Исследователи CheckPoint предупреждают об обнаружении кампании, нацеленной на TrueConf с использованием 0-day, позволяющей выполнять произвольные файлы на всех подключенных устройствах.
Уязвимость отслеживается как CVE-2026-3502 и получила средний уровень серьезности. Она связана с отсутствием проверки целостности в механизме обновления ПО, что может быть использовано для замены легитимного обновления вредоносным вариантом.
TrueConf - это платформа для видеоконференций, которая может работать как сервер с самостоятельным размещением. Хотя она также поддерживает облачные развертывания, в целом она предназначена для закрытых, автономных сред.
По данным поставщика, cреди пользователей TrueConf - вооруженные силы, госучреждения, нефтегазовые корпорации и компании по управлению воздушным движением.
Исследователи отслеживают кампанию как TrueChaos с начала года и фиксируют основной таргет на государственные структуры в Юго-Восточной Азии.
По данным CheckPoint, злоумышленник, получивший контроль над локальным сервером TrueConf, может заменить ожидаемый пакет обновления произвольным исполняемым файлом, представленным как текущая версия приложения, и распространить его среди всех подключенных клиентов.
Поскольку клиент доверяет предоставленному сервером обновлению без надлежащей проверки, вредоносный файл может быть доставлен и запущен под видом легитимного обновления TrueConf.
Уязвимость затрагивает все версии TrueConf от 8.1.0 до 8.5.2. После уведомления CheckPoint поставщик выпустил исправление в версии 8.5.3 в марте 2026 года.
CheckPoint с умеренной степенью уверенности приписывает TrueChaos нейстановленной китайской APT, основываясь на TTPs, использовании Alibaba Cloud и Tencent для размещения инфраструктуры C2, а также данных о жертвах.
Атаки распространились через централизованно управляемый правительственный сервер TrueConf, затронув множество ведомств и распространяя вредоносные файлы посредством поддельных обновлений всем подключенным клиентам TrueConf.
Цепочка заражения включает в себя установку DLL-файлов и развертывание инструментов разведки (tasklist, tracert), повышение привилегий (обход UAC через iscicpl.exe) и обеспечение постоянного присутствия в системе.
Исследователям не удалось восстановить финальную полезную нагрузку, но они отметили, что сетевой трафик указывал на инфраструктуру управления и контроля Havoc.
Havoc представляет собой платформу управления и контроля с открытым исходным кодом, способную выполнять команды, управлять процессами, манипулировать токенами Windows, выполнять шелл-код и развертывать дополнительные полезные нагрузки.
Ранее Havoc использовалась китайской Amaranth-Dragon, подразделением APT-41 в атаках с аналогичным целевым охватом.
В отчете CheckPoint отмечены IOCs& К явным признакам взлома относятся наличие poweriso.exe или 7z-x64.dll, а также другие подозрительные артефакты, такие как %AppData%\Roaming\Adobe\update.7z или iscsiexe.dll.
Уязвимость отслеживается как CVE-2026-3502 и получила средний уровень серьезности. Она связана с отсутствием проверки целостности в механизме обновления ПО, что может быть использовано для замены легитимного обновления вредоносным вариантом.
TrueConf - это платформа для видеоконференций, которая может работать как сервер с самостоятельным размещением. Хотя она также поддерживает облачные развертывания, в целом она предназначена для закрытых, автономных сред.
По данным поставщика, cреди пользователей TrueConf - вооруженные силы, госучреждения, нефтегазовые корпорации и компании по управлению воздушным движением.
Исследователи отслеживают кампанию как TrueChaos с начала года и фиксируют основной таргет на государственные структуры в Юго-Восточной Азии.
По данным CheckPoint, злоумышленник, получивший контроль над локальным сервером TrueConf, может заменить ожидаемый пакет обновления произвольным исполняемым файлом, представленным как текущая версия приложения, и распространить его среди всех подключенных клиентов.
Поскольку клиент доверяет предоставленному сервером обновлению без надлежащей проверки, вредоносный файл может быть доставлен и запущен под видом легитимного обновления TrueConf.
Уязвимость затрагивает все версии TrueConf от 8.1.0 до 8.5.2. После уведомления CheckPoint поставщик выпустил исправление в версии 8.5.3 в марте 2026 года.
CheckPoint с умеренной степенью уверенности приписывает TrueChaos нейстановленной китайской APT, основываясь на TTPs, использовании Alibaba Cloud и Tencent для размещения инфраструктуры C2, а также данных о жертвах.
Атаки распространились через централизованно управляемый правительственный сервер TrueConf, затронув множество ведомств и распространяя вредоносные файлы посредством поддельных обновлений всем подключенным клиентам TrueConf.
Цепочка заражения включает в себя установку DLL-файлов и развертывание инструментов разведки (tasklist, tracert), повышение привилегий (обход UAC через iscicpl.exe) и обеспечение постоянного присутствия в системе.
Исследователям не удалось восстановить финальную полезную нагрузку, но они отметили, что сетевой трафик указывал на инфраструктуру управления и контроля Havoc.
Havoc представляет собой платформу управления и контроля с открытым исходным кодом, способную выполнять команды, управлять процессами, манипулировать токенами Windows, выполнять шелл-код и развертывать дополнительные полезные нагрузки.
Ранее Havoc использовалась китайской Amaranth-Dragon, подразделением APT-41 в атаках с аналогичным целевым охватом.
В отчете CheckPoint отмечены IOCs& К явным признакам взлома относятся наличие poweriso.exe или 7z-x64.dll, а также другие подозрительные артефакты, такие как %AppData%\Roaming\Adobe\update.7z или iscsiexe.dll.
Check Point Research
Operation TrueChaos: 0-Day Exploitation Against Southeast Asian Government Targets - Check Point Research
Key Points Introduction At the beginning of 2026, Check Point Research observed a series of targeted attacks against government entities in Southeast Asia carried out via a legitimate TrueConf software installed in the targets’ environment. The investigation…
Исследователи McAfee в Google Play обнаружили новый вредоносный код для Android под названием NoVoice, скрытый в более чем 50 приложениях, которые были загружены не менее 2,3 млн. раз.
В числе вредоносных приложений - программы для очистки файлов, фотогалереи и игры. Все они не требовали подозрительных разрешений и поддерживали заявленную функциональность.
После запуска зараженного приложения вредоносная ПО попыталась получить root-доступ к устройству, используя старые уязвимости Android, для которых были выпущены исправления в период с 2016 по 2021 год.
Атрибутировать NoVoice исследователи McAfee не смогли, но отметили сходство с трояном Triada для Android, о котором ранее сообщали исследователи Лаборатории Касперского.
По данным McAfee, злоумышленник спрятал вредоносные компоненты в пакете com.facebook.utils, смешав их с классами легитимного SDK Facebook.
Зашифрованный файл (enc.apk), скрытый внутри файла изображения PNG с помощью стеганографии, извлекается (h.apk) и загружается в системную память, при этом удаляются все промежуточные файлы для устранения следов.
McAfee отмечает, что злоумышленник избегает заражения устройств в определенных регионах, таких как Пекин и Шэньчжэнь в Китае, и cvju внедриnm 15 проверок для эмуляторов, отладчиков и VPN.
Затем вредоносная ПО связывается с сервером C2 и собирает информацию об устройстве, включая сведения об оборудовании, версию ядра, версию Android (и уровень исправлений), установленные приложения и статус root, чтобы выработать стратегию эксплуатации.
Вредоносная ПО опрашивает сервер С2 каждые 60 секунд и загружает различные компоненты для эксплойтов, предназначенных для получения root-прав в системе жертвы.
В целом, McAfee выделила 22 уязвимости, включая ошибки ядра и недостатки драйверов графического процессора Mali, которые предоставляют операторам root-доступ и позволяют отключить принудительное применение SELinux на устройстве, фактически лишая его средств защиты.
После получения root-прав на устройстве ключевые системные библиотеки, такие как libandroid_runtime.so и libmedia_jni.so, заменяются перехваченными обертками, которые перехватывают системные вызовы и перенаправляют их выполнение на код атаки.
Руткит обеспечивает многоуровневое сохранение активности, включая установку скриптов восстановления, замену обработчика сбоев системы загрузчиком руткита и хранение резервных полезных нагрузок на системном разделе.
Поскольку эта часть памяти не чистится при сбросе до заводских настроек, вредоносное ПО будет сохраняться. Кроме того, каждые 60 секунд проводится проверка целостности руткита с автоматической переустановкой отсутствующих компонентов.
На этапе постэксплуатации в каждое запущенное на устройстве приложение внедряется код, контролируемый злоумышленником. Развертываются два основных компонента: один обеспечивает скрытую установку или удаление приложений, а другой работает внутри любого приложения.
Последний служит основным механизмом кражи данных, и, как отметила компания McAfee, в первую очередь, нацелен на WhatsApp и позволяет злоумышленникам клонировать сессию.
Исследователям удалось восстановить только полезную нагрузку, ориентированную на WhatsApp, однако модульная конструкция NoVoice технически позволяет использовать и другие полезные нагрузки, нацеленные на любое приложение на устройстве.
Вредоносные приложения для Android, содержащие вредоносный код NoVoice, были удалены из Google Play. Однако пользователям, которые уже устанавливали зараженные программы, следует считать, что их устройства и данные находятся под угрозой.
В числе вредоносных приложений - программы для очистки файлов, фотогалереи и игры. Все они не требовали подозрительных разрешений и поддерживали заявленную функциональность.
После запуска зараженного приложения вредоносная ПО попыталась получить root-доступ к устройству, используя старые уязвимости Android, для которых были выпущены исправления в период с 2016 по 2021 год.
Атрибутировать NoVoice исследователи McAfee не смогли, но отметили сходство с трояном Triada для Android, о котором ранее сообщали исследователи Лаборатории Касперского.
По данным McAfee, злоумышленник спрятал вредоносные компоненты в пакете com.facebook.utils, смешав их с классами легитимного SDK Facebook.
Зашифрованный файл (enc.apk), скрытый внутри файла изображения PNG с помощью стеганографии, извлекается (h.apk) и загружается в системную память, при этом удаляются все промежуточные файлы для устранения следов.
McAfee отмечает, что злоумышленник избегает заражения устройств в определенных регионах, таких как Пекин и Шэньчжэнь в Китае, и cvju внедриnm 15 проверок для эмуляторов, отладчиков и VPN.
Затем вредоносная ПО связывается с сервером C2 и собирает информацию об устройстве, включая сведения об оборудовании, версию ядра, версию Android (и уровень исправлений), установленные приложения и статус root, чтобы выработать стратегию эксплуатации.
Вредоносная ПО опрашивает сервер С2 каждые 60 секунд и загружает различные компоненты для эксплойтов, предназначенных для получения root-прав в системе жертвы.
В целом, McAfee выделила 22 уязвимости, включая ошибки ядра и недостатки драйверов графического процессора Mali, которые предоставляют операторам root-доступ и позволяют отключить принудительное применение SELinux на устройстве, фактически лишая его средств защиты.
После получения root-прав на устройстве ключевые системные библиотеки, такие как libandroid_runtime.so и libmedia_jni.so, заменяются перехваченными обертками, которые перехватывают системные вызовы и перенаправляют их выполнение на код атаки.
Руткит обеспечивает многоуровневое сохранение активности, включая установку скриптов восстановления, замену обработчика сбоев системы загрузчиком руткита и хранение резервных полезных нагрузок на системном разделе.
Поскольку эта часть памяти не чистится при сбросе до заводских настроек, вредоносное ПО будет сохраняться. Кроме того, каждые 60 секунд проводится проверка целостности руткита с автоматической переустановкой отсутствующих компонентов.
На этапе постэксплуатации в каждое запущенное на устройстве приложение внедряется код, контролируемый злоумышленником. Развертываются два основных компонента: один обеспечивает скрытую установку или удаление приложений, а другой работает внутри любого приложения.
Последний служит основным механизмом кражи данных, и, как отметила компания McAfee, в первую очередь, нацелен на WhatsApp и позволяет злоумышленникам клонировать сессию.
Исследователям удалось восстановить только полезную нагрузку, ориентированную на WhatsApp, однако модульная конструкция NoVoice технически позволяет использовать и другие полезные нагрузки, нацеленные на любое приложение на устройстве.
Вредоносные приложения для Android, содержащие вредоносный код NoVoice, были удалены из Google Play. Однако пользователям, которые уже устанавливали зараженные программы, следует считать, что их устройства и данные находятся под угрозой.
McAfee Blog
Operation NoVoice: Rootkit Tells No Tales | McAfee Blog
Authored By: Ahmad Zubair Zahid McAfee’s mobile research team identified and investigated an Android rootkit campaign tracked as Operation Novoice. The
Cisco выпустила обновления безопасности для устранения ряда критических и серьезных уязвимостей, включая обход аутентификации интегрированного контроллера управления (IMC), который позволяет злоумышленникам получить административный доступ.
