Последние обновления по Trust Wallet.
Компания официально подтвердила, что в результате взлома обновления для расширения Chrome, выпущенного 24 декабря, было украдено 7 миллионов долларов.
Похищенные средства будут компенсированы.
Тем временем, расследование продолжается, еще не ясно, как хакерам удалось выпустить новую вредоносную версию.
Будем следить.
Компания официально подтвердила, что в результате взлома обновления для расширения Chrome, выпущенного 24 декабря, было украдено 7 миллионов долларов.
Похищенные средства будут компенсированы.
Тем временем, расследование продолжается, еще не ясно, как хакерам удалось выпустить новую вредоносную версию.
Будем следить.
X (formerly Twitter)
CZ 🔶 BNB (@cz_binance) on X
So far, $7m affected by this hack. @TrustWallet will cover. User funds are SAFU. Appreciate your understanding for any inconveniences caused. 🙏
The team is still investigating how hackers were able to submit a new version.
The team is still investigating how hackers were able to submit a new version.
This media is not supported in your browser
VIEW IN TELEGRAM
И вообще, хорош работать, пятница же!
Под конец года подкатили не очень утешительные новости: cерьезная уязвимость MongoDB под названием MongoBleed (CVE-2025-14847) активно эксплуатируется и затрагивает более 80 000 потенциально уязвимых серверов в открытом доступе в сети Интернет.
Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.
MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.
Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.
Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.
Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.
Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.
При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.
В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.
Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.
Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.
В России - почти 2000.
Влияние на всю облачную среду оценивается как значительное.
В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.
При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.
Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.
MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).
Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.
Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.
В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.
Обходного пути для этой уязвимости нет.
Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.
К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).
Доступен PoC и все сопутствующие технические подробности, как можно прикрутить уязвимость для удаленного извлечения секретов, учетных данных и других конфиденциальных данных с незащищенного сервера MongoDB.
MongoBleed связана с тем, как сервер MongoDB обрабатывает сетевые пакеты, используемые библиотекой zlib для сжатия данных без потерь.
Исследователи из Ox Security объясняют, что проблема вызвана тем, что MongoDB возвращает объем выделенной памяти при обработке сетевых сообщений вместо длины распакованных данных.
Злоумышленник может отправить некорректно сформированное сообщение, заявив о большем размере после декомпрессии, что заставит сервер выделить больший буфер памяти и передать клиенту данные из оперативной памяти, содержащие конфиденциальную информацию.
Утечка секретов таким образом может включать в себя учетные данные, ключи API и/или облачных сервисов, токены сессий, персональные данные, внутренние журналы, конфигурации, пути и данные, связанные с клиентами.
Поскольку декомпрессия сетевых сообщений происходит до этапа аутентификации, злоумышленнику, использующему MongoBleed, не требуются действительные учетные данные.
При этом выпущенный исследователями Elastic общедоступный PoC специально создан для кражи конфиденциальных данных из памяти.
В свою очередь, Кевин Бомонт утверждает, что PoC является эффективным и требует лишь IP-адреса экземпляра MongoDB, чтобы начать извлекать из памяти такие данные, как пароли к базам данных (которые представляют собой открытый текст), секретные ключи AWS и т.д.
Согласно телеметрии Censys, по состоянию на 27 декабря в открытом доступе в Интернете находилось более 87 000 потенциально уязвимых экземпляров MongoDB.
Наибольшее число - в США, где выявлено 20 000 серверов MongoDB, за ними Китай с 17 000 и Германия с 8 000.
В России - почти 2000.
Влияние на всю облачную среду оценивается как значительное.
В, частности, как отмечают в Wiz, 42% видимых систем имеют как минимум один экземпляр MongoDB в версии, уязвимой для CVE-2025-14847.
При этом ими уже фиксируется активная эксплуатация MongoBleed в реальных условиях.
Предполагается, что злоумышленники умело препарировали MongoBleed в рамках недавнего взлома онлайн-платформы Range Six Siege от Ubisoft.
MongoDB устранила MongoBleed десять дней назад, настоятельно рекомендовав администраторам обновиться до безопасной версии (8.2.3, 8.0.17, 7.0.28, 6.0.27, 5.0.32 или 4.4.30).
Но Recon InfoSec предупреждает, что установка патчей - это лишь часть решения проблемы MongoBleed, советуя организациям также проверять наличие признаков компрометации.
Исследователи, что радует, уже разработали MongoBleed Detector, инструмент, который анализирует журналы MongoDB и выявляет потенциальные возможности эксплуатации уязвимости CVE-2025-14847.
В основу лег метод обнаружения от исследователя Капуано который был имплементирован Флорианом Ротом в полноценную утилиту.
Обходного пути для этой уязвимости нет.
Если переход на новую версию невозможен, поставщик рекомендует клиентам отключить сжатие zlib на сервере и предоставляет инструкции по этому поводу.
К безопасным альтернативам для сжатия данных без потерь относятся Zstandard (zstd) и Snappy (ранее Zippy).
