Исследователи Flare раскрывают масштабную кампанию с использованием червя и React2Shell (CVE-2025-55182, CVSS: 10.0), нацеленную на облачные среды с целью создания вредоносной инфраструктуры для последующей эксплуатации.
Вредоносная активность попала в поле зрения исследователей 25 декабря 2025 года. Flare приписала ее TeamPCP (DeadCatx3, PCPcat, PersyPCP и ShellForce), которая активна с ноября 2025 года и упоминалась в декабре 2025 года под названием Operation PCPcat у Beelzebub.
При этом первое упоминание в Telegram датируется 30 июля 2025 года. С тех пор группа системно публикует украденные данные различных жертв из Канады, Сербии, Южной Кореи, ОАЭ и США.
Как полагают исследователи, цели кампании заключаются в создании распределенной инфраструктуры прокси-серверов и сканирования с последующим взломом серверов для кражи данных, развертывания ransomware, вымогательства и майнинга крипты.
TeamPCP функционирует как облачная платформа для киберпреступности, используя неправильно настроенные API Docker, API Kubernetes, панели мониторинга Ray, серверы Redis и уязвимые приложения React/Next.js в качестве основных путей заражения для взлома современной облачной инфраструктуры с целью кражи данных и вымогательства.
Кроме того, скомпрометированная инфраструктура используется в самых разных целях, от майнинга крипты и размещения данных до прокси-серверов и средств C2.
TeamPCP опирается на проверенные временем методы атак, такие как существующие инструменты, распространенные уязвимости и ошибки конфигурации, которые позволяют формировать операторам платформу для эксплуатации с «автоматизацией и индустриализацией» всего процесса.
Как отмечают Flare, это, в свою очередь, превращает уязвимую инфраструктуру в «самовоспроизводящуюся криминальную экосистему».
Успешная эксплуатация открывает путь для развертывания полезных нагрузок следующего этапа с внешних серверов, включая скрипты на основе командной оболочки и Python, которые затем подбирают ищут новые цели для дальнейшего расширения.
Одним из основных компонентов является proxy.sh, который устанавливает утилиты для прокси-серверов, одноранговых сетей (P2P) и туннелирования, а также предоставляет различные сканеры для поиска в интернете уязвимых и неправильно настроенных серверов.
Примечательно, что proxy.sh выполняет идентификацию среды во время выполнения. На ранней стадии выполнения он проверяет, работает ли он внутри кластера Kubernetes.
После чего скрипт переходит в отдельный путь выполнения и запускает вторичную полезную нагрузку, специфичную для кластера, что указывает использование TeamPCP отдельных инструментов и методов для облачных целей вместо универсального вредоносного ПО для Linux.
Среди других полезных нагрузок:
- scanner.py (для поиска неправильно настроенных API Docker и панелей Ray);
- kube.py (включает в себя специфические для Kubernetes функции сбора учетных данных кластера, а также опции распространения и бэкдора);
- react.py (нацеливание на CVE-2025-29927 для осуществления удаленного выполнения команд);
- pcpcat.py (для обнаружения открытых API Docker и панелей Ray, автоматического развертывания вредоносного контейнера и выполнения полезной нагрузки).
Flare заметила, что узел C2 по адресу 67.217.57[.]240 также связан с работой Sliver, который, как известно, используется злоумышленниками для постэксплуатационных целей.
Телеметрия также показывают, что злоумышленники в основном выбирают в качестве мишени среды Amazon Web Services (AWS) и Microsoft Azure.
Атаки носят оппортунистический характер и, в первую очередь, нацелены на инфраструктуру, соответствующие их целам, а не конкретным отраслям.
В целом, кампания PCPcat демонстрирует полный жизненный цикл сканирования, эксплуатации, закрепления в системе, туннелирования, кражи данных и монетизации, разработанный специально для современной облачной инфраструктуры.
Основная опасность заключается в операционной интеграции и масштабируемости, а гибридная модель позволяет группе монетизировать как вычислительные ресурсы, так и информацию.
Вредоносная активность попала в поле зрения исследователей 25 декабря 2025 года. Flare приписала ее TeamPCP (DeadCatx3, PCPcat, PersyPCP и ShellForce), которая активна с ноября 2025 года и упоминалась в декабре 2025 года под названием Operation PCPcat у Beelzebub.
При этом первое упоминание в Telegram датируется 30 июля 2025 года. С тех пор группа системно публикует украденные данные различных жертв из Канады, Сербии, Южной Кореи, ОАЭ и США.
Как полагают исследователи, цели кампании заключаются в создании распределенной инфраструктуры прокси-серверов и сканирования с последующим взломом серверов для кражи данных, развертывания ransomware, вымогательства и майнинга крипты.
TeamPCP функционирует как облачная платформа для киберпреступности, используя неправильно настроенные API Docker, API Kubernetes, панели мониторинга Ray, серверы Redis и уязвимые приложения React/Next.js в качестве основных путей заражения для взлома современной облачной инфраструктуры с целью кражи данных и вымогательства.
Кроме того, скомпрометированная инфраструктура используется в самых разных целях, от майнинга крипты и размещения данных до прокси-серверов и средств C2.
TeamPCP опирается на проверенные временем методы атак, такие как существующие инструменты, распространенные уязвимости и ошибки конфигурации, которые позволяют формировать операторам платформу для эксплуатации с «автоматизацией и индустриализацией» всего процесса.
Как отмечают Flare, это, в свою очередь, превращает уязвимую инфраструктуру в «самовоспроизводящуюся криминальную экосистему».
Успешная эксплуатация открывает путь для развертывания полезных нагрузок следующего этапа с внешних серверов, включая скрипты на основе командной оболочки и Python, которые затем подбирают ищут новые цели для дальнейшего расширения.
Одним из основных компонентов является proxy.sh, который устанавливает утилиты для прокси-серверов, одноранговых сетей (P2P) и туннелирования, а также предоставляет различные сканеры для поиска в интернете уязвимых и неправильно настроенных серверов.
Примечательно, что proxy.sh выполняет идентификацию среды во время выполнения. На ранней стадии выполнения он проверяет, работает ли он внутри кластера Kubernetes.
После чего скрипт переходит в отдельный путь выполнения и запускает вторичную полезную нагрузку, специфичную для кластера, что указывает использование TeamPCP отдельных инструментов и методов для облачных целей вместо универсального вредоносного ПО для Linux.
Среди других полезных нагрузок:
- scanner.py (для поиска неправильно настроенных API Docker и панелей Ray);
- kube.py (включает в себя специфические для Kubernetes функции сбора учетных данных кластера, а также опции распространения и бэкдора);
- react.py (нацеливание на CVE-2025-29927 для осуществления удаленного выполнения команд);
- pcpcat.py (для обнаружения открытых API Docker и панелей Ray, автоматического развертывания вредоносного контейнера и выполнения полезной нагрузки).
Flare заметила, что узел C2 по адресу 67.217.57[.]240 также связан с работой Sliver, который, как известно, используется злоумышленниками для постэксплуатационных целей.
Телеметрия также показывают, что злоумышленники в основном выбирают в качестве мишени среды Amazon Web Services (AWS) и Microsoft Azure.
Атаки носят оппортунистический характер и, в первую очередь, нацелены на инфраструктуру, соответствующие их целам, а не конкретным отраслям.
В целом, кампания PCPcat демонстрирует полный жизненный цикл сканирования, эксплуатации, закрепления в системе, туннелирования, кражи данных и монетизации, разработанный специально для современной облачной инфраструктуры.
Основная опасность заключается в операционной интеграции и масштабируемости, а гибридная модель позволяет группе монетизировать как вычислительные ресурсы, так и информацию.
Flare | Threat Exposure Management | Unmatched Visibility into Cybercrime
Threat Alert: TeamPCP, An Emerging Force in the Cloud Native and Ransomware Landscape
By Assaf Morag, Cybersecurity Researcher TeamPCP (a.k.a. PCPcat, ShellForce, and DeadCatx3) launched a massive campaign in December 2025 targeting cloud native environments as part of a worm-driven operation that systematically abused exposed Docker APIs…
BeyondTrust предупредила клиентов о необходимости устранения критической уязвимости в системе безопасности своего ПО для удаленной поддержки (Remote Support, RS) и привилегированного удаленного доступа (Privileged Remote Access, PRA).
Проблема отслеживается как CVE-2026-1731 и представляет собой уязвимость удаленного выполнения кода до аутентификации, которая обусловлена недостатком внедрения команд операционной системы.
Обнаружение приписывается Харшу Джайсуалу и команде Hacktron AI. Уязвимость затрагивает BeyondTrust Remote Support 25.3.1 или более ранние версии и Privileged Remote Access 24.3.4 или более ранние версии.
Злоумышленники, не обладающие привилегиями, могут использовать это для осуществления вредоносных запросов к клиенту. Успешная эксплуатация позволяет неавторизованному удалённому злоумышленнику выполнять команды ОС в контексте пользователя сайта.
При этом эксплуатация не требует аутентификации или взаимодействия с пользователем и может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
BeyondTrust обеспечила безопасность всех облачных систем RS/PRA к 2 февраля и рекомендовала всем клиентам, использующим локальные системы, вручную обновить их до Remote Support 25.3.2 и Privileged Remote Access 25.1.1 (или более поздней).
Как отмечают исследователи, приблизительно 11 000 экземпляров подключены к интернету (как облачные, так и локальные развертывания). При этом около 8500 из них - это локальные развертывания, которые остаются потенциально уязвимыми, если не будут установлены обновления.
BeyondTrust отметила, что на данный момент известных активных случаев эксплуатации уязвимости CVE-2026-1731 в реальных условиях не зафиксировано.
