Солары представили результаты исследования фишинговой кампании Cloud Atlas, нацеленной на российские организации. Причем в одном из кейсов им удалось выявить 5 успешных атак на одну и ту же систему.
Как отмечают исследователи, группировка наряду с Fairy Trickster и Erudite Mogwai является одной из тех, кто делает ставку на фишинг. Ее отличительной чертой стало использование в атаках VBShower.
Группа была выделена как отдельный кластер угроз в 2014 году исследователями Лаборатории Касперского, которые обнаружили схожие паттерны атак в ходе ранее известной операции Red October.
Основными целями Cloud Atlas являются госучреждения в различных странах. Однако, по данным аналитики, наибольшее количество зафиксированных атак этой группировки связано с государственными и частными организациями в России.
В своих атаках APT использует такие инструменты, как VBShower, VBCloud, PowerShower, ngrok, openport и др.
В новом отчете Solar рассматривают один из кейсов по следам своего расследования, инициированного в марте 2025 года после обнаружения одним из клиентов вредоносного файла: C:\Users\Public\Libraries\LibraryHost.vbs.
Детектированная сигнатура явно указывала на принадлежность данного файла к Cloud Atlas. В качестве первоначального доступа группировка традиционно использует фишинговые кампании с вредоносными вложениями в формате документов Microsoft Office.
В ходе исследования выяснилось, что система, на которой был обнаружен вредоносный файл, стала жертвой фишинговых кампаний со стороны Cloud Atlas целых пять раз и каждая из атак была успешной.
Четыре из пяти вредоносных вложений были удалены или не сохранились в системе, однако следы их загрузки, а также последующая активность частично отразились в различных артефактах Windows.
Правда, несмотря на продолжительное нахождение атакующих в инфраструктуре, при расследовании инцидента следов их горизонтального перемещения в системе Солары не обнаружили.
По результатам расследования стало понятно, что цепочка заражения не претерпевала существенных изменений и начинается с вредоносного документа Microsoft Word, развиваясь с помощью характерных для Cloud Atlas TTPs. Также неизменным остается использование ADS для скрытия вредоносной нагрузки.
Исследователи отметили специфическое использование техник и инструментов, которое характеризует уникальный почерк группировки, не претерпевший за 2025 существенных изменений. А новые семплы указывают на то, что эти атакующие продолжают свою активную деятельность.
Схема их работы и технические подробности «пятикратной» атаки Cloud Atlas - в отчете.
Как отмечают исследователи, группировка наряду с Fairy Trickster и Erudite Mogwai является одной из тех, кто делает ставку на фишинг. Ее отличительной чертой стало использование в атаках VBShower.
Группа была выделена как отдельный кластер угроз в 2014 году исследователями Лаборатории Касперского, которые обнаружили схожие паттерны атак в ходе ранее известной операции Red October.
Основными целями Cloud Atlas являются госучреждения в различных странах. Однако, по данным аналитики, наибольшее количество зафиксированных атак этой группировки связано с государственными и частными организациями в России.
В своих атаках APT использует такие инструменты, как VBShower, VBCloud, PowerShower, ngrok, openport и др.
В новом отчете Solar рассматривают один из кейсов по следам своего расследования, инициированного в марте 2025 года после обнаружения одним из клиентов вредоносного файла: C:\Users\Public\Libraries\LibraryHost.vbs.
Детектированная сигнатура явно указывала на принадлежность данного файла к Cloud Atlas. В качестве первоначального доступа группировка традиционно использует фишинговые кампании с вредоносными вложениями в формате документов Microsoft Office.
В ходе исследования выяснилось, что система, на которой был обнаружен вредоносный файл, стала жертвой фишинговых кампаний со стороны Cloud Atlas целых пять раз и каждая из атак была успешной.
Четыре из пяти вредоносных вложений были удалены или не сохранились в системе, однако следы их загрузки, а также последующая активность частично отразились в различных артефактах Windows.
Правда, несмотря на продолжительное нахождение атакующих в инфраструктуре, при расследовании инцидента следов их горизонтального перемещения в системе Солары не обнаружили.
По результатам расследования стало понятно, что цепочка заражения не претерпевала существенных изменений и начинается с вредоносного документа Microsoft Word, развиваясь с помощью характерных для Cloud Atlas TTPs. Также неизменным остается использование ADS для скрытия вредоносной нагрузки.
Исследователи отметили специфическое использование техник и инструментов, которое характеризует уникальный почерк группировки, не претерпевший за 2025 существенных изменений. А новые семплы указывают на то, что эти атакующие продолжают свою активную деятельность.
Схема их работы и технические подробности «пятикратной» атаки Cloud Atlas - в отчете.
Socket раскрыла новую атаку на цепочку поставок под названием Sandworm_Mode в реестре NPM: вредоносный код распространяется подобно червю, компрометирует системы ИИ, крадет секреты и содержит разрушительный «выключатель».
Sandworm_Mode был реализован через 19 пакетов, опубликованных под двумя псевдонимами, которые использовали метод тайпсквоттинга, обманом заставляя разработчиков выполнить вредоносный код.
По данным Socket, эта атака имеет характерные черты кампании Shai-Hulud, затронувшей в сентябре и ноябре 2025 года около 800 пакетов NPM.
Sandworm_Mode использует украденные учетные данные NPM и GitHub для распространения вредоносного ПО и применяет модифицированный GitHub Action для сбора и кражи секретов CI, а также для внедрения зависимостей и рабочих процессов в репозитории.
Вредоносные пакеты (все из которых были удалены из реестра) мимикрировали под популярные утилиты для разработчиков, криптографические инструменты и утилиты для программирования ИИ, такие как Claude Code и OpenClaw.
Для создания ИИ-помощников в программировании вредоносный код устанавливает поддельный MCP-сервер (нацеленный на Claude Code, Cursor, Continue и Windsurf) и использует внедрение подсказок для утечки SSH-ключей, учетных данных AWS, токенов NPM и других секретов.
Код также собирает ключи API для поставщиков LLM, переменные среды и файлы .env, и проверяет их. Кроме того, он вызывает локальный экземпляр Ollama для изменения имен переменных, перезаписи потоков управления, вставки кода-приманки и кодирования строк.
Sandworm_Mode реализует многоэтапную атаку, в ходе которой первоначальная кража учетных данных и криптографических ключей сопровождается глубоким сбором секретов из менеджеров паролей, внедрением MCP-сервера, обеспечением постоянного присутствия через Git-хуки, распространением червя и многоканальной эксфильтрацией.
Подобная двухэтапная схема разработана намеренно: наиболее разрушительная с финансовой точки зрения операция, кража криптографических ключей, выполняется мгновенно и безоговорочно, в то время как более «рискованные» операции откладываются, чтобы избежать кратковременного анализа в «песочнице».
В коде также предусмотрена настраиваемая, но неактивная функция "мертвого выключателя", позволяющая инициировать очистку домашнего каталога при потере доступа к GitHub и NPM.
Исследователи EndorLabs, в свою очередь, отметили, что как и в случае с Shai-Hulud, Sandworm_Mode распространяется путем заражения существующих пакетов.
Но также может использовать для распространения пакетов-носителей, добавляя ссылку на зависимость для запуска процесса запроса на слияние в GitHub Actions и сбора и извлечения всех секретов репозитория.
Разработчикам рекомендуется удалить все установленные вредоносные пакеты, проверить свои пакеты на наличие последних изменений в JSON-файлах и наличие непредвиденных рабочих процессов, а также обновить все учетные данные, токены и секреты CI в GitHub и NPM.
Sandworm_Mode был реализован через 19 пакетов, опубликованных под двумя псевдонимами, которые использовали метод тайпсквоттинга, обманом заставляя разработчиков выполнить вредоносный код.
По данным Socket, эта атака имеет характерные черты кампании Shai-Hulud, затронувшей в сентябре и ноябре 2025 года около 800 пакетов NPM.
Sandworm_Mode использует украденные учетные данные NPM и GitHub для распространения вредоносного ПО и применяет модифицированный GitHub Action для сбора и кражи секретов CI, а также для внедрения зависимостей и рабочих процессов в репозитории.
Вредоносные пакеты (все из которых были удалены из реестра) мимикрировали под популярные утилиты для разработчиков, криптографические инструменты и утилиты для программирования ИИ, такие как Claude Code и OpenClaw.
Для создания ИИ-помощников в программировании вредоносный код устанавливает поддельный MCP-сервер (нацеленный на Claude Code, Cursor, Continue и Windsurf) и использует внедрение подсказок для утечки SSH-ключей, учетных данных AWS, токенов NPM и других секретов.
Код также собирает ключи API для поставщиков LLM, переменные среды и файлы .env, и проверяет их. Кроме того, он вызывает локальный экземпляр Ollama для изменения имен переменных, перезаписи потоков управления, вставки кода-приманки и кодирования строк.
Sandworm_Mode реализует многоэтапную атаку, в ходе которой первоначальная кража учетных данных и криптографических ключей сопровождается глубоким сбором секретов из менеджеров паролей, внедрением MCP-сервера, обеспечением постоянного присутствия через Git-хуки, распространением червя и многоканальной эксфильтрацией.
Подобная двухэтапная схема разработана намеренно: наиболее разрушительная с финансовой точки зрения операция, кража криптографических ключей, выполняется мгновенно и безоговорочно, в то время как более «рискованные» операции откладываются, чтобы избежать кратковременного анализа в «песочнице».
В коде также предусмотрена настраиваемая, но неактивная функция "мертвого выключателя", позволяющая инициировать очистку домашнего каталога при потере доступа к GitHub и NPM.
Исследователи EndorLabs, в свою очередь, отметили, что как и в случае с Shai-Hulud, Sandworm_Mode распространяется путем заражения существующих пакетов.
Но также может использовать для распространения пакетов-носителей, добавляя ссылку на зависимость для запуска процесса запроса на слияние в GitHub Actions и сбора и извлечения всех секретов репозитория.
Разработчикам рекомендуется удалить все установленные вредоносные пакеты, проверить свои пакеты на наличие последних изменений в JSON-файлах и наличие непредвиденных рабочих процессов, а также обновить все учетные данные, токены и секреты CI в GitHub и NPM.
Socket
SANDWORM_MODE: Shai-Hulud-Style npm Worm Hijacks CI Workflow...
An emerging npm supply chain attack that infects repos, steals CI secrets, and targets developer AI toolchains for further compromise.