OX Security
MongoDB Unauthenticated Attacker Sensitive Memory Leak - OX Security
This post by OX Research team was published on Dec 24, 2025 Attackers Could Exploit Zlib To Exfiltrate Data. CVE-2025-14847 Attackers Could Exploit Zlib To Exfiltrate Data TL;DR Critical MongoDB Memory Leak The Situation: A major vulnerability allows unauthenticated…
Forwarded from Russian OSINT
This media is not supported in your browser
VIEW IN TELEGRAM
Весьма неприятный инцидент произошел с компанией Ubisoft, которая известна по линейке игры Tom Clancy’s Rainbow Six Siege. Дело в том, что, согласно многочисленным сообщениям игроков и скриншотам, опубликованным в сети, хакеры каким-то образом получили возможность:
Похоже, R6 пришёл полный конец. Просто нереально, насколько всё плохо.🥷 Хакеры сделали следующее:↘️ Забанили и разбанили тысячи людей.↘️ Захватили ленту уведомлений о банах и могут писать туда что угодно.↘️ Выдали каждому по 2 миллиарда кредитов и очков славы.↘️ Открыли каждому все скины, включая скины разработчиков.
— жалуется пользователь KingGeorge, чей пост набрал 1.7 млн просмотров (28.12).
В результате атаки игроки по всему миру неожиданно обнаружили на своих аккаунтах гигантские суммы внутриигровой валюты, а также редкие предметы.
Кредиты в игре R6 — это премиальная внутриигровая валюта, продаваемая за реальные деньги в магазине Ubisoft.
Исходя из официальных расценок (15 000 кредитов за 99,99 доллара США), стоимость 2 миллиардов кредитов, бесплатно розданных каждому игроку, эквивалентна примерно $13,33 млн.
В субботу официальный аккаунт Rainbow Six Siege в социальной сети X (ранее Twitter) подтвердил факт инцидента, заявив, что Ubisoft осведомлена о "проблеме", затрагивающей игру, и специалисты уже работают над её устранением.
Вскоре после этого Ubisoft отключила серверы Rainbow Six Siege и внутриигровую торговую площадку, сообщив о продолжении работ по устранению уязвимости.
Ubisoft уточнила, что к игрокам не будут применяться штрафные санкции за использование начисленных кредитов, однако компания проведет откат всех транзакций. Иными словами, игрокам не грозит бан за то, что они потратили “подаренные” хакерами средства. Официальных комментариев о возможной утечке персональных данных или компрометации внутренних систем Ubisoft также не последовало.
По одной из версий, злоумышленники могли получить доступ к серверам Ubisoft через недавно обнаруженную уязвимость в MongoDB, которая получила название «MongoBleed» — CVE-2025-14847.
Please open Telegram to view this post
VIEW IN TELEGRAM
В киберподполье засветились новые новогодние подарки: предположительно, взломана база данных Condé Nast и слита база данных WIRED с более 2,3 млн. записей, ожидается слив еще до 40 млн. записей в отношении других ресурсов Condé Nast.
20 декабря некто Lovely вывалил в даркнет базу данных, предложив доступ к ней за 2,30 доллара и обвинив Condé Nast в игнорировании сообщений об уязвимостях. Якобы почти месяц хакер пытался убедить администраторов устранить уязвимости на своих сайтах.
Но, терпение закончилось (или не договорились), так что пришлось переходить к методу кнута.
Lovely также поделился другими украденными данными по изданиям Condé Nast, включая, судя по аббревиатурам, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com и Condé Nast Traveler.
Condé Nast пока не подтвердила факт взлома, но анализ утечки указывает на то, что ряд записей принадлежат подлинным подписчикам WIRED.
Набор данных содержит 2 366 576 записей и 2 366 574 уникальных адреса электронной почты с временными метками от 26 апреля 1996 года до 9 сентября 2025 года.
Каждая запись содержит уникальный внутренний идентификатор подписчика, адрес электронной почты и другие регданные, такие как имя и фамилия, номер телефона, физический адрес, пол и дата рождения.
В записях также содержатся отметки времени создания и обновления учетной записи, информация о последней сессии, а также поля, специфичные для WIRED, такие как отображаемое имя пользователя и даты создания и обновления учетной записи.
Приблизительно 284 196 записей (12,01%) содержат как имя, так и фамилию, 194 361 запись (8,21%) содержит физический адрес, 67 223 записи (2,84%) содержат дату рождения, и 32 438 записей (1,37%) содержат номер телефона.
Значительно меньшая часть включает более полные профили, содержащие 1529 записей (0,06%), в которых указаны полное имя, дата рождения, номер телефона, адрес и пол.
Исследователи Hudson Rock также подтвердили подлинность записей пользователей wired.com, используя журналы вредоносного ПО, содержащие ранее скомпрометированные учетные данные.
Примечательно, что до утечки Lovely позиционировал себя исследователем и даже обращался к Dissent Doe из DataBreaches.net за помощью в ответственном раскрытии уязвимостей изданию Condé Nast.
Согласно данным DataBreaches, в конце ноября этот человек действительно обратился к ним за помощью в установлении контакта со службой безопасности Condé Nast по поводу уязвимостей, которые, предположительно, позволяли злоумышленникам просматривать и изменять информацию об учетных записях пользователей.