Однако в последние годы другие уязвимости безопасности BeyondTrust RS/PRA не раз становились объектами атак.
В частности, два года назад злоумышленники использовали украденный ключ API для компрометации 17 экземпляров SaaS-сервиса удаленной поддержки, взломав системы BeyondTrust с помощью двух 0-day RS/PRA (CVE-2024-12356 и CVE-2024-12686).
Тогда благодаря этим нулям под каток Silk Typhoon попало Министерство финансов США, у которого китайские хакеры выкрали информацию и конфиденциальные документы из взломанной системы BeyondTrust.
Так что, принимая во внимание, что у BeyondTrust более чем 20 000 клиентов в более чем 100 странах, включая 75% компаний из списка Fortune 100 по всему миру, новую CVE-2026-1731 в киберподполье точно будут отрабатывать. Но будем посмотреть.
Проблема отслеживается как CVE-2026-1731 и представляет собой уязвимость удаленного выполнения кода до аутентификации, которая обусловлена недостатком внедрения команд операционной системы.
Обнаружение приписывается Харшу Джайсуалу и команде Hacktron AI. Уязвимость затрагивает BeyondTrust Remote Support 25.3.1 или более ранние версии и Privileged Remote Access 24.3.4 или более ранние версии.
Злоумышленники, не обладающие привилегиями, могут использовать это для осуществления вредоносных запросов к клиенту. Успешная эксплуатация позволяет неавторизованному удалённому злоумышленнику выполнять команды ОС в контексте пользователя сайта.
При этом эксплуатация не требует аутентификации или взаимодействия с пользователем и может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
BeyondTrust обеспечила безопасность всех облачных систем RS/PRA к 2 февраля и рекомендовала всем клиентам, использующим локальные системы, вручную обновить их до Remote Support 25.3.2 и Privileged Remote Access 25.1.1 (или более поздней).
Как отмечают исследователи, приблизительно 11 000 экземпляров подключены к интернету (как облачные, так и локальные развертывания). При этом около 8500 из них - это локальные развертывания, которые остаются потенциально уязвимыми, если не будут установлены обновления.
BeyondTrust отметила, что на данный момент известных активных случаев эксплуатации уязвимости CVE-2026-1731 в реальных условиях не зафиксировано.
Однако в последние годы другие уязвимости безопасности BeyondTrust RS/PRA не раз становились объектами атак.
В частности, два года назад злоумышленники использовали украденный ключ API для компрометации 17 экземпляров SaaS-сервиса удаленной поддержки, взломав системы BeyondTrust с помощью двух 0-day RS/PRA (CVE-2024-12356 и CVE-2024-12686).
Тогда благодаря этим нулям под каток Silk Typhoon попало Министерство финансов США, у которого китайские хакеры выкрали информацию и конфиденциальные документы из взломанной системы BeyondTrust.
Так что, принимая во внимание, что у BeyondTrust более чем 20 000 клиентов в более чем 100 странах, включая 75% компаний из списка Fortune 100 по всему миру, новую CVE-2026-1731 в киберподполье точно будут отрабатывать. Но будем посмотреть.
BeyondTrust
BT26-02 | BeyondTrust
BeyondTrust’s Privileged Access Management platform protects your organization from unwanted remote access, stolen credentials, and misused privileges
Исследователи Huntress Security сообщают об обнаружении вредоносной активности, связанной с нацеливанием на уязвимости в SolarWinds Web Help Desk (WHD) для развертывания легитимных инструментов удаленного мониторинга и управления Zoho ManageEngine.
Злоумышленник атаковал как минимум три организации, а также использовал туннели Cloudflare для обеспечения постоянного доступа к системе и Velociraptor для C2. Все в рамках общей кампании, начавшейся 16 января и использующей недавно обнаруженные уязвимости SolarWinds WHD.
По данным компании, злоумышленник использовал уязвимости CVE-2025-40551, которые CISA на прошлой неделе отметила как используемые в атаках, а также CVE-2025-26399.
Обе проблемы безопасности получили критическую оценку серьезности и могут быть использованы для RCE на хост-машине без аутентификации.
Свою очередь, исследователи Microsoft также задетектили «многоэтапное вторжение, в ходе которого злоумышленники использовали доступные через интернет экземпляры SolarWinds Web Help Desk (WHD)», но не подтвердили использование обеих уязвимостей.
Получив первоначальный доступ, злоумышленник установил агент Zoho ManageEngine Assist с помощью MSI-файла, загруженного с файловой платформы Catbox.
Затем настроил инструмент для автоматического доступа и зарегистрировал скомпрометированный хост в учетной записи Zoho Assist, привязанной к анонимному Proton Mail.
Этот инструмент используется для непосредственной ручной работы и разведки Active Directory (AD), также применяется для развертывания Velociraptor, загружаемого в виде MSI-файла из хранилища Supabase.
Velociraptor - это легитимный инструмент DFIR, который, как недавно предупредила Cisco Talos, активно используется не по назначению в атаках с применением ransomware.
В наблюдаемых Huntress атаках, платформа DFIR используется в качестве системы C2, которая взаимодействует с злоумышленниками через Cloudflare Workers.
Исследователи отмечают, что злоумышленник использовал устаревшую версию Velociraptor, 0.73.4, которая имеет EoP-уязвимости, позволяющие увеличить права доступа к хосту.
Злоумышленник также установил Cloudflared из официального репозитория на GitHub, используя его в качестве дополнительного канала доступа на основе туннелей для обеспечения резервирования C2.
В некоторых случаях сохранение доступа обеспечивалось с помощью запланированной задачи (TPMProfiler), которая открывает бэкдор SSH через QEMU.
Атакующие также отключили Windows Defender и брандмауэр с помощью изменений в реестре, гарантируя загрузку дополнительных вредоносных ПО.
Системным администраторам рекомендуется обновить SolarWinds Web Help Desk до версии 2026.1 или более поздней, отключить доступ к административным интерфейсам через публичный интернет и сбросить все учетные данные, связанные с продуктом.
Huntress также поделилась правилами Sigma и IOCs, которые помогают обнаруживать активность туннелей Zoho Assist, Velociraptor, Cloudflared и VS Code, скрытые установки MSI и зашифрованное выполнение PowerShell.
Пока ни Microsoft, ни Huntress не связали наблюдаемые атаки с какими-либо конкретными группами угроз или другими подробностями по части мотивации актора.
Злоумышленник атаковал как минимум три организации, а также использовал туннели Cloudflare для обеспечения постоянного доступа к системе и Velociraptor для C2. Все в рамках общей кампании, начавшейся 16 января и использующей недавно обнаруженные уязвимости SolarWinds WHD.
По данным компании, злоумышленник использовал уязвимости CVE-2025-40551, которые CISA на прошлой неделе отметила как используемые в атаках, а также CVE-2025-26399.
Обе проблемы безопасности получили критическую оценку серьезности и могут быть использованы для RCE на хост-машине без аутентификации.
Свою очередь, исследователи Microsoft также задетектили «многоэтапное вторжение, в ходе которого злоумышленники использовали доступные через интернет экземпляры SolarWinds Web Help Desk (WHD)», но не подтвердили использование обеих уязвимостей.
Получив первоначальный доступ, злоумышленник установил агент Zoho ManageEngine Assist с помощью MSI-файла, загруженного с файловой платформы Catbox.
Затем настроил инструмент для автоматического доступа и зарегистрировал скомпрометированный хост в учетной записи Zoho Assist, привязанной к анонимному Proton Mail.
Этот инструмент используется для непосредственной ручной работы и разведки Active Directory (AD), также применяется для развертывания Velociraptor, загружаемого в виде MSI-файла из хранилища Supabase.
Velociraptor - это легитимный инструмент DFIR, который, как недавно предупредила Cisco Talos, активно используется не по назначению в атаках с применением ransomware.
В наблюдаемых Huntress атаках, платформа DFIR используется в качестве системы C2, которая взаимодействует с злоумышленниками через Cloudflare Workers.
Исследователи отмечают, что злоумышленник использовал устаревшую версию Velociraptor, 0.73.4, которая имеет EoP-уязвимости, позволяющие увеличить права доступа к хосту.
Злоумышленник также установил Cloudflared из официального репозитория на GitHub, используя его в качестве дополнительного канала доступа на основе туннелей для обеспечения резервирования C2.
В некоторых случаях сохранение доступа обеспечивалось с помощью запланированной задачи (TPMProfiler), которая открывает бэкдор SSH через QEMU.
Атакующие также отключили Windows Defender и брандмауэр с помощью изменений в реестре, гарантируя загрузку дополнительных вредоносных ПО.
Системным администраторам рекомендуется обновить SolarWinds Web Help Desk до версии 2026.1 или более поздней, отключить доступ к административным интерфейсам через публичный интернет и сбросить все учетные данные, связанные с продуктом.
Huntress также поделилась правилами Sigma и IOCs, которые помогают обнаруживать активность туннелей Zoho Assist, Velociraptor, Cloudflared и VS Code, скрытые установки MSI и зашифрованное выполнение PowerShell.
Пока ни Microsoft, ни Huntress не связали наблюдаемые атаки с какими-либо конкретными группами угроз или другими подробностями по части мотивации актора.
Huntress
Active Exploitation of SolarWinds Web Help Desk (CVE-2025-26399) | Huntress
Huntress has observed active exploitation of a deserialization and remote code execution against the SolarWinds Web Help Desk software (CVE-2025-26399).
Ivanti снова в тренде киберподполья: клиентам пора примерять новый фирменный мерч в коричневых тонах.
Управление по защите данных Нидерландов (AP) и Совет судебной власти официально подтвердили, что стали жертвами кибератак в виду эксплуатации недавно выявленных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM).