Forwarded from Social Engineering
• Расскажу вам историю, которая произошла в 2008 году. Тогда интернет заполнила информация о кибератаке на Министерство обороны США.
• Началось все с обычной флешки, которая была заражена червем agent.btz и была вставлена в ноутбук на военной базе США в Среднем Востоке. Этот ноутбук был подключен к центральному командованию вооружённых сил США, из-за чего червь смог распространится по всем системам, включая секретные. Он делал это путем создания файла
AUTORUN.INF в руте каждого из дисков. Также вирус мог сканировать компьютер на наличие бэкдоров, которые использовал для дальнейшего распространения.• Еще в зараженной системе червь создавал файл с именем
thumb.dd на всех подключаемых флешках. И в виде CAB-файла он сохранял там следующие файлы: winview.ocx, wmcache.nld и mswmpdat.tlb. В них содержалась информация о зараженной системе и логи активности червя. Если разобраться, то thumb.dd представляла собой контейнер с данными, которые сохранялись на флешку при отсутствии возможности прямой передачи через интернет на командный сервер.• Кроме того Agent.btz постоянно мутировал. Таким образом он менял «подпись», избегая обнаружения. И пока удалялись старые версии, в сети появлялись новые, более сложные.
• В общем и целом, Пентагон потратил около 14 месяцев на то, чтобы очистить свои системы от червя. Они даже запретили использовать флешки или другие переносные носители информации. А еще им пришлось переформатировать сотни машин и конфисковать тысячи зараженных флешек. Такие вот дела...
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Cisco предупреждает об активной эксплуатации критической уязвимости обхода аутентификации в Cisco Catalyst SD-WAN в качестве 0-day, которая позволяла удаленным злоумышленникам компрометировать контроллеры и добавлять вредоносные узлы в целевые сети.
CVE-2026-20127 имеет максимальный уровень серьезности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) в локальных и облачных SD-WAN-системах.
Раскрытие приписывается Австралийскому центру кибербезопасности Управления сигналов Австралии (ASD's ACSC).
Как отмечают в Cisco, проблема связана с некорректной работой механизма аутентификации при пиринге в затронутой системе. Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы в затронутую систему.
Успешная эксплуатация уязвимости может позволить злоумышленнику войти в затронутый контроллер Cisco Catalyst SD-WAN под внутренней учетной записью пользователя с высокими привилегиями, не являющегося root-пользователем.
Используя эту учетную запись, злоумышленник сможет получить доступ к NETCONF, что позволит ему манипулировать сетевой конфигурацией SD-WAN-сети.
Добавив вредоносный узел, злоумышленник может внедрить в среду SD-WAN устройство, которое будет выглядеть легитимным. Затем оно сможет устанавливать зашифрованные соединения и объявлять сети, что потенциально позволит злоумышленнику проникнуть глубже в сеть организации.
В свою очередь, исследователи Cisco Talos соообщили, что уязвимость активно использовалась в атаках.
Вредоносная активность отслеживается как UAT-8616, которая, по их оценкам, с высокой степенью уверенности была реализована высококвалифицированным злоумышленником.
Причем согласно данным телеметрии, эксплуатация уязвимости началась как минимум в 2023 году. Злоумышленник, вероятно, получил права root, откатив ПО до более старой версии, используя уязвимость CVE-2022-20775 для получения root-доступа, а затем восстановив исходную версию прошивки.
После эксплуатации уязвимости злоумышленник, вернувшись к исходной версии, мог получить root-доступ, избежав обнаружения. Информация об атаках была раскрыта Cisco совместно с уполномоченными органами США и Великобритании (соответствующие уведомления CISA и NCSC).
В их совместном руководстве содержится предупреждение о том, что злоумышленники атакуют Cisco Catalyst SD-WAN по всему миру, добавляя поддельные узлы, а затем предпринимая последующие действия для получения корневого доступа и поддержания постоянного контроля.
В рекомендациях подчеркивается, что интерфейсы управления SD-WAN ни в коем случае не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и повысить безопасность затронутых систем.
Кроме того, следует в срочном порядке расследовать уязвимость к компрометации сети и искать вредоносную активность, используя новые разработанные указанными органами рекомендации для выявления признаков несанкционированного пиринга и подозрительной активности аутентификации.
Причем в случае компрометации учетной записи root, следует развертывать новые системы, а не пытаться очистить существующую инфраструктуру.
Cisco выпустила обновления ПО для устранения уязвимости, заявляя об отсутствии обходных путей, которые бы полностью решили проблему.
CVE-2026-20127 имеет максимальный уровень серьезности 10.0 и затрагивает Cisco Catalyst SD-WAN Controller (ранее vSmart) и Cisco Catalyst SD-WAN Manager (ранее vManage) в локальных и облачных SD-WAN-системах.
Раскрытие приписывается Австралийскому центру кибербезопасности Управления сигналов Австралии (ASD's ACSC).
Как отмечают в Cisco, проблема связана с некорректной работой механизма аутентификации при пиринге в затронутой системе. Злоумышленник может использовать эту уязвимость, отправляя специально сформированные запросы в затронутую систему.
Успешная эксплуатация уязвимости может позволить злоумышленнику войти в затронутый контроллер Cisco Catalyst SD-WAN под внутренней учетной записью пользователя с высокими привилегиями, не являющегося root-пользователем.
Используя эту учетную запись, злоумышленник сможет получить доступ к NETCONF, что позволит ему манипулировать сетевой конфигурацией SD-WAN-сети.
Добавив вредоносный узел, злоумышленник может внедрить в среду SD-WAN устройство, которое будет выглядеть легитимным. Затем оно сможет устанавливать зашифрованные соединения и объявлять сети, что потенциально позволит злоумышленнику проникнуть глубже в сеть организации.
В свою очередь, исследователи Cisco Talos соообщили, что уязвимость активно использовалась в атаках.
Вредоносная активность отслеживается как UAT-8616, которая, по их оценкам, с высокой степенью уверенности была реализована высококвалифицированным злоумышленником.
Причем согласно данным телеметрии, эксплуатация уязвимости началась как минимум в 2023 году. Злоумышленник, вероятно, получил права root, откатив ПО до более старой версии, используя уязвимость CVE-2022-20775 для получения root-доступа, а затем восстановив исходную версию прошивки.
После эксплуатации уязвимости злоумышленник, вернувшись к исходной версии, мог получить root-доступ, избежав обнаружения. Информация об атаках была раскрыта Cisco совместно с уполномоченными органами США и Великобритании (соответствующие уведомления CISA и NCSC).
В их совместном руководстве содержится предупреждение о том, что злоумышленники атакуют Cisco Catalyst SD-WAN по всему миру, добавляя поддельные узлы, а затем предпринимая последующие действия для получения корневого доступа и поддержания постоянного контроля.
В рекомендациях подчеркивается, что интерфейсы управления SD-WAN ни в коем случае не должны быть доступны из интернета, и организациям настоятельно рекомендуется немедленно обновить и повысить безопасность затронутых систем.
Кроме того, следует в срочном порядке расследовать уязвимость к компрометации сети и искать вредоносную активность, используя новые разработанные указанными органами рекомендации для выявления признаков несанкционированного пиринга и подозрительной активности аутентификации.
Причем в случае компрометации учетной записи root, следует развертывать новые системы, а не пытаться очистить существующую инфраструктуру.
Cisco выпустила обновления ПО для устранения уязвимости, заявляя об отсутствии обходных путей, которые бы полностью решили проблему.
Cisco
Cisco Security Advisory: Cisco Catalyst SD-WAN Controller Authentication Bypass Vulnerability
A vulnerability in the peering authentication in Cisco Catalyst SD-WAN Controller, formerly SD-WAN vSmart, and Cisco Catalyst SD-WAN Manager, formerly SD-WAN vManage, could allow an unauthenticated, remote attacker to bypass authentication and obtain administrative…
SolarWinds устранила четыре критические уязвимости в своем корпоративном решении для передачи файлов Serv-U, которые могут быть использованы для удалённого выполнения кода, но для этого потребуются административные привилегии.
Все четыре уязвимости, отслеживаемые как CVE-2025-40538 - CVE-2025-40541, имеют оценку CVSS 9.1 и могут привести к удаленному выполнению кода, затрагивая версию Serv-U 15.5.
Как поясняет SolarWinds, CVE-2025-40538 - это уязвимость в системе контроля доступа, которая позволяет создать учетную запись системного администратора и выполнить произвольный код с повышенными привилегиями администратора домена или администратора группы.
CVE-2025-40539 и CVE-2025-40540 представляют собой ошибки типа данных, позволяющие злоумышленникам выполнять код с повышенными привилегиями, не предоставляя дополнительных подробностей.
И, наконец, CVE-2025-40541 описывается как небезопасная ошибка прямой ссылки на объект (IDOR), приводящая к выполнению нативного кода в контексте привилегированной учетной записи.
Как поясняет SolarWinds, для успешной эксплуатации всех четырех уязвимостей злоумышленнику необходимы административные привилегии в уязвимом экземпляре Serv-U. Так что в системах Windows риск оценивается как средний.
Все четыре уязвимости CVE были устранены с выходом SolarWinds Serv-U версии 15.5.4. Дополнительную информацию можно найти в уведомлении SolarWinds.
SolarWinds не упоминает о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях, но пользователям рекомендуется как можно скорее обновить свои экземпляры, поскольку злоумышленники достаточно используют их в своих атаках.
В настоящее время Shodan отслеживает более 12 000 серверов Serv-U, доступных через Интернет, а Shadowserver оценивает их число менее чем в 1200.
Тем не менее, программы для передачи файлов, такие как SolarWinds Serv-U, часто становились объектом атак, поскольку обеспечивают легкий доступ к документам, которые могут содержать конфиденциальные корпоративные и клиентские данные.
За последние пять лет киберпреступные и APT группы не раз препарировали уязвимости Serv-U для кражи данных. Среди них - небезызвестная Clop, которой удалось провернуть делягу по части Serv-U Secure FTP с использованием CVE-2021-35211.
На нее же нацеливались китайские хакеры (отслеживаемые Microsoft как DEV-0322), атаковавшие американские оборонные и IT компании, начиная с июля 2021 года.
Совсем недавно, в июне 2024 года, Rapid7 и GreyNoise выявили уязвимость обхода пути в SolarWinds Serv-U (CVE-2024-28995), которая также активно использовалась злоумышленниками с помощью общедоступных PoC.