Первоначально Lovely заявил, что скачал лишь небольшое количество записей, чтобы предоставить доказательства изданию Condé Nast, включая записи, которые, как подтверждено, принадлежат DataBreaches.net и сотруднику WIRED.
Однако, не получив ответа от Condé Nast, Lovely позже сообщил Dissent Doe, что скачал всю базу данных и угрожал ее опубликовать.
В DataBreaches расценили это как игру и пришли к выводу, что злоумышленник действовал, намереваясь слить украденные данные вместо того, чтобы ответственно раскрыть информацию.
В Condé Nast пока отмалчиваются и не дают комментариев. По всей видимости, подарки им не зашли.
20 декабря некто Lovely вывалил в даркнет базу данных, предложив доступ к ней за 2,30 доллара и обвинив Condé Nast в игнорировании сообщений об уязвимостях. Якобы почти месяц хакер пытался убедить администраторов устранить уязвимости на своих сайтах.
Но, терпение закончилось (или не договорились), так что пришлось переходить к методу кнута.
Lovely также поделился другими украденными данными по изданиям Condé Nast, включая, судя по аббревиатурам, The New Yorker, Epicurious, SELF, Vogue, Allure, Vanity Fair, Glamour, Men's Journal, Architectural Digest, Golf Digest, Teen Vogue, Style.com и Condé Nast Traveler.
Condé Nast пока не подтвердила факт взлома, но анализ утечки указывает на то, что ряд записей принадлежат подлинным подписчикам WIRED.
Набор данных содержит 2 366 576 записей и 2 366 574 уникальных адреса электронной почты с временными метками от 26 апреля 1996 года до 9 сентября 2025 года.
Каждая запись содержит уникальный внутренний идентификатор подписчика, адрес электронной почты и другие регданные, такие как имя и фамилия, номер телефона, физический адрес, пол и дата рождения.
В записях также содержатся отметки времени создания и обновления учетной записи, информация о последней сессии, а также поля, специфичные для WIRED, такие как отображаемое имя пользователя и даты создания и обновления учетной записи.
Приблизительно 284 196 записей (12,01%) содержат как имя, так и фамилию, 194 361 запись (8,21%) содержит физический адрес, 67 223 записи (2,84%) содержат дату рождения, и 32 438 записей (1,37%) содержат номер телефона.
Значительно меньшая часть включает более полные профили, содержащие 1529 записей (0,06%), в которых указаны полное имя, дата рождения, номер телефона, адрес и пол.
Исследователи Hudson Rock также подтвердили подлинность записей пользователей wired.com, используя журналы вредоносного ПО, содержащие ранее скомпрометированные учетные данные.
Примечательно, что до утечки Lovely позиционировал себя исследователем и даже обращался к Dissent Doe из DataBreaches.net за помощью в ответственном раскрытии уязвимостей изданию Condé Nast.
Согласно данным DataBreaches, в конце ноября этот человек действительно обратился к ним за помощью в установлении контакта со службой безопасности Condé Nast по поводу уязвимостей, которые, предположительно, позволяли злоумышленникам просматривать и изменять информацию об учетных записях пользователей.
Первоначально Lovely заявил, что скачал лишь небольшое количество записей, чтобы предоставить доказательства изданию Condé Nast, включая записи, которые, как подтверждено, принадлежат DataBreaches.net и сотруднику WIRED.
Однако, не получив ответа от Condé Nast, Lovely позже сообщил Dissent Doe, что скачал всю базу данных и угрожал ее опубликовать.
В DataBreaches расценили это как игру и пришли к выводу, что злоумышленник действовал, намереваясь слить украденные данные вместо того, чтобы ответственно раскрыть информацию.
В Condé Nast пока отмалчиваются и не дают комментариев. По всей видимости, подарки им не зашли.
InfoStealers
WIRED Database Leaked: 40 Million Record Threat Looms for Condé Nast
WIRED Database Leaked: 40 Million Record Threat Looms for Condé NastA comprehensive investigation into the current WIRED database leak and the threat of an imminent, much larger compromise targeting the Condé Nast portfolio.
Forwarded from Social Engineering
• Есть старое правило: если можно сделать быстро и удобно, кто‑то обязательно сделает это в ущерб безопасности. В инфраструктурных командах это особенно заметно. Сетевики часто решают задачи «с лёту», и это прекрасно. Пока речь не заходит про пароли. Один из таких случаев стал для автора данного материала хорошим уроком...
• В этой статье описана ситуация, когда сотрудники сопровождения передавали пароль по SSH. В открытом виде.
• Почему это проблема:
/proc/[PID]/cmdline, Task Manager.• В итоге получить пароль можно даже не трогая сам SSH, что может привести к утечке. Подробности по ссылке ниже:
• P.S. Рекомендую обратить внимание на комментарии, там можно найти полезные советы и рекомендации.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского сообщают о кампании шпионажа с использованием уязвимостей высокого уровня, в ходе которой китайская APT отключала DNS-запросы для доставки бэкдора MgBot жертвам в Турции, Китае и Индии.
