Исследователи Resecurity сообщают о новом штамме вредоносного ПО под названием PDFSider, который использовался для доставки вредоносных программ в системы Windows неназванную компанию из списка Fortune 100 в финансовом секторе.

Полагаясь на методы социальной инженерии для получения удаленного доступа, злоумышленники выдавали себя за сотрудников техподдержки и обманом заставили сотрудников компании установить инструмент Microsoft Quick Assist.

Задетектить PDFSider исследователи Resecurity смогли в ходе реагирования на инцидент, описав его как скрытый бэкдор для долгосрочного доступа, и отмечая, что он демонстрирует «характеристики, обычно ассоциируемые с методами APT-атак».

PDFSider был замечен в атаках с использованием программы-вымогателя Qilin. Однако Resecurity полагает, что этот бэкдор уже активно задействуется сразу несколькими злоумышленниками, связанными с ransomware, для запуска своих вредоносных ПО.

Бэкдор распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом с цифровой подписью для инструмента PDF24 Creator от Miron Geek Software GmbH.

Однако пакет также включает вредоносную версию DLL-файла (cryptbase.dll), необходимого для корректной работы приложения.

При запуске исполняемый файл загружает DLL-файл злоумышленника (этот метод известен как «загрузка DLL-файлов с сторонних ресурсов») и обеспечивает выполнение кода в системе.

В других случаях злоумышленник пытается обманом заставить получателей электронных писем запустить вредоносный файл, используя фейковые документы, скомпилированные специально для этих целей.

В одном из примеров в качестве автора была указана китайская госкомпания.

После запуска DLL-файл работает с правами исполняемого файла, который его загрузил. EXE-файл имеет легитимную цифровую подпись, однако PDF24 имеет уязвимости, которые злоумышленники смогли использовать для загрузки этого вредоносного ПО и эффективного обхода систем EDR.

По словам исследователей, благодаря развитию программирования с использованием ИИ, киберпреступникам становится проще находить уязвимое ПО, которое можно использовать в своих целях.

PDFSider загружается непосредственно в память, оставляя минимальные следы на диске, и использует анонимные каналы для запуска команд через командную строку.

Заражённым хостам присваивается уникальный идентификатор, а информация о системе собирается и передаётся на VPS-сервер злоумышленника через DNS (порт 53).

PDFSider защищает свой канал C2, используя криптографическую библиотеку Botan 3.0.0 и AES-256-GCM, расшифровывая входящие данные в памяти, минимизируя их влияние на хост.

Кроме того, данные проходят аутентификацию с использованием соответствующего шифрования с ассоциированными данными (AEAD) в режиме GCM.

Как отмечают в Resecurity, этот тип криптографической реализации типичен для вредоносных ПО с удаленной оболочкой, используемых в целевых атаках, где поддержание целостности и конфиденциальности коммуникаций имеет решающее значение.

Вредоносная ПО также включает в себя несколько механизмов защиты от анализа, включая проверку размера оперативной памяти и обнаружение отладчика, позволяющих ей преждевременно завершать работу при детектировании изолированной среды.

По оценке Resecurity, PDFSider ближе к «шпионским методам, нежели к вредоносному ПО для извлечения финансовой выгоды» и представляет собой бэкдор, способный поддерживать долгосрочный скрытый доступ, адаптивное удаленное выполнение команд и зашифрованную связь.

По ходу вымогатели выпотрошили одного из ключевых подрядчиков Apple по сборке iPhone, AirPods, Apple Watch и Vision Pro - китайскую компанию Luxshare.

Расположенная в Шэньчжэне компания является гигантом в индустрии электроники и насчитывает более 230 000 сотрудников, имея выручку в 37 миллиардов долларов.

Согласно Wall Street Journal, особую важность Luxshare для цепочки поставок Apple резко приобрела после того, как ее основной сборщик, Foxconn, пережил серию протестов, которые привели к приостановке производства.

Причастная к инциденту банда RansomHub угрожают опубликовать украденные данные Apple, Nvidia, LG и др., если не получат назначенный выкуп.

Сама же утечка данных Luxshare, предположительно, произошла в прошлом месяце, при этом злоумышленники заявили, что данные ключевых партнеров Apple были зашифрованы 15 декабря 2025 года. 

Злоумышленники утверждают, что получили доступ к различной проектной и технической документации продуктов Apple, Nvidia LG, Geely, Tesla и других крупных компаний, включая:

- 3D CAD-модели и инженерная документация;
- доступ к высокоточным геометрическим данным для продукции Parasolid;
- 2D-чертежи компонентов для производства;
- чертежи механических компонентов;
- конфиденциальные инженерные чертежи в формате PDF;
- электронная проектная документация;
- данные по электрической и компоновочной архитектуре;
- данные по производству печатных плат.

В свою очередь, представители Cybernews утверждают, что утечка данных включает конфиденциальные материалы по продукции Apple-Luxshare, персональные данные сотрудников и файлы дизайна продукции за период с 2019 по 2025 год.

Несмотря на то, что утечка данных ассемблерного кода со стороны Apple пока не подтверждена, команда Cybernews полагает, что информация, содержащаяся в публикации хакеров, выглядит более чем достоверной.

Пока можно констатировать, что в результате взлома потенциальные конкуренты смогут получить реализовать реверс проектирование продукции, производить контрафактные товары и использовать уязвимости оборудования в устройствах Apple.

Кроме того, уязвимости оборудования, компоновка микросхем и системы питания может найти применение в потенциальных атаках на встроенное ПО или цепочку поставок.

В любом случае последствия инцидента, если он подтвердится, будут катастрофическими для затронутых технологических компаний. Так что, по вероятно, по поводу выкупа стороны быстро придут к компромиссу. В любом случае, будем следить.