Все четыре уязвимости, отслеживаемые как CVE-2025-40538 - CVE-2025-40541, имеют оценку CVSS 9.1 и могут привести к удаленному выполнению кода, затрагивая версию Serv-U 15.5.
Как поясняет SolarWinds, CVE-2025-40538 - это уязвимость в системе контроля доступа, которая позволяет создать учетную запись системного администратора и выполнить произвольный код с повышенными привилегиями администратора домена или администратора группы.
CVE-2025-40539 и CVE-2025-40540 представляют собой ошибки типа данных, позволяющие злоумышленникам выполнять код с повышенными привилегиями, не предоставляя дополнительных подробностей.
И, наконец, CVE-2025-40541 описывается как небезопасная ошибка прямой ссылки на объект (IDOR), приводящая к выполнению нативного кода в контексте привилегированной учетной записи.
Как поясняет SolarWinds, для успешной эксплуатации всех четырех уязвимостей злоумышленнику необходимы административные привилегии в уязвимом экземпляре Serv-U. Так что в системах Windows риск оценивается как средний.
Все четыре уязвимости CVE были устранены с выходом SolarWinds Serv-U версии 15.5.4. Дополнительную информацию можно найти в уведомлении SolarWinds.
SolarWinds не упоминает о каких-либо случаях эксплуатации этих уязвимостей в реальных условиях, но пользователям рекомендуется как можно скорее обновить свои экземпляры, поскольку злоумышленники достаточно используют их в своих атаках.
В настоящее время Shodan отслеживает более 12 000 серверов Serv-U, доступных через Интернет, а Shadowserver оценивает их число менее чем в 1200.
Тем не менее, программы для передачи файлов, такие как SolarWinds Serv-U, часто становились объектом атак, поскольку обеспечивают легкий доступ к документам, которые могут содержать конфиденциальные корпоративные и клиентские данные.
За последние пять лет киберпреступные и APT группы не раз препарировали уязвимости Serv-U для кражи данных. Среди них - небезызвестная Clop, которой удалось провернуть делягу по части Serv-U Secure FTP с использованием CVE-2021-35211.
На нее же нацеливались китайские хакеры (отслеживаемые Microsoft как DEV-0322), атаковавшие американские оборонные и IT компании, начиная с июля 2021 года.
Совсем недавно, в июне 2024 года, Rapid7 и GreyNoise выявили уязвимость обхода пути в SolarWinds Serv-U (CVE-2024-28995), которая также активно использовалась злоумышленниками с помощью общедоступных PoC.
www.shodan.io
Shodan Search
Search query: html:"Serv-U"
Исследователи из Лаборатории Касперского продолжают отслеживать похождения хактивистской группировки Head Mare, которая в феврале 2026 года вновь привлекла внимание российского киберсообщества.
Вслед за ранее обнаруженной кампанией с использованием PhantomHeart, в поле зрения исследователей попала еще одна масштабная фишинговая рассылка, но на этот раз с новой версией бэкдора PhantomCore (PhantomDL).
Новая рассылка Head Mare затронула несколько сотен пользователей из российских организаций. Среди целей фигурировали организации из госсектора и компании в сфере логистики, финансов и промышленности.
Получателям приходили письма от имени научно-исследовательской организации с предложением о заключении договора. Во вложениях - зашифрованные архивы (пароль - текущий год). В нем - ряд lnk-файлов, которые автоматически запускают процесс загрузки и установки бэкдора.
Все оформлено так, чтобы создать ощущение делового общения и подтолкнуть получателя открыть вложение. В подписи указаны подробные контактные данные «ведущего специалиста»: ФИО, должность, номер телефона с добавочным, корпоративный e‑mail и адрес сайта.
При запуске любого из ярлыков на машине выполнится команда для загрузки промежуточного скрипта, расположенного на сервере злоумышленников.
По адресу, к которому обращается команда (hxxps://1cbit-dev[.]com/devices/firmware/beta/update.html), можно обнаружить скрипт для загрузки и установки бэкдора. Дополнительно этот скрипт скачивает и открывает документ-приманку.
Стоит отметить, что ярлыки работают схожим образом. Единственное отличие между ними - это ссылки, по которым будут загружаться бэкдоры и документы. За каждым ярлыком закреплен документ, соответствующий его названию, при этом бэкдор всегда скачивается один и тот же.
Промежуточный скрипт написан на PowerShell. Он скачивает с удаленного сервера файл USOCachedData.txt, обеспечивает закрепление в системе и автозапуск.
Для закрепления используется техника PSFactoryBuffer COM Hijacking. В результате всякий раз, когда стороннее приложение обращается к соответствующему COM-объекту, запускается вредоносный файл.
Файл USOCachedData.txt, хоть и имеет расширение .txt, на самом деле является исполняемой библиотекой - новым вариантом PhantomCore. Основная задача этого бэкдора - предоставление злоумышленникам удаленной командной строки в зараженной системе.
Образец, который распространяется в рамках описанной кампании, написан на C++, а строки в нем зашифрованы побайтовым XOR с уникальными ключами для каждой строки.
После запуска бэкдор отправляет на C2 два POST-запроса, содержащие данные в формате JSON, - для регистрации нового бота и получения команд. По сравнению с прошлыми версиями пути, по которым PhantomCore связывается с C2, незначительно изменились, как названия и содержимое полей в отправляемом на С2 JSON.
В запросе на регистрацию PhantomCore передает закодированные в base64 данные о боте и зараженной системе. Во втором запросе бэкдор отправляет только идентификатор бота. В ответ злоумышленники передают последовательность команд, которую бэкдор пытается выполнить в зараженной системе.
Скачивается архива с вредоносным ПО для создания туннеля. Внутри архива находится файл TemplateMaintenanceHost.exe. Содержимое архива распаковывается в директорию AppData. Закрепление в системе с помощью задачи планировщика.
Сам файл TemplateMaintenanceHost.exe - это модуль для запуска ssh.exe, написанный на Golang.
Он запускает его с переданными в командной строке параметрами либо с параметрами по умолчанию. Запуск ssh.exe приводит к созданию туннеля с удаленным хостом.
При этом сам процесс ssh.exe выступает в роли SOCKS5-прокси и способен перенаправлять трафик от удаленного сервера в локальную сеть через зараженную машину, давая атакующим возможность подключаться к другим рабочим станциям и серверам.
Технические подробности и актуальные IOCs - в отчете.
Вслед за ранее обнаруженной кампанией с использованием PhantomHeart, в поле зрения исследователей попала еще одна масштабная фишинговая рассылка, но на этот раз с новой версией бэкдора PhantomCore (PhantomDL).
Новая рассылка Head Mare затронула несколько сотен пользователей из российских организаций. Среди целей фигурировали организации из госсектора и компании в сфере логистики, финансов и промышленности.
Получателям приходили письма от имени научно-исследовательской организации с предложением о заключении договора. Во вложениях - зашифрованные архивы (пароль - текущий год). В нем - ряд lnk-файлов, которые автоматически запускают процесс загрузки и установки бэкдора.
Все оформлено так, чтобы создать ощущение делового общения и подтолкнуть получателя открыть вложение. В подписи указаны подробные контактные данные «ведущего специалиста»: ФИО, должность, номер телефона с добавочным, корпоративный e‑mail и адрес сайта.
При запуске любого из ярлыков на машине выполнится команда для загрузки промежуточного скрипта, расположенного на сервере злоумышленников.
По адресу, к которому обращается команда (hxxps://1cbit-dev[.]com/devices/firmware/beta/update.html), можно обнаружить скрипт для загрузки и установки бэкдора. Дополнительно этот скрипт скачивает и открывает документ-приманку.
Стоит отметить, что ярлыки работают схожим образом. Единственное отличие между ними - это ссылки, по которым будут загружаться бэкдоры и документы. За каждым ярлыком закреплен документ, соответствующий его названию, при этом бэкдор всегда скачивается один и тот же.
Промежуточный скрипт написан на PowerShell. Он скачивает с удаленного сервера файл USOCachedData.txt, обеспечивает закрепление в системе и автозапуск.
Для закрепления используется техника PSFactoryBuffer COM Hijacking. В результате всякий раз, когда стороннее приложение обращается к соответствующему COM-объекту, запускается вредоносный файл.
Файл USOCachedData.txt, хоть и имеет расширение .txt, на самом деле является исполняемой библиотекой - новым вариантом PhantomCore. Основная задача этого бэкдора - предоставление злоумышленникам удаленной командной строки в зараженной системе.
Образец, который распространяется в рамках описанной кампании, написан на C++, а строки в нем зашифрованы побайтовым XOR с уникальными ключами для каждой строки.
После запуска бэкдор отправляет на C2 два POST-запроса, содержащие данные в формате JSON, - для регистрации нового бота и получения команд. По сравнению с прошлыми версиями пути, по которым PhantomCore связывается с C2, незначительно изменились, как названия и содержимое полей в отправляемом на С2 JSON.
В запросе на регистрацию PhantomCore передает закодированные в base64 данные о боте и зараженной системе. Во втором запросе бэкдор отправляет только идентификатор бота. В ответ злоумышленники передают последовательность команд, которую бэкдор пытается выполнить в зараженной системе.
Скачивается архива с вредоносным ПО для создания туннеля. Внутри архива находится файл TemplateMaintenanceHost.exe. Содержимое архива распаковывается в директорию AppData. Закрепление в системе с помощью задачи планировщика.
Сам файл TemplateMaintenanceHost.exe - это модуль для запуска ssh.exe, написанный на Golang.
Он запускает его с переданными в командной строке параметрами либо с параметрами по умолчанию. Запуск ssh.exe приводит к созданию туннеля с удаленным хостом.
При этом сам процесс ssh.exe выступает в роли SOCKS5-прокси и способен перенаправлять трафик от удаленного сервера в локальную сеть через зараженную машину, давая атакующим возможность подключаться к другим рабочим станциям и серверам.
Технические подробности и актуальные IOCs - в отчете.
Securelist
Head Mare распространяет обновленный PhantomCore под видом контракта
Рассказываем о свежей фишинговой рассылке Head Mare, замаскированной под обсуждение контракта с научно-исследовательской организацией и доставляющей новую версию PhantomCore.
Клиенты японской Trend Micro опять в зоне риска в виду двух критических уязвимостей в Apex One, которые позволяют потенциальному злоумышленнику получить доступ к RCE в уязвимых системах Windows.