Cisco IMC, также известный как CIMC, представляет собой аппаратный модуль, встроенный в материнскую плату серверов Cisco, который обеспечивает внеполосное управление (даже если операционная система выключена или вышла из строя) для серверов UCS C-Series и E-Series через различные интерфейсы, включая XML API, веб-интерфейс (WebUI) и командную строку (CLI).
Уязвимость, CVE-2026-20093, затрагивает функцию смены пароля Cisco IMC и может быть удаленно использована неаутентифицированными злоумышленниками для обхода аутентификации и доступа к незащищенным системам с правами администратора.
Она обусловлена некорректной обработкой запросов на смену пароля. Злоумышленник может использовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию, изменить пароли любого пользователя в системе, включая администратора, и получить доступ к системе от имени этого пользователя.
Cisco (PSIRT) пока не обнаружила доказательств эксплуатации уязвимости в реальных условиях или нацеленного на нее PoC, но настоятельно рекомендует клиентам обновить ПО до исправленной версии, поскольку способов временного устранения уязвимости нет.
Cisco IMC, также известный как CIMC, представляет собой аппаратный модуль, встроенный в материнскую плату серверов Cisco, который обеспечивает внеполосное управление (даже если операционная система выключена или вышла из строя) для серверов UCS C-Series и E-Series через различные интерфейсы, включая XML API, веб-интерфейс (WebUI) и командную строку (CLI).
Уязвимость, CVE-2026-20093, затрагивает функцию смены пароля Cisco IMC и может быть удаленно использована неаутентифицированными злоумышленниками для обхода аутентификации и доступа к незащищенным системам с правами администратора.
Она обусловлена некорректной обработкой запросов на смену пароля. Злоумышленник может использовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация уязвимости может позволить злоумышленнику обойти аутентификацию, изменить пароли любого пользователя в системе, включая администратора, и получить доступ к системе от имени этого пользователя.
Cisco (PSIRT) пока не обнаружила доказательств эксплуатации уязвимости в реальных условиях или нацеленного на нее PoC, но настоятельно рекомендует клиентам обновить ПО до исправленной версии, поскольку способов временного устранения уязвимости нет.
Cisco
Cisco Security Advisory: Cisco Integrated Management Controller Authentication Bypass Vulnerability
A vulnerability in the change password functionality of Cisco Integrated Management Controller (IMC) could allow an unauthenticated, remote attacker to bypass authentication and gain access to the system as Admin.
This vulnerability is due to incorrect handling…
This vulnerability is due to incorrect handling…
Две уязвимости в Progress ShareFile, решении для безопасной передачи файлов корпоративного уровня, могут быть объединены в цепочку, позволяя осуществлять несанкционированную кражу файлов из затронутых сред.
Подобные решения являются привлекательной целью для злоумышленников, использующих программы-вымогатели, как это уже было в случае с атаками банды вымогателей Clop, которая успешно монетизирована их через уязвимости в Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer и Cleo.
Исследователи watchTowr обнаружили уязвимость обхода аутентификации (CVE-2026-2699) и удаленного выполнения кода (CVE-2026-2701) в компоненте Storage Zones Controller (SZC), присутствующем в ветке 5.x Progress ShareFile.
SZC предоставляет клиентам больший контроль над своими данными, позволяя им хранить их на собственной инфраструктуре (либо локально, либо у стороннего облачного провайдера) или в системах Progress.
После того, как watchTowr сообщила о проблемах, их устранили в Progress ShareFile 5.12.4, выпущенной 10 марта.
В последнем отчете watchTowr пояснила, что атака может инициироваться с уязвимости обхода аутентификации CVE-2026-2699, которая предоставляет доступ к административному интерфейсу ShareFile из-за некорректной обработки HTTP-перенаправлений.
Проникнув внутрь, злоумышленник может изменить параметры конфигурации зоны хранения, включая пути к файлам и параметры, имеющие важное значение для безопасности, такие как пароль зоны и связанные с ним секреты.
Используя вторую CVE-2026-2701 злоумышленники могут получить возможность удаленного выполнения кода на сервере, злоупотребляя функциями загрузки и извлечения файлов для размещения вредоносных ASPX-веб-оболочек в корневом каталоге приложения.
Исследователи отмечают, что для работы эксплойта злоумышленникам необходимо сгенерировать действительные HMAC-подписи, а также извлечь и расшифровать внутренние секреты.
Однако это достижимо после эксплуатации уязвимости CVE-2026-2699 благодаря возможности устанавливать или контролировать значения, связанные с парольной фразой.
Согласно сканированию watchTowr, в открытом доступе находится около 30 000 экземпляров Storage Zone Controller.
В свою очередь, ShadowServer Foundation отслеживает 700 доступных через интернет экземпляров Progress ShareFile, большинство из которых расположены в США и Европе.
WatchTowr сообщила о своих выводах в Progress в период с 6 по 13 февраля, а полная цепочка эксплойтов была подтверждена 18 февраля в Progress ShareFile 5.12.4. Разработчик выпустил обновления безопасности в версии 5.12.4, которая вышла 10 марта.
К настоящему времени активной эксплуатации уязвимостей в реальных условиях не наблюдалось, однако с учетом опыта Clop и выходом в паблик технических подробностей цепочки атаки, уязвимые версии ShareFile Storage Zone Controller следует немедленно обновить.
Подобные решения являются привлекательной целью для злоумышленников, использующих программы-вымогатели, как это уже было в случае с атаками банды вымогателей Clop, которая успешно монетизирована их через уязвимости в Accellion FTA, SolarWinds Serv-U, Gladinet CentreStack, GoAnywhere MFT, MOVEit Transfer и Cleo.
Исследователи watchTowr обнаружили уязвимость обхода аутентификации (CVE-2026-2699) и удаленного выполнения кода (CVE-2026-2701) в компоненте Storage Zones Controller (SZC), присутствующем в ветке 5.x Progress ShareFile.
SZC предоставляет клиентам больший контроль над своими данными, позволяя им хранить их на собственной инфраструктуре (либо локально, либо у стороннего облачного провайдера) или в системах Progress.
После того, как watchTowr сообщила о проблемах, их устранили в Progress ShareFile 5.12.4, выпущенной 10 марта.
В последнем отчете watchTowr пояснила, что атака может инициироваться с уязвимости обхода аутентификации CVE-2026-2699, которая предоставляет доступ к административному интерфейсу ShareFile из-за некорректной обработки HTTP-перенаправлений.
Проникнув внутрь, злоумышленник может изменить параметры конфигурации зоны хранения, включая пути к файлам и параметры, имеющие важное значение для безопасности, такие как пароль зоны и связанные с ним секреты.
Используя вторую CVE-2026-2701 злоумышленники могут получить возможность удаленного выполнения кода на сервере, злоупотребляя функциями загрузки и извлечения файлов для размещения вредоносных ASPX-веб-оболочек в корневом каталоге приложения.
Исследователи отмечают, что для работы эксплойта злоумышленникам необходимо сгенерировать действительные HMAC-подписи, а также извлечь и расшифровать внутренние секреты.
Однако это достижимо после эксплуатации уязвимости CVE-2026-2699 благодаря возможности устанавливать или контролировать значения, связанные с парольной фразой.
Согласно сканированию watchTowr, в открытом доступе находится около 30 000 экземпляров Storage Zone Controller.
В свою очередь, ShadowServer Foundation отслеживает 700 доступных через интернет экземпляров Progress ShareFile, большинство из которых расположены в США и Европе.
WatchTowr сообщила о своих выводах в Progress в период с 6 по 13 февраля, а полная цепочка эксплойтов была подтверждена 18 февраля в Progress ShareFile 5.12.4. Разработчик выпустил обновления безопасности в версии 5.12.4, которая вышла 10 марта.
К настоящему времени активной эксплуатации уязвимостей в реальных условиях не наблюдалось, однако с учетом опыта Clop и выходом в паблик технических подробностей цепочки атаки, уязвимые версии ShareFile Storage Zone Controller следует немедленно обновить.
watchTowr Labs
You’re Not Supposed To ShareFile With Everyone (Progress ShareFile Pre-Auth RCE Chain CVE-2026-2699 & CVE-2026-2701)
If you squint and look at the CISA KEV list, you might think it's made up exclusively of vulnerabilities in file transfer solutions.
While this would be wrong (and you shouldn’t squint, it’s bad for your eyes), file transfer solutions do play a decent role…
While this would be wrong (and you shouldn’t squint, it’s bad for your eyes), file transfer solutions do play a decent role…
Европейская служба кибербезопасности (CERT-EU) связала взлом облачных сервисов Европейской комиссии с активностью группировки TeamPCP, заявляя что в результате утечки были раскрыты данные как минимум 29 других организаций Европейского союза.
ЕК публично признала инцидент 27 марта после обращения журналистов за подтверждением того, что облачная среда Amazon главного исполнительного органа ЕС была взломана.
Двумя днями ранее Комиссия уведомила CERT-EU о взломе, заявив, что ее Центр кибербезопасности не получал уведомлений о неправомерном использовании API, потенциальной компрометации учетных записей или каком-либо аномальном сетевом трафике до 24 марта, через пять дней после первоначального вторжения.
10 марта группа TeamPCP использовала скомпрометированный ключ API Amazon Web Services с правами управления другими учетными записями AWS ЕК (украденный в ходе атаки на цепочку поставок Trivy) для взлома ее облачной среды Amazon.
На следующем этапе атаки они использовали TruffleHog для поиска дополнительных секретов, а затем прикрепили недавно созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, прежде чем провести дальнейшую разведку и украсть данные.
TeamPCP связывают также с недавними атаками на цепочки поставок, направленными на множество других платформ для разработки кода, таких как GitHub, PyPi, NPM и Docker.
Кроме того, они взломали LiteLLM PyPI в результате атаки, затронувшей десятки тысяч устройств, используя вредоносное ПО TeamPCP Cloud Stealer, предназначенное для кражи информации.
28 марта банда вымогателей ShinyHunters опубликовала украденный набор данных на своем DLS в даркнете в виде архива документов размером 90 ГБ (приблизительно 340 ГБ в несжатом виде), содержащего имена, адреса электронной почты и содержимое писем.
Анализ CERT-EU подтвердил, что злоумышленники похитили десятки тысяч файлов, содержащих личную информацию, имена пользователей, адреса электронной почты и содержимое электронных писем, и что в результате утечки данных потенциально пострадали 42 внутренних клиента ЕК и как минимум 29 других организаций ЕС, использующих хостинг europa.eu.
Набор слитых данных также содержит как минимум 51 992 файла, связанных с исходящими электронными письмами, общим объемом 2,22 ГБ.
В CERT-EU отметили, что в результате инцидента ни один сайт не был отключен или подвергнут каким-либо изменениям, равно как и не было обнаружено перемещения данных на другие учетные записи AWS Комиссии.
Анализ утекших баз данных и файлов продолжается и, вероятно, потребует «значительного количества времени». Так что пока Комиссия уведомила соответствующие органы по защите данных и находится в прямой связи с затронутыми организациями.
В еврочиновникам уже не привыкать: в феврале их также неплохо выпотрошили через взлом уязвимой EDM-платформы.
ЕК публично признала инцидент 27 марта после обращения журналистов за подтверждением того, что облачная среда Amazon главного исполнительного органа ЕС была взломана.
Двумя днями ранее Комиссия уведомила CERT-EU о взломе, заявив, что ее Центр кибербезопасности не получал уведомлений о неправомерном использовании API, потенциальной компрометации учетных записей или каком-либо аномальном сетевом трафике до 24 марта, через пять дней после первоначального вторжения.
10 марта группа TeamPCP использовала скомпрометированный ключ API Amazon Web Services с правами управления другими учетными записями AWS ЕК (украденный в ходе атаки на цепочку поставок Trivy) для взлома ее облачной среды Amazon.
На следующем этапе атаки они использовали TruffleHog для поиска дополнительных секретов, а затем прикрепили недавно созданный ключ доступа к существующему пользователю, чтобы избежать обнаружения, прежде чем провести дальнейшую разведку и украсть данные.
TeamPCP связывают также с недавними атаками на цепочки поставок, направленными на множество других платформ для разработки кода, таких как GitHub, PyPi, NPM и Docker.
Кроме того, они взломали LiteLLM PyPI в результате атаки, затронувшей десятки тысяч устройств, используя вредоносное ПО TeamPCP Cloud Stealer, предназначенное для кражи информации.
28 марта банда вымогателей ShinyHunters опубликовала украденный набор данных на своем DLS в даркнете в виде архива документов размером 90 ГБ (приблизительно 340 ГБ в несжатом виде), содержащего имена, адреса электронной почты и содержимое писем.
Анализ CERT-EU подтвердил, что злоумышленники похитили десятки тысяч файлов, содержащих личную информацию, имена пользователей, адреса электронной почты и содержимое электронных писем, и что в результате утечки данных потенциально пострадали 42 внутренних клиента ЕК и как минимум 29 других организаций ЕС, использующих хостинг europa.eu.