Как сообщается, к рабочим данным сотрудников AP, включая установочные данные, адреса рабочей электронной почты и номера телефонов, получили доступ посторонние лица.
Немного ранее Европейская комиссия также сообщила о том, что ее центральная инфраструктура, управляющая мобильными устройствами, пострадала от кибератаки, которая могла привести к получению неправомерного доступа к именам и номерам телефонов ее сотрудников.
Инцидент был локализован в течение девяти часов, а компрометации мобильных устройств обнаружено не было.
Название поставщика при этом не называлось, но, предполагается, что это связано со вредоносной деятельностью, нацеленной на уязвимости в Ivanti EPMM.
Кроме того, финская госкомпания Valtori, предоставляющая информационные и коммуникационные технологии, также 30 января сообщила о взломе сервиса управления мобильными устройствами, в результате которого были раскрыты рабочие данные 50 000 госслужащих.
При этом, обновления были установлены 29 января, в тот же день, когда Ivanti выпустила исправления для CVE-2026-1281 и CVE-2026-1340 (CVSS: 9,8), которые потенциально могли быть использованы злоумышленником для несанкционированного RCE.
Ivanti в свойственной манере была вынуждена наконец признать, что уязвимости задействуется в качестве 0-day, но затрагивают «очень ограниченное число клиентов». Однако раскрыть точные данные о количестве жертв отказалась.
Расследование показало, что система управления не удаляла удаленные данные окончательно, а лишь помечала их как удаленные.
В результате данные устройств и пользователей, принадлежащие всем организациям, которые использовали сервис в течение его жизненного цикла, могли быть скомпрометированы.
В watchTowr полагают, что эти атаки не носят случайных характер, а скорее всего являются делом рук «высококвалифицированного, хорошо обеспеченного ресурсами злоумышленника, проводящего целенаправленную кампанию».
Впрочем, клиентов Ivanti уже ничем не удивить. Новый сезон приключений можно считать открытым.
Управление по защите данных Нидерландов (AP) и Совет судебной власти официально подтвердили, что стали жертвами кибератак в виду эксплуатации недавно выявленных уязвимостей в Ivanti Endpoint Manager Mobile (EPMM).
Как сообщается, к рабочим данным сотрудников AP, включая установочные данные, адреса рабочей электронной почты и номера телефонов, получили доступ посторонние лица.
Немного ранее Европейская комиссия также сообщила о том, что ее центральная инфраструктура, управляющая мобильными устройствами, пострадала от кибератаки, которая могла привести к получению неправомерного доступа к именам и номерам телефонов ее сотрудников.
Инцидент был локализован в течение девяти часов, а компрометации мобильных устройств обнаружено не было.
Название поставщика при этом не называлось, но, предполагается, что это связано со вредоносной деятельностью, нацеленной на уязвимости в Ivanti EPMM.
Кроме того, финская госкомпания Valtori, предоставляющая информационные и коммуникационные технологии, также 30 января сообщила о взломе сервиса управления мобильными устройствами, в результате которого были раскрыты рабочие данные 50 000 госслужащих.
При этом, обновления были установлены 29 января, в тот же день, когда Ivanti выпустила исправления для CVE-2026-1281 и CVE-2026-1340 (CVSS: 9,8), которые потенциально могли быть использованы злоумышленником для несанкционированного RCE.
Ivanti в свойственной манере была вынуждена наконец признать, что уязвимости задействуется в качестве 0-day, но затрагивают «очень ограниченное число клиентов». Однако раскрыть точные данные о количестве жертв отказалась.
Расследование показало, что система управления не удаляла удаленные данные окончательно, а лишь помечала их как удаленные.
В результате данные устройств и пользователей, принадлежащие всем организациям, которые использовали сервис в течение его жизненного цикла, могли быть скомпрометированы.
В watchTowr полагают, что эти атаки не носят случайных характер, а скорее всего являются делом рук «высококвалифицированного, хорошо обеспеченного ресурсами злоумышленника, проводящего целенаправленную кампанию».
Впрочем, клиентов Ivanti уже ничем не удивить. Новый сезон приключений можно считать открытым.
Rijksoverheid
Kamerbrief over incident bij de Autoriteit Persoonsgegevens en de Raad voor de rechtspraak
Staatssecretaris Rutte (JenV) en staatssecretaris Van Marum (BZK)informeren de Tweede Kamer over misbruik van een kwetsbaarheid in Ivanti Endpoint Manager Mobile (EPMM) bij de Autoriteit Persoonsgegevens (AP) en de Raad voor de rechtspraak (Rvdr). EPPM is…
Fortinet выпустила обновления для устранения критической уязвимости в FortiClientEMS, которая может привести к выполнению произвольного кода в уязвимых системах.
Проблема отслеживается как CVE-2026-21643 и имеет рейтинг CVSS 9,1 из 10 возможных. Она связана с неправильной нейтрализацией специальных элементов, используемых в уязвимости SQL-команды в FortiClientEMS, позволяя неавторизованному злоумышленнику выполнить несанкционированный код или команды с помощью специально сформированных HTTP-запросов.
Обнаружение приписывается Гвендалу Геньо из команды Fortinet. Недостаток затрагивает FortiClientEMS 7.4.4 (обновить до версии 7.4.5 или выше), FortiClientEMS 7.2 и FortiClientEMS 8.0 отмечены как незатронутые.
К настоящему времени Fortinet не упоминает об использовании этой уязвимости в реальных условиях, аналогично недавней CVE-2026-24858 в FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb, позволявшей злоумышленнику с учетной записью FortiCloud и зарегистрированным устройством входить в систему на других устройствах с активной FortiCloud SSO.
Впоследствии Fortinet признала, что злоумышленники активно использовали ее для создания локальных админских учетных записей для постоянного доступа, внесения изменений в конфигурацию, предоставляющих доступ к VPN, и кражи конфигурационных данных межсетевого экрана.
Проблема отслеживается как CVE-2026-21643 и имеет рейтинг CVSS 9,1 из 10 возможных. Она связана с неправильной нейтрализацией специальных элементов, используемых в уязвимости SQL-команды в FortiClientEMS, позволяя неавторизованному злоумышленнику выполнить несанкционированный код или команды с помощью специально сформированных HTTP-запросов.
Обнаружение приписывается Гвендалу Геньо из команды Fortinet. Недостаток затрагивает FortiClientEMS 7.4.4 (обновить до версии 7.4.5 или выше), FortiClientEMS 7.2 и FortiClientEMS 8.0 отмечены как незатронутые.
К настоящему времени Fortinet не упоминает об использовании этой уязвимости в реальных условиях, аналогично недавней CVE-2026-24858 в FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb, позволявшей злоумышленнику с учетной записью FortiCloud и зарегистрированным устройством входить в систему на других устройствах с активной FortiCloud SSO.
Впоследствии Fortinet признала, что злоумышленники активно использовали ее для создания локальных админских учетных записей для постоянного доступа, внесения изменений в конфигурацию, предоставляющих доступ к VPN, и кражи конфигурационных данных межсетевого экрана.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Позитивы решили забомбить отчетами.
В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.
Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.
Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.
Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.
Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике).
Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.
Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.
Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.
Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.
Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.
Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.
С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.
В продолжение к прошлому исследованию в отношении мировых трендов IT и ИБ, сложившихся в 2025 году, Позитивы представили свое видение будущего отрасли, исходя из обозначенных ранее тенденций.
Отчет объемен и не менее информативен, включая аналитику по массовым и целевым атакам, ИИ, двойному вымогательству, кроссплатформенным угрозам, вирусы-трансформерам, AV/EDR-киллерам, фишкитам, дипфейкам, социнженерии, вишингу, AllFix, уязвимостям/эксплойтам, новым угрозам на периметре, RMM-решениям и IAB 2.0.
Исследователи Positive Technologies также продолжают отслеживать и обозревать активность хакерских группировок, нацеленных на российские организации.
Новый отчет включает аналитику по двум основным направлениям: шпионской активности и финансово мотивированным атакам.
Основное внимание сосредоточено на выявлении и сопоставлении повторяющихся паттернов атак, TTPs и штаммов вредоносного ПО с ретроспективой (для более точной фиксации преемственности инструментов и изменений в тактике).
Такой подход позволил не только описать отдельные инциденты, но и подтвердить устойчивые паттерны группировок на примере сопоставимых цепочек, как это показано в материалах по APT31 и NetMedved.
Параллельно анализировалась эволюция инструментария группировок в динамике отчетного года, включая изменения в составе инструментов, способах закрепления и скрытного управления, а также в подходах к получению первичного доступа.
Наиболее показательным примером в этой части является ExCobalt, для которой характерна регулярная модификация компонентов и адаптация техник под конкретные инфраструктуры и условия эксплуатации.
Отдельно фиксировались кейсы активности группировок, ранее не проявлявших выраженного фокуса на российском направлении, включая кампании Silver Fox с использованием фишинговых уведомлений от государственных ведомств.
Накопленные наблюдения по инцидентам и инструментарию дополнены анализом общей динамики за 2025 год: рост числа атак и увеличение объема уникальных вредоносных семплов, ассоциированных с APT, указывают на ускорение цикла разработки и модификации вредоносного ПО.
Одним из факторов, влияющих на эту тенденцию, является расширение возможностей по созданию и адаптации кода с использованием LLM, которые упрощают разработку и повышают вариативность реализаций при сохранении типовых тактик и техник.
С учетом указанных тенденций квартальная аналитика обобщает краткие описания цепочек компрометации, используемых инструментов и ключевых IOCs для: АРТ31, ExCobalt, QuietCrabs, Rare Werewolf, PseudoGamaredon, а также Werewolves, NetMedved, Silver Fox и Hive0117.