Активность фиксировалась в период с ноября 2022 по ноябрь 2024 и была связана с Evasive Panda (Bronze Highland, Daggerfly и StormBamboo).
Группа активна с 2012 года и в основном реализует AitM-атаки в отношении конкретных жертв, полагаясь на размещение загрузчиков в определенных местах и хранение зашифрованных частей вредоносного ПО на серверах, которые расшифровывались в ответ на DNS-запросы с конкретных сайтов.
В атаках, замеченных ЛК, использовались приманки под обновления стороннего ПО, включая SohuVA, сервис потокового видео от китайской Sohu, которые распространялись с «p2p.hd.sohu.com[.]cn», что указывает на DNS poisoning.
Исследователям также удалось выявить другие кампании, в которых Evasive Panda задействовала фейковые обновления для iQIYI Video от Baidu, а также IObit Smart Defrag и Tencent QQ.
Атака открывает путь для развертывания начального загрузчика, запускающего шеллкод, который, в свою очередь, загружает зашифрованный шеллкод второго этапа в виде файла изображения PNG, опять же посредством DNS poisoning с легитимного веб-сайта dictionary[.]com.
Evasive Panda манипулировала IP-адресом, связанным с dictionary[.]com, в результате чего системы жертв перенаправляли трафик на сайт по IP-адресу, контролируемому злоумышленником, на основе их местоположения и провайдера.
В настоящее время неизвестно, каким образом злоумышленник злоупотребляет DNS-ответами.
Предполагаются два сценария: либо провайдеры, используемые жертвами, были выборочно скомпрометированы для установки какого-либо сетевого имплантата на периферийные устройства, либо маршрутизатор или межсетевой экран, используемые жертвами, были взломаны с этой целью.
HTTP-запрос для получения шеллкода второго этапа также содержит текущий номер версии Windows для более четкого нацеливания и адаптирования стратегии в зависимости от ОС.
Стоит отметить, что Evasive Panda ранее использовала атаки типа watering hole для распространения вредоносного ПО для Apple macOS под названием MACMA.
Точная природа вредоносного ПО второго этапа неясна, но анализ ЛК показывает, что шеллкод первого этапа расшифровывает и запускает полученную полезную нагрузку.
Предполагается, что злоумышленники генерируют уникальный зашифрованный второй файл шеллкода для каждой жертвы.
Ключевым аспектом операций является использование вторичного загрузчика (libpython2.4.dll), который использует переименованную, более старую версию python.exe, загружаемую из сторонних источников.
После запуска он загружает и расшифровывает вредоносное ПО следующего этапа, считывая содержимое файла с именем C:\ProgramData\Microsoft\eHome\perf.dat. Он содержит расшифрованную полезную нагрузку, загруженную на предыдущем шаге.
По всей видимости, злоумышленник использовал сложный процесс для получения этого этапа из ресурса, где он изначально был зашифрован с помощью XOR-шифрования.
Затем злоумышленник расшифровал этот этап с помощью XOR-шифрования, а впоследствии зашифровал и сохранил его в файл perf.dat, используя собственную гибридную архитектуру интерфейса программирования приложений для защиты данных (DPAPI) от Microsoft и RC5.
Использование собственного алгоритма шифрования - это попытка усложнить анализ, гарантирующая, что зашифрованные данные могут быть расшифрованы только в той системе, где шифрование было изначально выполнено.
Расшифрованный код представляет собой вариант MgBot, внедряемый вторичным загрузчиком в svchost.exe.
Модульный имплант MgBot способен собирать файлы, данные из буфера и браузеров, логировать нажатия клавиш, записывать аудио.
Как отмечает ЛК, Evasive Panda в очередной раз показала передовые возможности, обходя меры безопасности с помощью новых методов и инструментов, сохраняя при этом длительное присутствие в целевых системах.
Активность фиксировалась в период с ноября 2022 по ноябрь 2024 и была связана с Evasive Panda (Bronze Highland, Daggerfly и StormBamboo).
Группа активна с 2012 года и в основном реализует AitM-атаки в отношении конкретных жертв, полагаясь на размещение загрузчиков в определенных местах и хранение зашифрованных частей вредоносного ПО на серверах, которые расшифровывались в ответ на DNS-запросы с конкретных сайтов.
В атаках, замеченных ЛК, использовались приманки под обновления стороннего ПО, включая SohuVA, сервис потокового видео от китайской Sohu, которые распространялись с «p2p.hd.sohu.com[.]cn», что указывает на DNS poisoning.
Исследователям также удалось выявить другие кампании, в которых Evasive Panda задействовала фейковые обновления для iQIYI Video от Baidu, а также IObit Smart Defrag и Tencent QQ.
Атака открывает путь для развертывания начального загрузчика, запускающего шеллкод, который, в свою очередь, загружает зашифрованный шеллкод второго этапа в виде файла изображения PNG, опять же посредством DNS poisoning с легитимного веб-сайта dictionary[.]com.
Evasive Panda манипулировала IP-адресом, связанным с dictionary[.]com, в результате чего системы жертв перенаправляли трафик на сайт по IP-адресу, контролируемому злоумышленником, на основе их местоположения и провайдера.