Набор слитых данных также содержит как минимум 51 992 файла, связанных с исходящими электронными письмами, общим объемом 2,22 ГБ.
В CERT-EU отметили, что в результате инцидента ни один сайт не был отключен или подвергнут каким-либо изменениям, равно как и не было обнаружено перемещения данных на другие учетные записи AWS Комиссии.
Анализ утекших баз данных и файлов продолжается и, вероятно, потребует «значительного количества времени». Так что пока Комиссия уведомила соответствующие органы по защите данных и находится в прямой связи с затронутыми организациями.
В еврочиновникам уже не привыкать: в феврале их также неплохо выпотрошили через взлом уязвимой EDM-платформы.
cert.europa.eu
European Commission cloud breach: a supply-chain compromise
Drift столкнулась с инцидентом на 280 млн. зеленых после того, как злоумышленник в ходе спланированной и сложной операции захватил контроль над его административными полномочиями в Совете Безопасности.
Elliptic и TRM Labs (1 и 2 соответственно) связали атаки с северокорейскими хакерами, основываясь на многочисленных внутрисетевых индикаторах.
Среди них: использование Tornado Cash, время развертывания CarbonVote (09:30 по пхеньянскому времени), схемы межсетевого взаимодействия и быстрое крупномасштабное отмывание денег, как это было в случае с Bybit.
Как пояснили исследователи, злоумышленник использовал надежные одноразовые коды и предварительно подписанные транзакции, чтобы отсрочить исполнение и нанести удар с высокой точностью в точно выбранное время.
Drift подчеркивает, что хакер не использовал никаких уязвимостей в своих программах или смарт-контрактах, и ни одна из исходных фраз не была скомпрометирована.
Drift Protocol - это торговая платформа DeFi, построенная на блокчейне Solana, которая выступает в качестве некастодиальной биржи, предоставляя пользователям полный контроль над своими средствами при взаимодействии с внутрисетевыми рынками.
По состоянию на конец 2024 года платформа заявляла о наличии 200 000 трейдеров, поддерживающих общий объем торгов более 55 млрд. долл. и пиковый ежедневный объем в 13 млн. долл.
Согласно отчету Drift, ограбление планировалось в период с 23 по 30 марта: злоумышленник создал учетные записи с устойчивыми одноразовыми кодами и получил одобрение 2 из 5 мультиподписей от членов Совета Безопасности, чтобы достичь необходимого порога.
Это позволило им предварительно подписывать вредоносные транзакции, которые не выполнялись немедленно, а 1 апреля злоумышленник совершил легальную транзакцию и немедленно выполнил предварительно подписанные вредоносные транзакции, передав себе административный контроль в течение нескольких минут.
Получив административный контроль, хакеры внедрили вредоносный актив, сняли лимиты на вывод средств и в конечном итоге опустошили средства.
По оценкам Drift Protocol, убытки составили около 280 млн. долл., в то время как в PeckShieldAlert указывают на 285 млн. долл.
В связи с обнаружением необычной активности в протоколе, Drift выпустила публичное предупреждение для пользователей, заявив о начале расследования и настоятельно призвавая их не вносить средства до дальнейшего уведомления.
В результате атаки пострадали депозиты для заимствования/кредитования, депозиты в хранилищах и торговые фонды, и все функции протокола фактически заморожены. Drift заявил, что DSOL не пострадал, а активы страхового фонда защищены.
В настоящее время платформа сотрудничает со сторонними специалистами, криптобиржами и правоохранительными органами для отслеживания и изъятия украденных средств. В Drift обещают опубликовать подробный отчет по результатам расследования в ближайшие дни.
Elliptic и TRM Labs (1 и 2 соответственно) связали атаки с северокорейскими хакерами, основываясь на многочисленных внутрисетевых индикаторах.
Среди них: использование Tornado Cash, время развертывания CarbonVote (09:30 по пхеньянскому времени), схемы межсетевого взаимодействия и быстрое крупномасштабное отмывание денег, как это было в случае с Bybit.
Как пояснили исследователи, злоумышленник использовал надежные одноразовые коды и предварительно подписанные транзакции, чтобы отсрочить исполнение и нанести удар с высокой точностью в точно выбранное время.
Drift подчеркивает, что хакер не использовал никаких уязвимостей в своих программах или смарт-контрактах, и ни одна из исходных фраз не была скомпрометирована.
Drift Protocol - это торговая платформа DeFi, построенная на блокчейне Solana, которая выступает в качестве некастодиальной биржи, предоставляя пользователям полный контроль над своими средствами при взаимодействии с внутрисетевыми рынками.
По состоянию на конец 2024 года платформа заявляла о наличии 200 000 трейдеров, поддерживающих общий объем торгов более 55 млрд. долл. и пиковый ежедневный объем в 13 млн. долл.
Согласно отчету Drift, ограбление планировалось в период с 23 по 30 марта: злоумышленник создал учетные записи с устойчивыми одноразовыми кодами и получил одобрение 2 из 5 мультиподписей от членов Совета Безопасности, чтобы достичь необходимого порога.
Это позволило им предварительно подписывать вредоносные транзакции, которые не выполнялись немедленно, а 1 апреля злоумышленник совершил легальную транзакцию и немедленно выполнил предварительно подписанные вредоносные транзакции, передав себе административный контроль в течение нескольких минут.
Получив административный контроль, хакеры внедрили вредоносный актив, сняли лимиты на вывод средств и в конечном итоге опустошили средства.
По оценкам Drift Protocol, убытки составили около 280 млн. долл., в то время как в PeckShieldAlert указывают на 285 млн. долл.
В связи с обнаружением необычной активности в протоколе, Drift выпустила публичное предупреждение для пользователей, заявив о начале расследования и настоятельно призвавая их не вносить средства до дальнейшего уведомления.
В результате атаки пострадали депозиты для заимствования/кредитования, депозиты в хранилищах и торговые фонды, и все функции протокола фактически заморожены. Drift заявил, что DSOL не пострадал, а активы страхового фонда защищены.
В настоящее время платформа сотрудничает со сторонними специалистами, криптобиржами и правоохранительными органами для отслеживания и изъятия украденных средств. В Drift обещают опубликовать подробный отчет по результатам расследования в ближайшие дни.
Elliptic
Drift Protocol exploited for $286 million in suspected DPRK-linked attack
Elliptic has identified indicators linking the $286M+ Drift Protocol exploit to the DPRK. Here's what we know and how we're tracking the stolen funds.
Позитивы с своем новом отчете рассматривают Mustard Tempest, IAB, стоящую за операцией FakeUpdates/SocGolish, которая, по всей видимости, делегировала свою инфраструктуру APT-группировке Cloud Atlas.
В рассмотренной исследователями цепочке Mustard Tempest обеспечивает компрометацию легитимных веб-ресурсов и использует их для доставки вредоносного ПО с помощью FakeUpdates (SocGholish).
Последующие стадии могут реализовываться аффилированными или независимыми операторами, использующими инфраструктуру Mustard Tempest как готовую точку входа в инфраструктуру жертвы.
На примере разобранной в отчете атаки стало понятно, как могут строиться вредоносные кампании. Их собирают по принципу конструктора из готовых модульных сервисов по модели MaaS.
В одной цепочке одновременно задействуются скомпрометированные легитимные сайты, инфраструктура распределения и перенаправления трафика, промежуточные загрузчики и финальная полезная нагрузка, предназначенная для кражи данных.
Такой подход позволяет разным операторам вредоносного ПО отвечать только за свой этап атаки, не контролируя всю цепочку целиком.
Дополнительный интерес представляет то, что в период, когда Mustard Tempest распространяла вредоносное ПО через схему FakeUpdates, с тех же доменов по отдельным URL также распространялось вредоносное ПО Cloud Atlas.
Это наблюдение выбивается из ранее публично описанных для Cloud Atlas техник и тактик.
В предыдущих кампаниях группировка, как правило, использовала фишинговые документы, удаленные шаблоны и полезную нагрузку, размещенные на серверах, контролируемых самими атакующими, а не на скомпрометированных легитимных сайтах, уже задействованных другими хакерскими группировками.
С учетом этого можно рассматривать как минимум две гипотезы.
Первая связана с тем, что Cloud Atlas частично скорректировала свои TTPs, самостоятельно скомпрометировала легитимные веб-ресурсы и использовала их для доставки вредоносного ПО.
Вторая гипотеза указывает на то, что Cloud Atlas также изменила свои TTPs, однако не самостоятельно компрометировала веб-ресурсы, а приобрела доступ у Mustard Tempest.
При таком сценарии Mustard Tempest, помимо распространения вредоносного ПО через FakeUpdates, могут предоставлять доступ к своей инфраструктуре другим участникам хакерского сообщества на коммерческой или партнерской основе, чтобы те использовали такие ресурсы для размещения и доставки собственной вредоносной нагрузки вне сценария FakeUpdates.
Сложность в том, что одни и те же уязвимости и инфраструктуру активно используют как APT-группировки, так и обычные финансово мотивированные операторы MaaS.
В результате на одних и тех же ресурсах могут пересекаться сразу несколько групп разного уровня, профиля и мотивации.
Для исследователей это заметно повышает сложность анализа: становится труднее разграничивать роли отдельных участников атаки и корректно атрибутировать группировки.
Тем не менее, Позитивы постарались разобраться, а конкретика и технические подробности - в отчете.
В рассмотренной исследователями цепочке Mustard Tempest обеспечивает компрометацию легитимных веб-ресурсов и использует их для доставки вредоносного ПО с помощью FakeUpdates (SocGholish).
Последующие стадии могут реализовываться аффилированными или независимыми операторами, использующими инфраструктуру Mustard Tempest как готовую точку входа в инфраструктуру жертвы.
На примере разобранной в отчете атаки стало понятно, как могут строиться вредоносные кампании. Их собирают по принципу конструктора из готовых модульных сервисов по модели MaaS.
В одной цепочке одновременно задействуются скомпрометированные легитимные сайты, инфраструктура распределения и перенаправления трафика, промежуточные загрузчики и финальная полезная нагрузка, предназначенная для кражи данных.
Такой подход позволяет разным операторам вредоносного ПО отвечать только за свой этап атаки, не контролируя всю цепочку целиком.
Дополнительный интерес представляет то, что в период, когда Mustard Tempest распространяла вредоносное ПО через схему FakeUpdates, с тех же доменов по отдельным URL также распространялось вредоносное ПО Cloud Atlas.
Это наблюдение выбивается из ранее публично описанных для Cloud Atlas техник и тактик.
В предыдущих кампаниях группировка, как правило, использовала фишинговые документы, удаленные шаблоны и полезную нагрузку, размещенные на серверах, контролируемых самими атакующими, а не на скомпрометированных легитимных сайтах, уже задействованных другими хакерскими группировками.
С учетом этого можно рассматривать как минимум две гипотезы.
Первая связана с тем, что Cloud Atlas частично скорректировала свои TTPs, самостоятельно скомпрометировала легитимные веб-ресурсы и использовала их для доставки вредоносного ПО.
Вторая гипотеза указывает на то, что Cloud Atlas также изменила свои TTPs, однако не самостоятельно компрометировала веб-ресурсы, а приобрела доступ у Mustard Tempest.
При таком сценарии Mustard Tempest, помимо распространения вредоносного ПО через FakeUpdates, могут предоставлять доступ к своей инфраструктуре другим участникам хакерского сообщества на коммерческой или партнерской основе, чтобы те использовали такие ресурсы для размещения и доставки собственной вредоносной нагрузки вне сценария FakeUpdates.
Сложность в том, что одни и те же уязвимости и инфраструктуру активно используют как APT-группировки, так и обычные финансово мотивированные операторы MaaS.
В результате на одних и тех же ресурсах могут пересекаться сразу несколько групп разного уровня, профиля и мотивации.
Для исследователей это заметно повышает сложность анализа: становится труднее разграничивать роли отдельных участников атаки и корректно атрибутировать группировки.
Тем не менее, Позитивы постарались разобраться, а конкретика и технические подробности - в отчете.
Хабр
Mustard Tempest и многоступенчатая цепочка доставки вредоносного ПО
Ключевые моменты — Cloud Atlas изменила свои TTPs, перейдя от использования собственной инфраструктуры к задействованию скомпрометированных легитимных доменов для распространения вредоносного ПО. —...
Исследователи сообщают о появлении новой версии вредоносного ПО SparkCat в магазинах приложений Apple App Store и Google Play Store, спустя более года после обнаружения трояна, нацеленного на обе мобильные ОС.
Как сообщалось ранее, вредоносная ПО скрывается в, казалось бы, безобидных приложениях, таких как корпоративные мессенджеры и службы доставки еды, незаметно сканируя фотогалереи жертв в поисках фраз для восстановления криптокошельков.
По данным Лаборатории Касперского, два зараженных приложения в App Store и одно в Google Play Store в основном нацелены на пользователей крипты в Азии.