Хабр
Теневой ИИ, двойное вымогательство, дипфейки, фишинг-вишинг и не только: киберпрогнозы-2026
Привет, Хабр! На прошлой неделе мы рассказали о мировых трендах IT и ИБ, сложившихся в 2025 году . Это важные тенденции, которые буду влиять на нас и наше будущее в ближайшие месяцы и годы. Каким...
В рамках февральского PatchTuesday в этом месяце Microsoft устранила 58 уязвимостей, в том числе 6 активно используемых и трех публично раскрытых 0-day: CVE-2026-21510, CVE-2026-21514, CVE-2026-21513, CVE-2026-21519, CVE-2026-21533 и CVE-2026-21525.
В новом обновлении также исправлены пять критических уязвимостей, три из которых связаны с EoP, а две - с раскрытием информации. В целом распределение по категориям выглядит следующим образом: 25 - EoP, 5 - обход функции безопасности, 12 - RCE, 6 - раскрытие информации, 3 - DoS и 7 - подмена данных.
Кроме того, 3 уязвимости исправлены в Microsoft Edge, обновлены сертификаты Secure Boot, которые заменят оригинальные от 2011 года, срок действия которых истекает в июне 2026 года, а также выпущены расширенные обновления безопасности Windows 10.
Среди нулей на этот раз кучно:
- CVE-2026-21510: обход запросов безопасности Windows SmartScreen и Windows Shell.
Проблема позволяет обойти функцию безопасности Windows и может быть активирована при открытии специально созданной ссылки или файла ярлыка. Вероятно, приводит к обходу Mark of the Web.
Злоумышленник может обойти запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку в компонентах Windows Shell, что позволяет выполнять контент, контролируемый злоумышленником, без предупреждения или согласия пользователя.
Обнаружение приписывается Microsoft MSTIC и MSRC, группе безопасности Office, Google и анонимному исследователю, которые также раскрыли
CVE-2026-21513 и CVE-2026-21514.
- CVE-2026-21513: уязвимость в Internet Explorer для обхода средств защиты и потенциального выполнения кода через вредоносные HTML- или LNK-файлы.
Уязвимость связана со сбоем в механизме защиты MSHTML Framework, открывая неавторизованному злоумышленнику возможность обойти функцию безопасности в сети. Данные о том, как именно она была использована не раскрываются.
- CVE-2026-21514: уязвимость в Microsoft Word, позволяющая злоумышленнику обойти меры защиты OLE.
Для эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его.
Microsoft заявляет, что уязвимость невозможно использовать в панели предварительного просмотра Office. Поскольку никаких подробностей не было приведено, предполагается, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 могли быть использованы в рамках одной кампании.
- CVE-2026-21519: уязвимость повышения привилегий в диспетчере окон рабочего стола Windows.
Злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии. Никаких подробностей о том, как именно была совершена атака, не сообщается.
Microsoft упоминает лишь то, что обнаружение уязвимости приписывается центрам Microsoft MSTIC и MSRC.
- CVE-2026-21525: DoS-уязвимость в диспетчере подключений удаленного доступа Windows.
Разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows позволяет неавторизованному злоумышленнику запретить локальное обслуживание.
Microsoft приписала обнаружение ACROS, работающей с 0patch.
Исследователи отыскали уязвимость в общедоступном репозитории вредоносного ПО в ходе поиска эксплойта для CVE-2025-59230, но он не осведомлены, как именно она используется в атаках. Однако качество комбинированного эксплойта для обеих уязвимостей говорит о «профессионально проделанной работе».
- CVE-2026-21533: EoP-уязвимость в службах удаленного рабочего стола Windows.
Неправильное управление привилегиями в Windows Remote Desktop позволяет авторизованному злоумышленнику повысить привилегии локально. Обнаружение приписывается CrowdStrike.
По данным CrowdStrike, эксплойт для CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить повысить привилегии и добавить нового пользователя в группу админов.
CrowdStrike не связывает эту активность с конкретным актором, но полагают, что разработчики эксплойта, вероятно, ускорят свои попытки использовать или перепродать его в ближайшее время.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
В новом обновлении также исправлены пять критических уязвимостей, три из которых связаны с EoP, а две - с раскрытием информации. В целом распределение по категориям выглядит следующим образом: 25 - EoP, 5 - обход функции безопасности, 12 - RCE, 6 - раскрытие информации, 3 - DoS и 7 - подмена данных.
Кроме того, 3 уязвимости исправлены в Microsoft Edge, обновлены сертификаты Secure Boot, которые заменят оригинальные от 2011 года, срок действия которых истекает в июне 2026 года, а также выпущены расширенные обновления безопасности Windows 10.
Среди нулей на этот раз кучно:
- CVE-2026-21510: обход запросов безопасности Windows SmartScreen и Windows Shell.
Проблема позволяет обойти функцию безопасности Windows и может быть активирована при открытии специально созданной ссылки или файла ярлыка. Вероятно, приводит к обходу Mark of the Web.
Злоумышленник может обойти запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку в компонентах Windows Shell, что позволяет выполнять контент, контролируемый злоумышленником, без предупреждения или согласия пользователя.
Обнаружение приписывается Microsoft MSTIC и MSRC, группе безопасности Office, Google и анонимному исследователю, которые также раскрыли
CVE-2026-21513 и CVE-2026-21514.
- CVE-2026-21513: уязвимость в Internet Explorer для обхода средств защиты и потенциального выполнения кода через вредоносные HTML- или LNK-файлы.
Уязвимость связана со сбоем в механизме защиты MSHTML Framework, открывая неавторизованному злоумышленнику возможность обойти функцию безопасности в сети. Данные о том, как именно она была использована не раскрываются.
- CVE-2026-21514: уязвимость в Microsoft Word, позволяющая злоумышленнику обойти меры защиты OLE.
Для эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть его.
Microsoft заявляет, что уязвимость невозможно использовать в панели предварительного просмотра Office. Поскольку никаких подробностей не было приведено, предполагается, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 могли быть использованы в рамках одной кампании.
- CVE-2026-21519: уязвимость повышения привилегий в диспетчере окон рабочего стола Windows.
Злоумышленник, успешно использовавший эту уязвимость, может получить системные привилегии. Никаких подробностей о том, как именно была совершена атака, не сообщается.
Microsoft упоминает лишь то, что обнаружение уязвимости приписывается центрам Microsoft MSTIC и MSRC.
- CVE-2026-21525: DoS-уязвимость в диспетчере подключений удаленного доступа Windows.
Разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows позволяет неавторизованному злоумышленнику запретить локальное обслуживание.
Microsoft приписала обнаружение ACROS, работающей с 0patch.
Исследователи отыскали уязвимость в общедоступном репозитории вредоносного ПО в ходе поиска эксплойта для CVE-2025-59230, но он не осведомлены, как именно она используется в атаках. Однако качество комбинированного эксплойта для обеих уязвимостей говорит о «профессионально проделанной работе».
- CVE-2026-21533: EoP-уязвимость в службах удаленного рабочего стола Windows.
Неправильное управление привилегиями в Windows Remote Desktop позволяет авторизованному злоумышленнику повысить привилегии локально. Обнаружение приписывается CrowdStrike.
По данным CrowdStrike, эксплойт для CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить повысить привилегии и добавить нового пользователя в группу админов.
CrowdStrike не связывает эту активность с конкретным актором, но полагают, что разработчики эксплойта, вероятно, ускорят свои попытки использовать или перепродать его в ближайшее время.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
Intel в сотрудничестве с Google реализовала проверку безопасности своей технологии Trust Domain Extensions (TDX), в результате которой были обнаружены десятки уязвимостей и ошибок.
TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.
Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.
Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.
В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.
Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.
Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.
В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.
В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.
После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.
Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.
По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.
TDX - аппаратная технология вычислений, предназначенная для защиты конфиденциальных рабочих нагрузок и данных в облачных и многопользовательских средах, даже от взлома гипервизора или действий инсайдеров.
Intel TDX создает конфиденциальные виртуальные машины (также называемые доверенными доменами или TD), которые представляют собой аппаратно изолированные виртуальные машины, обеспечивающие надежную защиту как конфиденциальности, так и целостности данных.
Google Cloud Security в течение пяти месяцев сотрудничала с исследователями Intel INT31, используя ручной анализ кода, собственные инструменты и готовые решения на основе ИИ для анализа кода модуля TDX 1.5, который обрабатывает высокоуровневые функции TDX.
В результате анализа было выявлено пять уязвимостей, а также 35 ошибок, слабых мест и потенциальных проблем, которые следует устранить для повышения уровня безопасности.
Intel устранила все уязвимости, опубликовав соответствующее уведомление по безопасности и выпустив версию 1.5 TDX, которая также включает две новые функции: Live Migration и Trust Domain Partitioning.
Выявленные проблемы отслеживаются как CVE-2025-32007, CVE-2025-27940, CVE-2025-30513, CVE-2025-27572 и CVE-2025-32467 и могут быть использованы для EoP и раскрытия информации.
В свою очередь, Google обращает внимание на CVE-2025-30513, которая позволяет ненадёжному оператору полностью скомпрометировать гарантии безопасности TDX.
В частности, CVE-2025-30513 способна преобразовывать мигрируемый TD в отлаживаемый TD в процессе миграции при импорте его неизменяемого состояния.
После срабатывания все расшифрованное состояние TD становится доступным с хоста. На этом этапе злонамеренный хост может создать другой TD с расшифрованным состоянием или осуществлять мониторинг в режиме реального времени.
Поскольку миграция может произойти в любой момент жизненного цикла TD, атака может быть выполнена после завершения аттестации TD, что гарантирует наличие секретов в его состоянии.
По результатам своих изысканий Google выкатила полный технический отчет, а Intel у себя в блоге отразила общее описание исследовательского проекта.