В настоящее время неизвестно, каким образом злоумышленник злоупотребляет DNS-ответами.
Предполагаются два сценария: либо провайдеры, используемые жертвами, были выборочно скомпрометированы для установки какого-либо сетевого имплантата на периферийные устройства, либо маршрутизатор или межсетевой экран, используемые жертвами, были взломаны с этой целью.
HTTP-запрос для получения шеллкода второго этапа также содержит текущий номер версии Windows для более четкого нацеливания и адаптирования стратегии в зависимости от ОС.
Стоит отметить, что Evasive Panda ранее использовала атаки типа watering hole для распространения вредоносного ПО для Apple macOS под названием MACMA.
Точная природа вредоносного ПО второго этапа неясна, но анализ ЛК показывает, что шеллкод первого этапа расшифровывает и запускает полученную полезную нагрузку.
Предполагается, что злоумышленники генерируют уникальный зашифрованный второй файл шеллкода для каждой жертвы.
Ключевым аспектом операций является использование вторичного загрузчика (libpython2.4.dll), который использует переименованную, более старую версию python.exe, загружаемую из сторонних источников.
После запуска он загружает и расшифровывает вредоносное ПО следующего этапа, считывая содержимое файла с именем C:\ProgramData\Microsoft\eHome\perf.dat. Он содержит расшифрованную полезную нагрузку, загруженную на предыдущем шаге.
По всей видимости, злоумышленник использовал сложный процесс для получения этого этапа из ресурса, где он изначально был зашифрован с помощью XOR-шифрования.
Затем злоумышленник расшифровал этот этап с помощью XOR-шифрования, а впоследствии зашифровал и сохранил его в файл perf.dat, используя собственную гибридную архитектуру интерфейса программирования приложений для защиты данных (DPAPI) от Microsoft и RC5.
Использование собственного алгоритма шифрования - это попытка усложнить анализ, гарантирующая, что зашифрованные данные могут быть расшифрованы только в той системе, где шифрование было изначально выполнено.
Расшифрованный код представляет собой вариант MgBot, внедряемый вторичным загрузчиком в svchost.exe.
Модульный имплант MgBot способен собирать файлы, данные из буфера и браузеров, логировать нажатия клавиш, записывать аудио.
Как отмечает ЛК, Evasive Panda в очередной раз показала передовые возможности, обходя меры безопасности с помощью новых методов и инструментов, сохраняя при этом длительное присутствие в целевых системах.
Securelist
Evasive Panda APT campaign overview
Kaspersky GReAT experts analyze the Evasive Panda APT's infection chain, including shellcode encrypted with DPAPI and RC5, as well as the MgBot implant.
Последние обновления по инциденту с расширением Trust Wallet для браузера: хакеры похитили около 7 млн. долл. с почти 3000 адресов криптовалютных кошельков.
Напомним, инцидент 24 декабря привел к краже активов из скомпрометированных кошельков после того, как была взломана версия 2.68.0 расширения Chrome, в которую злоумышленники добавили вредоносный JavaScript-файл.
Trust Wallet подтвердила факт взлома и посоветовала пользователям немедленно обновить систему до версии 2.69, чтобы заблокировать дальнейшие попытки кражи криптовалюты.
Рабочая гипотеза (все еще находится на стадии расследования): хакер использовал утекший ключ API Chrome Web Store для отправки вредоносного расширения версии 2.68.
Оно успешно прошло проверку Chrome Web Store и было выпущено 24 декабря 2025 года в 12:32 UTC.
В ответ на инцидент Trust Wallet приостановила поддержку всех API для выпуска новых версий, чтобы заблокировать любые попытки выпуска новых версий в течение следующих двух недель.
Кроме того, компания предотвратила кражу дополнительных данных хакерами, сообщив о вредоносном домене, используемом для утечки данных, регистратору NiceNIC, который незамедлительно заблокировал его.
Однако злоумышленники пошли еще дальше, запустив фишинговую кампанию, в ходе которой, пользуясь возникшей паникой и фейковым сайтом брендом Trust Wallet, запрашивали у пользователей фразу восстановления для получения «важного планового обновления с улучшениями безопасности».
С тех пор Trust Wallet сообщила, что злоумышленники украли криптовалюту из 2596 кошельков идентифицированных жертв, и заявила о планах возместить убытки всем пострадавшим пользователям. При этом компанией было получено более 5000 обращений о взломе.
Для инициирования процесса получения компенсации пострадавшим пользователям следует заполнить эту форму: https://be-support.trustwallet.com, с указанием: контактных данных, адресов опустошенных кошельков, хэши транзакций.
Trust Wallet также предупреждает, что в настоящее время злоумышленники выдают себя за службу поддержки, реализуя мошеннические схемы через рекламу в Telegram и распространяют фейковые формы для получения компенсации.
Напомним, инцидент 24 декабря привел к краже активов из скомпрометированных кошельков после того, как была взломана версия 2.68.0 расширения Chrome, в которую злоумышленники добавили вредоносный JavaScript-файл.