Однако версия для iOS использует иной подход, поскольку она сканирует мнемонические фразы криптовалютных кошельков на английском языке, что делает эту версию потенциально более широкодоступной, поскольку она способна охватывать пользователей независимо от их региона.
Улучшенная версия SparkCat для Android включает в себя несколько уровней обфускации по сравнению с предыдущими версиями, включая использование виртуализации кода и кроссплатформенных языков программирования для обхода анализа.
Более того, версия для Android сканирует ключевые слова на японском, корейском и китайском языках, что указывает на ориентацию на азиатский рынок.
Впервые SparkCat был задокументирован ЛК в феврале 2025 года, когда стало известно о его способности использовать модель оптического распознавания символов (OCR) для извлечения отдельных изображений, содержащих фразы восстановления кошелька, из фотобиблиотек на сервер, контролируемый злоумышленником.
Последние усовершенствования вредоносного ПО указывают на, что это активно развивающаяся угроза, не говоря уже о технических возможностях злоумышленников, стоящих за этой операцией.
Ранее в Лаборатории Касперского высказывались предположения, что вредоносная деятельность является делом рук оператора, говорящего на китайском языке.
Обновлённый вариант SparkCat запрашивает доступ к просмотру фотографий в галерее смартфона пользователя в определённых сценариях — точно так же, как и самая первая версия трояна. Он анализирует текст в сохранённых изображениях с помощью модуля OCR.
Если вредоносной ПО удается найти релевантные ключевые слова, она отправляет изображение злоумышленникам. Учитывая сходство текущего образца с предыдущим, в ЛК считают, что разработчики новой версии вредоносного ПО - одни и те же лица.
Решения Лаборатории Касперского детектируют угрозу как: HEUR:Trojan.AndroidOS.SparkCat и HEUR:Trojan.IphoneOS.SparkCat.
Как сообщалось ранее, вредоносная ПО скрывается в, казалось бы, безобидных приложениях, таких как корпоративные мессенджеры и службы доставки еды, незаметно сканируя фотогалереи жертв в поисках фраз для восстановления криптокошельков.
По данным Лаборатории Касперского, два зараженных приложения в App Store и одно в Google Play Store в основном нацелены на пользователей крипты в Азии.
Однако версия для iOS использует иной подход, поскольку она сканирует мнемонические фразы криптовалютных кошельков на английском языке, что делает эту версию потенциально более широкодоступной, поскольку она способна охватывать пользователей независимо от их региона.
Улучшенная версия SparkCat для Android включает в себя несколько уровней обфускации по сравнению с предыдущими версиями, включая использование виртуализации кода и кроссплатформенных языков программирования для обхода анализа.
Более того, версия для Android сканирует ключевые слова на японском, корейском и китайском языках, что указывает на ориентацию на азиатский рынок.
Впервые SparkCat был задокументирован ЛК в феврале 2025 года, когда стало известно о его способности использовать модель оптического распознавания символов (OCR) для извлечения отдельных изображений, содержащих фразы восстановления кошелька, из фотобиблиотек на сервер, контролируемый злоумышленником.
Последние усовершенствования вредоносного ПО указывают на, что это активно развивающаяся угроза, не говоря уже о технических возможностях злоумышленников, стоящих за этой операцией.
Ранее в Лаборатории Касперского высказывались предположения, что вредоносная деятельность является делом рук оператора, говорящего на китайском языке.
Обновлённый вариант SparkCat запрашивает доступ к просмотру фотографий в галерее смартфона пользователя в определённых сценариях — точно так же, как и самая первая версия трояна. Он анализирует текст в сохранённых изображениях с помощью модуля OCR.
Если вредоносной ПО удается найти релевантные ключевые слова, она отправляет изображение злоумышленникам. Учитывая сходство текущего образца с предыдущим, в ЛК считают, что разработчики новой версии вредоносного ПО - одни и те же лица.
Решения Лаборатории Касперского детектируют угрозу как: HEUR:Trojan.AndroidOS.SparkCat и HEUR:Trojan.IphoneOS.SparkCat.
X (formerly Twitter)
Kaspersky (@kaspersky) on X
⚠️Remember #SparkCat, the crypto-stealing #Trojan removed from #AppStore and #GooglePlay last year? It's back!
#Kaspersky found a new variant hiding in legit-looking apps - enterprise messengers, food delivery - still scanning your photo gallery for wallet…
#Kaspersky found a new variant hiding in legit-looking apps - enterprise messengers, food delivery - still scanning your photo gallery for wallet…
Fortinet выпустила экстренное обновление в выходные дни для устранения новой критической уязвимости в сервере управления предприятием FortiClient (EMS), которая активно используется в атаках.
Уязвимость отслеживается как CVE-2026-35616 и представляет собой некорректную уязвимость контроля доступа, позволяющую неавторизованным злоумышленникам выполнять код или команды с помощью специально сформированных запросов.
Проблема была устранена в субботу. При этом Fortinet предупредила, что она была использована злоумышленниками в реальных условиях, настоятельно рекомендуя уязвимым клиентам установить исправление.
Уязвимость затрагивает FortiClient EMS 7.4.5 и 7.4.6 и может быть устранена путем установки одного из следующих исправлений: для FortiClientEMS 7.4.5 (здесь) и для FortiClientEMS 7.4.6 (здесь). Она также будет исправлена в 7.4.7. Версия FortiClient EMS 7.2 не затронута.
Уязвимость была обнаружена исследователями Defused, который описывают ее как обход доступа к API до аутентификации, позволяющий злоумышленникам полностью обходить средства аутентификации и авторизации.
В Defused отдельно отметила, что на этой неделе они уже наблюдали, как уязвимость использовалась в качестве 0-day, после чего сообщили об этом в Fortinet в соответствии с принципом ответственного раскрытия информации.
В свою очередь, Shadowserver обнаружили более 2000 незащищенных экземпляров FortiClient EMS в сети, большинство из которых расположены в США и Германии.
Данная уязвимость является следствием отдельной критической уязвимости в FortiClient EMS - CVE-2026-21643, о которой сообщалось на прошлой неделе и которая также активно используется в атаках.
Обе уязвимости были обнаружены Defused, при этом компания Fortinet также отметила заслугу Нгуена Дык Аня в обнаружении последней уязвимости.
Fortinet настоятельно рекомендует клиентам немедленно установить исправления или обновить систему до версии 7.4.7, когда она станет доступна, чтобы снизить риск компрометации.
Уязвимость отслеживается как CVE-2026-35616 и представляет собой некорректную уязвимость контроля доступа, позволяющую неавторизованным злоумышленникам выполнять код или команды с помощью специально сформированных запросов.
Проблема была устранена в субботу. При этом Fortinet предупредила, что она была использована злоумышленниками в реальных условиях, настоятельно рекомендуя уязвимым клиентам установить исправление.
Уязвимость затрагивает FortiClient EMS 7.4.5 и 7.4.6 и может быть устранена путем установки одного из следующих исправлений: для FortiClientEMS 7.4.5 (здесь) и для FortiClientEMS 7.4.6 (здесь). Она также будет исправлена в 7.4.7. Версия FortiClient EMS 7.2 не затронута.
Уязвимость была обнаружена исследователями Defused, который описывают ее как обход доступа к API до аутентификации, позволяющий злоумышленникам полностью обходить средства аутентификации и авторизации.
В Defused отдельно отметила, что на этой неделе они уже наблюдали, как уязвимость использовалась в качестве 0-day, после чего сообщили об этом в Fortinet в соответствии с принципом ответственного раскрытия информации.
В свою очередь, Shadowserver обнаружили более 2000 незащищенных экземпляров FortiClient EMS в сети, большинство из которых расположены в США и Германии.
Данная уязвимость является следствием отдельной критической уязвимости в FortiClient EMS - CVE-2026-21643, о которой сообщалось на прошлой неделе и которая также активно используется в атаках.
Обе уязвимости были обнаружены Defused, при этом компания Fortinet также отметила заслугу Нгуена Дык Аня в обнаружении последней уязвимости.
Fortinet настоятельно рекомендует клиентам немедленно установить исправления или обновить систему до версии 7.4.7, когда она станет доступна, чтобы снизить риск компрометации.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Киберподполье проворачивает масштабную кампанию по автоматизированной краже учетных данных с использованием React2Shell (CVE-2025-55182) в уязвимых приложениях Next.js.
По меньшей мере 766 хостов различных облачных провайдерах были взломаны с целью сбора учетных данных баз данных и AWS, закрытых ключей SSH, ключей API, облачных токенов и секретов среды.
В операции задействована платформа NEXUS Listener и автоматизированные скрипты для извлечения и эксфильтрации конфиденциальных данных из различных приложений.
Cisco Talos связывает эту активность с кластером угроз UAT-10608. Исследователи получили доступ к открытому экземпляру NEXUS Listener, что позволило им проанализировать тип данных, собранных с скомпрометированных систем, и понять, как работает веб-приложение.
Атака начинается с автоматического сканирования уязвимых приложений Next.js, взлом которых осуществляется через React2Shell. В стандартный временный каталог помещается скрипт, выполняющий многоэтапную процедуру сбора учетных данных.
По данным Cisco Talos, хакеры нацелены на следующие данные: переменные окружения и секреты (ключи API, учетные данные базы данных, токены GitHub/GitLab), SSH-ключи, учетные данные облачных сервисов (метаданные AWS/GCP/Azure, учетные данные IAM), токены Kubernetes, сведения в отношении Docker/контейнера, история администрирования и данные процесса и времени выполнения.
Конфиденциальные данные передаются по частям, каждая из которых отправляется через HTTP-запрос по порту 8080 на сервер C2, на котором запущен компонент NEXUS Listener. Затем злоумышленник получает подробный обзор данных, включая поиск, фильтрацию и статистические данные.
Приложение содержит список нескольких статистических данных, включая количество скомпрометированных хостов и общее количество учетных данных каждого типа, которые были успешно извлечены с этих хостов.
Также указывается время безотказной работы самого приложения. В данном случае автоматизированная система эксплуатации и сбора данных смогла успешно скомпрометировать 766 хостов в течение 24 часов.
Украденные секреты позволяют злоумышленникам захватывать облачные учетные записи и получать доступ к базам данных, платежным системам и другим сервисам, а также открывают возможности для атак на цепочку поставок. SSH-ключи могут использоваться для горизонтального перемещения.
Cisco подчеркивает, что скомпрометированные данные, включая персональные сведения, также подвергают жертв регулятивным последствиям в связи с нарушениями законодательства о защите частной жизни.
Исследователи рекомендуют системным администраторам устанавливать обновления для React2Shell, проводить аудит утечки данных на стороне сервера и немедленно менять все учетные данные при возникновении подозрения на компрометацию.
Кроме того, рекомендуется внедрить AWS IMDSv2 и заменить все повторно используемые SSH-ключи, а также включить сканирование секретов, развернуть защиту WAF/RASP для Next.js и обеспечить принцип минимальных привилегий для контейнеров и облачных ролей.
По меньшей мере 766 хостов различных облачных провайдерах были взломаны с целью сбора учетных данных баз данных и AWS, закрытых ключей SSH, ключей API, облачных токенов и секретов среды.
В операции задействована платформа NEXUS Listener и автоматизированные скрипты для извлечения и эксфильтрации конфиденциальных данных из различных приложений.
Cisco Talos связывает эту активность с кластером угроз UAT-10608. Исследователи получили доступ к открытому экземпляру NEXUS Listener, что позволило им проанализировать тип данных, собранных с скомпрометированных систем, и понять, как работает веб-приложение.
Атака начинается с автоматического сканирования уязвимых приложений Next.js, взлом которых осуществляется через React2Shell. В стандартный временный каталог помещается скрипт, выполняющий многоэтапную процедуру сбора учетных данных.
По данным Cisco Talos, хакеры нацелены на следующие данные: переменные окружения и секреты (ключи API, учетные данные базы данных, токены GitHub/GitLab), SSH-ключи, учетные данные облачных сервисов (метаданные AWS/GCP/Azure, учетные данные IAM), токены Kubernetes, сведения в отношении Docker/контейнера, история администрирования и данные процесса и времени выполнения.
Конфиденциальные данные передаются по частям, каждая из которых отправляется через HTTP-запрос по порту 8080 на сервер C2, на котором запущен компонент NEXUS Listener. Затем злоумышленник получает подробный обзор данных, включая поиск, фильтрацию и статистические данные.
Приложение содержит список нескольких статистических данных, включая количество скомпрометированных хостов и общее количество учетных данных каждого типа, которые были успешно извлечены с этих хостов.
Также указывается время безотказной работы самого приложения. В данном случае автоматизированная система эксплуатации и сбора данных смогла успешно скомпрометировать 766 хостов в течение 24 часов.
Украденные секреты позволяют злоумышленникам захватывать облачные учетные записи и получать доступ к базам данных, платежным системам и другим сервисам, а также открывают возможности для атак на цепочку поставок. SSH-ключи могут использоваться для горизонтального перемещения.