Intel
How Intel and Google Collaborate to Strengthen Intel® TDX
Foundational technologies demand uncompromising security. To raise the bar on Intel® Trust Domain Extensions (Intel® TDX) protection, Intel conducted a five-month joint review with Google engineers.
Исследователи Flare обнаружили ботнет под управлением Linux под названием SSHStalker, который задействует протокол связи IRC (Internet Relay Chat) для организации C2.
Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.
Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.
SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.
По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.
Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.
SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.
Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.
Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.
После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.
Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.
Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.
Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.
Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.
По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).
Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.
Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.
Он был разработан еще в 1988 году, а пик его распространения пришелся на 1990-е годы, став основным текстовым средством обмена мгновенными сообщениями для группового и личного общения.
Технические сообщества по-прежнему ценят его за простоту реализации, совместимость, низкие требования к пропускной способности и отсутствие необходимости в графическом интерфейсе пользователя.
SSHStalker использует классические механизмы IRC вместо современных C2-фреймворков, отдавая приоритет отказоустойчивости, масштабируемости и низкой стоимости, а не скрытности и технической новизне.
По данным исследователей, этот подход распространяется и на другие особенности работы SSHStalker, такие как использование «шумных» SSH-сканирований, заданий cron с интервалом в одну минуту и обширный каталог уязвимостей CVE 15-летней давности.
Во Flare его описывают как громоздкий, кое-как собранный ботнет, сочетающий в себе управление IRC из старой школы, компиляцию бинарных файлов на хостах, массовый взлом SSH и сохранение активности на основе cron. Другими словами, в этой масштабируемая операция - надежность важнее скрытности.
SSHStalker получает первоначальный доступ посредством автоматического сканирования SSH и брута паролей, используя исполняемый файл на Go, который маскируется под популярную утилиту nmap.
Затем скомпрометированные хосты используются для сканирования на наличие дополнительных целей SSH, что напоминает механизм распространения ботнета, подобный червю.
Исследователи Flare также заметили файл с результатами почти 7000 сканирований ботов, проведенных в январе и в основном направленных на поставщиков облачного хостинга в инфраструктуре Oracle Cloud.
После заражения устройства вредоносной ПО SSHStalker она загружает на него инструмент GCC для компиляции вредоносных ПО, что обеспечивает лучшую персистентность и обход защиты.
Первыми полезными нагрузками являются IRC-боты на языке C с жестко запрограммированными серверами С2, которые подключают новую жертву к IRC-инфраструктуре ботнета.
Далее вредоносная ПО загружает архивы с именами GS и bootbou, содержащие варианты ботов для организации и последовательности выполнения.
Постоянное сохранение обеспечивается с помощью заданий cron, которые запускаются каждые 60 секунд, активируя механизм обновления, подобный таймеру, который проверяет, запущен ли основной процесс бота, и перезапускает его, если он завершен.
Ботнет также содержит эксплойты для 16 уязвимостей CVE, нацеленных на все версии ядра Linux 2009-2010 годов, что обеспечивает повышение привилегий.
По части монетизации во Flare заметили, что ботнет реализует сбор ключей AWS и сканирование сайтов, а также включает в себя наборы для майнинга крипты (в том числе Ethereum PhoenixMiner).
Также функционал позволяет проводить DDoS, н подобные активности исследователи не наблюдали. Фактически, боты SSHStalker к настоящему времени просто подключаются к C2, а затем переходят в режим ожидания.
Так что пока Flare не приписала SSHStalker какой-либо конкретной группе угроз, но тем не менее, отметила сходство с экосистемой ботнетов Outlaw/Maxlas.
Flare | Threat Exposure Management | Unmatched Visibility into Cybercrime
Old-School IRC, New Victims: Inside the Newly Discovered SSHStalker Linux Botnet
Flare’s research team has uncovered a previously undocumented Linux botnet operation we’re calling SSHStalker. To the best of our knowledge, no other research team has reported on this threat actor. Our SSH honeypot captured multiple attacks over two months…
В киберподполье активно продвигается новая коммерческая платформа для слежки за мобильными устройствами ZeroDayRAT, которая позиционируется как инструмент, обеспечивающий полный удаленный контроль над скомпрометированными устройствами Android и iOS.
Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.
Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.
Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.
Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.
На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.
В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.
Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.
Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.
Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.
Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.
В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.
Вредоносная ПО предоставляет покупателям полнофункциональную панель для управления зараженными устройствами, которая, как сообщается, поддерживает Android с 5 по 16 и iOS до версии 26 включительно.
Препарировали новинку исследователи iVerify, которые полалагют, что ZeroDayRAT не только крадет данные, но и позволяет осуществлять слежку в режиме реального времени и совершать финансовые кражи.
Согласно данным iVerify, панель управления отображает перечень скомпрометированных устройств, а также информацию о модели, версии ОС, состоянии батареи, данных SIM-карты, стране и состоянии блокировки.
Вредоносная ПО может регистрировать использование приложений, хронологию активности, обмен SMS и предоставлять оператору общий обзор.
На других вкладках панели отображаются все полученные уведомления, а также представленные на зараженном устройстве учетные записи, включая адреса электронной почты и идентификатора пользователя, что потенциально открывает возможности для брута и угона аккаунтов.
В случае наличия разрешений на доступ к GPS вредоносная ПО также позволяет отслеживать жертву в режиме реального времени и отображать ее текущее местоположение на Google Maps с полной историей перемещений.
Помимо пассивной регистрации данных ZeroDayRAT также поддерживает активные операции, включая активацию камер (фронтальной и тыловой) и микрофона для получения доступа к видеопотоку в реальном времени, или же запись экрана жертвы для раскрытия других секретов.
Более того, если права доступа к SMS защищены, вредоносная ПО может перехватывать входящие одноразовые пароли (OTP), что позволит обойти 2Fa, а также отправлять SMS с устройства жертвы.
Разработчик вредоносного ПО также включил в программу кейлоггер, способный считывать ввод пользователя, например, пароли, жесты или графические ключи разблокировки экрана.
Помимо этого ZeroDayRAT содержит модуль для кражи криптовалюты, который активирует сканер приложений-кошельков для поиска MetaMask, Trust Wallet, Binance и Coinbase, регистрирует идентификаторы и балансы кошельков, а также реализует подмену адресов из буфера обмена.
Кроме того, ZeroDayRAT позволяет нацеливаться на банковские приложения, платформы UPI, такие как Google Pay и PhonePe, а также платежные сервисы Apple Pay и PayPal. Кража учетных данных происходит путем наложения поддельных экранов.
В iVerify не уточнили конкретные способы распространения вредоносного ПО, но отметили, что ZeroDayRAT поддерживает полноценный набор инструментов для компрометации различных мобильных устройств.
iverify.io
Breaking Down ZeroDayRAT - New Spyware Targeting Android and iOS
ZeroDayRAT is a commercial mobile spyware platform sold via Telegram that gives attackers full remote access to Android and iOS devices
Сингапурское агентство по кибербезопасности (CSA) выступило с официальным заявлением и обвинениями в адрес китайских хакеров, которым удалось взломать системы всех четырех крупнейших телекоммуникационных компаний страны - M1, SIMBA Telecom, Singtel и StarHub.
CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.
По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.
Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.
Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.
Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.
Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.
Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.
CSA приписала атаки APT-группе, которую они отслеживают как UNC3886. Названный инцидент произошел в прошлом году, с тех пор на протяжении 11 месяцев специалисты CSA пытались вытравить китайских кибершпионов из скомпрометированных сетей.
По версии следствия, злоумышленники украли «небольшое количество технических данных» в рамках подготовки в будущим кампаниям, при этом расследователи, как заявляется, не обнаружили доказательств кражи личных данных клиентов.
Предполагается, что для обеспечения постоянного присутствия в сети использовались 0-day в межсетевых экранах телекоммуникационных компаний и руткиты.
Согласно представленным отчетам Google, Sygnia и Trend Micro (1, 2 и 3 соответственно), APT-группа имеет большой опыт по части умелого применения уязвимостей в сетевом и корпоративном оборудовании Fortinet, Juniper, Ivanti SecureConnect, а также VMware ESXi и vCenter.
Как отмечается, UNC3886 считается одной из самых активных китайских шпионских группировок за последние два-три года, наряду с более известной Salt Typhoon, еще одной китайской APT-группировкой, специализирующейся на взломе телекоммуникационных компаний.
Учитывая столь продолжительный период локализации инцидента, можно констатировать, что достичь своих целей китайским хакерам определено удалось.
Исключать их возвращения не стоит, но пока основные усилия будут направлены на реализации полученных данных в ходе дальнейших наступательных операций. Но будем посмотреть.
Cyber Security Agency of Singapore
Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by Advanced Persistent Threat (APT) Actor UNC3886 to Singapore’s…
The Cyber Security Agency of Singapore (CSA) and the Infocomm Media Development Authority (IMDA) shared details of a multi-agency cybersecurity operation, codenamed Operation CYBER GUARDIAN, to defend our telecommunications sector.
Forwarded from Russian OSINT
По данным портала киберразведки BI.ZONE Threat Intelligence, доля атак на российские организации, совершаемых с целью шпионажа, значительно выросла. В 2025 году этот показатель составил 37%, тогда как в 2024 году — только 21%.
🥷 ❗️ С целью шпионажа совершается уже не каждая пятая, а каждая третья кибератака.
— отмечают специалисты.
Компания наблюдает за активностью более чем 100 кластеров, нацеленных на Россию и другие страны СНГ, и почти половина (45%) из них — это именно шпионские группировки. Хотя их основной целью по‑прежнему остаются органы государственного управления (27% атак), кибершпионы стали значительно чаще интересоваться научно‑техническими и инженерными разработками. Доля атак шпионских кластеров на предприятия, связанные с 👷♂️НИОКР, выросла с 7% до 14%.
