloud Atlas, представив отчет по результатам расследования новых похождений группы в в первой половине 2025 года.
Основной фокус Cloud Atlas, известной с 2014 года, сосредоточен на странах Восточной Европы и Центральной Азии.
Заражение, как правило, реализуется через фишинговые письма с вредоносными вложениями и эксплуатации давно известной уязвимости в процессе компонента Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
В новом отчете исследователи ЛК подробно анализируют цепочку заражения и инструментарии, которые группа применяла в первой половине 2025 года, с особым акцентом на ранее недокументированных имплантах.
По данным телеметрии, выявленные цели вновь задокументированных активностей группы располагаются в России и Беларуси, причем активность наблюдается с начала 2025 года.
Атаки затронули различные отрасли, включая телекоммуникации, строительство, государственные учреждения, производственные компании и другие предприятия.
Отправной точкой атак выступает фишинговое письмо с вредоносным вложением в формате DOC(X).
При открытии с удаленного сервера доставляется вредоносный шаблон в формате RTF с эксплойтом для редактора формул, который загружает и выполняет HTML-приложение (HTA).
При этом, по всей видимости, после успешного заражения жертвы ссылка на RTF-файл шаблона становится недоступной, а возможность их загрузки ограничена как по времени доступности, так и по IP-адресам жертв.
Вредоносный HTA извлекает несколько VBS-файлов, которые в совокупности образуют бэкдор VBShower, сохраняя их на диск.
Затем VBShower загружает и устанавливает другие полнофункциональные бэкдоры: PowerShower, VBCloud и CloudAtlas.
Большинство возможностей этих бэкдоров дублируется, однако отдельные полезные нагрузки имеют специализированные функции. Управление бэкдорами осуществляется через облачные сервисы, что является характерной чертой группы.
Сама цепочка заражения в значительной степени повторяет ту, что наблюдалась ранее в атаках Cloud Atlas в 2024 году, а некоторые ранее замеченные импланты претерпели лишь незначительные изменения.
Вместе с тем, исследователям ЛК удалось задетектить как новые, так и внимательно изучить обновленные компоненты. Учитывая внушительный объем по технике, подробно останавливаться не будем, а порекомендуем обратиться к оригиналу, где и IOCs имеются.
Основной фокус Cloud Atlas, известной с 2014 года, сосредоточен на странах Восточной Европы и Центральной Азии.
Заражение, как правило, реализуется через фишинговые письма с вредоносными вложениями и эксплуатации давно известной уязвимости в процессе компонента Microsoft Office Equation Editor (CVE-2018-0802) для загрузки и выполнения вредоносного кода.
В новом отчете исследователи ЛК подробно анализируют цепочку заражения и инструментарии, которые группа применяла в первой половине 2025 года, с особым акцентом на ранее недокументированных имплантах.
По данным телеметрии, выявленные цели вновь задокументированных активностей группы располагаются в России и Беларуси, причем активность наблюдается с начала 2025 года.
Атаки затронули различные отрасли, включая телекоммуникации, строительство, государственные учреждения, производственные компании и другие предприятия.
Отправной точкой атак выступает фишинговое письмо с вредоносным вложением в формате DOC(X).
При открытии с удаленного сервера доставляется вредоносный шаблон в формате RTF с эксплойтом для редактора формул, который загружает и выполняет HTML-приложение (HTA).
При этом, по всей видимости, после успешного заражения жертвы ссылка на RTF-файл шаблона становится недоступной, а возможность их загрузки ограничена как по времени доступности, так и по IP-адресам жертв.
Вредоносный HTA извлекает несколько VBS-файлов, которые в совокупности образуют бэкдор VBShower, сохраняя их на диск.
Затем VBShower загружает и устанавливает другие полнофункциональные бэкдоры: PowerShower, VBCloud и CloudAtlas.
Большинство возможностей этих бэкдоров дублируется, однако отдельные полезные нагрузки имеют специализированные функции. Управление бэкдорами осуществляется через облачные сервисы, что является характерной чертой группы.
Сама цепочка заражения в значительной степени повторяет ту, что наблюдалась ранее в атаках Cloud Atlas в 2024 году, а некоторые ранее замеченные импланты претерпели лишь незначительные изменения.
Вместе с тем, исследователям ЛК удалось задетектить как новые, так и внимательно изучить обновленные компоненты. Учитывая внушительный объем по технике, подробно останавливаться не будем, а порекомендуем обратиться к оригиналу, где и IOCs имеются.
Securelist
Новая кампания APT-группы Cloud Atlas
Эксперт «Лаборатории Касперского» описывает новые вредоносные инструменты, применяемые APT-группой Cloud Atlas, включая импланты бэкдоров VBShower, VBCloud, PowerShower и CloudAtlas.
Накануне новогодних праздников подкатили подарочки от киберподполья, больше всего привалило румынам и французам.
В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.
Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.
Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.
При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.
Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.
По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.
Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.
Теперь с подачи хакеров эту досадную ошибку решили исправить.