Стартовал Pwn2Own Automotive 2026, в первый день которого участникам хакерского поединка удалось взломать информационно-развлекательную систему Tesla и заработать 516 500 долл., используя 37 0-day.

Команда Synacktiv получила 35 000 долларов, успешно применив цепочку уязвимостей, связанных с утечкой информации и записью за пределы допустимого диапазона, для получения root на информационно-развлекательную систему Tesla в категории атак через USB.

Они также применили цепочку из трех уязвимостей для получения доступа к выполнению кода с правами root на цифровом медиаресивере Sony XAV-9500ES, заработав дополнительно 20 000 долл.

Исследователи из Fuzzware.io урвали 118 000 долл. за взлом зарядной станции Alpitronic HYC50, зарядного устройства Autel и навигационного приемника Kenwood DNR1007XR, а команда PetoWorks - 50 000 долл. за реализацию 0-day для EoP на контроллере зарядки Phoenix Contact CHARX SEC-3150.

Команда DDOS сорвала куш в размере 72 500 долл., продемонстрировав взлом зарядных устройств ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A.

На второй день конкурса Pwn2Own четыре команды будут атаковать зарядное устройство Grizzl-E Smart 40A, трижды - Autel MaxiCharger, а две команды попытаются получить root-права на ChargePoint Home Flex, при этом каждая успешная попытка принесет хакерам по 50 000 долл.

При этом Fuzzware.io также попытается взломать автомобильное зарядное устройство Phoenix Contact CHARX SEC-3150, за что может получить денежное вознаграждение в размере 70 000 долл.

Традиционно в распоряжении поставщиков будут 90 дней на разработку и выпуск исправлений, прежде TrendMicro публично обнародует технические подробности анонсированных на конкурсе нулей.

Очередной этап Pwn2Own Automotive 2026, посвященный автомобильным технологиям, проходит в Токио, Япония, в рамках автомобильной конференции Automotive World, с 21 по 23 января.

В ходе этого соревнования исследователям предстоит атаковать полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные ОС (например, Automotive Grade Linux).

Полное расписание соревнований этого года - здесь, в том числе первого дня с результатами каждого этапа - здесь.

В прошлом году по результатам Pwn2Own Automotive 2025 хакерам удалось выиграть 886 250 долл. и реализовать 49 нулей, а еще годом ранее - 1 323 750 долл. и также 49 нулей.

На прошлой неделе Check Point выкатила отчет по VoidLink, описав его как продвинутую платформу для вредоносных ПО под Linux, предлагающую пользовательские загрузчики, имплантаты, модули руткитов для обхода защиты и десятки плагинов, расширяющих функциональность.

Исследователи подчеркнули сложность структуры вредоносного ПО, предположив, что оно, вероятно, было разработано китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».

В дополнительном отчете исследователи Check Point сообщают о выявлении явных доказательств того, что ориентированное на облачные технологии вредоносное ПО было разработано одним автором с помощью ИИ и достигло функциональной версии в течение недели.

Вывод основан на многочисленных нарушениях OpSes со стороны разработчика VoidLink, в результате которых удалось раскрыть исходный код, документацию, планы спринтов и внутреннюю структуру проекта.

Одной из ошибок злоумышленников стало раскрытие открытого каталога на их сервере, в котором хранились различные файлы, относящиеся к процессу разработки.

Она, вероятно, началась в конце ноября 2025 года, когда разработчик обратился к TRAE SOLO, ИИ-помощнику, встроенному в TRAE, интегрированную среду разработки, ориентированную на ИИ.

Несмотря на отсутствие доступа к полной истории переписки в IDE, исследователи обнаружили на сервере злоумышленника вспомогательные файлы из TRAE, которые содержали ключевые фрагменты исходных инструкций, предоставленных модели.

По всей видимости, сгенерированные TRAE файлы были скопированы вместе с исходным кодом на сервер злоумышленника, а затем были раскрыты из-за открытого каталога.

Как отмечают в Check Point, эта утечка дала необычайно достоверную информацию о самых ранних директивах проекта.

Согласно анализу, злоумышленник использовал метод разработки, основанный на спецификациях (Spec-Driven Development), для определения целей проекта и установления ограничений, а затем поручил ИИ сгенерировать план разработки для нескольких команд, охватывающий архитектуру, спринты и стандарты.

Затем разработчик вредоносного ПО использовал эту документацию в качестве плана выполнения для кода, сгенерированного ИИ.

В разработанной документации описывается работа трех команд, длившаяся 16-30 недель, но, судя по временным меткам и меткам времени тестовых артефактов, обнаруженным Check Point, VoidLink был готов к работе уже через неделю, достигнув объема кода в 88 000 строк к началу декабря 2025 года.

После этого Check Point подтвердила, что спецификации спринта и восстановленный исходный код практически точно совпадают.

Исследователям удалось успешно воспроизвести рабочий процесс, подтвердив, что агент ИИ способен генерировать код, структурно похожий на код VoidLink.

Check Point полагает, что не имеет никаких сомнений относительно происхождения кода, описывая VoidLink как первый задокументированный пример сложного вредоносного ПО, созданного с помощью ИИ.

Таким образом, VoidLink знаменует собой новую эру, когда один разработчик вредоносного ПО с глубокими техническими знаниями может достичь результатов, ранее доступных только хорошо обеспеченным в ресурсом плане командам.

Wordfence предупреждает о критической уязвимости в плагине Advanced Custom Fields: Extended (ACF Extended) для WordPress, которая может быть удаленно использована неавторизованными злоумышленниками для получения административных прав.

ACF Extended в настоящее время используется на более чем 100 000 сайтах, - это специализированный плагин, расширяющий возможности плагина Advanced Custom Fields (ACF) функциями для разработчиков и создателей сайтов.