Trust Wallet подтвердила факт взлома и посоветовала пользователям немедленно обновить систему до версии 2.69, чтобы заблокировать дальнейшие попытки кражи криптовалюты.
Рабочая гипотеза (все еще находится на стадии расследования): хакер использовал утекший ключ API Chrome Web Store для отправки вредоносного расширения версии 2.68.
Оно успешно прошло проверку Chrome Web Store и было выпущено 24 декабря 2025 года в 12:32 UTC.
В ответ на инцидент Trust Wallet приостановила поддержку всех API для выпуска новых версий, чтобы заблокировать любые попытки выпуска новых версий в течение следующих двух недель.
Кроме того, компания предотвратила кражу дополнительных данных хакерами, сообщив о вредоносном домене, используемом для утечки данных, регистратору NiceNIC, который незамедлительно заблокировал его.
Однако злоумышленники пошли еще дальше, запустив фишинговую кампанию, в ходе которой, пользуясь возникшей паникой и фейковым сайтом брендом Trust Wallet, запрашивали у пользователей фразу восстановления для получения «важного планового обновления с улучшениями безопасности».
С тех пор Trust Wallet сообщила, что злоумышленники украли криптовалюту из 2596 кошельков идентифицированных жертв, и заявила о планах возместить убытки всем пострадавшим пользователям. При этом компанией было получено более 5000 обращений о взломе.
Для инициирования процесса получения компенсации пострадавшим пользователям следует заполнить эту форму: https://be-support.trustwallet.com, с указанием: контактных данных, адресов опустошенных кошельков, хэши транзакций.
Trust Wallet также предупреждает, что в настоящее время злоумышленники выдают себя за службу поддержки, реализуя мошеннические схемы через рекламу в Telegram и распространяют фейковые формы для получения компенсации.
X (formerly Twitter)
Eowync.eth (@EowynChen) on X
What we know:
The malicious extension v2.68 was NOT released through our internal manual process. Our current findings suggest it was most likely published externally through Chrome Web Store API key, bypassing our standard release checks.
A working hypothesis…
The malicious extension v2.68 was NOT released through our internal manual process. Our current findings suggest it was most likely published externally through Chrome Web Store API key, bypassing our standard release checks.
A working hypothesis…
Продолжаем обозревать кибертрендами уходящего года и прогнозы на будущее от Positive Technologies: новый подгон сделали исследователи из экспертного центра безопасности.
Из главного:
- Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее
Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура.
Наибольшее количество обращений поступало от ИТ-компаний и госорганизаций: на их долю пришлось по 24% атак.
Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Самая продолжительная кибератака длилась 3,5 года, а самая короткая - всего сутки.
В 43% компаний была выявлена деятельность известных APT, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов.
В 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%.
Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).
- Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня
В рамках исследований и киберразведки Позитивы в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее.
Если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.
Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор.
Данные по числу уведомлений об инцидентах (данные по России) составили: всего атак - 168 (в 2024 - 45), в том числе известных APT-группировок - 135 (21).
Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок.
Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas, эти группировки в основном нацелены на кражу или уничтожение данных.
Кроме того, продолжился рост числа целевых атак. Атакующие вновь начали использовать 0-day в атаках против российских компаний.
В частности, Team46 применила многоступенчатую уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR.
Отдельно можно выделить появление нового типа кейлоггера - программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.
- Тенденции ВПО в опенсорсе PyPI и NPM
В экосистеме PyPI в 2025 году зафиксирован значительный рост, количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).
Среди ключевых трендов - активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей.
Основными целями остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.
В NPM в 2025 году - наоборот, снизилось почти в 5 раз по сравнению с предыдущим годом.
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту.
Другие подробности и тренды - в отчете.
Из главного:
- Расследование инцидентов и ретроспективный анализ: бизнес стал обнаруживать атаки быстрее
Спрос на проекты по расследованию инцидентов и ретроспективному анализу атак остается стабильно высоким, однако изменилась его структура.
Наибольшее количество обращений поступало от ИТ-компаний и госорганизаций: на их долю пришлось по 24% атак.
Медианное время от начала инцидента до его обнаружения сократилось до 9 дней. Самая продолжительная кибератака длилась 3,5 года, а самая короткая - всего сутки.
В 43% компаний была выявлена деятельность известных APT, а более половины изученных инцидентов (55%) привели к реальному нарушению бизнес-процессов.
В 36% случаев исходной точкой являлась компрометация бизнес-приложений на периметре организации, при этом доля атак через доверительные отношения с подрядчиком увеличилась до 28%.
Основными причинами успешных проникновений стали недостаточная сегментация сети (24%), использование устаревшего ПО (23%) и отсутствие двухфакторной аутентификации (21%).
- Угрозы «в дикой природе»: массовые атаки и возвращение уязвимостей нулевого дня
В рамках исследований и киберразведки Позитивы в 2025 году отправили компаниям почти в четыре раза больше уведомлений о том, что они могли стать целью киберпреступников, чем годом ранее.
Если в 2024 году атаки были сконцентрированы в основном на оборонном секторе и госуправлении, то теперь под удар попали практически все отрасли.