В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.
Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.
La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.
Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.
Во многих почтовых отделениях наблюдались перебои.
В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.
Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.
В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.
В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.
В минувшие выходные румынское управление водными ресурсами (Administrația Națională Apele Române) столкнулось с атакой с использованием ransomware.
Как сообщили в Национальном управлении кибербезопасности (DNSC), инцидент затронул около 1000 компьютерных систем в национальном управлении водоснабжения, а также 10 из 11 его региональных отделений.
Основной удар пришелся по серверам с геоинформационными системами, базами данных, электронной почтой и веб-сервисами, а также на рабочие станции Windows.
При этом системы управления водной инфраструктурой и ОТ якобы не пострадали.
Так или иначе, в DNSC отметили также, что управление и эксплуатация гидротехнических сооружений осуществляются в рамках нормативных параметров с использованием телефонной и радиосвязи через диспетчерские центры.
По результатам предварительного расследования установлено, что злоумышленники использовали Windows BitLocker для блокировки файлов на скомпрометированных системах, а затем оставили записку с требованием выкупа, требуя связаться с ними в течение 7 дней.
Примечательно, что инфраструктура управления водными ресурсами не подпадала под национальную систему кибербезопасности критической ИТ-инфраструктуры.
Теперь с подачи хакеров эту досадную ошибку решили исправить.
В прошлом году работа над ошибками в Румынии уже проводилась - тогда залочили крупнейшего поставщика электроэнергии Electrica Group.
Во Франции в результате «крупного сетевого инцидента» вышли из строя информационные системы национальной почтовой службы La Poste, нарушив работу цифрового банкинга и онлайн-сервисов для миллионов клиентов.
La Poste - это госкомпания со штатом более 250 000 сотрудников, которая реализует широкий спектр деятельности, от доставки посылок и почты до банковских, страховых, мобильных и телекоммуникационных услуг.
Компания официально подтвердила инцидент и сообщила, что пострадали многие платформы, включая основной веб-сайт, мобильное приложение, сервис цифровой идентификации и платформу хранения документов Digiposte.
Во многих почтовых отделениях наблюдались перебои.
В свою очередь, представители власти заявили, что клиенты по-прежнему могут совершать банковские и почтовые операции в кассах с использованием SMS-аутентификации.
Снятие наличных в банкоматах, оплата картой через POS-терминалы в отделениях и переводы через WERO также по-прежнему доступны.
В банке La Banque Postale (банковское подразделение Groupe La Poste) также подтвердили, что онлайн и мобильные сервисы учреждения не работают, но основные банковские операции продолжают проходить.
В почтовой службе пока не раскрывают деталей инцидента, однако местные СМИ передают, что сбой был вызван DDoS-атакой, парализовавшей работу компании по всей стране.
Facebook
La Poste
Un incident réseau majeur perturbe actuellement l’ensemble de nos systèmes d’information.
Nos services en ligne : La Banque Postale en ligne et l'app mobile, laposte.fr, Digiposte, Identité...
Nos services en ligne : La Banque Postale en ligne et l'app mobile, laposte.fr, Digiposte, Identité...
Известный расовый румынский инфосек журналист Каталин Чимпану 19 декабря написал, что c 20 числа (🫡) уходит на зимние каникулы аккурат до 12 января.
Спалился гэбешник кровавый!
Спалился гэбешник кровавый!
Risky.Biz
Risky Bulletin: Belarus deploys spyware on journalists' phones
Suspect arrested for installing malware on ferry boat; France arrests Interior Ministry hacker; and new Cisco and SonicWall zero-days.
Исследователи из Лаборатории Касперского сообщает о новой кампании, связанной с распространением вредоносной ПО WebRAT через репозитории GitHub, которые, как утверждается, содержат PoC-эксплойты для недавно обнаруженных уязвимостей.
Ранее распространявшийся через пиратское ПО и читы для таких игр, как Roblox, Counter Strike и Rust, WebRAT представляет собой бэкдор с возможностями кражи информации, появившийся в начале уходящего года.
Согласно майскому отчету Solar 4RAYS, WebRAT способен красть учетные данные для аккаунтов Steam, Discord и Telegram, а также данные криптокошельков, а также шпионить за жертвами через веб-камеры и делать скрины.
По меньшей мере с сентября операторы начали распространять вредоносное ПО через тщательно созданные репозитории, которые якобы включали эксплойты для ряда уязвимостей.
Среди заявленных следующие:
- CVE-2025-59295: уязвимость переполнения буфера в куче в компоненте Windows MSHTML/Internet Explorer, позволяющая выполнять произвольный код с помощью специально сформированных данных, передаваемых по сети.
- CVE-2025-10294: критическая уязвимость, позволяющая обойти систему аутентификации в плагине OwnID Passwordless Login для WordPress и входить в систему под любыми учетными данными, включая администраторов.
- CVE-2025-59230: уязвимость в службе диспетчера подключений удаленного доступа Windows (RasMan), которая позволяет прошедшему локальную аутентификацию злоумышленнику повысить свои привилегии до уровня SYSTEM в затронутых установках Windows.