Уязвимость отслеживается как CVE-2025-14533 и может быть использована для получения административных привилегий путем злоупотребления действием формы «вставить пользователя/обновить пользователя» плагина в версиях ACF Extended 0.9.2.1 и более ранних.

Уязвимость возникает из-за отсутствия контроля за соблюдением ограничений ролей при создании или обновлении пользователей на основе форм, и её использование работает даже тогда, когда ограничения ролей должным образом настроены в параметрах поля.

В виду отсутствия ограничений на поля формы роль пользователя может быть установлена произвольно, даже на администратора, независимо от настроек поля, если в форму добавлено поле для указания роли.

Как и любая EoP-уязвимость, CVE-2025-14533 может быть использована для полного взлома сайта.

Несмотря на серьёзные последствия, Wordfence считает, что ошибка может быть использована только на сайтах, где явно используется одна из названных форм с соответствующим полем роли.

CVE-2025-14533 была обнаружена исследователем Андреа Боккетти, который 10 декабря 2025 года сообщил о ней в Wordfence для подтверждения проблемы и передачи поставщику. Четыре дня спустя поставщик выпустил исправление в версии ACF Extended 0.9.2.2.

Согласно статистике загрузок wordpress, с тех пор плагин скачали примерно 50 000 пользователей. Так что если предположить, что все загрузки - для последней версии, то примерно такое же количество сайтов подвержено атакам.

Несмотря на то, что конкретных атак, нацеленных на CVE-2025-14533, пока не зафиксировано, в GreyNoise задетектили масштабную кампанию по разведке в отношении плагинов WordPress, направленную на выявление потенциально уязвимых сайтов.

Согласно телеметрии GreyNoise, с конца октября 2025 года по середину января 2026 года почти 1000 IP-адресов в 145 автономных системах атаковали 706 различных плагинов WordPress, совершив более 40 000 уникальных сканирований.

Наиболее востребованными плагинами являются Post SMTP, LiteSpeed Cache, Loginizer, SEO by Rank Math, Elementor и Duplicator. Ранее первые два из списка подвергались активной эксплуатации в начале ноября 2025 года и в августе 2024 года соответственно.

Продолжаем отслеживать наиболее трендовые уязвимости, среди которых отметим следующие:

1. Разработчики библиотеки GNU C исправили ошибку в своем коде, датируемую 1996 годом. Согласно сообщениям, сценарии эксплуатации ограничены, поэтому это не представляет собой большой проблемы.

2. Cloudflare устранила уязвимость в своем менеджере сертификатов ACME, которая позволяла злоумышленникам обходить средства контроля безопасности и межсетевые экраны.

3. Amazon исправила ошибку конфигурации в своих репозиториях GitHub, которая позволяла захватить контроль над важными ресурсами AWS. Проблема заключалась в том, как конвейеры AWS CodeBuild CI обрабатывали триггеры сборки.

Отсутствие двух символов в фильтре регулярного выражения могло позволить удаленным злоумышленникам захватить репозитории AWS с административным доступом.

В репозиториях размещались ресурсы JavaScript, которые обеспечивали работу как учетных записей клиентов, так и самой консоли бэкэнда AWS.

4. Google Project Zero представила ZeroClick-эксплойт, который позволяет скомпрометировать смартфоны Android через аудиодекодер Dolby.

Эксплойт работает в виду того, что большинство коммуникационных приложений Android автоматически обрабатывают входящие аудиовложения в фоновом режиме.

Эксплойт был протестирован на Pixel 9, но, как полагают исследователи Google, атака должна быть универсальной для большинства устройств Android. Подробности в трех частях - 1, 2 и 3.

5. В Livewire, компоненте файлового менеджера для сайтов на базе Laravel, обнаружена незакрытая уязвимость, позволяющая загружать вредоносные PHP-файлы на удаленный сервер и легко запускать их выполнение.

При этом Laravel - самый популярный на сегодняшний день PHP-фреймворк. Однако ни разработчики Livewire, ни Laravel ничего не ответили исследователям по поводу зияющей дыры.

6. Новое исследование Cyata выявило уязвимости в серверах, соединяющих LLM-модули с локальными данными через MCP-интерфейс Anthropic. Все затрагивают официальный сервер Git MCP (mcp-server-git) и отслеживаются как CVE-2025-68143, CVE-2025-68145 и CVE-2025-68144.

Исследователи продемонстрировали, как злоумышленник может использовать уязвимости для выполнения произвольного кода, чтения и удаления файлов, причем атака работает против любой конфигурации.

7. TP-Link выкатила обновление для своих камер VIGI с исправлениями критической уязвимости, позволяющей злоумышленникам в локальной сети обходить аутентификацию в процессе сброса пароля. Уязвимость затрагивают 32 модели камер VIGI.

8. Zafran отмечает, что две серьезные уязвимости в Chainlit (имеющий ежемесячно более 700 000 раз на PyPI) подвергают крупные предприятия атакам, ведущим к раскрытию конфиденциальной информации.

Затронуты все версии Chainlit до 2.9.4. Проблемы отслеживаются как CVE-2026-22218 и CVE-2026-22219 и позволяют злоумышленникам читать произвольные файлы (переменные окружения) и отправлять запросы к внутренним сетевым службам или конечным точкам метаданных облака.

9. MITRE объявила о запуске Embedded Systems Threat Matrix (ESTM), системы кибербезопасности, разработанной для оказания помощи организациям в защите критически важных встроенных систем.

Созданная по мотивам популярной ATT&CK и основанная на теоретических исследованиях и экспериментальных моделях MITRE, ESTM классифицирует конкретные тактики и методы атак, адаптированные к аппаратной и программной средам. 