Please open Telegram to view this post
VIEW IN TELEGRAM
Apple выпустила экстренные обновления для устранения первой в этом году 0-day (в 2025 их было 7), которая задействовалась в «чрезвычайно изощренной атаке», нацеленной на узкий круг лиц на версиях iOS до 26.
Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.
В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.
В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.
Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.
К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.
Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.
Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.
Уязвимость отслеживается как CVE-2026-20700 и позволяет выполнять произвольный код в dyld, динамически подключаемом редакторе, используемом операционными системами Apple, включая iOS, iPadOS, macOS, tvOS, watchOS и visionOS.
В бюллетене Apple содержится предупреждение о том, что злоумышленник, обладающий возможностью записи в память, может выполнить произвольный код на затронутых устройствах.
В компании заявляют, что им известно о сообщениях о том, что эта уязвимость, наряду с CVE-2025-14174 и CVE-2025-43529, исправленными в декабре, была использована в одних и тех же инцидентах.
Apple приписала обнаружение CVE-2026-20700 Google TAG, но не предоставила никаких дополнительных подробностей о том, как именно она была использована.
К числу затронутых устройств относятся: iPhone 11 (и более поздние модели), iPad Pro 12,9 дюйма (3-го поколения), iPad Pro 11 дюймов (1-го поколения), iPad Air (3-го поколения), iPad (8-го поколения), iPad mini (5-го поколения и более поздних версий), а также Mac на macOS Tahoe.
Apple устранила уязвимость в iOS 18.7.5, iPadOS 18.7.5, macOS Tahoe 26.3, tvOS 26.3, watchOS 26.3 и visionOS 26.3.
Пользователям рекомендуется оперативно накатить последние обновления для защиты своих устройств.
Apple Support
About the security content of iOS 18.7.5 and iPadOS 18.7.5 - Apple Support
This document describes the security content of iOS 18.7.5 and iPadOS 18.7.5.
Исследователи из Лаборатории Касперского выкатили свой ежегодный отчет с аналитикой по спаму и фишингу за 2025 год (предыдущие исследования за: 2021, 2022, 2023 и 2024).
Основная статистика представлена следующим образом:
- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.
В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.
Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).
В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.
Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).
Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно.
Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).
За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).
В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.
Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.
Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.
Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.
Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.
Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.
В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.
Основная статистика представлена следующим образом:
- 44,99% писем по всему миру и 43,27% писем в Рунете были спамом;
- 32,50% всех спам-писем были отправлены из России;
- Почтовый антивирус ЛК заблокировал 144 722 674 вредоносных почтовых вложений;
- Система «Антифишинг» предотвратила 554 002 207 попыток перехода по фишинговым ссылкам.
В целом, ландшафт фишинга и скама изменился. В 2024 году наблюдалось множество массовых атак, а в 2025 их частота сократилась. Кроме того, в 2024 году онлайн-мошенники часто использовали схемы с редиректами, тогда как в 2025 этот инструмент оказался менее распространенным.
Страной с наибольшим процентом пользователей, столкнувшихся с фишинговыми атаками, остается Перу (17,46%). Второе место занимает Бангладеш (16,98%), а третье - Малави (16,65%). Далее - Тунис (16,19%), Колумбия (15,67%), Бразилия (15,48%) и Эквадор (15,27%).
В 2025 году, в отличие от тенденции, сохранявшейся на протяжении нескольких последних лет, большинство фишинговых страниц размещалось в доменной зоне XYZ - 21,64%, что в три раза больше показателя 2024 года.
Второй по популярности оказалась зона TOP (15,45%), после которой следует BUZZ (13,58%). На четвертой строчке расположился домен COM (10,52%), ранее занимавший первое место рейтинга. Такое снижение частично вызвано популярностью атак с использованием тайпсквоттинга).
Фишинговые страницы, имитирующие веб-сервисы (27,42%) и глобальные интернет-порталы (15,89%), не изменили свои позиции в TOP 10: они по-прежнему занимают первое и второе место соответственно.
Традиционно популярные у злоумышленников онлайн-магазины вернулись на третью строчку с долей 11,27%. В 2025 году интерес фишеров возрос к пользователям онлайн-игр: веб-сайты, имитирующие игровые, поднялись с девятой строчки рейтинга на пятую (7,58%).
За ними следуют банки (6,06%), платежные системы (5,93%), мессенджеры (5,70%) и службы доставки (5,06%). Также фишинговые атаки были нацелены на учетные записи в соцсетях (4,42%) и госсервисах (1,77%).
В 2025 году средняя доля спама в мировом почтовом трафике составила 44,99%, что на 2,28 п. п. меньше значения предыдущего года. В российском сегменте наблюдалось более значительное снижение: средняя доля спама сократилась на 5,3 п. п. и составила 43,27%.
Первые три страны в рейтинге 2025 года по количеству отправляемого спама повторяют распределение предыдущего года: это Россия, Китай и США. На четвертое место поднялась Германия (3,46%), ранее занимавшая шестую строчку, сместив Казахстан с долей 2,89%.
Как полагают исследователи, 2026 год определенно ознаменуется новыми способами злоупотребления технологией ИИ. Аккаунты мессенджеров останутся все такой же желанной добычей для злоумышленников.
Появление новых схем не исключит использования старых уловок и приемов, а это значит, что помимо использования надежного ПО необходимо соблюдать бдительность и внимательно относиться к любым предложениям в сети, которые могут вызвать хотя бы минимальное подозрение.
Повышенный интерес злоумышленников к кредам для порталов госуслуг сигнализирует об увеличении потенциального ущерба: доступ к таким сервисам может привести к краже средств, данных и личности.
Участились случаи злоупотребления легитимными инструментами и многоуровневые атаки, которые начинаются с безобидных файлов или ссылок: мошенники пытаются усыпить бдительность пользователей, в итоге преследуя злонамеренные цели.
В целом, отчет достаточно объемный, включает много инфографики и примеров, так что настоятельно рекомендуем ознакомиться в оригинале.
Securelist
Отчет «Лаборатории Касперского» по спаму и фишингу за 2025 год
Отчет содержит статистику по спаму и фишингу за 2025 год, а также описывает основные тренды: QR-коды в фишинге и скаме, атаки ClickFix, приманки в виде подписки на ChatGPT и др.
Forwarded from Social Engineering
Media is too big
VIEW IN TELEGRAM
Новости про утечки данных, телефонные мошенничества и хакерские атаки уже кажутся постоянным фоном даже тем, кто не занимается кибербезопасностью. Но есть особенные истории, о которых долго говорит вся индустрия.
Пять таких кейсов собрал подкаст «Кибертрукрайм», первый эпизод которого выходит 4 февраля. Это нарративный подкаст — практически пять документальных аудиофильмов о кибератаках, которые стали частью истории мирового кибербеза. О том, как их расследовали, расскажет Kaspersky GReAT. Это команда, которая существует с 2008 года и занимается обнаружением и изучением самых непростых киберугроз во всех точках земного шара. Их репутация и авторитет настолько высоки, что злоумышленники периодически пытаются шпионить и за ними.
Как раз такой попытке посвящён первый эпизод. В нём Kaspersky GReAT рассказывают, как самые подкованные кибершпионы в мире пытались проникнуть в их устройства Apple и остаться незамеченными. Но все закончилось тем, что команда нашла у Apple четыре уязвимости, а о злоумышленниках написали в мировых новостях.
Но сначала команде пришлось исследовать тысячи строк кода, использовать клетки Фарадея и даже заклеивать камеры телефонов, чтобы шпионы не поняли, что их поймали. Крутая история, когда безопасность айфонов работает против жертвы кибератаки.
➡️ Слушаем на Яндекс.Музыке, в Apple Podcasts и на любой другой удобной платформе.
Пять таких кейсов собрал подкаст «Кибертрукрайм», первый эпизод которого выходит 4 февраля. Это нарративный подкаст — практически пять документальных аудиофильмов о кибератаках, которые стали частью истории мирового кибербеза. О том, как их расследовали, расскажет Kaspersky GReAT. Это команда, которая существует с 2008 года и занимается обнаружением и изучением самых непростых киберугроз во всех точках земного шара. Их репутация и авторитет настолько высоки, что злоумышленники периодически пытаются шпионить и за ними.
Как раз такой попытке посвящён первый эпизод. В нём Kaspersky GReAT рассказывают, как самые подкованные кибершпионы в мире пытались проникнуть в их устройства Apple и остаться незамеченными. Но все закончилось тем, что команда нашла у Apple четыре уязвимости, а о злоумышленниках написали в мировых новостях.
Но сначала команде пришлось исследовать тысячи строк кода, использовать клетки Фарадея и даже заклеивать камеры телефонов, чтобы шпионы не поняли, что их поймали. Крутая история, когда безопасность айфонов работает против жертвы кибератаки.
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft устранила RCE-уязвимость в Блокноте Windows 11, которая позволяла злоумышленникам запускать локальные или удаленные программы, обманом заставляя пользователей переходить по ссылкам Markdown без отображения каких-либо предупреждений безопасности.
Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.
Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.
Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.
В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.
Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.
Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.
Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.
Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.
Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.
Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.
При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.
Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.
После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.
Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.
Блокнот появился с выходом еще Windows 1.0 и представлял собой простой и удобный текстовый редактор, который с годами стал популярен для быстрого создания заметок, чтения текстовых файлов, составления списков дел или в качестве редактора кода.
Позже Microsoft предложила пользователям Windows Write с поддержкой различных шрифтов, размеров и инструментов форматирования, а затем и WordPad. Однако с выходом Windows 11 компания решила прекратить поддержку WordPad и удалить его из Windows.