Cisco подчеркивает, что скомпрометированные данные, включая персональные сведения, также подвергают жертв регулятивным последствиям в связи с нарушениями законодательства о защите частной жизни.
Исследователи рекомендуют системным администраторам устанавливать обновления для React2Shell, проводить аудит утечки данных на стороне сервера и немедленно менять все учетные данные при возникновении подозрения на компрометацию.
Кроме того, рекомендуется внедрить AWS IMDSv2 и заменить все повторно используемые SSH-ключи, а также включить сканирование секретов, развернуть защиту WAF/RASP для Next.js и обеспечить принцип минимальных привилегий для контейнеров и облачных ролей.
Cisco Talos
UAT-10608: Inside a large-scale automated credential harvesting operation targeting web applications
Talos is disclosing a large-scale automated credential harvesting campaign carried out by a threat cluster we currently track as UAT-10608. The campaign is primarily leveraging a collection framework dubbed “NEXUS Listener.”
Исследователи F6 отметили новую тактику финансово мотивированных злоумышленников, атакующих российские компании.
В частности, Hive0117 в ходе целевых атак в феврале-марте 2026 года заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам ДБО и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты.
Злоумышленники реализовали рассылки в адрес более 3000 российских компаний из разных отраслей. Причем в марте частота и масштаб рассылок группы заметно возросли.
В указанный период F6 удалось задетектить несколько масштабных волн с рассылокми вредоносных писем, которые специалисты связали с киберпреступной группой Hive0117.
Hive0117 представляет собой финансово мотивированную группировку, действующую с конца 2021 года. Она примечательна использованием бесфайлового вредоносного ПО DarkWatchman.
Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.
В новой кампании вредоносные письма отправлялись, предположительно, с скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений.
Во всех случаях в письмах с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
Это троян удаленного доступа, который используется Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором RAT способен выполнять различные команды: загрузку других вредоносных ПО, шпионаж и дальнейшее распространение по сети.
Доставляется, преимущественно, через фишинговые письма с запароленными архивами.
Анализ содержимого писем показал, что целевой аудиторией злоумышленников стали специалисты финансовых департаментов.
Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к этим архивам были указаны в тексте письма.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам ДБО, через которые бухгалтеры совершают платёжные операции.
Как отмечают в F6, особенность выявленных атак на бухгалтеров образца 2026 года – в новой тактике, которую злоумышленники применяют для кражи денег со счетов компаний.
Продвинутые антифрод-решения, которые банки используют для защиты клиентов – физических лиц позволяют за считанные доли секунды проанализировать каждую платёжную операцию по множеству параметров и показателей, позволяя заблокировать подозрительные переводы.
Для вывода денег со счетов организаций хакеры применили новую уловку. Используя удалённый доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру.
Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов.
Если такие платёжные операции обходили антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
По данным F6, средняя сумма ущерба для компаний в результате успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.
Технический анализ - в отдельном отчете.
В частности, Hive0117 в ходе целевых атак в феврале-марте 2026 года заражала компьютеры бухгалтеров с использованием вредоносных писем, получала доступ к системам ДБО и выводила деньги на счета дропов, в том числе под видом перечисления зарплаты.
Злоумышленники реализовали рассылки в адрес более 3000 российских компаний из разных отраслей. Причем в марте частота и масштаб рассылок группы заметно возросли.
В указанный период F6 удалось задетектить несколько масштабных волн с рассылокми вредоносных писем, которые специалисты связали с киберпреступной группой Hive0117.
Hive0117 представляет собой финансово мотивированную группировку, действующую с конца 2021 года. Она примечательна использованием бесфайлового вредоносного ПО DarkWatchman.
Нацелена на финансовые отделы организаций из различных отраслей. Помимо России, среди целей были замечены пользователи из Литвы, Эстонии, Беларуси и Казахстана.
В новой кампании вредоносные письма отправлялись, предположительно, с скомпрометированных почтовых ящиков, один из которых принадлежит московскому разработчику сайтов и мобильных приложений.
Во всех случаях в письмах с темами «Акт сверки», «Счёт на оплату» и «Уведомление об окончании срока бесплатного хранения» злоумышленники доставляли вредоносное ПО DarkWatchman.
Это троян удаленного доступа, который используется Hive0117 для скрытого удаленного доступа к зараженному компьютеру, на котором RAT способен выполнять различные команды: загрузку других вредоносных ПО, шпионаж и дальнейшее распространение по сети.
Доставляется, преимущественно, через фишинговые письма с запароленными архивами.
Анализ содержимого писем показал, что целевой аудиторией злоумышленников стали специалисты финансовых департаментов.
Вредоносный файл скрывался в RAR-архивах под видом счетов на оплату, актов сверок, накладных. Пароли к этим архивам были указаны в тексте письма.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна. После этого злоумышленники могли получить доступ к системам ДБО, через которые бухгалтеры совершают платёжные операции.
Как отмечают в F6, особенность выявленных атак на бухгалтеров образца 2026 года – в новой тактике, которую злоумышленники применяют для кражи денег со счетов компаний.
Продвинутые антифрод-решения, которые банки используют для защиты клиентов – физических лиц позволяют за считанные доли секунды проанализировать каждую платёжную операцию по множеству параметров и показателей, позволяя заблокировать подозрительные переводы.
Для вывода денег со счетов организаций хакеры применили новую уловку. Используя удалённый доступ к системам дистанционного банковского обслуживания через взломанные компьютеры бухгалтеров, они оформляли платежи для зачисления на банковские счета по реестру.
Формально это выглядело как перечисление зарплаты, однако в реестре были указаны банковские счета дропов.
Если такие платёжные операции обходили антифрод-системы, злоумышленники получали возможность вывести со счетов компаний значительные суммы.
По данным F6, средняя сумма ущерба для компаний в результате успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.
Технический анализ - в отдельном отчете.
F6
Письмо на миллион: группа Hive0117 взламывает компьютеры бухгалтеров и похищает деньги под видом зарплаты - F6
Средняя сумма ущерба компаний от успешных атак злоумышленников составила около 3 млн руб., максимальная сумма похищенного превысила 14 млн руб.
Исследователи Лаборатории Касперского анализируют новые версии червя CMoon, разбирают его происхождение и доказывают его принадлежность к RGB-Team.
Последняя представляет собой хактивистскую группу, позиционирующую себя как проукраинскую и нацеленную на организации в России.
Последняя замеченная активность RGB-Team датируется июлем 2024 года и в настоящий момент группа, можно сказать, что бездействует. Однако, если не считать публичных высказываний самих злоумышленников, атаки RGB-Team до сих пор были мало описаны.
В числе жертв RGB-Team фигурируют муниципальные образования, объекты химической промышленности и государственно‑гражданские службы.
В отличие от других хактивистов, использующих шифровальщики для нанесения ущерба, RGB-Team атакует с целью извлечь конфиденциальные данные. Для проведения атак злоумышленники используют самописный червь CMoon.
Например, в последней известной кампании выкрали данные у газовой компании и опубликовали их в своем ТГ‑канале. ЛК описывала эту кампанию CMoon летом 2024 года, а позже RGB-Team взяла на себя ответственность за проведенные атаки.
В процессе мониторинга угроз исследователи ЛК обнаружили новый образец CMoon в виде бинарного файла с двойным расширением zayavka-dlya-yur-lits.docx.exe, который датируется октябрем 2024 года и относится к ранее неизвестной кампании.
Как и более старые образцы, он скомпилирован на .NET версии 4.7.2 и распространялся он тоже через фишинговые письма, однако в качестве вложения.
Запустившись, этот вариант проверяет, не заражено ли устройство уже, также в нем присутствует AntiVM-модуль, который детектирует наличие виртуальной среды, песочниц и отладчиков.
После успешного прохождения всех проверок CMoon закрепляется через Alternate Data Streams (ADS). Следует отметить, что в нем используется довольно необычный механизм обфускации.
Изначально зловред запускается в необфусцированном виде. В процессе работы он проверяет свою контрольную сумму по алгоритму MD5 в поисковом движке Google, если обнаруживает хотя бы одну страницу в поисковой выдаче, то начинает процесс обфускации.
Все представленные функции управляются жестко прописанным в коде троянца конфигурационным файлом, который создается при сборке образца. Управление CMoon осуществляется через С2-сервер, а данные эксфильтруются через Telegram.
Как и предыдущие версии, новые образцы CMoon общаются с C2-сервером по протоколу TCP. При этом исходящие пакеты по-прежнему начинаются с автографа зловреда (строки CMOON$).
К сожалению, ЛК не удалось найти билдер CMoon, но на одном из зараженных хостов также находился архив ct.rar, содержащий билдер под названием DarkBuilder, в котором используются те же функции, что и в образце CMoon.
Кроме того, на том же хосте нашелся образец стилера WhiteSnake, в коде которого есть ссылки на C2-сервер, связанный с CMoon. Его анализ показал, что он был собран с помощью ранее найденного DarkBuilder.
В процессе исследования в ЛК столкнулись с множеством примеров использования DarkBuilder в реальной среде. При этом хосты, на которых он был обнаружен, никак не связаны друг с другом, что может указывать на компрометацию исходного кода билдера.
Однако исследователям удалось получить одну из первых версий, сравнить ее с новыми и выяснить, кто за ней стоит: в обнаруженной ранней версии DarkBuilder присутствуют метаданные, ссылающиеся на профиль на GitHub, который был связан с вымогательской группой Eternity.
Как отмечают в ЛК, на данный момент никакой новой активности RGB-Team не наблюдается, однако нет гарантии, что они не возобновят атаки, как иногда это делают хактивисты.
Технические подробности, способы обнаружения атак RGB-Team и IOCs - в отчете.
Последняя представляет собой хактивистскую группу, позиционирующую себя как проукраинскую и нацеленную на организации в России.
Последняя замеченная активность RGB-Team датируется июлем 2024 года и в настоящий момент группа, можно сказать, что бездействует. Однако, если не считать публичных высказываний самих злоумышленников, атаки RGB-Team до сих пор были мало описаны.
В числе жертв RGB-Team фигурируют муниципальные образования, объекты химической промышленности и государственно‑гражданские службы.
В отличие от других хактивистов, использующих шифровальщики для нанесения ущерба, RGB-Team атакует с целью извлечь конфиденциальные данные. Для проведения атак злоумышленники используют самописный червь CMoon.
Например, в последней известной кампании выкрали данные у газовой компании и опубликовали их в своем ТГ‑канале. ЛК описывала эту кампанию CMoon летом 2024 года, а позже RGB-Team взяла на себя ответственность за проведенные атаки.
В процессе мониторинга угроз исследователи ЛК обнаружили новый образец CMoon в виде бинарного файла с двойным расширением zayavka-dlya-yur-lits.docx.exe, который датируется октябрем 2024 года и относится к ранее неизвестной кампании.
Как и более старые образцы, он скомпилирован на .NET версии 4.7.2 и распространялся он тоже через фишинговые письма, однако в качестве вложения.
Запустившись, этот вариант проверяет, не заражено ли устройство уже, также в нем присутствует AntiVM-модуль, который детектирует наличие виртуальной среды, песочниц и отладчиков.
После успешного прохождения всех проверок CMoon закрепляется через Alternate Data Streams (ADS). Следует отметить, что в нем используется довольно необычный механизм обфускации.
Изначально зловред запускается в необфусцированном виде. В процессе работы он проверяет свою контрольную сумму по алгоритму MD5 в поисковом движке Google, если обнаруживает хотя бы одну страницу в поисковой выдаче, то начинает процесс обфускации.
Все представленные функции управляются жестко прописанным в коде троянца конфигурационным файлом, который создается при сборке образца. Управление CMoon осуществляется через С2-сервер, а данные эксфильтруются через Telegram.
Как и предыдущие версии, новые образцы CMoon общаются с C2-сервером по протоколу TCP. При этом исходящие пакеты по-прежнему начинаются с автографа зловреда (строки CMOON$).
К сожалению, ЛК не удалось найти билдер CMoon, но на одном из зараженных хостов также находился архив ct.rar, содержащий билдер под названием DarkBuilder, в котором используются те же функции, что и в образце CMoon.
Кроме того, на том же хосте нашелся образец стилера WhiteSnake, в коде которого есть ссылки на C2-сервер, связанный с CMoon. Его анализ показал, что он был собран с помощью ранее найденного DarkBuilder.
В процессе исследования в ЛК столкнулись с множеством примеров использования DarkBuilder в реальной среде. При этом хосты, на которых он был обнаружен, никак не связаны друг с другом, что может указывать на компрометацию исходного кода билдера.
Однако исследователям удалось получить одну из первых версий, сравнить ее с новыми и выяснить, кто за ней стоит: в обнаруженной ранней версии DarkBuilder присутствуют метаданные, ссылающиеся на профиль на GitHub, который был связан с вымогательской группой Eternity.