ESTM работает с моделью угроз EMB3D. С момента выхода первой версии ESTM была значительно усовершенствована и теперь называется ESTM 3.0.

Клиенты Fortinet столкнулись с последствиями некорректного исправления критической уязвимости аутентификации FortiGate (CVE-2025-59718): злоумышленники используют обход исправления для взлома полностью обновленных межсетевых экранов.

Со слов одного из пострадавших, Fortinet якобы подтвердила, что в последней версии FortiOS (7.4.10) не до конца была устранена уязвимость обхода аутентификации, которая изначально должна была быть исправлена в начале декабря с выпуском FortiOS 7.4.9.

По имеющимся данным, Fortinet также планирует в ближайшие дни выпустить FortiOS 7.4.11, 7.6.6 и 8.0.0 для полного устранения уязвимости в системе безопасности.

В одном из инцидентов админы зафиксировали вредоносную попытку входа через SSO на одном из устройств FortiGate, работающем под управлением версии 7.4.9 (FGT60F).

SIEM задетектила создание локальной учетной записи администратора с помощью SSO-входа пользователя cloud-init@mail.io с IP-адреса 104.28.244.114, аналогично взлому через CVE-2025-59718, что подтвердили логи.

Причем они выглядели также, как в случае с предыдущей эксплуатацией ошибки, выявленной Arctic Wolf в декабре 2025, когда злоумышленники активировали уязвимость посредством специально созданных SAML-сообщений для компрометации аккаунтов администраторов.

Аналогичную ситуацию описывают и другие пользователи, которые также получили от Fortinet подтверждение о неполном устранении проблемы в версии 7.4.10.

В самой Fortinet на вопросы по поводу сообщений о начавшейся вредоносной кампании, нацеленной на CVE-2025-59718, пока никак не реагируют, обещая лишь все исправить в будущих версиях 7.4.11, 7.6.6, 8.0.0.

До тех пор, пока Fortinet не выпустит полностью исправленную версию FortiOS, администраторам рекомендуется временно отключить уязвимую функцию входа в FortiCloud (если она включена) для защиты своих систем от атак.

Как пояснила Fortinet в своем первоначальном уведомлении, SSO FortiCloud, являющаяся целью атак, по умолчанию отключена, если устройство не зарегистрировано в FortiCare, что должно сократить общее количество уязвимых устройств.

Однако, по данным Shadowserver, в середине декабря 2025 года более 25 000 устройств Fortinet с включенной функцией единого входа FortiCloud SSO были по-прежнему доступны из сети.

На данный момент более половины из них защищены, и если верить Shadowserver, более 11 000 устройств по-прежнему остаются доступными через Интернет.

GitLab предупреждает об устранении серьезных уязвимостей, которые приводят к обходу 2Fa и способны вызвать атаки типа DoS.

Первая под номером CVE-2026-0723 связана с недостатком неконтролируемого возвращаемого значения в службах аутентификации GitLab, что позволяет злоумышленникам, знающим идентификатор учетной записи жертвы, обходить двухфакторную аутентификацию, отправляя поддельные ответы устройства.

GitLab также устранила две серьезные уязвимости, затрагивающие GitLab CE/EE, которые позволяли неавторизованным злоумышленникам инициировать атаки типа DoS посредством отправки специально сформированных запросов с некорректными данными аутентификации (CVE-2025-13927) и используя некорректную проверку авторизации в конечных точках API (CVE-2025-13928).

Кроме того, закрыты две уязвимости средней степени серьезности, представляющие собой DoS, которые могут быть использованы путем настройки некорректно сформированных документов Wiki, обходящих обнаружение циклов (CVE-2025-13335), и отправки повторных некорректно сформированных запросов на аутентификацию SSH (CVE-2026-1102).

Для устранения этих уязвимостей в системе безопасности компания выпустила версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition (CE) и Enterprise Edition (EE) и рекомендовала администраторам как можно скорее обновиться до последней версии.

На GitLab.com уже установлена исправленная версия. Клиентам GitLab Dedicated никаких действий предпринимать не нужно.

Cisco устранила критическую RCE-уязвимость в Unified Communications и Webex Calling, отслеживаемую как CVE-2026-20045, которая активно использовалась в качестве 0-day в атаках.

CVE-2026-20045 затрагивает Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection и Webex Calling Dedicated Instance.

По данным Cisco, удаленный, неаутентифицированный злоумышленник может использовать уязвимость CVE-2026-20045 для выполнения вредоносных команд в операционной системе устройства.

Ошибка обусловлена некорректной проверкой входных данных, предоставляемых пользователем в HTTP-запросах.

0-day, о которой сообщили неназванные сторонние исследователи, может быть использована путем отправки специально сформированных HTTP-запросов к веб-интерфейсу управления целевого экземпляра. 

Успешная эксплуатация уязвимости может позволить злоумышленнику получить доступ к операционной системе на уровне пользователя, а затем повысить свои привилегии до уровня root.

Несмотря на то, что CVE-2026-20045 имеет оценку CVSS 8,2, Cisco присвоила ей критический уровень серьезности, поскольку ее эксплуатация приводит к получению root-доступа к серверам.

Cisco выкатила следующие обновления и файлы исправлений для устранения уязвимости:

- Cisco Unified CM, CM SME, CM IM&P и Webex Calling - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), релиз 15 (15SU4 (март 2026 г.) или патч);

- Cisco Unity Connection - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), 15 (15SU4 (март 2026 г.) или патч).

В настоящее время отсутствует какая-либо общедоступная информация об атаках, нацеленных на уязвимость CVE-2026-20045.

Тем не менее, Cisco PSIRT отметила в своем уведомлении, что ей «известны попытки эксплуатации этой уязвимости в реальных условиях».