Вместо этого Microsoft переписала Блокнот, объединив в нем функционал простого текстового редактора и редактора RTF, а также добавив поддержку Markdown, которая позволяет форматировать текст и вставлять кликабельные ссылки.
Поддержка Markdown позволяет Блокноту открывать, редактировать и сохранять файлы Markdown (.md), которые представляют собой традиционные текстовые файлы с простыми символами для форматирования текста, списками или ссылками.
В рамках февральского PatchTuesday Microsoft исправила серьезную уязвимость удаленного выполнения кода в Notepad, которая отслеживается как CVE-2026-20841.
Как отмечено в бюллетене, некорректная нейтрализация специальных элементов, используемых в команде («внедрение команд») в приложении Блокнот Windows позволяет неавторизованному злоумышленнику выполнять код по сети.
Microsoft приписала обнаружение уязвимости Кристиану Папе, Аласдеру Горняку и Чену.
Потенциальный злоумышленник может обманом заставить пользователя перейти по вредоносной ссылке внутри файла Markdown, открытого в Блокноте, что приведет к запуску приложением непроверенных протоколов, которые загружают и выполняют удаленные файлы.
Вредоносный код будет выполняться в контексте безопасности пользователя, открывшего файл Markdown, предоставляя злоумышленнику те же права доступа, что и этому пользователю.
Уязвимость вызвала широкий резонанс в социальных медиа после того, как исследователи выяснили, насколько легко ее использовать.
Все, что нужно было сделать, это создать файл Markdown, например test.md, и создать ссылки file://, указывающие на исполняемые файлы, или использовать специальные URI, такие как ms-appinstaller://.
При открытии этого файла Markdown в Блокноте Windows 11 версии 11.2510 и более ранних версиях и просмотре в режиме Markdown, приведенный выше текст отобразится как кликабельная ссылка.
При нажатии на ссылку с помощью Ctrl+Click файл будет автоматически запущен без предупреждения со стороны Windows, а что в Microsoft рассматривают как уязвимость удаленного выполнения кода.
Ведь это потенциально может позволить злоумышленникам создавать ссылки на файлы в удаленных SMB-ресурсах, которые затем будут выполняться без предупреждения.
После исправления уязвимости в Блокноте Windows 11 при нажатии на ссылку отображаются предупреждения, если она не использует протокол http:// или https://. Это также касается таких типов ссылок URI, как file, ms-settings, ms-appinstaller, mailto и ms-search.
Правда непонятно, почему Microsoft просто не заблокировала нестандартные ссылки, оставляя возможность для применения методов социнженерии, чтобы заставить пользователей одобрить соответствующие запросы.
GitHub
GitHub - BTtea/CVE-2026-20841-PoC: PoC
PoC. Contribute to BTtea/CVE-2026-20841-PoC development by creating an account on GitHub.
Критическая уязвимость в плагине WPvivid Backup & Migration для WordPress на более чем на 900 000 веб-сайтах может быть использована для удаленного выполнения кода путем загрузки произвольных файлов без аутентификации.
Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.
Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».
Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.
Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.
Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.
В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).
Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.
Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.
Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.
Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.
Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.
Уязвимость отслеживается как CVE-2026-1357, получила оценку серьезности 9,8, затрагивая все версии плагина до 0.9.123 включительно, и приводит в случае успешной эксплуатации к полному захвату веб-сайта.
Несмотря на серьезность проблемы, исследователи Defiant утверждают, что критическое воздействие оказывается только на сайты, у которых включена нестандартная опция «получать резервную копию с другого сайта».
Кроме того, у злоумышленников есть 24-часовой период для эксплуатации уязвимости, который соответствует сроку действия сгенерированного ключа, необходимого другим сайтам для отправки резервных файлов, что ограничивает реальную возможность эксплуатации уязвимости.
Вместе с тем, плагин обычно применяется в процессе миграции сайтов и передачи резервных копий между хостами, поэтому администраторы, скорее всего, активируют эту функцию в какой-то момент, по крайней мере временно.
Исследователь Лукас Монтес (NiRoX) сообщил об этой уязвимости в Defiant 12 января. Основная причина найденной проблемы кровется в некорректной обработке ошибок при расшифровке RSA в сочетании с недостаточной проверкой пути.
В частности, если функция openssl_private_decrypt() завершается с ошибкой, плагин не останавливает выполнение, а вместо этого передает результат ошибки (false) в подпрограмму AES (Rijndael).
Криптографическая библиотека обрабатывает это как строку нулевых байтов, создавая предсказуемый ключ шифрования, который злоумышленник может использовать для создания вредоносных ПО, которые плагин сможет принять.
Кроме того, плагину не удается должным образом проверить имена загружаемых файлов, что позволяет осуществлять обход каталогов, а это открывает возможность записывать файлы за пределы предназначенного для резервного копирования каталога и загружать вредоносные PHP-файлы для RCE.
Defiant уведомила поставщика, WPVividPlugins, 22 января после подтверждения работоспособности предоставленного PoC, а 28 января было выпущено обновление в составе версии 0.9.124.
Оно включает в себя добавление проверки для остановки выполнения в случае сбоя расшифровки RSA, включение проверки чистоты имен файлов и ограничение загрузки только разрешенными типами файлов резервных копий, такими как ZIP, GZ, TAR и SQL.
Пользователям плагина WPvivid Backup & Migration для WordPress следует учитывать риски, связанные с этой уязвимостью, и как можно скорее обновиться до 0.9.124.
GreyNoise сообщает о 417 сеансах эксплуатации недавно обнаруженной уязвимости в Ivanti Endpoint Manager Mobile (EPMM), совершенных с 8 IP в период 1-9 февраля, из которых 346 (83% от всех попыток) приходились на один 193.24.123[.]42 в хостинговой инфраструктуре PROSPERO.
Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.
В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.
С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.
Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.
IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.
Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.
По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.
GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.
Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.
При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.
Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.
В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.
Вредоносная активность нацелена на CVE-2026-1281 (CVSS: 9,8), одну из двух критических уязвимостей в EPMM, наряду с CVE-2026-1340, которая может быть использована злоумышленником для RCE.
В конце прошлого месяца Ivanti признала, что «очень ограниченное число клиентов» пострадало в результате эксплуатации 0-day.
С тех пор ряд европейских госструуктур, включая Управление по защите данных Нидерландов (AP), Судебный совет, Европейскую комиссию и финскую компанию Valtori, стали жертвами атак неизвестных злоумышленников, использующих эти уязвимости.
Дальнейший анализ показал, что на тот же хост одновременно отрабатывал три другие уязвимости в: CVE-2026-21962 (Oracle WebLogic) - 2902 сессии; CVE-2026-24061 (GNU InetUtils telnetd) - 497 сеансов и CVE-2025-24799 (GLPI) - 200 сеансов.
IP переключается между 300 уникальными строками пользовательских агентов, охватывающими Chrome, Firefox, Safari и множество вариантов ОС.
Как полагают в GreyNoise, такое разнообразие фингерпринтов в сочетании с одновременной эксплуатацией четырех несвязанных ПО соответствует признакам автоматизированного тестирования.
По некоторым данным, PROSPERO связан с другой автономной системой под названием Proton66, которая известна распространением вредоносных ПО для ПК и Android, включая GootLoader, Matanbuchus, SpyNote, Coper (Octo) и SocGholish.
GreyNoise также отметила, что в 85% случаев атаки осуществлялась через DNS для подтверждения того, что "цель пригодна для атаки", без развертывания вредоносного ПО или кражи данных.
Стоит отметить, что несколько дней ранее Defused Cyber также сообщила о кампании с использованием «спящей оболочки», в рамках которой в скомпрометированные экземпляры EPMM по пути /mifs/403.jsp был развернут неактивный загрузчик классов Java в оперативной памяти.
При этом обратные вызовы OAST указывают на то, что кампания нацелена на каталогизацию уязвимых целей, без развертывания полезных нагрузок, что может указывать на проведение операции первоначального доступа.
Пользователям Ivanti EPMM исследователи рекомендовали установить патчи, провести аудит инфраструктуры MDM, доступной из интернета, просмотреть журналы DNS на предмет обратных вызовов по шаблону OAST, отслеживать путь /mifs/403.jsp на экземплярах EPMM и заблокировать автономную систему PROSPERO (AS200593) на уровне периметра сети.
В свою очередь, Ivanti предоставила «высокоточные» IOCs, технический анализ на момент обнаружения угроз, а также скрипт для обнаружения эксплойтов, который был разработан совместно с NCSC-NL в рамках противодействии этой угрозе. И, еще новый мерч с коричневым оттенком.
www.greynoise.io
Active Ivanti Exploitation Traced to Single Bulletproof IP—Published IOC Lists Point Elsewhere
The GreyNoise Global Observation Grid observed active exploitation of two critical Ivanti Endpoint Manager Mobile vulnerabilities, and 83% of that exploitation traces to a single IP address on bulletproof hosting infrastructure that does not appear on widely…
Как мы и предполагали ранее, прошло не так много времени после выпуска PoC для критической CVE-2026-1731 (CVSS 9,9) в устройствах BeyondTrust Remote Support и Privileged Remote Access, как киберподполье принялось ее активно эксплуатировать.
Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.
BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.
Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.
В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.
Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.
Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.
WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.
В BeyondTrust пока никак не комментируют ситуацию.
Уязвимость затрагивает версии BeyondTrust Remote Support 25.3.1 и более ранние, а также Privileged Remote Access 24.3.4 и более ранние.
BeyondTrust сообщила об уязвимости 6 февраля, предупреждая, что неавторизованные злоумышленники могут даленно выполнять код до аутентификации, отправляя специально сформированные клиентские запросы.
Причем для успешной эксплуатации не требуется аутентификация или взаимодействие с пользователем, она может привести к компрометации системы, включая несанкционированный доступ, утечку данных и сбои в работе сервисов.