Как отмечают в ЛК, на данный момент никакой новой активности RGB-Team не наблюдается, однако нет гарантии, что они не возобновят атаки, как иногда это делают хактивисты.
Технические подробности, способы обнаружения атак RGB-Team и IOCs - в отчете.
Securelist
RGB-Team: хактивисты, стоящие за CMoon, и происхождение стилера
Разбираем активность хактивистской группы RGB-Team, взявшей на себя ответственность за атаки CMoon в 2024 году, и выясняем, откуда взялся этот стилер.
В паблик просочился эксплойт для неисправленой EoP-уязвимости в Windows, о которой Microsoft уведомили в частном порядке. Она позволяет злоумышленникам получить права доступа к системе (SYSTEM) или права администратора с повышенными привилегиями.
Уязвимость получила название BlueHammer и была раскрыта исследователем, который остался недоволен тем, как Microsoft MSRC отработала процесс раскрытия информации.
Поскольку для уязвимости нет официального патча и обновлений для ее устранения, согласно классификации Microsoft, ее можно считать уязвимостью нулевого дня.
Неясно, что конкретно послужило поводом для публичного распространения PoC. В коротком сообщении некий исследователь Chaotic Eclipse заявил: «Я не блефовал перед Microsoft, и я делаю это снова».
Он пояснил, что «в отличие от прошлого раза, он не будет объяснять, как это работает; гении из Microsoft, сами должны это выяснить. Исследователи nакже выразил «огромное спасибо» руководству MSRC за то, что это стало возможным.
3 апреля Chaotic Eclipse опубликовал на GitHub репозиторий, посвященный эксплойту BlueHammer с названием Nightmare-Eclipse, выразив недоверие и разочарование по поводу того, как Microsoft разрешила проблему безопасности.
Исследователь также отметил, что в коде PoC содержатся ошибки, которые могут помешать его эффективной работе.
В свою очередь, Уилл Дорманн подтвердил, что эксплойт BlueHammer работает, отметив, что уязвимость представляет собой локальное повышение привилегий (LPE), которое сочетает в себе TOCTOU (время проверки до времени использования) и путаницу путей.
Он пояснил, что ее нелегко использовать, и она предоставляет локальному злоумышленнику доступ к базе данных Security Account Manager (SAM), которая содержит хэши паролей для локальных учетных записей.
Получив такой доступ, злоумышленники могут повысить свои привилегии до уровня SYSTEM и потенциально добиться полного взлома машины.
Некоторые исследователи, тестировавшие эксплойт, подтвердили, что код не работает на Windows Server, что подтверждает слова Chaotic Eclipse о наличии ошибок, которые могут препятствовать его корректной работе.
Как выяснил, Уилл Дорманн на серверной платформе эксплойт BlueHammer повышает права доступа с уровня «не-администратор» до уровня «администратор с повышенными правами», что является защитой, требующей от пользователя временного разрешения на операцию, для которой необходим полный доступ к системе.
Хотя причина раскрытия уязвимости Chaotic Eclipse/Nightmare-Eclipse так и незвана четко, Дорманн отмечает, что одним из требований MSRC при отправке информации об уязвимости является предоставление видеозаписи её эксплуатации.
Несмотря на то, что для использования BlueHammer требуется локальный злоумышленник, риски эксплуатации все же значительны, поскольку хакеры могут получить локальный доступ различными способами, включая социнженерию, использование уязвимостей или брута учетных данных.
В Microsoft по части комментариев ограничились стандартными сообщениями по поводу заботы о пользователях и ответственном раскрытии информации об уязвимостях. Впрочем, другого от микромягких никто и не ожидал услышать.
Уязвимость получила название BlueHammer и была раскрыта исследователем, который остался недоволен тем, как Microsoft MSRC отработала процесс раскрытия информации.
Поскольку для уязвимости нет официального патча и обновлений для ее устранения, согласно классификации Microsoft, ее можно считать уязвимостью нулевого дня.
Неясно, что конкретно послужило поводом для публичного распространения PoC. В коротком сообщении некий исследователь Chaotic Eclipse заявил: «Я не блефовал перед Microsoft, и я делаю это снова».
Он пояснил, что «в отличие от прошлого раза, он не будет объяснять, как это работает; гении из Microsoft, сами должны это выяснить. Исследователи nакже выразил «огромное спасибо» руководству MSRC за то, что это стало возможным.
3 апреля Chaotic Eclipse опубликовал на GitHub репозиторий, посвященный эксплойту BlueHammer с названием Nightmare-Eclipse, выразив недоверие и разочарование по поводу того, как Microsoft разрешила проблему безопасности.
Исследователь также отметил, что в коде PoC содержатся ошибки, которые могут помешать его эффективной работе.
В свою очередь, Уилл Дорманн подтвердил, что эксплойт BlueHammer работает, отметив, что уязвимость представляет собой локальное повышение привилегий (LPE), которое сочетает в себе TOCTOU (время проверки до времени использования) и путаницу путей.
Он пояснил, что ее нелегко использовать, и она предоставляет локальному злоумышленнику доступ к базе данных Security Account Manager (SAM), которая содержит хэши паролей для локальных учетных записей.
Получив такой доступ, злоумышленники могут повысить свои привилегии до уровня SYSTEM и потенциально добиться полного взлома машины.
Некоторые исследователи, тестировавшие эксплойт, подтвердили, что код не работает на Windows Server, что подтверждает слова Chaotic Eclipse о наличии ошибок, которые могут препятствовать его корректной работе.
Как выяснил, Уилл Дорманн на серверной платформе эксплойт BlueHammer повышает права доступа с уровня «не-администратор» до уровня «администратор с повышенными правами», что является защитой, требующей от пользователя временного разрешения на операцию, для которой необходим полный доступ к системе.
Хотя причина раскрытия уязвимости Chaotic Eclipse/Nightmare-Eclipse так и незвана четко, Дорманн отмечает, что одним из требований MSRC при отправке информации об уязвимости является предоставление видеозаписи её эксплуатации.
Несмотря на то, что для использования BlueHammer требуется локальный злоумышленник, риски эксплуатации все же значительны, поскольку хакеры могут получить локальный доступ различными способами, включая социнженерию, использование уязвимостей или брута учетных данных.
В Microsoft по части комментариев ограничились стандартными сообщениями по поводу заботы о пользователях и ответственном раскрытии информации об уязвимостях. Впрочем, другого от микромягких никто и не ожидал услышать.
Blogspot
Public disclosure
I was not bluffing Microsoft and I'm doing it again. https://github.com/Nightmare-Eclipse/BlueHammer Unlike previous times, I'm not explaini...
Новая атака GPUBreach способна вызывать изменения битов в памяти GDDR6 графических процессоров с помощью алгоритма Rowhammer и приводит к повышению привилегий и полной компрометации системы.
GPUBreach была разработана группой исследователей из Университета Торонто, а подробная информация будет представлена на предстоящем симпозиуме IEEE по безопасности и конфиденциальности 13 апреля в Окленде.
Как отмечают исследователи, вызванные алгоритмом Rowhammer битовые искажения в памяти GDDR6 могут повредить таблицы страниц графического процессора (PTE) и предоставить непривилегированному ядру CUDA произвольный доступ к чтению/записи в память графического процессора.
Затем злоумышленник может продолжить атаку на стороне процессора, используя уязвимости безопасности памяти в драйвере NVIDIA, что потенциально может привести к полной компрометации системы без необходимости отключения защиты блока IOMMU.
IOMMU - это аппаратный блок, обеспечивающий защиту от прямых атак на память. Он контролирует и ограничивает доступ устройств к памяти, управляя тем, какие области памяти доступны каждому устройству.
Несмотря на то, что IOMMU является эффективной мерой против большинства атак с прямым доступом к памяти (DMA), он не останавливает GPUBreach.
GPUBreach непосредственно показывает, что атаки Rowhammer на графических процессорах могут выходить за рамки простого повреждения данных и приводить к реальному повышению привилегий.
Путем искажения таблиц страниц графического процессора непривилегированное ядро CUDA может получить доступ к произвольному чтению/записи в память графического процессора, а затем привести к повышению привилегий на стороне ЦП, через эксплуатацию недавно обнаруженных уязвимостей памяти в драйвере NVIDIA.
В результате происходит компрометация всей системы вплоть до получения root-прав, без отключения IOMMU, в отличие от современных разработок, что делает GPUBreach более серьезной угрозой.
Кстати, те же исследователи ранее продемонстрировали GPUHammer, первую атаку, показавшую практическую возможность применения атак Rowhammer на графические процессоры, что побудило NVIDIA выпустить предупреждение для пользователей и предложить активировать механизм коррекции ошибок на системном уровне для блокировки подобных попыток на памяти GDDR6.
Однако GPUBreach выводит угрозу на новый уровень, демонстрируя возможность не только повреждения данных, но и получения прав root при включенном IOMMU.
Исследователи продемонстрировали свои выводы на примере графического процессора NVIDIA RTX A6000 с памятью GDDR6. Эта модель широко используется в разработке и обучении систем ИИ.
Исследователи Университета Торонто представили результаты своих исследований NVIDIA, Google, AWS и Microsoft еще 11 ноября 2025 года.
Google подтвердила получение сообщения и выплатила исследователям вознаграждение в размере 600 долларов за обнаружение ошибки.
NVIDIA заявила, что намерена обновить свое существующее уведомление по безопасности от июля 2025 года, чтобы включить в него информацию о недавно обнаруженных возможностях атак.
Как показали исследователи, одного лишь IOMMU недостаточно, если управляемая графическим процессором память может повредить состояние доверенного драйвера, поэтому пользователям, подверженным риску, не следует полагаться исключительно на эту меру безопасности.
Память с кодом коррекции ошибок (ECC) помогает исправлять однобитовые искажения и обнаруживать двухбитовые искажения, но она ненадежна в отношении многобитовых искажений.
В конечном итоге исследователи подчеркнули, что GPUBreach совершенно не поддается устранению на потребительских видеокартах без ECC.
Технические подробности доступны здесь, а репозиторий на GitHub с пакетом для воспроизведения ошибки и скриптами, исследователи опубликуют 13 апреля.
GPUBreach была разработана группой исследователей из Университета Торонто, а подробная информация будет представлена на предстоящем симпозиуме IEEE по безопасности и конфиденциальности 13 апреля в Окленде.
Как отмечают исследователи, вызванные алгоритмом Rowhammer битовые искажения в памяти GDDR6 могут повредить таблицы страниц графического процессора (PTE) и предоставить непривилегированному ядру CUDA произвольный доступ к чтению/записи в память графического процессора.
Затем злоумышленник может продолжить атаку на стороне процессора, используя уязвимости безопасности памяти в драйвере NVIDIA, что потенциально может привести к полной компрометации системы без необходимости отключения защиты блока IOMMU.
IOMMU - это аппаратный блок, обеспечивающий защиту от прямых атак на память. Он контролирует и ограничивает доступ устройств к памяти, управляя тем, какие области памяти доступны каждому устройству.
Несмотря на то, что IOMMU является эффективной мерой против большинства атак с прямым доступом к памяти (DMA), он не останавливает GPUBreach.
GPUBreach непосредственно показывает, что атаки Rowhammer на графических процессорах могут выходить за рамки простого повреждения данных и приводить к реальному повышению привилегий.
Путем искажения таблиц страниц графического процессора непривилегированное ядро CUDA может получить доступ к произвольному чтению/записи в память графического процессора, а затем привести к повышению привилегий на стороне ЦП, через эксплуатацию недавно обнаруженных уязвимостей памяти в драйвере NVIDIA.
В результате происходит компрометация всей системы вплоть до получения root-прав, без отключения IOMMU, в отличие от современных разработок, что делает GPUBreach более серьезной угрозой.
Кстати, те же исследователи ранее продемонстрировали GPUHammer, первую атаку, показавшую практическую возможность применения атак Rowhammer на графические процессоры, что побудило NVIDIA выпустить предупреждение для пользователей и предложить активировать механизм коррекции ошибок на системном уровне для блокировки подобных попыток на памяти GDDR6.
Однако GPUBreach выводит угрозу на новый уровень, демонстрируя возможность не только повреждения данных, но и получения прав root при включенном IOMMU.
Исследователи продемонстрировали свои выводы на примере графического процессора NVIDIA RTX A6000 с памятью GDDR6. Эта модель широко используется в разработке и обучении систем ИИ.
Исследователи Университета Торонто представили результаты своих исследований NVIDIA, Google, AWS и Microsoft еще 11 ноября 2025 года.
Google подтвердила получение сообщения и выплатила исследователям вознаграждение в размере 600 долларов за обнаружение ошибки.
NVIDIA заявила, что намерена обновить свое существующее уведомление по безопасности от июля 2025 года, чтобы включить в него информацию о недавно обнаруженных возможностях атак.