Согласно телеметрии Hunter, в настоящее время около 1300 экземпляров Cisco Unified CM находятся в открытом доступе через интернет, причем почти половина из них - в США.

Cisco настоятельно рекомендует клиентам как можно скорее обновить ПО до последней версии, учитывая, что обойти эту уязвимость без установки обновлений невозможно.

На второй день хакерского поединка Pwn2Own Automotive 2026 исследователи пополнили свой гонорар на 439 250 долл., реализовав 29 уникальных 0-day.

Ежегодный Pwn2Own Automotive, посвященный автомобильным технологиям, проходит в Токио, Япония, с 21 по 23 января, в рамках автомобильной конференции Automotive World.

В ходе соревнований исследователи нацеливаются на полностью обновленные зарядные устройства для электромобилей (EV), автомобильные информационно-развлекательные системы (IVI) и автомобильные операционные системы (например, Automotive Grade Linux).

В настоящее время команда Fuzzware.io лидирует в турнирной таблице с 213 000 долл., заработанными за первые два дня, и еще 95 000 долл. после препарирования контроллера зарядки Phoenix Contact CHARX SEC-3150, зарядного устройства ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV.

Сина Хейрхах из Summoning Team получила 40 000 долл. за root-права на навигационном ресивере Kenwood DNR1007XR, зарядном устройстве ChargePoint Home Flex и мультимедийном ресивере Alpine iLX-F511.

Роб Блейкли из Technical Debt Collectors и Хэнк Чен из InnoEdge Labs также получили по 40 000 зеленых каждый за демонстрацию цепочек 0-day эксплойтов, нацеленных на Automotive Grade Linux и зарядную станцию Alpitronic HYC50.

По итогам первых двух дней конкурса исследователи заработали денежные призы на сумму 955 750 долларов, успешно использовав 66 нулей.

В третий день Pwn2Own команда Slow Horses из Qrious Secure и PetoWorks предпримет еще одну попытку атаки на Grizzl-E Smart 40A, команда Juurin Oy попытается взломать Alpitronic HYC50, а Рё Като - Autel MaxiCharger.

Подробное расписание второго дня с результатами каждого задания - здесь, а полное расписание всего Pwn2Own Automotive 2026 - здесь.

Исследователи Dr.Web изучили новое семейство троянов для Android, ориентированных на мошенничество с кликами и использующих модели машинного обучения TensorFlow для автоматического обнаружения и взаимодействия с определенными рекламными элементами.

Механизм основан на визуальном анализе с использованием машинного обучения, а не на заранее определенных алгоритмах кликов на JavaScript. При том также не включает в себя взаимодействие на уровне DOM с помощью скриптов, как классические трояны.

Злоумышленник использует TensorFlow.js, библиотеку с открытым исходным кодом, разработанную Google для обучения и развертывания моделей машинного обучения на JavaScript. Она позволяет запускать модели ИИ в браузерах или на серверах с использованием Node.js.

Как отмечают исследователи Dr.Web, новое семейство троянов для Android распространяется через GetApps, официальный магазин приложений для устройств Xiaomi.

Они обнаружили, что вредоносная ПО может работать в режиме, называемом «фантомным», который использует скрытый встроенный браузер на основе WebView для загрузки целевой страницы для мошенничества с кликами и файла JavaScript.

При этом основное предназначение скрипта - автоматизировать действия с рекламой, отображаемой на загруженном сайте.

После загрузки обученной модели с удаленного сервера скрытый браузер размещается на виртуальном экране, производятся снимки экрана для анализа и идентификации соответствующих элементов с помощью TensorFlow.js.

Нажав на нужный элемент пользовательского интерфейса, вредоносная ПО воспроизводит обычную активность пользователя.

Такой метод более эффективен и устойчив к изменчивости современной рекламы, поскольку большинство таких объявлений являются динамическими, часто меняют свою структуру и нередко используют iframe или видео.

Второй режим, называемый «сигнализацией», использует WebRTC для потоковой передачи видеопотока с виртуального экрана браузера злоумышленникам, позволяя им выполнять действия в реальном времени, такие как касания, прокрутка и ввод текста.

Злоумышленник распространяет вредоносное ПО через игры в каталоге ПО Xiaomi GetApps. Первоначально приложения загружаются без вредоносной функциональности, а вредоносные компоненты добавляются в последующих обновлениях.

Среди некоторых из зараженных игр, выявленных Dr.Web: Theft Auto Mafia (61 000 загрузок), Cute Pet House (34 000), Creation Magic World (32 000), Amazing Unicorn Party (13 000), Open World Gangsters (11,000), Sakura Dream Academy (4,000) и др.

Помимо приложений на серверах Xiaomi трояны также распространяются через сторонние сайты с APK-файлами (например, Apkmody и Moddroid, моды оригинальных приложений Spotify, YouTube, Deezer и Netflix).

Примечательно, что большинство приложений на странице «выбор редакции» сайта Moddroid оказались заражены. Кроме того, в ход идут Telegram-каналы, распространяя, например, такие приложения, как Spotify Pro, Spotify Plus - Official, Moddroid.com и Apkmody Chat.

Dr.Web также обнаружила сервер Discord с 24 000 подписчиков, на котором распространялось зараженное приложение Spotify X.

Исследователи отмечают, что по крайней мере некоторые из этих приложений «действительно работают», что снижает подозрения пользователей.

В сочетании с тем фактом, что мошенничество с кликами осуществляется скрытно в скрытом WebView, отображающем контент на виртуальном экране, это означает, что жертвы не увидят никаких признаков вредоносной активности.

Технические подробности и IOCs - в отчете.

Исследователи F6 сообщают об обнаружении новой волны вредоносных рассылок от группировки PhantomCore, которую им удалось задетектить 19 и 21 января 2026 года.