Apex One - это платформа для защиты конечных точек, которая обнаруживает угрозы безопасности и реагирует на них, включая вредоносное ПО, шпионские ПО, вредоносные инструменты и уязвимости.
Первая уязвимость Apex One отслеживается как CVE-2025-71210 и связана с уязвимостью обхода пути в консоли управления Trend Micro Apex One, позволяя злоумышленникам без привилегий выполнять вредоносный код в незащищенных системах.
Вторая CVE-2025-71211 представляет собой еще одну уязвимость обхода пути в консоли управления Apex One, аналогичную по масштабу CVE-2025-71210, но затрагивающую другой исполняемый файл.
Как пояснила Trend Micro в своем уведомлении, для успешной эксплуатации злоумышленникам необходимо «иметь доступ к консоли управления Trend Micro Apex One, поэтому клиентам, IP-адрес их консоли которых доступен извне, следует рассмотреть возможность применения мер по снижению рисков, таких как ограничения на доступ к источникам данных, если они еще не применены».
Несмотря на то, что для использования уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить ПО до последних версий.
Для устранения этих проблем Trend Micro исправила уязвимости в версиях SaaS Apex One и выпустила критическое обновление Build 14136, которое также устраняет две серьезные уязвимости, приводящие к EoP в агенте Windows, и еще четыре, затрагивающие агент для macOS.
Пока в Trend Micro не зафиксировали использования этих уязвимостей в реальных условиях, но, как показывает практика, злоумышленники ранее весьма эффективно использовали уязвимости в Apex One в своих атаках на протяжении последних нескольких лет.
В частности, в августе 2025 Trend Micro также предупреждала клиентов о необходимости устранения RCE (CVE-2025-54948) в Apex One, которая активно использовалась на тот момент, а также устранила две 0-day, которые задействовались злоумышленниками в сентябре 2022 (CVE-2022-40139) и в сентябре следующего года (CVE-2023-41179).
При этом на карандаше в CISA к настоящему время находится 10 уязвимостей Trend Micro Apex, которые были или до сих пор используются злоумышленниками.
Apex One - это платформа для защиты конечных точек, которая обнаруживает угрозы безопасности и реагирует на них, включая вредоносное ПО, шпионские ПО, вредоносные инструменты и уязвимости.
Первая уязвимость Apex One отслеживается как CVE-2025-71210 и связана с уязвимостью обхода пути в консоли управления Trend Micro Apex One, позволяя злоумышленникам без привилегий выполнять вредоносный код в незащищенных системах.
Вторая CVE-2025-71211 представляет собой еще одну уязвимость обхода пути в консоли управления Apex One, аналогичную по масштабу CVE-2025-71210, но затрагивающую другой исполняемый файл.
Как пояснила Trend Micro в своем уведомлении, для успешной эксплуатации злоумышленникам необходимо «иметь доступ к консоли управления Trend Micro Apex One, поэтому клиентам, IP-адрес их консоли которых доступен извне, следует рассмотреть возможность применения мер по снижению рисков, таких как ограничения на доступ к источникам данных, если они еще не применены».
Несмотря на то, что для использования уязвимости может потребоваться выполнение ряда конкретных условий, Trend Micro настоятельно рекомендует клиентам как можно скорее обновить ПО до последних версий.
Для устранения этих проблем Trend Micro исправила уязвимости в версиях SaaS Apex One и выпустила критическое обновление Build 14136, которое также устраняет две серьезные уязвимости, приводящие к EoP в агенте Windows, и еще четыре, затрагивающие агент для macOS.
Пока в Trend Micro не зафиксировали использования этих уязвимостей в реальных условиях, но, как показывает практика, злоумышленники ранее весьма эффективно использовали уязвимости в Apex One в своих атаках на протяжении последних нескольких лет.
В частности, в августе 2025 Trend Micro также предупреждала клиентов о необходимости устранения RCE (CVE-2025-54948) в Apex One, которая активно использовалась на тот момент, а также устранила две 0-day, которые задействовались злоумышленниками в сентябре 2022 (CVE-2022-40139) и в сентябре следующего года (CVE-2023-41179).
При этом на карандаше в CISA к настоящему время находится 10 уязвимостей Trend Micro Apex, которые были или до сих пор используются злоумышленниками.
Исследователи раскрыли подробности новой атаки (точнее серии атак) под названием AirSnitch, нацеленную на вновь выявленные уязвимости Wi-Fi, которая позволяет эффективно обходить изолированность в сетях.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
Результаты исследования были представлены на Симпозиуме по сетевой и распределенной безопасности на этой неделе.
AirSnitch использует особенности работы маршрутизаторов на первых двух уровнях модели OSI, а не их ПО. Собственно, поэтому различные варианты атаки работают на широком спектре устройств, включая Netgear, D-Link, Ubiquiti, Cisco, а также под управлением DD-WRT и OpenWrt.
Исследователи протестировали следующие 11 устройств и каждый протестированный маршрутизатор был уязвим как минимум для одной атаки.
Предыдущие атаки на Wi-Fi затрагивали существующие средства защиты, такие как WEP и WPA и работали за счет использования уязвимостей в базовом шифровании.
AirSnitch, напротив, нацелен на ранее игнорируемую поверхность атаки - самые нижние уровни сетевого стека, иерархию архитектуры и протоколов, основанную на их функциях и поведении.
По мнению исследователей, AirSnitch, возможно, лучше описать как «обход» шифрования Wi-Fi, «в том смысле, что она позволяет обойти изоляцию клиента без взлома аутентификацию или шифрование.
AirSnitch полагается на ключевые особенности уровней 1 и 2, а также на неспособность привязать и синхронизировать клиент на этих и более высоких уровнях, с другими узлами и другими сетевыми именами, такими как SSID.
Такая межуровневая десинхронизация идентификации является ключевой основой атак AirSnitch.
Исследователи продемонстрировали, как AirSnitch позволила им физически прослушивать все каналы связи, нацеливаться на кражу cookie, отравление DNS и кэша.
Так что гостевая сеть, которую вы настроили для своих соседей, может быть не такой безопасной, как вам кажется.
В целом же, возможности AirSnitch по взлому глобального шифрования Wi-Fi безусловно могут способствовать совершению сложных кибератак.
Некоторые производители маршрутизаторов уже выпустили обновления, смягчающие некоторые из анонсированных атак.
Но другие отмечают, что устранение системных уязвимостей возможно лишь при полной модификации базовых микросхем.
GitHub
GitHub - vanhoefm/airsnitch
Contribute to vanhoefm/airsnitch development by creating an account on GitHub.
Исследователи Group-IB расчехлили новую фишинговую схему GTFire, позволяющую злоумышленникам избегать обнаружения с помощью сервисов Google.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете.
Как отмечают в Group-IB, за последние несколько лет фишинговые кампании эволюционировали от простых поддельных электронных писем и незамысловатых страниц авторизации.
Современные злоумышленники все чаще используют легитимные облачные сервисы, доверенные домены и известные технологические платформы для маскировки вредоносной активности под обычный интернет-трафик.
Одна из таких кампаний, GTFire, демонстрирует, как злоумышленники могут систематически злоупотреблять легитимной инфраструктурой для размещения фишинговых страниц (Google Firebase) и маскировки вредоносных URL-адресов и обхода фильтров безопасности (Google Translate).
Объединяя эти сервисы, злоумышленники создают фишинговые ссылки, которые выглядят безобидными, используют репутацию Google и динамически перенаправляют жертв на страницы входа, имитирующие страницы брендов.
Причем GTFire примечательна не только своей технической изощренностью, но и масштабом.
Выявлено, что более 120 уникальных фишинговых доменов и более 1000 организаций пострадали от этой атаки.
Наблюдаемое использование других легитимных сервисов и инструментов, таких как веб-сервер LiteSpeed и скрипты All-in-1 PHP, дополнительно повышает масштабируемость и скорость развертывания этой фишинговой кампании.
Анализ инфраструктуры C2 позволил Грибам выявить тысячи украденных учетных данных, связанных с более чем тысячей организаций из более чем 200 отраслей, расположенных в более чем ста странах.
Злоумышленники продемонстрировали высокую оперативную дисциплину: повторное использование фишинговых шаблонов для разных брендов, многоступенчатый сбор учетных данных и централизованные серверы, которые упорядоченно хранят собранные данные.
Кроме того, перенаправление с поддельных страниц авторизации обратно на легитимные сайты брендов часто не позволяло жертвам вообще понять, что их учетные данные уже украдены.
С точки зрения защиты, GTFire открыла ряд неприятных моментов:
- доверенные сервисы могут быть задействованы с минимальными усилиями,
- традиционное обнаружение на основе URL неэффективно,
- злоупотребление брендом остается - наиболее эффективным способов социнженерии.
Технические подробности реализации GTFire и рекомендации - в отчете.
Group-IB
GTFire Phishing Scheme: Avoiding Detection Using Google Services
An in-depth analysis of the GTFire phishing scheme, detailing how threat actors abuse Google Firebase hosting and Google Translate to evade detection, harvest credentials at scale, and target organizations worldwide across multiple industries.
Juniper Networks выпустила экстренное обновление для Junos OS Evolved на маршрутизаторах серии PTX, с исправлением критической уязвимости, которая позволяет неавторизованному злоумышленнику удаленно выполнять код с правами root.
Маршрутизаторы серии PTX - это высокопроизводительные устройство для ядра сети и пиринга, разработанные для обеспечения высокой пропускной способности, низкой задержки и масштабируемости. Широко используются на объектах связи.
CVE-2026-21902 обусловлена некорректным назначением разрешений в рамках системы «обнаружения аномалий на устройстве», которая должна быть доступна внутренним процессам только через внутренний маршрутный интерфейс.
Как поясняет Juniper Networks, эта ошибка позволяет получить доступ к платформе через внешний порт. Поскольку служба запускается от имени root и включена по умолчанию, успешная эксплуатация позволяет находящемуся в сети злоумышленнику получить полный контроль над устройством без аутентификации.
Проблема затрагивает Junos OS Evolved до 25.4R1-S1-EVO и 25.4R2-EVO на маршрутизаторах серии PTX. Более старые версии также могут быть затронуты, но производитель не оценивает версии, разработка которых завершена или срок поддержки которых истек.
Версии до 25.4R1-EVO, а также стандартные (не Evolved) версии Junos OS не затронуты CVE-2026-21902. Компания выпустила исправления для версий 25.4R1-S1-EVO, 25.4R2-EVO и 26.2R1-EVO продукта.