Как показали исследователи, одного лишь IOMMU недостаточно, если управляемая графическим процессором память может повредить состояние доверенного драйвера, поэтому пользователям, подверженным риску, не следует полагаться исключительно на эту меру безопасности.
Память с кодом коррекции ошибок (ECC) помогает исправлять однобитовые искажения и обнаруживать двухбитовые искажения, но она ненадежна в отношении многобитовых искажений.
В конечном итоге исследователи подчеркнули, что GPUBreach совершенно не поддается устранению на потребительских видеокартах без ECC.
Технические подробности доступны здесь, а репозиторий на GitHub с пакетом для воспроизведения ошибки и скриптами, исследователи опубликуют 13 апреля.
Исследователи Positive Technologies выкатили аналитику по российскому и общемировому рынкам киберучений, оценив насколько схожа их динамика, а также пытаясь проследить, как изменилось отношение компаний к киберучениям за последние годы.
Представленные выводы и прогнозы основаны на собственной экспертизе компании, информации из авторитетных открытых источников, а также на результатах опроса, проведенного в первом квартале 2026 года, в котором приняли участие более 100 отраслевых специалистов.
Большая часть респондентов - представители очень крупных (от 1001 человек) и крупных (от 251 до 1000) организаций (61%), доля среднего (от 101 до 250) бизнеса составила 39%.
Среди них представители разных отраслей, включая финсектор, промышленность, телеком, ИТ, госучреждения, транспорт, образование, торговля, сфера услуг, здравоохранение и др.
При этом распределение респондентов по отраслям было равномерным.
Ключевые результаты:
- Почти половина организаций (48%) оценивают текущий уровень зрелости системы ИБ как «средний». Треть опрошенных считают, что процессы реализованы у них на высоком уровне.
- Только 12% компаний используют для оценки зрелости ИБ формализованные стандарты и метрики, а 75% респондентов заявили о намерении внедрить эту практику в будущем.
- В 14% организаций никогда ранее не проводили и не собираются проводить киберучения, 28% опрошенных планируют начать организовывать тренировки.
- Среди компаний, которые уже проводили киберучения или собираются провести в будущем, 34% полагаются только на собственные ресурсы, 32% рассчитывают на помощь внешних провайдеров услуг ИБ. При этом 53% планируют привлечь к тренировкам весь ИТ-отдел, 35% рассматривают возможность участия в тренировках всех сотрудников.
- Среди организаций, которые уже проводили киберучения, 60% считают, что они были эффективными, 38% опрошенных оценивают результаты нейтрально. Только 2% участников опроса оценили итоги киберучений крайне негативно.
- Больше половины участников опроса (60%) проводят киберучения для выявления и устранения технических уязвимостей в ИТ-инфраструктуре.
- Среди форматов киберучений, которые наиболее интересны российским организациям, лидируют (59%) командные тренировки (red team или purple team) и практические упражнения в виртуальной среде (47%).
- Меньше половины (41%) опрошенных считают оптимальным проводить киберучения два раза в год, 25% - раз в квартал, еще 24% - раз в год.
- Что касается средств, 28% организаций не имеют бюджета на киберучения, 62% респондентов готовы выделить на тренировки до 5 млн. рублей.
- Чаще всего проведение киберучений затрудняют ограниченный бюджет (42%), отсутствие времени у ключевых сотрудников (42%), сложности с привлечением участников из разных подразделений (34%) и недостаток внутренней экспертизы (31%).
- У большинства (51%) наибольшее беспокойство при планировании учений связано с возможными сбоями в работе ИТ-систем. Чуть меньше респондентов (42%) отталкивает высокая стоимость и сомнения в оправданности этих расходов. Еще 41% опасаются за безопасность и конфиденциальность данных при моделировании атак.
Настоящее и будущее рынка - в свежем отчете.
Не можем не отметить также и то, что Positive Technologies запускает однодневный формат киберучений Standoff для бизнеса.
Теперь команды могут пройти интенсивную практическую подготовку к отражению инцидентов в условиях, приближенных к реальным.
Представленные выводы и прогнозы основаны на собственной экспертизе компании, информации из авторитетных открытых источников, а также на результатах опроса, проведенного в первом квартале 2026 года, в котором приняли участие более 100 отраслевых специалистов.
Большая часть респондентов - представители очень крупных (от 1001 человек) и крупных (от 251 до 1000) организаций (61%), доля среднего (от 101 до 250) бизнеса составила 39%.
Среди них представители разных отраслей, включая финсектор, промышленность, телеком, ИТ, госучреждения, транспорт, образование, торговля, сфера услуг, здравоохранение и др.
При этом распределение респондентов по отраслям было равномерным.
Ключевые результаты:
- Почти половина организаций (48%) оценивают текущий уровень зрелости системы ИБ как «средний». Треть опрошенных считают, что процессы реализованы у них на высоком уровне.
- Только 12% компаний используют для оценки зрелости ИБ формализованные стандарты и метрики, а 75% респондентов заявили о намерении внедрить эту практику в будущем.
- В 14% организаций никогда ранее не проводили и не собираются проводить киберучения, 28% опрошенных планируют начать организовывать тренировки.
- Среди компаний, которые уже проводили киберучения или собираются провести в будущем, 34% полагаются только на собственные ресурсы, 32% рассчитывают на помощь внешних провайдеров услуг ИБ. При этом 53% планируют привлечь к тренировкам весь ИТ-отдел, 35% рассматривают возможность участия в тренировках всех сотрудников.
- Среди организаций, которые уже проводили киберучения, 60% считают, что они были эффективными, 38% опрошенных оценивают результаты нейтрально. Только 2% участников опроса оценили итоги киберучений крайне негативно.
- Больше половины участников опроса (60%) проводят киберучения для выявления и устранения технических уязвимостей в ИТ-инфраструктуре.
- Среди форматов киберучений, которые наиболее интересны российским организациям, лидируют (59%) командные тренировки (red team или purple team) и практические упражнения в виртуальной среде (47%).
- Меньше половины (41%) опрошенных считают оптимальным проводить киберучения два раза в год, 25% - раз в квартал, еще 24% - раз в год.
- Что касается средств, 28% организаций не имеют бюджета на киберучения, 62% респондентов готовы выделить на тренировки до 5 млн. рублей.
- Чаще всего проведение киберучений затрудняют ограниченный бюджет (42%), отсутствие времени у ключевых сотрудников (42%), сложности с привлечением участников из разных подразделений (34%) и недостаток внутренней экспертизы (31%).
- У большинства (51%) наибольшее беспокойство при планировании учений связано с возможными сбоями в работе ИТ-систем. Чуть меньше респондентов (42%) отталкивает высокая стоимость и сомнения в оправданности этих расходов. Еще 41% опасаются за безопасность и конфиденциальность данных при моделировании атак.
Настоящее и будущее рынка - в свежем отчете.
Не можем не отметить также и то, что Positive Technologies запускает однодневный формат киберучений Standoff для бизнеса.
Теперь команды могут пройти интенсивную практическую подготовку к отражению инцидентов в условиях, приближенных к реальным.
ptsecurity.com
Аналитические статьи
Forwarded from Russian OSINT
Пользователю приходит письмо с адреса, который пытается мимикрировать под легитимную почту государственной организации или медучреждения. В нём предлагается подтвердить актуальность обслуживания в поликлинике: для этого нужно перейти по ссылке.
Если кликнуть по ней, откроется сайт, похожий на официальный, с формой ввода 📱номера телефона и кнопками «Продлить» и «Открепить». Вне зависимости от выбора пользователь получает номер талона, который предлагается отправить в регистратуру, кликнув по кнопке.
Далее схема развивается по одному из сценариев:
1️⃣ После «отправки талона» появляется предупреждение о том, что по указанному номеру якобы произошёл вход на портал государственных услуг, и нужно дождаться звонка от
2️⃣ После ввода номера пользователь видит сообщение о скором звонке из регистратуры.
👆Далее может поступить звонок от злоумышленников, которые попытаются получить доступ к аккаунтам жертвы.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Kaspersky
❗️ Эксперты «Лаборатории Касперского» фиксируют всплеск мошеннических рассылок под видом писем от медицинских учреждений
Цель злоумышленников — получить телефонные номера пользователей для использования в дальнейших атаках. На сегодняшний день обнаружены…
Цель злоумышленников — получить телефонные номера пользователей для использования в дальнейших атаках. На сегодняшний день обнаружены…
Исследователи VulnCheck сообщают об активной эксплуатации уязвимости с максимальным уровнем серьезности в Flowise, платформе ИИ с открытым исходным кодом, используемой рядом крупных корпораций.
Речь идет об уязвимости CVE-2025-59528 (CVSS: 10.0), которая представляет собой уязвимость внедрения кода, которая может привести к удалённому выполнению кода.
Узел CustomMCP позволяет пользователям вводить параметры конфигурации для подключения к внешнему серверу MCP, который анализирует предоставленную пользователем строку mcpServerConfig для построения конфигурации сервера.
Однако в процессе этого он выполняет код JavaScript без какой-либо проверки безопасности.
Flowise отметила, что успешная эксплуатация уязвимости может обеспечить доступ к опасным модулям, таким как child_process (выполнение команд) и fs (файловая система), поскольку он работает с полными привилегиями среды выполнения Node.js.
Иными словами, злоумышленник, использующий эту уязвимость, может выполнить произвольный код JavaScript на сервере Flowise, что приведет к полной компрометации системы, доступу к файловой системе, выполнению команд и утечке конфиденциальных данных.
Как отметили в Flowise, поскольку требуется только токен API, это представляет собой чрезвычайную угрозу для непрерывности бизнеса и данных клиентов. Компания выразила благодарность Ким Су Хён за уведомление об уязвимости. Проблема была устранена в версии 3.0.6 пакета npm.
Согласно данным VulnCheck, эксплуатация осуществлялась с одного IP-адреса Starlink.
CVE-2025-59528 - это уже третья уязвимость Flowise, эксплуатируемая в реальных условиях, после CVE-2025-8943 (CVSS: 9,8), позволяющей удаленно выполнять команды ОС, и CVE-2025-26319 (CVSS: 8,9), позволяющей произвольно загружать файлы.
Уязвимость была известна более шести месяцев, а это значит, что у пользователей было достаточно много времени, чтобы определить приоритетность и устранить ее.
К настоящему времени площадь уязвимой поверхности, доступной из интернета, составляет более 12 000 открытых экземпляров, что Flowise крайне востребованной целью для киберподполья, представители которого уже предпринимают попытки сканирования и эксплуатации.
Речь идет об уязвимости CVE-2025-59528 (CVSS: 10.0), которая представляет собой уязвимость внедрения кода, которая может привести к удалённому выполнению кода.
Узел CustomMCP позволяет пользователям вводить параметры конфигурации для подключения к внешнему серверу MCP, который анализирует предоставленную пользователем строку mcpServerConfig для построения конфигурации сервера.
Однако в процессе этого он выполняет код JavaScript без какой-либо проверки безопасности.
Flowise отметила, что успешная эксплуатация уязвимости может обеспечить доступ к опасным модулям, таким как child_process (выполнение команд) и fs (файловая система), поскольку он работает с полными привилегиями среды выполнения Node.js.
Иными словами, злоумышленник, использующий эту уязвимость, может выполнить произвольный код JavaScript на сервере Flowise, что приведет к полной компрометации системы, доступу к файловой системе, выполнению команд и утечке конфиденциальных данных.
Как отметили в Flowise, поскольку требуется только токен API, это представляет собой чрезвычайную угрозу для непрерывности бизнеса и данных клиентов. Компания выразила благодарность Ким Су Хён за уведомление об уязвимости. Проблема была устранена в версии 3.0.6 пакета npm.
Согласно данным VulnCheck, эксплуатация осуществлялась с одного IP-адреса Starlink.
CVE-2025-59528 - это уже третья уязвимость Flowise, эксплуатируемая в реальных условиях, после CVE-2025-8943 (CVSS: 9,8), позволяющей удаленно выполнять команды ОС, и CVE-2025-26319 (CVSS: 8,9), позволяющей произвольно загружать файлы.
Уязвимость была известна более шести месяцев, а это значит, что у пользователей было достаточно много времени, чтобы определить приоритетность и устранить ее.
К настоящему времени площадь уязвимой поверхности, доступной из интернета, составляет более 12 000 открытых экземпляров, что Flowise крайне востребованной целью для киберподполья, представители которого уже предпринимают попытки сканирования и эксплуатации.
GitHub
RCE in FlowiseAI/Flowise
## Description
### Cause of the Vulnerability
The `CustomMCP` node allows users to input configuration settings for connecting to an external MCP (Model Context Protocol) server. This node pa...
### Cause of the Vulnerability
The `CustomMCP` node allows users to input configuration settings for connecting to an external MCP (Model Context Protocol) server. This node pa...
Forwarded from Social Engineering
• Недавно искал определенный софт для домашнего сервера и нашел интересную подборку, которой хочу поделиться с вами. Сразу отмечу, что весь софт является бесплатным и имеет открытый исходный код, так что выбирайте нужные инструменты, если у вас есть свой хостинг.