Наибольший рост угроз зафиксирован в ИТ и промышленности. Также существенно увеличилось давление на ритейл, транспорт, на госкомпании и оборонный сектор.
Данные по числу уведомлений об инцидентах (данные по России) составили: всего атак - 168 (в 2024 - 45), в том числе известных APT-группировок - 135 (21).
Рост числа уведомлений среди прочего связан с переходом хакеров к массовым атакам на различные отрасли российской экономики и с появлением новых агрессивных группировок.
Наибольшую активность проявляли злоумышленники из Thor, PhantomCore, Fluffy Wolf и Cloud Atlas, эти группировки в основном нацелены на кражу или уничтожение данных.
Кроме того, продолжился рост числа целевых атак. Атакующие вновь начали использовать 0-day в атаках против российских компаний.
В частности, Team46 применила многоступенчатую уязвимость в браузере Google Chrome, а злоумышленники из GOFFEE эксплуатировали баг в архиваторе WinRAR.
Отдельно можно выделить появление нового типа кейлоггера - программы, перехватывающей учетные данные при входе на серверы Microsoft Exchange.
- Тенденции ВПО в опенсорсе PyPI и NPM
В экосистеме PyPI в 2025 году зафиксирован значительный рост, количество вредоносных пакетов увеличилось на 54% (514 против 333 в 2024 году).
Среди ключевых трендов - активное использование автоматизации для публикации пакетов, преобладание тайпсквоттинга, а также разработка вредоносного ПО с помощью языковых моделей.
Основными целями остаются кража криптовалюты, переменных окружения, браузерных паролей и системных данных.
В NPM в 2025 году - наоборот, снизилось почти в 5 раз по сравнению с предыдущим годом.
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту.
Другие подробности и тренды - в отчете.
Хабр
Расследования и киберразведка: рост числа атак на российский бизнес и новые инструменты хакеров
Шаров на нашей киберёлке всё больше, а мы продолжаем знакомить вас с кибертрендами уходящего года и делиться прогнозами на будущее. Слово нашим детективам из экспертного центра безопасности. А какой у...
Ресерчеров Лаборатории Касперского остановит только Новый год (но это неточно): число исследований в последние дни просто впечатляет.
В новом отчете они изучают обновленный образец бэкдора ToneShell, типичный для китайского кибершпионажа, который был доставлен через загрузчик в режиме ядра в ходе атак на правительственные организации.
Активность приписывается Mustang Panda (HoneyMyte или Bronze President), которая традиционно нацелена на правительственные учреждения, НПО, аналитические центры и другие организации по всему миру.
Проанализировав обнаруженный вредоносный файловый драйвер, в ЛК выяснили, что он использовался в кампаниях как минимум с февраля 2025 в отношении госучреждений в Мьянме, Таиланде и др. азиатских странах.
При этом скомпрометированные устройства ранее были заражены более старыми вариантами ToneShell, вредоносным ПО PlugX или USB-червем ToneDisk.
По данным ЛК, новый бэкдор ToneShell был развернут с помощью мини-фильтра ProjectConfiguration.sys и подписан украденным или скомпрометированным сертификатом (действительным в период с 2012 по 2015 год) и выданным Guangzhou Kingteller Technology Co., Ltd.
Мини-фильтры - это драйверы режима ядра, которые подключаются к стеку ввода-вывода файловой системы Windows и могут проверять, изменять или блокировать операции с файлами.
Обычно их используют ПО безопасности, средства шифрования и утилиты резервного копирования.
В разделе data файла ProjectConfiguration.sys содержатся два шеллкода для пользовательского режима, каждый из которых выполняется как отдельный поток пользовательского режима и внедряется в процессы.
Для уклонения от статического анализа, драйвер разрешает необходимые API ядра во время выполнения, перечисляя загруженные модули ядра и сопоставляя хеши функций, вместо того чтобы импортировать функции напрямую.
Он регистрируется как драйвер мини-фильтра и перехватывает операции файловой системы, связанные с удалением и переименованием.
Когда такие операции нацелены на сам драйвер, они блокируются путем принудительного завершения запроса.
Драйвер также защищает ключи реестра, связанные со службами, регистрируя функцию обратного вызова реестра и блокируя попытки их создания или открытия.
Для обеспечения приоритета над средствами безопасности он выбирает уровень мини-фильтра выше диапазона, зарезервированного антивирусом.
Кроме того, руткит противодействует Microsoft Defender, изменяя конфигурацию драйвера WdFilter таким образом, что он не загружается в стек ввода-вывода.
Для защиты внедряемых в пользовательский режим полезных нагрузок драйвер поддерживает список защищенных идентификаторов процессов, запрещает доступ к их дескрипторам во время выполнения полезных нагрузок и снимает защиту после выполнения.
Как отмечают исследователи, это первый случай, когда ToneShell распространяется через загрузчик в режиме ядра, что обеспечивает защиту от мониторинга в пользовательском режиме и позволяет использовать возможности драйвера по обнаружению руткитов, скрывая его активность от средств безопасности.
Возвращаясь к новому ToneShell, теперь в него внесены изменения и улучшена скрытность.