Поставщик рекомендует помимо обновления ограничить доступ к уязвимым конечным точкам только доверенными сетями, используя фильтры брандмауэра или ACL. В качестве альтернативы администраторы могут полностью отключить уязвимую службу.
Группа реагирования Juniper SIRT заявляет, что на текущий момент ей не известно о злонамеренном использовании уязвимости. Однако в киберподполье подобные CVE всегда как вишенка на торте, особенно когда в основе столь «аппетитное» сетевое оборудование.
В частности, в марте 2025 китайские APT активно развертывали бэкдоры на маршрутизаторах Junos OS MX, внедряя разновидности TinyShell, а месяцами ранее J-magic окучивал трафик на объектах в сфере полупроводников, IT и энергетики.
Но более востребованы такие CVE по другую сторону киберландшафта. Последнее время неоднократно становились свидетелями, как вопреки интересам клиентов и принципам инфосека американские технологические гиганты негласно сотрудничали с национальными спецслужбами.
С Juniper в этом плане все очень показательно: все никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen.
Маршрутизаторы серии PTX - это высокопроизводительные устройство для ядра сети и пиринга, разработанные для обеспечения высокой пропускной способности, низкой задержки и масштабируемости. Широко используются на объектах связи.
CVE-2026-21902 обусловлена некорректным назначением разрешений в рамках системы «обнаружения аномалий на устройстве», которая должна быть доступна внутренним процессам только через внутренний маршрутный интерфейс.
Как поясняет Juniper Networks, эта ошибка позволяет получить доступ к платформе через внешний порт. Поскольку служба запускается от имени root и включена по умолчанию, успешная эксплуатация позволяет находящемуся в сети злоумышленнику получить полный контроль над устройством без аутентификации.
Проблема затрагивает Junos OS Evolved до 25.4R1-S1-EVO и 25.4R2-EVO на маршрутизаторах серии PTX. Более старые версии также могут быть затронуты, но производитель не оценивает версии, разработка которых завершена или срок поддержки которых истек.
Версии до 25.4R1-EVO, а также стандартные (не Evolved) версии Junos OS не затронуты CVE-2026-21902. Компания выпустила исправления для версий 25.4R1-S1-EVO, 25.4R2-EVO и 26.2R1-EVO продукта.
Поставщик рекомендует помимо обновления ограничить доступ к уязвимым конечным точкам только доверенными сетями, используя фильтры брандмауэра или ACL. В качестве альтернативы администраторы могут полностью отключить уязвимую службу.
Группа реагирования Juniper SIRT заявляет, что на текущий момент ей не известно о злонамеренном использовании уязвимости. Однако в киберподполье подобные CVE всегда как вишенка на торте, особенно когда в основе столь «аппетитное» сетевое оборудование.
В частности, в марте 2025 китайские APT активно развертывали бэкдоры на маршрутизаторах Junos OS MX, внедряя разновидности TinyShell, а месяцами ранее J-magic окучивал трафик на объектах в сфере полупроводников, IT и энергетики.
Но более востребованы такие CVE по другую сторону киберландшафта. Последнее время неоднократно становились свидетелями, как вопреки интересам клиентов и принципам инфосека американские технологические гиганты негласно сотрудничали с национальными спецслужбами.
С Juniper в этом плане все очень показательно: все никак не забудется скандал с АНБэшными бэкдорами в ОС ScreenOS брандмауэра Juniper Netscreen.
Telegram
SecAtor
Летом прошлого года тринадцать американских сенаторов-демократов направили в Juniper письмо, в котором просили компанию опубликовать результаты внутреннего расследования в отношении обнаруженного в 2015 году бэкдора в операционной системе ScreenOS брандмауэра…
Исследователи Oasis Security обнаружили серьезную уязвимость, названную ClawJacked, в популярном ИИ-агенте OpenClaw, которая позволяла вредоносному сайту незаметно взламывать локально запущенный экземпляр и получать над ним полный контроль.
О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление.
По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket.
Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений.
OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы.
В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались.
При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут.
После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя.
Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений.
Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах.
Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь).
В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости.
Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.
О проблеме оперативно проинформировали OpenClaw 26 февраля, предоставив технические подробности и PoC. После чего в течение 24 часов в рамках версии 2026.2.26 было выпущено исправление.
По данным исследователей, уязвимость вызвана тем, что служба шлюза OpenClaw по умолчанию привязывается к localhost и предоставляет интерфейс WebSocket.
Поскольку политики междоменных запросов браузеров не блокируют соединения WebSocket с localhost, посещаемый пользователем OpenClaw сайт может использовать JavaScript для незаметного соединения с локальным шлюзом и аутентификации без каких-либо предупреждений.
OpenClaw хоть и включает ограничение скорости для предотвращения брута, адрес обратной связи (127.0.0.1) по умолчанию исключен из этого ограничения, поэтому локальные сеансы командной строки не будут ошибочно заблокированы.
В связи чем, исследователям удалось осуществить перебор паролей управления OpenClaw со скоростью в сотни попыток за секунду, используя только JavaScript браузера. При этом неудачные попытки никак не ограничивались и не регистрировались.
При такой скорости список распространенных паролей исчерпывается менее чем за секунду, а на создание большого словаря ушло бы всего несколько минут.
После успешного подбора пароля злоумышленник может незаметно зарегистрироваться в качестве доверенного устройства, поскольку шлюз автоматически подтверждает сопряжение устройств с localhost без необходимости подтверждения со стороны пользователя.
Получив аутентифицированную сессию и права администратора, злоумышленник теперь может напрямую взаимодействовать с платформой ИИ, извлекать учетные данные, получать список подключенных узлов, красть учетные данные и считывать журналы приложений.
Как пороагают в Oasis, это позволит злоумышленнику ориентировать агента на поиск конфиденциальной информации в истории сообщений, похищать файлы с подключенных устройств или выполнять произвольные команды оболочки на сопряженных узлах.
Фактически это все в совокупности приведет к полной компрометации рабочей станции, инициированной из вкладки браузера. Весь процесс, в том числе кражи конфиденциальных данных через уязвимость OpenClaw, в Oasis решили продемонстрировать визуально (здесь).
В исправлении реализована более глубокая проверка безопасности WebSocket и добавлены дополнительные средства защиты по части контроля локальных соединений для подбора паролей или перехвата сессий, даже если эти соединения настроены без ограничения скорости.
Пользователям OpenClaw следует немедленно обновить его до версии 2026.2.26 или более поздней, дабы предотвратить взлом своих установок.
www.oasis.security
ClawJacked: OpenClaw Vulnerability Enables Full Agent Takeover
Oasis found ClawJacked: any website could hijack OpenClaw via localhost WebSocket. Update to v2026.2.25+ and read the full exploit chain + mitigations.
Одна из крупнейших утечек настигла Францию, хакеры украли личные данные 15 млн. граждан непосредственно из национального Министерства здравоохранения.
Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов.
Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов.
Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом.
По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante.
Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя.
Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО.
В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия».
Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.
Инцидент произошел еще в конце 2025 года и помимо прочего затронул высокопоставленных политических деятелей. Причем новый анонс последовал вслед за недавним заявлением властей по взлому данных 1,2 млн. французских банковских счетов.
Среди украденных и к настоящему времени слитых в сеть данных фигурируют медицинские карты пациентов, записи врачей, домашние адреса и номера телефонов.
Кроме того, часть скопрометированной информации включала сведения о том, имел ли пациент нетрадиционную ориентацию (в России движение ЛГБТ запрещено) или болел ли СПИДом.
По сообщению Минздрава, информация была получена примерно из 1500 медучреждений, использовавших программное обеспечение от компании Cegedim Sante.
Пока не разглашается, какая из группировок взяла на себя ответственность за взлом, но хакеры, по всей видимости, уже обозначили себя.
Причем в октябре прошлого года Cegedim Sante подавала заявление в полицию по поводу инцидента. Тогда в компании отмечали, что в результате атаки пострадали около 1500 из 3800 врачей, которые использовали ее ПО.
В консалтинговой компании Wavestone последствия инцидента уже называют «крупнейшей утечкой во Франции» в секторе здравоохранения, которая может иметь «непоправимые последствия».
Возможно даже, мир, наконец-то, узнает всю правду в отношении семейства Макронов. Но будем посмотреть.
France 24
Hackers steal medical details of 15 million in France
France's health ministry said Friday that administrative details and medical notes on more than 15 million people had been hacked.
Американские военные все же задействовали инструменты ИИ компании Anthropic во время ударов по Ирану, причем через несколько часов спустя после того, как сам же Трамп официально запретил федеральным ведомствам использовать технологии этой компании.
Как сообщает Wall Street Journal со ссылкой на источники, инструменты Anthropic используются ЦРУ США на Ближнем Востоке, а также другими командованиями по всему миру для оценки развединформации, идентификации целей и моделирования боевых сценариев.
Вместе с тем, подробности того, в каких масштабах использовался Claude AI в крупномасштабных боевых действиях против Ирана, пока не разглашаются. Ранее технологию успешно апробировали в ходе операции по захвату президента Венесуэлы Николаса Мадуро.
Тем не менее, несмотря на столь эффективное применение за день до событий на Ближнем Востоке Трамп приказал правительству немедленно прекратить использование Claude.
В свою очередь, министр войны Пит Хегсет подтвердил, что поручил министерству признать Anthropic угрозой национальной безопасности и «риском цепочке поставок», на что в самой компании заверили о готовности оспорить этом решение в судебном порядке.
Одиозное решение со стороны Трампа последовало после нескольких недель напряженных переговоров между Anthropic и Пентагоном.
Компания отказалась предоставить военным разрешение на использование своего ИИ для организации массового наблюдения или применения для автономных систем вооружения.
Пентагон установил для компании крайний срок: либо она согласится с условиями, либо столкнется с последствиями.
По итогу Трамп дал ведомствам 6 месяцев на поэтапное прекращение сотрудничества с Anthropic, подчеркнув, что последней «лучше бы взять себя в руки и оказывать помощь в течение этого периода», если не желает «серьезных гражданских и уголовных последствий».
Как бы то ни было, уйти от симбиоза с военными и «отмыться» после ударов по Венесуэле и Ирану представителям Anthropic уже вряд ли удастся, так что судьба дальнейшей разработки очевидна, как очевидно и то, что противоречит всем заявленным «благим» этическим целям и правилам.