Уязвимость обнаружила Hacktron, ответственно проинформировав о ней BeyondTrust 31 января. По данным исследователей, в сети оказалось около 11 000 уязвимых экземпляров BeyondTrust Remote Support, при этом примерно 8 500 из них были развернуты локально.
В свою очередь, watchTowr уже заметила, как злоумышленники начали активно использовать уязвимость, предупреждая, что если устройства не будут обновлены, их следует считать скомпрометированными.
Атаки нацелены на уязвимые порталы BeyondTrust и задействуют функцию get_portal_info для извлечения значения x-ns-company, который затем используется для создания веб-сокета с целевым устройством, что позволяет злоумышленникам выполнять команды на уязвимых системах.
Причем эта уязвимость появилась спустя день после публикации на GitHub демонстрационного эксплойта, ориентированного на ту же самую конечную точку.
WatchTowr настоятельно рекомендует организациям, использующим самостоятельно размещенные устройства BeyondTrust Remote Support или Privileged Remote Access, немедленно установить доступные исправления или обновить систему до последних версий.
В BeyondTrust пока никак не комментируют ситуацию.
Telegram
SecAtor
BeyondTrust предупредила клиентов о необходимости устранения критической уязвимости в системе безопасности своего ПО для удаленной поддержки (Remote Support, RS) и привилегированного удаленного доступа (Privileged Remote Access, PRA).
Проблема отслеживается…
Проблема отслеживается…
Ресерчеры из Лаборатории Касперского препарировали новый загрузчик вредоносного ПО под названием RenEngine, обнаруженный в сети в этом месяце.
Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.
В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.
Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.
Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.
Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).
В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).
Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».
При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.
Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.
Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.
При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.
Всего в директорию .temp грузятся пять файлов.
Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.
Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.
Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.
В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.
Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.
Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.
Отличительной особенностью этого семейства является модульность и гибкость настроек.
Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.
В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.
Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.
Другие технические подробности, IOCs и рекомендации - в отчете.
Киберподполье достаточно часто продвигает зловреды под видом читов для игр и пиратского ПО, но случается так, что иногда таким образом распространяются сложные штаммы с применением продвинутых техник и запутанных цепочек заражения.
В феврале этого года исследователи Howler Cell обнаружили массовую кампанию по распространению пиратских игр, троянизированных образцом ранее неизвестного семейства вредоносного ПО.
Им как раз и оказался загрузчик RenEngine, который доставлялся на устройство при помощи модифицированной версии лаунчера игры на базе движка Ren’Py.
Решения ЛК детектируют угрозу как Trojan.Python.Agent.nb и HEUR:Trojan.Python.Agent.gen.
Как оказалось, на самом деле эта угроза не новая: решения ЛК начали детектировать первые образцы загрузчика RenEngine еще в марте 2025 года, когда таким образом распространялся инфостилер Lumma (Trojan-PSW.Win32.Lumma.gen).
В текущих наблюдаемых инцидентах в качестве конечной полезной нагрузки распространяется ACR Stealer (Trojan-PSW.Win32.ACRstealer.gen).
Тогда в марте 2025 года злоумышленники распространяли вредоносное ПО под видом взломанной игры на популярном игровом ресурсе с двумя кнопками: Free Download Now и Direct Download: функциональность была одинаковой - пользователя перенаправляли в MEGA для укачивания архива с «игрой».
При запуске «игры» процесс загрузки якобы останавливается, достигнув 100%. Можно было подумать, что игра зависла, но это не так - «настоящий» вредоносный код только что начал свою работу.
Проанализировав исходные файлы, ЛК обнаружила скрипты на Python, которые начинают первоначальное заражение устройства, имитируя бесконечную загрузку игры.
Кроме того, в них содержатся функции обхода песочницы is_sandboxed и расшифровки вредоносной нагрузки xor_decrypt_file.
При помощи последней скрипт расшифровывает ZIP, распаковывает его содержимое в директорию .temp и запускает распакованные файлы.
Всего в директорию .temp грузятся пять файлов.
Исполняемый DKsyVGUJ.exe не является вредоносным, а является легитимным приложением для систематизации генеалогических данных с оригинальным именем Ahnenblatt4.exe.
Библиотека borlndmm.dll также не содержит вредоносный код, реализуя необходимый для запуска ехе-файла менеджер памяти.
Другая библиотека, cc32290mt.dll, содержит пропатченный злоумышленниками участок кода, перехватывающий управление при запуске приложения и развертывающий в памяти процесса первую стадию вредоносной нагрузки.
В качестве «контейнера» для запуска первой стадии вредоносной нагрузки используется системная библиотека dbghelp.dll.
Она перезаписывается в памяти расшифрованным шелл‑кодом, полученным из файла gayal.asp, при помощи библиотеки cc32290mt.dll.
Полученная нагрузка является загрузчиком HijackLoader - относительно новое средство доставки и развертывания вредоносной нагрузки, впервые обнаруженное летом 2023 года.
Отличительной особенностью этого семейства является модульность и гибкость настроек.
Внедрение итоговой нагрузки осуществляется двумя разными способами в зависимости от параметров конфигурации вредоносного образца. Она представляет собой EXE-файл, а параметры конфигурации настроены на ее инъекцию в дочерний процесс explorer.exe.
В дополнение к сайтам с играми, в ЛК обнаружили, что злоумышленники создали десятки различных сайтов для распространения RenEngine под видом пиратских ПО.
Картина распространения этого загрузчика говорит о том, что атаки не носят целевой характер, а наибольшее число инцидентов зафиксировано в России, Бразилии, Турции, Испании и Германии.
Другие технические подробности, IOCs и рекомендации - в отчете.
Securelist
Подробности вредоносной кампании с загрузчиком RenEngine
Рассказываем про кампании с загрузчиками RenEngine и HijackLoader. С марта 2025 года злоумышленники распространяли стилер Lumma в сложной цепочке заражения, а в феврале 2026 года стало известно о текущих атаках с применением ACR Stealer.
Продолжаем отслеживать наиболее трендовые уязвимости. По состоянию на пятницу 13-ого подборка представлена следующим образом:
1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.
Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.
2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.
3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.
3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.
При этом плагин является одним из самых популярных в экосистеме WordPress.
4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.
Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.
5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.
Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).
Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.
6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.
Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.
7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.
Причем не исключается, что их может оказаться по года более чем 100 000.
8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).
9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.
По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.
10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.
На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.
Обнаруженные проблемы связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.
Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.
1. Исследователи обнаружили 287 расширений для Chrome, похищающие историю просмотров пользователя и установленные более 37 миллионов раз.
Среди них - блокировщики рекламы, ИИ-помощники и офисные приложения.
2. LayerX раскрыла кластер из 30 расширений Chrome, маскирующихся под инструменты ИИ и использующих скрытые iframe для выполнения кода в браузерах пользователей.
3. Quarkslab обвинила Intego в отказе от исправления ряда уязвимостей в своих продуктах безопасности для macOS, несмотря на наличие достаточного времени для этого.
3. RCE Security опубликовала PoC для уязвимости внедрения команд без аутентификации в плагине W3 Total Cache для WordPress - CVE-2025-9501.
При этом плагин является одним из самых популярных в экосистеме WordPress.
4. Раскрыт новый вектор деанонимизации пользователей VPN на основе списков фильтров блокировки рекламы, установленных в их браузере.
Пользователей можно отследить до конкретных стран по доменам, включенным в списки блокировщиков рекламы.
5. Microsoft обнаружила, что метод, обычно используемый для тонкой настройки LLM после их развертывания, может быть использован для нейтрализации функций безопасности.
Новую атаку назвали GRP-Obliteration (по названию метода - Group Relative Policy Optimization (GRPO).
Microsoft заявляет, что тесты позволили рассогласовать функции безопасности в 15 наиболее часто используемых на сегодняшний день LLM, от DeepSeek до GPT и Llama.
6. Исследователи LayerX раскрыли RCE-уязвимость в приложении Claude Desktop Extensions (DXT), позволяющую задействовать Google Календарь для компрометации систем, использующих расширения Claude Desktop Extensions.
Проблема затрагивает более 10 000 активных пользователей и 50 расширений DXT.
7. FIRST прогнозирует, что в течение года будет зарегистрировано около 60 000 уязвимостей. Это будет первый год в истории, когда количество глобальных сообщений об ошибках превысит порог в 50 000.
Причем не исключается, что их может оказаться по года более чем 100 000.
8. Positive Technologies выкатила февральский «В тренде VM», отметив среди трендовых: уязвимость, приводящая к RCE, в Microsoft 365 и Microsoft Office (CVE-2026-21509) и ошибку, приводящую к раскрытию информации, в Desktop Window Manager (CVE-2026-20805).
9. Китайский аналог Pwn2Own от Zero Day Initiative - Tianfu Cup после двухлетнего перерыва возобновился в 2026 году. Мероприятие состоялось 29-30 января.
По данным Natto Thoughts, соревнования хакеров организуются МОБ КНР и проходят в еще более засекреченном формате.
10. Microsoft считает, что вновь обнаруженные проблемы с подменой LNK-кода в Windows - это не уязвимости.
На фестивале Wild West Hackin' Fest исследователь Витце Беукема раскрыл несколько уязвимостей в файлах ярлыков Windows, которые позволяют злоумышленникам развертывать вредоносные ПО.
Обнаруженные проблемы связаны с несоответствиями в том, как проводник Windows расставляет приоритеты для конфликтующих целевых путей, указанных в нескольких необязательных структурах данных в файлах ярлыков.
Исследователь также выпустил lnk-it-up - набор инструментов с открытым исходным кодом, который генерирует ярлыки Windows LNK с использованием представленных методов.
Substack
Spying Chrome Extensions: 287 Extensions spying on 37M users
Summary