Целями новой кампании стали российские организации в сфере ЖКХ, финансов, электронной коммерции, B2C, муниципальных услуг, в аэрокосмической, химической, строительной, производственной отраслях, а также маркетплейсы.

PhantomCore атакует российские и белорусские компании с 2022 года, впервые была обнаружена F6 в 2024 году.

Название обусловлено сочетанием слов Phantom (в .NET инструменте был неймспейс у классов «Phantom») + Core (в запланированных задачах использовали имя MicrosoftStatisticCore).

В рассылке на тему «ТЗ на согласование» используется вложение «ТЗ на согласование сб 54 от 19.01.26.zip» с двумя файлами, мимикрирующими под офисные документы.

Файл .doc при этом не является подлинным документом, представляет собой RAR‑архив, содержащим одноименную директорию, внутри которой содержатся файлы, относящиеся к действительному документу.

Причем стоит отметить использование атакующими легитимных адресов электронной почты для рассылок, что может указывать на их компрометацию.

После запуска второго LNK‑файла выполняется cmd‑команда, которая перебирает переменные окружения и ищет подстроку PSM, таким образом находит переменную окружения PSModulePath.

По разделителям s и \ определяет 4-е вхождение, которым является PowerShell, и осуществляет загрузку PowerShell‑сценария с URL‑адреса, инициируя запуск загруженного скрипта командой PowerShell.

На первой загруженный скрипт скачивает и отображает документ-приманку, реализует загрузку следующей стадии в память (PowerShell‑скрипт) и ее закрепление в планировщике задач Windows.

Вредоносного ПО написано на PowerShell и практически идентично ранее известному PhantomCore.PollDL (PhantomeRemote). Развертывание реализуется в несколько стадий.

Как отмечают специалисты F6, в ходе исследования им удалось обнаружить целый перечень схожих ресурсов с вредоносными скриптами.

Технические подробности и IOCs - в отчете. Полный анализ вредоносного ПО на Malware Detonation Platform от компании F6 доступен - здесь.

Киберподполье приступило к активной эксплуатации уязвимости обхода аутентификации в SmarterMail от SmarterTools, которая позволяет неавторизованным злоумышленникам сбросить пароль системного администратора и получить полные привилегии.

SmarterMail - это платформа совместной работы под управлением Windows, которая обеспечивает доступ к электронной почте по протоколам SMTP/IMAP/POP, веб-почте, календарям, контактам и базовым функциям групповой работы.

Обычно решение используется поставщиками MSP, малыми и средними предприятиями, а также хостинг-провайдерами, предоставляющими услуги электронной почты. По данным SmarterTools, ее продуктами пользуются 15 миллионов человек в 120 странах.

Исследователи watchTowr сообщили об этой проблеме 8 января, а SmarterMail выпустила исправление 15 января, присвоив CVE-2026-23760 и оценку CVSS: 9,3.

После устранения проблемы исследователи обнаружили доказательства того, что злоумышленники начали использовать её всего через два дня. По всей видимости, хакеры отреверсили патч и нашли способ реализовать уязвимость.

Уязвимость обусловлена тем, что конечная точка API force-reset-password принимает JSON-входные данные, контролируемые злоумышленником, включая логическое свойство типа IsSysAdmin, которое, если установлено в значение true, заставляет бэкэнд выполнить логику сброса пароля системного администратора.

Однако, как выяснили исследователи watchTowr, этот механизм не выполняет никаких проверок безопасности и не проверяет старый пароль, несмотря на наличие поля OldPassword в запросе.

В результате любой, кто знает или угадает имя пользователя администратора, может установить новый пароль и взломать учетную запись.

При этом проблема затрагивает только учетные записи администраторов, а не обычных пользователей.

Имея доступ уровня администратора, злоумышленники могут выполнять команды операционной системы, получая таким образом полный доступ к удаленному выполнению кода на хосте.

Исследователи watchTowr также разработали PoC-эксплойт, демонстрирующий доступ к командной оболочке на уровне SYSTEM.

Узнать об активной эксплуатации удалось благодаря анонимному пользователю, который заметил, что кто-то сбрасывает пароли администратора.

В подтверждение своих слов информатор указал исследователям watchTowr на аналогичную ситуацию, которую описывали на форуме.

Анализ общих журналов показал, что эти атаки были направлены на конечную точку force-reset-password, что подтверждает вывод об активной эксплуатации уязвимости в дикой природе.

В свою очередь, исследователи Huntress также представили отчет со своими наблюдениями за деятельностью по эксплуатации в дикой природе.

Причем двумя неделями ранее watchTowr обнаружила другую критическую RCE-уязвимость на этапе предварительной аутентификации в SmarterMail, отслеживаемую как CVE-2025-52691, что в конечно счете привело к обнаружению последней проблемы.

Пользователям SmarterMail рекомендуется обновить ПО до последней версии Build 9511, в которой устранены обе проблемы.

Pentera сообщает, что уязвимые приложения для пентеста (DVWA, OWASP Juice Shop, Hackazon и bWAPP) задействуются хакерами для получения доступа к облачным средам компаний из списка Fortune 500, включая ведущих ИБ-поставщиков.

В ходе расследования были обнаружены доказательства того, что хакеры используют этот вектор атаки для компрометации систем и развертывания криптомайнеров, внедрения веб-оболочек или перехода к работе с конфиденциальными системами. 

Как оказалось, тестовые веб-приложения достаточно уязвимы и представляют собой серьезный риск компрометации при размещении в общедоступном месте и запуске из привилегированной облачной учетной записи.