Как сообщает Wall Street Journal со ссылкой на источники, инструменты Anthropic используются ЦРУ США на Ближнем Востоке, а также другими командованиями по всему миру для оценки развединформации, идентификации целей и моделирования боевых сценариев.
Вместе с тем, подробности того, в каких масштабах использовался Claude AI в крупномасштабных боевых действиях против Ирана, пока не разглашаются. Ранее технологию успешно апробировали в ходе операции по захвату президента Венесуэлы Николаса Мадуро.
Тем не менее, несмотря на столь эффективное применение за день до событий на Ближнем Востоке Трамп приказал правительству немедленно прекратить использование Claude.
В свою очередь, министр войны Пит Хегсет подтвердил, что поручил министерству признать Anthropic угрозой национальной безопасности и «риском цепочке поставок», на что в самой компании заверили о готовности оспорить этом решение в судебном порядке.
Одиозное решение со стороны Трампа последовало после нескольких недель напряженных переговоров между Anthropic и Пентагоном.
Компания отказалась предоставить военным разрешение на использование своего ИИ для организации массового наблюдения или применения для автономных систем вооружения.
Пентагон установил для компании крайний срок: либо она согласится с условиями, либо столкнется с последствиями.
По итогу Трамп дал ведомствам 6 месяцев на поэтапное прекращение сотрудничества с Anthropic, подчеркнув, что последней «лучше бы взять себя в руки и оказывать помощь в течение этого периода», если не желает «серьезных гражданских и уголовных последствий».
Как бы то ни было, уйти от симбиоза с военными и «отмыться» после ударов по Венесуэле и Ирану представителям Anthropic уже вряд ли удастся, так что судьба дальнейшей разработки очевидна, как очевидно и то, что противоречит всем заявленным «благим» этическим целям и правилам.
The Wall Street Journal
U.S. Strikes in Middle East Use Anthropic, Hours After Trump Ban
Within hours of declaring that the federal government will end its use of artificial-intelligence tools made by tech company Anthropic, President Trump launched a major air attack in Iran with the help of those very same tools.
Commands around the world,…
Commands around the world,…
Теперь к резонансным процессам, задержаниям и разоблачениям, которые сотрясли инфосек за минувшие дни.
Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.
Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.
Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.
Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.
В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.
Он признал свою вину и ему грозит до 15 лет лишения свободы.
Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.
Им оказался 23-летний житель Оттавы, Канада.
Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.
Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.
В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!
Немецкий суд приговорил владельца сети мошеннических колл-центров к семи с половиной годам тюремного заключения.
Гражданин Грузии и Израиля Михаил Биниашвили руководил сетью Milton Group из Албании в период с 2017 по 2019 год.
Колл-центры обманом заставляли жертв вкладывать свои средства в платформы, контролируемые Биниашвили и его сообщниками.
Кроме того, он приторговывал программным обеспечением для управления мошенническими колл-центрами другим злоумышленникам.
В США предъявили обвинение гражданину Украины в управлении порталом, посредством которого реализовались поддельные удостоверения личности. Юрий Назаренко заработал более 1,2 млн. долл. на OnlyFake.
Он признал свою вину и ему грозит до 15 лет лишения свободы.
Продолжая свое расследование Брайан Кребс смог выследить администратора ботнета Kimwolf, причастного к крупнейшим DDoS-атакам.
Им оказался 23-летний житель Оттавы, Канада.
Джейкоб Батлер, предположительно, является хакером под псевдонимом Дорт, который создал и к настоящему времени управляет ботнетом.
Сам Батлер сообщил Кребсу, что не использовал псевдоним Дорт с 2021 года и утверждает, что кто-то выдает себя за него.
В общем, уже по привычке напрашивается: да что себе позволяют эти русские хакеры?!
OCCRP
German Court Jails Key Figure in Massive Call Center Scam Operation Exposed by OCCRP
Nearly six years after OCCRP first exposed the Milton Group fraudulent call center network, a German court has sentenced a key operator to seven and a half years in prison for his role in the multi-million-euro scam.
Google выкатила обновления безопасности для устранения 129 уязвимостей в Android, включая активно используемую 0-day в компоненте дисплея Qualcomm.
Несмотря на то, что Google не предоставила дополнительной информации об атаках на CVE-2026-21385, Qualcomm в своем бюллетене сообщила, что уязвимость представляет собой переполнение целочисленного значения в подкомпоненте Graphics, которое локальные злоумышленники могут использовать для вызова повреждения памяти.
Qualcomm получила уведомление об этой серьезной уязвимости 18 декабря и уведомила клиентов 2 февраля.
Согласно февральскому уведомлению, в котором пока не указано, что CVE-2026-21385 используется в атаках, уязвимость затрагивает 235 чипсетов Qualcomm.
Помимо упомянутой CVE-2026-21385 Google исправила 10 критических уязвимостей в компонентах System, Framework и Kernel, которые злоумышленники могут использовать для RCE, EoP или инициирования DoS.
Наиболее серьезной из них является критическая уязвимость в компоненте System, которая может привести к RCE без необходимости получения дополнительных прав на выполнение.
Причем для эксплуатации не требуется взаимодействие с пользователем.
Google традиционно выпустила два набора исправлений: уровни 01.03.2026 и 05.03.2026.
Последний включает в себя все исправления из первого, а также исправления для закрытых сторонних и ядерных компонентов, которые могут быть неприменимы ко всем устройствам Android.
Для устройств Google Pixel обновления поступят немедленно, другим производителям потребуется больше времени для тестирования и настройки их под конкретные аппаратные конфигурации.
Несмотря на то, что Google не предоставила дополнительной информации об атаках на CVE-2026-21385, Qualcomm в своем бюллетене сообщила, что уязвимость представляет собой переполнение целочисленного значения в подкомпоненте Graphics, которое локальные злоумышленники могут использовать для вызова повреждения памяти.
Qualcomm получила уведомление об этой серьезной уязвимости 18 декабря и уведомила клиентов 2 февраля.
Согласно февральскому уведомлению, в котором пока не указано, что CVE-2026-21385 используется в атаках, уязвимость затрагивает 235 чипсетов Qualcomm.
Помимо упомянутой CVE-2026-21385 Google исправила 10 критических уязвимостей в компонентах System, Framework и Kernel, которые злоумышленники могут использовать для RCE, EoP или инициирования DoS.
Наиболее серьезной из них является критическая уязвимость в компоненте System, которая может привести к RCE без необходимости получения дополнительных прав на выполнение.
Причем для эксплуатации не требуется взаимодействие с пользователем.
Google традиционно выпустила два набора исправлений: уровни 01.03.2026 и 05.03.2026.
Последний включает в себя все исправления из первого, а также исправления для закрытых сторонних и ядерных компонентов, которые могут быть неприменимы ко всем устройствам Android.
Для устройств Google Pixel обновления поступят немедленно, другим производителям потребуется больше времени для тестирования и настройки их под конкретные аппаратные конфигурации.
Помимо Пентагона ИИ-помощник Claude Code от Anthropic не менее активно задействуется и киберподпольем.
Как отмечают в израильской Gambit Security, хакеры использовали уязвимость в коде Claude Code для разработки эксплойтов, собственных инструментов и автоматичзации кражи 150 ГБ данных в ходе кибератаки на системы правительства Мексики.
Инцидент ярко демонстрирует, как генеративный ИИ может быть использован в качестве оружия для ускорения проведения реальных кибер-операций.
Злоумышленники взломали 10 мексиканских правительственных учреждений, включая налоговую службу, избирательный институт, правительства штатов, гражданский реестр Мехико и водопроводную компанию Монтеррея, а также финансовое учреждение в декабре 2025 года.
Gambit Security обнаружила, что злоумышленники отправили более 1000 запросов в Claude Code, а затем применили GPT-4.1 от OpenAI для анализа украденных данных.
Обходя средства защиты ИИ и представляя действия как санкционированные, злоумышленники автоматизировали написание эксплойтов и кражу данных, добравшись таким образом до 195 млн. личных данных.
Выдавая себя за пентестеров, они создали подсказки для обхода защитных механизмов. Claude поначалу сопротивлялся, отмечая удаление журналов и инструкции по скрытному доступу как тревожные сигналы, прежде чем полностью лечь под манипуляций и провернуть операцию.
Как отметил директор по стратегии Gambit Security Кертис Симпсон, в общей сложности система сгенерировала тысячи подробных отчетов, включающих готовые к выполнению планы, точно указывающие оператору, какие внутренние цели следует атаковать и какие учетные данные использовать.
Когда Claude перестал выполнят команды, злоумышленники переключились на ChatGPT, дабы получить указания по дальнейшему проникновению в сеть и манипулированию учетными данными.
По мере развития взлома они неоднократно спрашивали, где еще можно найти государственные удостоверения личности и связанные с ними данные, а также какие еще системы следует атаковать.
Причем ранее нечто подобное провернули китайские хакеры, задействовав Claude Code в шпионской кампании, направленной против почти 30 организаций по всему миру.
Набирающий обороты тренд, как полагают исследователи, меняет все правила игры. Особенно это актуально, если принять в расчет, что Claude без каких-либо ограничений уже функционирует в интересах спецслужб и военных США.
Как отмечают в израильской Gambit Security, хакеры использовали уязвимость в коде Claude Code для разработки эксплойтов, собственных инструментов и автоматичзации кражи 150 ГБ данных в ходе кибератаки на системы правительства Мексики.
Инцидент ярко демонстрирует, как генеративный ИИ может быть использован в качестве оружия для ускорения проведения реальных кибер-операций.
Злоумышленники взломали 10 мексиканских правительственных учреждений, включая налоговую службу, избирательный институт, правительства штатов, гражданский реестр Мехико и водопроводную компанию Монтеррея, а также финансовое учреждение в декабре 2025 года.
Gambit Security обнаружила, что злоумышленники отправили более 1000 запросов в Claude Code, а затем применили GPT-4.1 от OpenAI для анализа украденных данных.
Обходя средства защиты ИИ и представляя действия как санкционированные, злоумышленники автоматизировали написание эксплойтов и кражу данных, добравшись таким образом до 195 млн. личных данных.
Выдавая себя за пентестеров, они создали подсказки для обхода защитных механизмов. Claude поначалу сопротивлялся, отмечая удаление журналов и инструкции по скрытному доступу как тревожные сигналы, прежде чем полностью лечь под манипуляций и провернуть операцию.