В общей сложности исследователям ЛК удалось выявить 15 репозиториев, распространяющих WebRAT.
Во всех содержится общая ориентирующая информация об ошибке и доступных способах её устранения.
Судя по структуре изложения, в Лаборатории Касперского полагают, что текст был сгенерирован с помощью модели искусственного интеллекта.
Вредоносная ПО задействует несколько методов для обеспечения своего постоянного присутствия, включая модификацию реестра Windows, использование планировщика задач и внедрение в случайные системные каталоги.
Исследователи утверждают, что фейковые эксплойты распространяются в виде защищенного паролем ZIP-архива с пустым файлом, в имени которого содержится пароль, поврежденным DLL-файлом, выступающим в роли приманки, а также включает пакетный файл, используемый в цепочке выполнения, и основной дроппер под названием rasmanesc.exe.
По данным аналитиков, вредоносная ПО повышает привилегии, отключает Windows Defender, а затем загружает и запускает WebRAT по жестко закодированному URL-адресу.
При этом вариант WebRAT, использованный в этой кампании, ничем не отличается от ранее задокументированных образцов и обладает теми же возможностями, что были описаны в предыдущих отчетах.
Использование фейковых эксплойтов на GitHub для - уже не новая тактика, поскольку она широко использовалась в прошлом. Совсем недавно злоумышленники продвигали фейковый эксплойт LDAPNightmare на GitHub для распространения инфокрада.
Все вредоносные репозитории GitHub, связанные с WebRAT, по наводке ЛК были удалены.
Однако разработчикам и ИБ-специалистам следует быть осторожными, поскольку злоумышленники, вероятно, будут размещать новые приманки под разными именами издателей.
Ранее распространявшийся через пиратское ПО и читы для таких игр, как Roblox, Counter Strike и Rust, WebRAT представляет собой бэкдор с возможностями кражи информации, появившийся в начале уходящего года.
Согласно майскому отчету Solar 4RAYS, WebRAT способен красть учетные данные для аккаунтов Steam, Discord и Telegram, а также данные криптокошельков, а также шпионить за жертвами через веб-камеры и делать скрины.
По меньшей мере с сентября операторы начали распространять вредоносное ПО через тщательно созданные репозитории, которые якобы включали эксплойты для ряда уязвимостей.
Среди заявленных следующие:
- CVE-2025-59295: уязвимость переполнения буфера в куче в компоненте Windows MSHTML/Internet Explorer, позволяющая выполнять произвольный код с помощью специально сформированных данных, передаваемых по сети.
- CVE-2025-10294: критическая уязвимость, позволяющая обойти систему аутентификации в плагине OwnID Passwordless Login для WordPress и входить в систему под любыми учетными данными, включая администраторов.
- CVE-2025-59230: уязвимость в службе диспетчера подключений удаленного доступа Windows (RasMan), которая позволяет прошедшему локальную аутентификацию злоумышленнику повысить свои привилегии до уровня SYSTEM в затронутых установках Windows.
В общей сложности исследователям ЛК удалось выявить 15 репозиториев, распространяющих WebRAT.
Во всех содержится общая ориентирующая информация об ошибке и доступных способах её устранения.
Судя по структуре изложения, в Лаборатории Касперского полагают, что текст был сгенерирован с помощью модели искусственного интеллекта.
Вредоносная ПО задействует несколько методов для обеспечения своего постоянного присутствия, включая модификацию реестра Windows, использование планировщика задач и внедрение в случайные системные каталоги.
Исследователи утверждают, что фейковые эксплойты распространяются в виде защищенного паролем ZIP-архива с пустым файлом, в имени которого содержится пароль, поврежденным DLL-файлом, выступающим в роли приманки, а также включает пакетный файл, используемый в цепочке выполнения, и основной дроппер под названием rasmanesc.exe.
По данным аналитиков, вредоносная ПО повышает привилегии, отключает Windows Defender, а затем загружает и запускает WebRAT по жестко закодированному URL-адресу.
При этом вариант WebRAT, использованный в этой кампании, ничем не отличается от ранее задокументированных образцов и обладает теми же возможностями, что были описаны в предыдущих отчетах.
Использование фейковых эксплойтов на GitHub для - уже не новая тактика, поскольку она широко использовалась в прошлом. Совсем недавно злоумышленники продвигали фейковый эксплойт LDAPNightmare на GitHub для распространения инфокрада.
Все вредоносные репозитории GitHub, связанные с WebRAT, по наводке ЛК были удалены.
Однако разработчикам и ИБ-специалистам следует быть осторожными, поскольку злоумышленники, вероятно, будут размещать новые приманки под разными именами издателей.
Securelist
Webrat, disguised as exploits, is spreading via GitHub repositories
We dissect the new Webrat campaign where the Trojan spreads via GitHub repositories, masquerading as critical vulnerability exploits to target cybersecurity researchers.