Исследователи Pentera обнаружили 1926 действующих уязвимых приложений, размещенных в интернете, которые часто связаны с чрезмерно привилегированными ролями IAM и развернуты в облачных средах AWS, GCP и Azure.

По данным Pentera, уязвимые приложения принадлежат нескольким компаниям из списка Fortune 500, включая Cloudflare, F5 и Palo Alto Networks, которые получили результаты исследований и быстренько устранили проблемы.

Во многих из случаях были раскрыты наборы учетных данных облачного сервиса, не соблюдались рекомендуемые принципы «минимальных привилегий», а более чем в половине ситуаций - вообще использовались дефолтные учетные данные.

Обнаруженные Pentera в ходе расследования креды позволяли злоумышленникам получить полный доступ к хранилищам S3, GCS и Azure Blob Storage, права на чтение и запись в Secrets Manager, возможность взаимодействия с реестрами контейнеров и получение административного доступа к облачной среде.

В отчете Pentera Labs подтвердила, что риск не носит теоретический характер: хакеры уже использовали эти точки входа. Из 616 обнаруженных экземпляров DVWA примерно в 20% были обнаружены артефакты, развернутые злоумышленниками.

Доказательства взлома были обнаружены при оценке нескольких неправильно настроенных, уязвимых приложений. Исследователи создали командные оболочки на машинах и сосканили данные, пытаясь определить их владельцев.

Для майнинга криптовалюты злоумышленниками использовался инструмент XMRig, который в фоновом режиме активно добывал Monero (XMR).

Исследователи также обнаружили усовершенствованный механизм сохранения данных с помощью скрипта под названием watchdog.sh. При удалении скрипт восстанавливался из резервной копии, закодированной в base64, и снова загружал XMRig с GitHub.

Скрипт также загружает из Dropbox дополнительные инструменты, зашифрованные с использованием алгоритма AES-256, и уничтожает конкурирующие майнеры на скомпрометированном хосте.

В других случаях используовалась веб-оболочка PHP под названием filemanager.php, которая поддерживает операции с файлами (чтение, запись, удаление, загрузка, выгрузка) и выполнение команд.

Веб-оболочка содержала жестко закодированные учетные данные для аутентификации и имела часовой пояс, установленный на Europe/Minsk (UTC+3), что может указывать на происхождение операторов.

Pentera рекомендует организациям вести полный учет всех облачных ресурсов, включая тестовые приложения, и изолировать их от производственной среды.

Кроме того, следует обеспечить соблюдение ролей IAM с минимальными привилегиями для непроизводственных систем, изменить учетные данные по умолчанию и настроить автоматическое истечение срока действия временных ресурсов.

Солары обнаружили следы как минимум трех APT-групп в сети российской организации - Erudite Mogwai (Space Pirates), Obstinate Mogwai и GOFFEE.

Весной 2025 года исследователи выявили компрометацию инфраструктуры одной из организаций госсектора азиатской группировкой Erudite Mogwai (aka Space Pirates).

Приступив к расследованию, было обнаружено несколько зараженных систем, где среди прочего нашелся новый модульный бэкдор Shadowpad Light (aka Deed RAT).

Он позволяет загружать разные по функциональности плагины, а его устройство говорит о высокой подготовке атакующих.

Источником их заражения выступил почтовый сервер Exchange.

Как оказалось его взломали еще летом 2024 года с помощью эксплуатации цепочки уязвимостей ProxyShell (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207).

Что не удивительно, ведь уязвимый Exchange нередко становится лакомым кусочком для атакующих.

Несмотря на то, что данная уязвимость из 2021-го, тем не менее практика показывает, что все еще является актуальной. Другой вопрос, как уязвимый почтовый сервер оставался незамеченным так долго.

Все оказалось достаточно прозаично, ведь его установили тем же летом 2024 года и уже спустя несколько недель он попал в поле зрения сразу нескольких хакерских группировок.

В частности, при исследовании системы были обнаружены различные файлы вредоносного ПО: оригинальный ShadowPad (азиатские группы), Shadowpad Light (Erudite Mogwai), Donnect (Obstinate Mogwai) и Mythic Agent (GOFFEE).

Также кроме инструментов данных групп Солары обнаружили и IOCs, и TTPs, которые полностью соответствовали профилям атакующих.

Помимо уже известных инструментов, при исследовании системы был обнаружен новый образец модульного вредоносного ПО ShadowRelay.

Несмотря на то, что бэкдор был загружен в атакованную инфраструктуру в то же самое время, когда там присутствовала группировка Obstinate Mogwai, у Соларов пока нет достаточных свидетельств, что ShadowRelay является частью арсенала именно этой группы.

Вредоносное ПО позволяет атакующим скрытно подгружать плагины, которые реализуют необходимую в конкретной атаке функциональность, позволяя укрывать полезную нагрузку от внимания аналитиков вредоносного ПО. 

Также бэкдор может поддерживать связь с другими имплантами, которые, например, не имеют подключения к интернету, что позволяет ему скрытно шпионить в защищенных сегментах сети организации, общаясь через сеть зараженных машин.

Сам бэкдор не содержит полезной нагрузки для кибершпионажа или удаленного управления, но позволяет ее загрузить.

Но исследователям пока не удалось найти плагины для данного вредоносного ПО, поэтому сценарий атакующих и их цели не ясны до конца.

Имплант имеет множество функций сокрытия себя в системе. Одной из таких является инъекция себя в другие процессы.

В дополнение к этому у бэкдора есть функциональность переиспользования портов.

Все это указывает на относительно высокий уровень подготовки атакующих, а также на то, что их основная цель - длительное скрытное присутствие в атакованной инфраструктуре и шпионаж.

Подробный технический разбор новинки и IOCs - в отчете.

Спустя несколько дней после того, как многие начали сообщать о взломе своих полностью обновленных межсетевых экранов, Fortinet наконец-то подтвердила эти сообщения.