Как отметил директор по стратегии Gambit Security Кертис Симпсон, в общей сложности система сгенерировала тысячи подробных отчетов, включающих готовые к выполнению планы, точно указывающие оператору, какие внутренние цели следует атаковать и какие учетные данные использовать.
Когда Claude перестал выполнят команды, злоумышленники переключились на ChatGPT, дабы получить указания по дальнейшему проникновению в сеть и манипулированию учетными данными.
По мере развития взлома они неоднократно спрашивали, где еще можно найти государственные удостоверения личности и связанные с ними данные, а также какие еще системы следует атаковать.
Причем ранее нечто подобное провернули китайские хакеры, задействовав Claude Code в шпионской кампании, направленной против почти 30 организаций по всему миру.
Набирающий обороты тренд, как полагают исследователи, меняет все правила игры. Особенно это актуально, если принять в расчет, что Claude без каких-либо ограничений уже функционирует в интересах спецслужб и военных США.
Venturebeat
Claude didn't just plan an attack on Mexico's government. It executed one for a month — across four domains your security stack…
A hacker jailbroke Claude to steal 150GB of Mexican government data in a month-long campaign. CrowdStrike's latest threat report shows it's part of a wider pattern — and maps four domains most security stacks are blind to.
Исследователи из Испании, Швейцарии и Люксембурга раскрыли подробности метода для отслеживания автомобилей через датчики давления в шинах.
Как показали исследования, передаваемые датчиками давления в шинах данные можно регистрировать с помощью доступного оборудования, размещая его вдоль дорог.
Система контроля давления в шинах (TPMS), которая теперь является обязательной для всех автомобилей во всем мире, передает уникальный идентификатор в открытом виде, что делает эти передачи уязвимыми для прослушивания и потенциального отслеживания.
Ученые смогли задействовать недорогие приемники для захвата этих незашифрованных пассивных передач и определения закономерностей передвижений автотранспорта.
В тестовом режиме они установили пять приемников, которые в течение 10 недель перехватили более 6 млн. сообщений от систем TPMS примерно от 20 000 автомобилей.
Поскольку уникальный идентификатор, передаваемый системой TPMS, не меняется на протяжении всего срока службы шины, исследователи смогли сопоставить сигналы с автомобилями и отследить группу контролируемых автомобилей.
Результаты показывают, что данные TPMS вполне себе пригодны для систематического получения потенциально конфиденциальной информации, включая наличие, тип, вес или стиль вождения автомобилиста.
Как объясняют исследователи, система слежения легко развертывается, каждый приемник стоит не более 100 долларов, что делает ее достаточно доступной и демонстрирует, что автопроизводителям следует пересмотреть использование беспроводной передачи данных.
Передача телеметрии TPMS осуществляется без шифрования или каких-либо механизмов защиты и включает уникальный идентификатор, позволяя через доступное оборудование, например, недорогой приемник Spectrum со стандартной антенной, записывать и отслеживать эти данные во времени и пространстве.
Исследователи утверждают, что злоумышленники могли бы развертывать такие приемники в широких масштабах для массового отслеживания водителей.
По их мнению, злоумышленники могли бы сочетать пассивное отслеживание с активной подменой сигналов датчиков, отправляя грузовикам ложные оповещения о проколе шины, заставляя водителей предпринимать остановку и получая таким образом доступ к нужной машине.
Злоумышленник также может связать датчики TPMS с конкретным интересующим его лицом для целенаправленного отслеживания, используя общедоступные программно-определяемые радиосистемы.
Как показали исследования, передаваемые датчиками давления в шинах данные можно регистрировать с помощью доступного оборудования, размещая его вдоль дорог.
Система контроля давления в шинах (TPMS), которая теперь является обязательной для всех автомобилей во всем мире, передает уникальный идентификатор в открытом виде, что делает эти передачи уязвимыми для прослушивания и потенциального отслеживания.
Ученые смогли задействовать недорогие приемники для захвата этих незашифрованных пассивных передач и определения закономерностей передвижений автотранспорта.
В тестовом режиме они установили пять приемников, которые в течение 10 недель перехватили более 6 млн. сообщений от систем TPMS примерно от 20 000 автомобилей.
Поскольку уникальный идентификатор, передаваемый системой TPMS, не меняется на протяжении всего срока службы шины, исследователи смогли сопоставить сигналы с автомобилями и отследить группу контролируемых автомобилей.
Результаты показывают, что данные TPMS вполне себе пригодны для систематического получения потенциально конфиденциальной информации, включая наличие, тип, вес или стиль вождения автомобилиста.
Как объясняют исследователи, система слежения легко развертывается, каждый приемник стоит не более 100 долларов, что делает ее достаточно доступной и демонстрирует, что автопроизводителям следует пересмотреть использование беспроводной передачи данных.
Передача телеметрии TPMS осуществляется без шифрования или каких-либо механизмов защиты и включает уникальный идентификатор, позволяя через доступное оборудование, например, недорогой приемник Spectrum со стандартной антенной, записывать и отслеживать эти данные во времени и пространстве.
Исследователи утверждают, что злоумышленники могли бы развертывать такие приемники в широких масштабах для массового отслеживания водителей.
По их мнению, злоумышленники могли бы сочетать пассивное отслеживание с активной подменой сигналов датчиков, отправляя грузовикам ложные оповещения о проколе шины, заставляя водителей предпринимать остановку и получая таким образом доступ к нужной машине.
Злоумышленник также может связать датчики TPMS с конкретным интересующим его лицом для целенаправленного отслеживания, используя общедоступные программно-определяемые радиосистемы.
Солары поделились новой аналитикой по ландшафту вредоносных атак на инфраструктуру российских организаций, собранную с сенсоров сервиса PDNS в 4-м квартале (сравнивая с результатами третьего квартала и четвертого квартала 2024), и включая краткие итоги за 2025 год.
По мнению исследователей, отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет прийти к общему пониманию того, какие угрозы представляют наибольшую опасность. Подробно обозревать не будем, отчет достаточно объемный, остановимся на главном.
Общая статистика:
- Общее число срабатываний продолжило снижаться. Если в 3-м квартале оно вернулось на уровень 4-го квартала 2024 года, то в 4-м квартале 2025-го снизилось на 44,6% год к году.
- Количество атакованных организаций также значительно снизилось.
- После снижения в 3-м квартале интенсивность атак (среднее число заражений на одну организацию) увеличилась более чем на 50%, а по сравнению с 4-м кварталом 2024 года этот показатель возрос почти в четыре раза.
Основные результаты 4-го квартала 2025 года:
- Интенсивность заражений различным вредоносным ПО в 4-м квартале после снижения активности в 3-м квартале выросла на 51%. В среднем каждая компания сталкивается со 157 потенциальными заражениями в месяц.
- Интенсивность подобных атак выросла во всех исследуемых индустриях, кроме образования и IT. Больше всего (более чем на 200%, до 1205 срабатываний) она выросла в ТЭК.
- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 4-м квартале сократилось на 160% - до 5305. На это в том числе повлияло снижение бизнес-активности в 4-м квартале, обусловленное наступлением праздничного периода.
- Стилеры - вновь главная угроза. В 4-м квартале их доля выросла на 11 п. п., до 41,7% - и это после снижения числа заражений, которое длилось с лета по конец 3-го квартала. На втором и третьем месте - инструменты APT-группировок и средства удаленного доступа.
- Госсектор, IT, ТЭК, телеком и образование стали отраслями, в которых увеличилась доля событий, связанных с заражением посредством почти всех отслеживаемых типов угроз.
Основные результаты 2025 года
- Всего за год Солары зафиксировали 9 326 764 срабатывания в сетях 38 493 организаций. В среднем каждую организацию атаковали 242 раза.
- Стилеры стали самой часто встречающейся угрозой в 2025 году - на них пришлось 36% срабатываний. Индикаторы APT-группировк (27%) - на втором месте. Средства удаленного доступа (19%) - на третьем.
- Индустрии, в которых зафиксировано больше всего срабатываний, - промышленность (29%), здравоохранение (20%) и ТЭК (15%).
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов.
Похищение конфиденциальной информации остается основной целью злоумышленников, а интенсивность атак, даже несмотря на снижение их общего количества, растет.
В фокусе атакующих - отрасли, оперирующие большим количеством конфиденциальных сведений. Как и предполагалось, ТЭК, промышленность и госсектор продолжают быть наиболее подверженными угрозам прежде всего шпионских атак.
Инфографика и рекомендации - в отчете.
По мнению исследователей, отслеживание изменений в ландшафте угроз на основе данных PDNS позволяет прийти к общему пониманию того, какие угрозы представляют наибольшую опасность. Подробно обозревать не будем, отчет достаточно объемный, остановимся на главном.
Общая статистика:
- Общее число срабатываний продолжило снижаться. Если в 3-м квартале оно вернулось на уровень 4-го квартала 2024 года, то в 4-м квартале 2025-го снизилось на 44,6% год к году.
- Количество атакованных организаций также значительно снизилось.
- После снижения в 3-м квартале интенсивность атак (среднее число заражений на одну организацию) увеличилась более чем на 50%, а по сравнению с 4-м кварталом 2024 года этот показатель возрос почти в четыре раза.
Основные результаты 4-го квартала 2025 года:
- Интенсивность заражений различным вредоносным ПО в 4-м квартале после снижения активности в 3-м квартале выросла на 51%. В среднем каждая компания сталкивается со 157 потенциальными заражениями в месяц.
- Интенсивность подобных атак выросла во всех исследуемых индустриях, кроме образования и IT. Больше всего (более чем на 200%, до 1205 срабатываний) она выросла в ТЭК.
- Общее число организаций, в которых было зарегистрировано хотя бы одно событие потенциального заражения, во 4-м квартале сократилось на 160% - до 5305. На это в том числе повлияло снижение бизнес-активности в 4-м квартале, обусловленное наступлением праздничного периода.
- Стилеры - вновь главная угроза. В 4-м квартале их доля выросла на 11 п. п., до 41,7% - и это после снижения числа заражений, которое длилось с лета по конец 3-го квартала. На втором и третьем месте - инструменты APT-группировок и средства удаленного доступа.
- Госсектор, IT, ТЭК, телеком и образование стали отраслями, в которых увеличилась доля событий, связанных с заражением посредством почти всех отслеживаемых типов угроз.
Основные результаты 2025 года
- Всего за год Солары зафиксировали 9 326 764 срабатывания в сетях 38 493 организаций. В среднем каждую организацию атаковали 242 раза.