Вредоносная ПО использует новую схему идентификации хоста, основанную на 4-байтовом идентификаторе хоста, вместо ранее использовавшегося 16-байтового GUID, а также применяет обфускацию трафика с помощью фейковых заголовков TLS.
Исследователи Лаборатории Касперского резюмировали, что в ходе операций HoneyMyte в 2025 году была отмечена заметная эволюция в сторону использования инжекторов в режиме ядра для развертывания ToneShell, что повысило как скрытность, так и отказоустойчивость.
Новый вариант ToneShell переносит и внедряет бэкдор непосредственно из встроенной полезной нагрузки.
Для сокрытия активности драйвер сначала развертывает небольшой компонент в пользовательском режиме, который обрабатывает заключительный этап внедрения.
Поскольку шеллкод выполняется в оперативной памяти, ее анализ становится крайне важным для обнаружения вторжения, а его выявление является индикатором присутствия ToneShell.
IOCs и технические подробности - в отчете.
В новом отчете они изучают обновленный образец бэкдора ToneShell, типичный для китайского кибершпионажа, который был доставлен через загрузчик в режиме ядра в ходе атак на правительственные организации.
Активность приписывается Mustang Panda (HoneyMyte или Bronze President), которая традиционно нацелена на правительственные учреждения, НПО, аналитические центры и другие организации по всему миру.
Проанализировав обнаруженный вредоносный файловый драйвер, в ЛК выяснили, что он использовался в кампаниях как минимум с февраля 2025 в отношении госучреждений в Мьянме, Таиланде и др. азиатских странах.
При этом скомпрометированные устройства ранее были заражены более старыми вариантами ToneShell, вредоносным ПО PlugX или USB-червем ToneDisk.
По данным ЛК, новый бэкдор ToneShell был развернут с помощью мини-фильтра ProjectConfiguration.sys и подписан украденным или скомпрометированным сертификатом (действительным в период с 2012 по 2015 год) и выданным Guangzhou Kingteller Technology Co., Ltd.
Мини-фильтры - это драйверы режима ядра, которые подключаются к стеку ввода-вывода файловой системы Windows и могут проверять, изменять или блокировать операции с файлами.
Обычно их используют ПО безопасности, средства шифрования и утилиты резервного копирования.
В разделе data файла ProjectConfiguration.sys содержатся два шеллкода для пользовательского режима, каждый из которых выполняется как отдельный поток пользовательского режима и внедряется в процессы.
Для уклонения от статического анализа, драйвер разрешает необходимые API ядра во время выполнения, перечисляя загруженные модули ядра и сопоставляя хеши функций, вместо того чтобы импортировать функции напрямую.
Он регистрируется как драйвер мини-фильтра и перехватывает операции файловой системы, связанные с удалением и переименованием.
Когда такие операции нацелены на сам драйвер, они блокируются путем принудительного завершения запроса.
Драйвер также защищает ключи реестра, связанные со службами, регистрируя функцию обратного вызова реестра и блокируя попытки их создания или открытия.
Для обеспечения приоритета над средствами безопасности он выбирает уровень мини-фильтра выше диапазона, зарезервированного антивирусом.
Кроме того, руткит противодействует Microsoft Defender, изменяя конфигурацию драйвера WdFilter таким образом, что он не загружается в стек ввода-вывода.
Для защиты внедряемых в пользовательский режим полезных нагрузок драйвер поддерживает список защищенных идентификаторов процессов, запрещает доступ к их дескрипторам во время выполнения полезных нагрузок и снимает защиту после выполнения.
Как отмечают исследователи, это первый случай, когда ToneShell распространяется через загрузчик в режиме ядра, что обеспечивает защиту от мониторинга в пользовательском режиме и позволяет использовать возможности драйвера по обнаружению руткитов, скрывая его активность от средств безопасности.
Возвращаясь к новому ToneShell, теперь в него внесены изменения и улучшена скрытность.
Вредоносная ПО использует новую схему идентификации хоста, основанную на 4-байтовом идентификаторе хоста, вместо ранее использовавшегося 16-байтового GUID, а также применяет обфускацию трафика с помощью фейковых заголовков TLS.
Исследователи Лаборатории Касперского резюмировали, что в ходе операций HoneyMyte в 2025 году была отмечена заметная эволюция в сторону использования инжекторов в режиме ядра для развертывания ToneShell, что повысило как скрытность, так и отказоустойчивость.
Новый вариант ToneShell переносит и внедряет бэкдор непосредственно из встроенной полезной нагрузки.
Для сокрытия активности драйвер сначала развертывает небольшой компонент в пользовательском режиме, который обрабатывает заключительный этап внедрения.
Поскольку шеллкод выполняется в оперативной памяти, ее анализ становится крайне важным для обнаружения вторжения, а его выявление является индикатором присутствия ToneShell.
IOCs и технические подробности - в отчете.
Securelist
The HoneyMyte APT now protects malware with a kernel-mode rootkit
Kaspersky discloses a 2025 HoneyMyte (aka Mustang Panda or Bronze President) APT campaign, which uses a kernel-mode rootkit to deliver and protect a ToneShell backdoor.