Отметив также, что продолжающиеся атаки CVE-2025-59718 соответствуют вредоносной активности декабря, и в настоящее время она работает над полным устранением уязвимости.

Заявление последовало после волны сообщений от клиентов Fortinet о том, что злоумышленники используют обходной путь для реализации уязвимости CVE-2025-59718, чтобы скомпрометировать полностью обновленные межсетевые экраны.

Ранее в среду, Arctic Wolf сообщала, что наблюдаемая кампания началась 15 января, когда злоумышленники создали учетные записи с доступом к VPN и за считанные секунды украли конфигурации брандмауэра, что, по всей видимости, является автоматизированной атакой.

Компания также добавила, что эти атаки очень схожи с инцидентами, задокументированными ее специалистами в декабре после обнаружения критической CVE-2025-59718 в продуктах Fortinet.

В свою очередь, в Fortinet отмечают, что недавно небольшое количество клиентов сообщили о неожиданной активности при входе в систему на своих устройствах, которая была очень похожа на предыдущую проблему.

Однако за последние 24 часа были выявлены ряд случаев, когда уязвимость была обнаружена на полностью обновленном до последней версии устройстве, что указывает на новый путь атаки.

Fortinet заявляет, что выявила проблему и работает над ее устранением, соответствующе уведомление будет выпущено по мере того, как станут известны объем и сроки исправления.

Важно отметить, что хотя на данный момент наблюдается только эксплуатация уязвимости FortiCloud SSO, эта проблема применима ко всем реализациям SAML SSO.

До тех пор, пока Fortinet полностью не устранит уязвимость CVE-2025-59718, Windsor рекомендует ограничить административный доступ к периферийным сетевым устройствам через Интернет, применив локальную политику для ограничения IP, имеющих доступ к административным интерфейсам устройств.

Администраторам также следует отключить функцию единого входа FortiCloud на своих устройствах Fortinet.

Клиентам Fortinet, обнаружившим какие-либо IOC при проверке устройств на наличие доказательств взлома, следует считать систему и конфигурацию скомпрометированными, сменить учетные данные (включая любые учетные записи LDAP/AD) и восстановить конфигурацию с помощью заведомо чистой версии.

Pwn2Own Automotive 2026 завершился: исследователи заработали 1 047 000 долл., продемонстрировав 76 0-day.

Соревнования по хакингу в автомобильной сфере Pwn2Own Automotive, посвященные автомобильным технологиям, прошли в период 21 по 23 января в Токио, Япония, в рамках автомобильной конференции Automotive World.

В ходе конкурса хакеры атаковали полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные операционные системы (например, Automotive Grade Linux).

Традиционно, согласно правилам, прежде чем информация будет раскрыта Trend Micro у поставщиков есть 90 дней на разработку и выпуск исправлений для 0-day, которые были реализованы в ходе конкурса Pwn2Own.

Команда Fuzzware.io одержала победу на Pwn2Own Automotive 2026, получив денежный приз в размере 215 000 долларов, за ней следуют DDOS с 100 750 долл. и Synactiv с 85 000 долл.

Fuzzware.io заработала 118 000 долл., взломав в первый день зарядную станцию Alpitronic HYC50, зарядное устройство Autel и навигационный приемник Kenwood DNR1007XR.

Они также урвали еще 95 000 долл. после демонстрации нескольких нулей в контроллере зарядки Phoenix Contact CHARX SEC-3150, зарядном устройстве ChargePoint Home Flex EV и зарядной станции Grizzl-E Smart 40A EV на второй день.

Кроме того, дополнительно 2500 зеленых они вложили в свой гонорар после обнаружения уязвимости при попытке получить root-права на мультимедийном ресивере Alpine iLX-F511 в последний день соревнований.

Команда Synacktiv получила 35 000 долл., используя уязвимость записи за пределы допустимого диапазона и утечку информации для взлома информационно-развлекательной системы Tesla с помощью USB-атаки в первый день Pwn2Own.

Полное расписание третьего дня и результаты каждого задания - здесь, полное расписание Pwn2Own Automotive 2026 - здесь.

В общем зачете, в этом году исследователям удалось препарировать на порядок большей нулей, однако поставить рекорд по части призовых не удалось, ведь годом ранее он составил 1 323 750 долл.

CISA на пару с Broadcom предупреждают, что критическая RCE-уязвимость в VMware vCenter Server теперь активно используется злоумышленниками в реальных условиях.

CVE-2024-37079 была исправлена еще в июне 2024 года и связана с переполнением памяти в реализации протокола DCERPC в vCenter Server (платформа управления Broadcom VMware vSphere для управления хостами и виртуальными машинами ESXi).

Злоумышленники с сетевым доступом к vCenter Server могут использовать эту уязвимость, отправляя специально сформированный сетевой пакет, который способен инициировать удаленное выполнение кода в рамках простых атак, не требующих привилегий в целевых системах или взаимодействия с пользователем.

Для CVE-2024-37079 не существует обходных путей или способов её устранения, поэтому компания Broadcom рекомендовала клиентам как можно скорее установить обновления для последних версий vCenter Server и Cloud Foundation.

В свою очередь, CISA в конце прошлой недели добавила эту уязвимость в свой каталог уязвимостей, используемых злоумышленниками (KEV), отмечая, что этот тип уязвимости является частым вектором атак и несет значительные риски.

В тот же день Broadcom обновила свое изначальное уведомление и подтвердила, что ей также известно о том, что уязвимость CVE-2024-37079 была использована злоумышленниками в реальных условиях.

Какой-либо конкретной информацией об атаках и характере эксплуатации ни CISA, ни Broadcom не поделились. Будем следить.