- Стилеры стали самой часто встречающейся угрозой в 2025 году - на них пришлось 36% срабатываний. Индикаторы APT-группировк (27%) - на втором месте. Средства удаленного доступа (19%) - на третьем.
- Индустрии, в которых зафиксировано больше всего срабатываний, - промышленность (29%), здравоохранение (20%) и ТЭК (15%).
Картина заражений в индустриях, полученная с помощью PDNS, позволяет сделать несколько выводов.
Похищение конфиденциальной информации остается основной целью злоумышленников, а интенсивность атак, даже несмотря на снижение их общего количества, растет.
В фокусе атакующих - отрасли, оперирующие большим количеством конфиденциальных сведений. Как и предполагалось, ТЭК, промышленность и госсектор продолжают быть наиболее подверженными угрозам прежде всего шпионских атак.
Инфографика и рекомендации - в отчете.
rt-solar.ru
Ландшафт киберугроз в РФ: итоги 2025 года и 4 квартала — Solar 4RAYS
Анализ кибератак в России за 2025 год: 9,3 млн срабатываний, рост интенсивности на 51% в 4 кв. Статистика по APT, стилерам и RAT. Данные с сенсоров PDNS по отраслям — отчет Solar 4RAYS
Позитивы подвели итоги своей работы по отслеживанию трендовых уязвимостей в самых разных и широко используемых в России продуктах и сервисах за 2025 год, обобщив наиопаснейшие из них.
Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.
Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.
Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.
Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).
В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.
Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.
Microsoft остается лидером в категории трендовых уязвимостей.
В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.
Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.
Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.
По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.
3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.
Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.
Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.
Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.
Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).
Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.
Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.
Согласно классификации исследователей, это именно те уязвимости, которые активно применяются в атаках или с высокой степенью вероятности будут эксплуатироваться злоумышленниками в определенной перспективе.
Всего в 2025 году к трендовым было отнесено 66 уязвимостей в ОС, прикладном ПО, почтовых серверах, сетевых устройствах и других продуктах.
Из них по 54 (82%) фиксировались признаки эксплуатации в атаках, а 12 (18%) имели публичные эксплойты, но без следов эксплуатации.
Большинство (47%) трендовых уязвимостей было связано с RCE (31) и EoP (20 уязвимостей, что составило 30%).
В отечественных коммерческих решениях выявлено 4 трендовые уязвимости: 1 RCE в CommuniGate Pro (BDU:2025-01331) и цепочка из трех в TrueConf Server.
Все остальные касаются зарубежных коммерческих продуктов и проектов с открытым кодом.
Microsoft остается лидером в категории трендовых уязвимостей.
В 2025 году продукты вендора содержали 31 такую ошибку, что составило 46% от общего числа.
Среди них: 18 - EoP в ядре Windows и стандартных компонентах; 2 - RCE в Microsoft SharePoint; 2 - RCE в стандартных компонентах Windows, эксплуатирующиеся через взаимодействие с сетевым хостом, а также 9 - в стандартных компонентах Windows, которые могут эксплуатироваться в фишинговых атаках.
Кроме того, в фишинговых атаках могут использоваться 8 RCE в 7-Zip, WinRAR и XSS в MDaemon Email Server, Zimbra Collaboration.
По части Linux-систем - это 2 трендовые уязвимости повышения привилегий в Sudo и Linux Kernel.
3 трендовые уязвимости затрагивают широко используемые библиотеки и фреймворки: RCE в React Server Components, expr-eval, а также уязвимость межсайтового скриптинга в Django.
Еще 13 трендовых уязвимостей ставят под угрозу сетевую безопасность организации и могут являться точками проникновения злоумышленников.
Это RCE в Cisco ASA и FTD, CommuniGate Pro, TrueConf Server, Roundcube, XWiki Platform, Control Web Panel, Redis и Erlang/OTP, а также обход аутентификации в FortiOS и PAN-OS.
Среди трендовых уязвимостей, которые позволяют злоумышленникам скомпрометировать разработку ПО: RCE в Apache HTTP Server и Apache Tomcat, а также раскрытие информации в MongoDB.
Компрометация виртуальной инфраструктуры возможна благодаря 4 проблемам в ESXi (RCE, раскрытие информации и повреждение памяти) и Kubernetes(RCE).
Также злоумышленники могут воспользоваться двумя RCE в SAP NetWeaver для взлома системы управления предприятием.
Конкретные идентификаторы и вся сводная аналитика по всем трендовым багам доступна в расширенном отчете.
Хабр
Киберугрозы 2025-2026: какие уязвимости были и будут в тренде
Хабр, привет! На связи ведущий специалист Экспертного центра Positive Technologies Александр Леонов. Каждый месяц я рассказываю о трендовых уязвимостях в самых разных и широко используемых в России...
Forwarded from Russian OSINT
🏴☠️Казна у пиратов пустеет, милорд!
Специалисты F6 проанализировали рынок онлайн-пиратства в Рунете за 2025 год: объём рынка, динамику доходов, эффективность рекламной монетизации и влияние блокировок.
📊 Ключевые факты 2025 года:
Доход пиратских сайтов — $34,4 млн
Доход по всем платформам — $42,5 млн
Заблокированныx страниц — 304 500
Доля легальной рекламы — 89%
Доля слитых премьер — 49,4%
🏴☠️ У пиратов сменились якорные рекламодатели: доля показа «черной рекламы» нелегальных казино и букмекеров составила 11%, а реклама легальных брендов — 89%. Для защиты своих ресурсов от блокировок пираты активно использовали шифрование текста рекламы нелегальных фильмов, в том числе азбукой Морзе, а для обхода фильтров поисковиков — DLE-модули с интеграцией искусственного интеллекта для рерайта описаний киноновинок.
Выводы специалистов: Продолжающееся усиление борьбы правообладателей с распространителями пиратского контента сохраняет ежегодный тренд на снижение прибыли пиратов. Но спрос будет оставаться высоким за счет невозможности просмотра большого количества зарубежных фильмов и сериалов из-за отсутствия лицензий на показ у легальных онлайн-кинотеатров. Количество крупных игроков черной рекламы сокращается, разбавляя пиратские порталы рекламой легальных брендов. Брендам стоит внимательнее следить за размещением рекламы от их лица на пиратских ресурсах, так как это может нести различные риски.
✋ @Russian_OSINT
Специалисты F6 проанализировали рынок онлайн-пиратства в Рунете за 2025 год: объём рынка, динамику доходов, эффективность рекламной монетизации и влияние блокировок.
Доход пиратских сайтов — $34,4 млн
Доход по всем платформам — $42,5 млн
Заблокированныx страниц — 304 500
Доля легальной рекламы — 89%
Доля слитых премьер — 49,4%
Выводы специалистов: Продолжающееся усиление борьбы правообладателей с распространителями пиратского контента сохраняет ежегодный тренд на снижение прибыли пиратов. Но спрос будет оставаться высоким за счет невозможности просмотра большого количества зарубежных фильмов и сериалов из-за отсутствия лицензий на показ у легальных онлайн-кинотеатров. Количество крупных игроков черной рекламы сокращается, разбавляя пиратские порталы рекламой легальных брендов. Брендам стоит внимательнее следить за размещением рекламы от их лица на пиратских ресурсах, так как это может нести различные риски.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ox Security предупреждает о критической уязвимости в решении FreeScout, использующем открытый исходный код для служб поддержки и общих почтовых ящиков, которая может быть использована для атак с удаленным выполнением кода (RCE) без клика.
Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.
Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.
Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.
По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».
Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.
Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.
Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.
Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.
Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.
Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.
Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.
Пользователям рекомендуется как можно скорее обновить свои развертывания.
Уязвимость отслеживается как CVE-2026-28289 (CVSS 10/10) и представляет собой обходной путь для CVE-2026-27636, недавно исправленной серьезной уязвимости удаленного выполнения кода с аутентификацией.
Первоначальная проблема, описанная как отсутствие файла .htaccess в списке ограничений на загрузку файлов, позволяет авторизованному злоумышленнику загрузить файл .htaccess, вмешаться в обработку файла и осуществить RCE.
Патч для первоначальной уязвимости CVE, обнаруженной Ox Security, можно обойти, используя символ пробела нулевой ширины, который невидим и проходит проверку на точку, в результате чего на диск сохраняется корректное имя файла .htaccess.
По мнению разработчиков FreeScout, CVE-2026-28289 - это уязвимость, связанная с проверкой времени использования (TOCTOU) в функции очистки имен файлов, «где проверка префикса точки происходит до того, как в процессе очистки удаляются невидимые символы».
Исправление CVE-2026-27636 было направлено на блокировку имен файлов с ограниченными расширениями или начинающиеся с точки («.») путем добавления подчеркивания к расширению файла.
Для обхода патча злоумышленник добавляет к имени файла символ нулевой ширины (Unicode U+200B). Поскольку этот символ не рассматривается как видимое содержимое, оно обходит проверку, символ U+200B удаляется, и файл сохраняется как настоящий точечный файл.
Атака реализуется путем отправки вредоносного электронного письма с любого адреса на почтовый ящик, настроенный в FreeScout.
Важно отметить, что для этого не требуется аутентификации и взаимодействия с пользователем. Вредоносная ПО записывается на диск на сервере FreeScout, после чего может быть использована для удаленного выполнения команд.
Как отмечает Ox Security, злоумышленник может предсказать, где файл будет сохранен на диске, что позволяет ему получить доступ к вредоносному коду и выполнять команды на сервере.
Успешная эксплуатация новой уязвимости позволяет злоумышленнику получить полный контроль над серверами, перехватить заявки в сапорт, содержимое почтовых ящиков и другие конфиденциальные данные из FreeScout, а также потенциально перейти на другие системы в сети.
Все установки FreeScout 1.8.206 затрагиваются при работе на Apache с включенной опцией AllowOverride All (распространенная конфигурация). CVE-2026-28289 была устранена в FreeScout 1.8.207.
Пользователям рекомендуется как можно скорее обновить свои развертывания.
GitHub
FreeScout 1.8.206 - Patch Bypass for CVE-2026-27636 via Zero-Width Space Character Leads to Unauthenticated Remote Code Execution
# FreeScout 1.8.206 - Patch Bypass for CVE-2026-27636 via Zero-Width Space Character Leads to Remote Code Execution
### Summary
_A patch bypass vulnerability in FreeScout 1.8.206 allows any aut...
### Summary
_A patch bypass vulnerability in FreeScout 1.8.206 allows any aut...