• Итак, для начала держите ссылку на руководство, которое включает в себя просто бескрайнее кол-во программ для самохостинга. Если изучили и что-то не нашли, хотя я в этом сомневаюсь, то переходим в еще одну коллекцию awesome-selfhosted и подреддит r/selfhosted/. Эти ресурсы точно закроют все ваши потребности!
• Ну и вот еще несколько полезных инструментов для самохостинга:
… и другие серверные приложения из каталога.
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
В Docker Engine обнаружена серьезная уязвимость, которая при определенных обстоятельствах позволяет злоумышленнику обойти плагины авторизации (AuthZ).
Уязвимость отслеживается как CVE-2026-34040 (CVSS: 8,8) и обусловлена неполным исправлением другой CVE-2024-41110 с максимальным уровнем серьезности в том же компоненте, которая была обнаружена в июле 2024 года.
Как отмечают сами разработчики, используя специально сформированный API-запрос, злоумышленник может заставить демон Docker перенаправить запрос плагину авторизации без тела запроса, который он отклонил бы, если тело запроса было ему перенаправлено.
Потенциально это может затронуть всех, кто использует плагины авторизации, анализирующие тело запроса для принятия решений о контроле доступа.
Обнаружение уязвимости приписывается сразу нескольким исследователям (независимо друг друга), включая Асима Вилади Оглу Манизаду, Коди, Олега Конко и Владимира Токарева. Проблема исправлена в версии Docker Engine 29.3.1.
Согласно отчету Cyera Research Labs, уязвимость связана с тем, что исправление для CVE-2024-41110 некорректно обрабатывало слишком большие тела HTTP-запросов, что открывало возможность использования одного заполненного HTTP-запроса для создания привилегированного контейнера с доступом к файловой системе хоста.
В гипотетическом сценарии атаки злоумышленник, имеющий ограниченный доступ к API Docker с помощью плагина аутентификации, может обойти этот механизм, увеличив размер запроса на создание контейнера до более чем 1 МБ, в результате чего запрос будет отклонен до того, как достигнет плагина.
Плагин разрешает запрос, потому что не видит ничего, что можно было бы заблокировать. Демон Docker обрабатывает весь запрос и создает привилегированный контейнер с корневым доступом к хосту: учетным данным AWS, ключам SSH, конфигурациям Kubernetes и всему остальному на машине, срабатывая для всех плагинов аутентификации в экосистеме.
Более того, агент ИИ OpenClaw в песочнице на основе Docker, можно также обмануть и заставить выполнить внедрение подсказки, скрытой в специально созданном репозитории GitHub, в рамках обычного рабочего процесса разработчика.
Это приведет к выполнению вредоносного кода, использующего CVE-2026-34040 для обхода авторизации с помощью описанного выше подхода, создания привилегированного контейнера и монтирования файловой системы хоста.
Обладая таким уровнем доступа, злоумышленник может извлечь учетные данные для облачных сервисов и использовать их для получения контроля над облачными учетными записями, кластерами Kubernetes и даже SSH-подключением к производственным серверам.
Кроме того, Cyera также предупредила, что агенты ИИ могут самостоятельно обнаружить обходной путь и запустить его, формируя HTTP-запрос с добавлением лишней информации при возникновении ошибок при попытке доступа к таким файлам, как kubeconfig, в рамках задачи отладки, заданной разработчиком (например, отладка проблемы нехватки памяти в Kubernetes).
Такой подход исключает необходимость создания зараженного репозитория, содержащего вредоносные инструкции.
Плагин AuthZ отклонил запрос на монтирование. Агент имеет доступ к API Docker и знает, как работает HTTP. Для CVE-2026-34040 не требуется никакого эксплойт-кода, привилегий или специальных инструментов.
Это всего лишь один HTTP-запрос с дополнительным заполнением. Любой агент, который может читать документацию API Docker, может его сформировать.
В качестве временного решения рекомендуется избегать использования плагинов аутентификации, которые полагаются на анализ тела запроса для принятия решений в области безопасности, ограничивать доступ к API Docker только доверенным лицам, следуя принципу минимальных привилегий, или запускать Docker в режиме без прав root.
В этом режиме даже «root» привилегированного контейнера сопоставляется с UID непривилегированного хоста. Радиус поражения снижается с «полной компрометации хоста» до «скомпрометированного непривилегированного пользователя».
Уязвимость отслеживается как CVE-2026-34040 (CVSS: 8,8) и обусловлена неполным исправлением другой CVE-2024-41110 с максимальным уровнем серьезности в том же компоненте, которая была обнаружена в июле 2024 года.
Как отмечают сами разработчики, используя специально сформированный API-запрос, злоумышленник может заставить демон Docker перенаправить запрос плагину авторизации без тела запроса, который он отклонил бы, если тело запроса было ему перенаправлено.
Потенциально это может затронуть всех, кто использует плагины авторизации, анализирующие тело запроса для принятия решений о контроле доступа.
Обнаружение уязвимости приписывается сразу нескольким исследователям (независимо друг друга), включая Асима Вилади Оглу Манизаду, Коди, Олега Конко и Владимира Токарева. Проблема исправлена в версии Docker Engine 29.3.1.
Согласно отчету Cyera Research Labs, уязвимость связана с тем, что исправление для CVE-2024-41110 некорректно обрабатывало слишком большие тела HTTP-запросов, что открывало возможность использования одного заполненного HTTP-запроса для создания привилегированного контейнера с доступом к файловой системе хоста.
В гипотетическом сценарии атаки злоумышленник, имеющий ограниченный доступ к API Docker с помощью плагина аутентификации, может обойти этот механизм, увеличив размер запроса на создание контейнера до более чем 1 МБ, в результате чего запрос будет отклонен до того, как достигнет плагина.
Плагин разрешает запрос, потому что не видит ничего, что можно было бы заблокировать. Демон Docker обрабатывает весь запрос и создает привилегированный контейнер с корневым доступом к хосту: учетным данным AWS, ключам SSH, конфигурациям Kubernetes и всему остальному на машине, срабатывая для всех плагинов аутентификации в экосистеме.
Более того, агент ИИ OpenClaw в песочнице на основе Docker, можно также обмануть и заставить выполнить внедрение подсказки, скрытой в специально созданном репозитории GitHub, в рамках обычного рабочего процесса разработчика.
Это приведет к выполнению вредоносного кода, использующего CVE-2026-34040 для обхода авторизации с помощью описанного выше подхода, создания привилегированного контейнера и монтирования файловой системы хоста.
Обладая таким уровнем доступа, злоумышленник может извлечь учетные данные для облачных сервисов и использовать их для получения контроля над облачными учетными записями, кластерами Kubernetes и даже SSH-подключением к производственным серверам.
Кроме того, Cyera также предупредила, что агенты ИИ могут самостоятельно обнаружить обходной путь и запустить его, формируя HTTP-запрос с добавлением лишней информации при возникновении ошибок при попытке доступа к таким файлам, как kubeconfig, в рамках задачи отладки, заданной разработчиком (например, отладка проблемы нехватки памяти в Kubernetes).
Такой подход исключает необходимость создания зараженного репозитория, содержащего вредоносные инструкции.
Плагин AuthZ отклонил запрос на монтирование. Агент имеет доступ к API Docker и знает, как работает HTTP. Для CVE-2026-34040 не требуется никакого эксплойт-кода, привилегий или специальных инструментов.
Это всего лишь один HTTP-запрос с дополнительным заполнением. Любой агент, который может читать документацию API Docker, может его сформировать.
В качестве временного решения рекомендуется избегать использования плагинов аутентификации, которые полагаются на анализ тела запроса для принятия решений в области безопасности, ограничивать доступ к API Docker только доверенным лицам, следуя принципу минимальных привилегий, или запускать Docker в режиме без прав root.
В этом режиме даже «root» привилегированного контейнера сопоставляется с UID непривилегированного хоста. Радиус поражения снижается с «полной компрометации хоста» до «скомпрометированного непривилегированного пользователя».
GitHub
AuthZ plugin bypass with oversized request body
## Summary
A security vulnerability has been detected that allows attackers to bypass [authorization plugins (AuthZ)](https://docs.docker.com/engine/extend/plugins_authorization/) under specific...
A security vulnerability has been detected that allows attackers to bypass [authorization plugins (AuthZ)](https://docs.docker.com/engine/extend/plugins_authorization/) under specific...
Defiant предупреждает о начале массированных атак, нацеленных на критическую уязвимость в платном дополнении Ninja Forms File Uploads для WordPress, которая позволяет загружать произвольные файлы без аутентификации, что может привести к удаленному выполнению кода.
По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа.
Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов.
CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно.
По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути.
В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php.
Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера.
Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере.
Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта.
Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence.
После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов.
После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта.
Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.
По данным компании, ее межсетевой экран Wordfence заблокировал более 3600 атак на CVE-2026-0740 за последние 24 часа.
Ninja Forms - популярный конструктор форм для WordPress с более чем 600 тыс. загрузками, который позволяет пользователям создавать формы без программирования, используя простой интерфейс перетаскивания. Расширение для загрузки файлов в том же пакете, обслуживает более 90 тыс. клиентов.
CVE-2026-0740 имеет критическую оценку CVSS 9,8 из 10 и затрагивает все версии Ninja Forms File Upload до 3.3.26 включительно.
По данным Wordfence, уязвимость вызвана отсутствием проверки типов/расширений файлов в целевом имени файла, что позволяет неавторизованному злоумышленнику загружать произвольные файлы, включая PHP-скрипты, а также манипулировать именами файлов для осуществления обхода пути.
В уязвимой версии функция не включает в себя проверку типа файла или расширения имени целевого файла перед операцией перемещения, что позволяет загружать не только безопасные файлы, но и файлы с расширением .php.
Поскольку проверка имен файлов не используется, вредоносный параметр также облегчает обход путей, позволяя переместить файл даже в корневой каталог веб-сервера.
Все это позволяет неавторизованным злоумышленникам загружать произвольный вредоносный PHP-код, а затем получать доступ к файлу для запуска удаленного выполнения кода на сервере.
Возможные последствия эксплуатации могут быть катастрофическими, включая развертывание веб-оболочек и полный захват сайта.
Уязвимость была обнаружена исследователем Селимом Лануаром (whattheslime), который 8 января отправил по ней отчет в программу вознаграждения за обнаружение ошибок Wordfence.
После проверки Wordfence в тот же день предоставила поставщику полную информацию и внедрила временные меры защиты с помощью правил брандмауэра для своих клиентов.
После проверки патчей и частичного исправления 10 февраля, производитель выпустил полное исправление в версии 3.3.27, доступной с 19 марта.
Учитывая, что Wordfence теперь ежедневно фиксирует тысячи попыток взлома, пользователям Ninja Forms File Upload настоятельно рекомендуется обновиться до последней версии.
Wordfence
Ninja Forms - File Upload <= 3.3.26 - Unauthenticated Arbitrary File Upload — Wordfence Intelligence
Исследователи из Лаборатории Касперского в своем новом отчете поделились аналитикой по ландшафту финансовых киберугроз за 2025 год и представили прогноз на 2026 год.
В 2025 году распространенность традиционных банковских вредоносных ПО для ПК снизилась, но этот сдвиг был компенсирован быстрым ростом кражи учетных данных со стороны злоумышленников, занимающихся хищением информации.
Злоумышленники все чаще полагались на агрегирование и повторное использование украденных данных, а не на разработку совершенно новых возможностей вредоносного ПО.
В рамках исследования в ЛК проанализировали анонимизированные данные о вредоносной активности, обнаруженной на устройствах пользователей своих решений и в телеметрии Kaspersky KSN, а также общедоступные данные и аналитику по даркнету.
В призму изучения попали данные по финансовому фишингу, банковскому вредоносному ПО, а также стилерам и даркнету.
Отчет получился весьма внушительным и не менее полезным с практической точки зрения, со своей стороны, отметим ключевые положения:
- Фишинг:
В 2025 году фишинговая активность сместилась в сторону электронной коммерции (14,17%) и цифровых услуг (16,15%).
При этом злоумышленники все чаще адаптировали свои кампании к региональным тенденциям и поведению пользователей, что сделало социнженерию более целенаправленной, несмотря на снижение внимания к традиционным банковским приманкам.
- Банковское вредоносное ПО:
Распространенность вредоносных ПО для финансовых ПК снизилась, но они по-прежнему представляют собой постоянную угрозу: устоявшиеся семейства продолжают функционировать, а злоумышленники все чаще отдают приоритет получению доступа к учетным данным и опосредованному мошенничеству, а не развертыванию сложных банковских троянов.
Напротив, вредоносные ПО для мобильного банкинга продолжают расти (подробно об этом в ЛК поведали в отчете по вредоносным ПО для мобильных устройств).
- Похитители информации и даркнет:
Информационные мошенники стали одним из главных двигателей финансовых киберпреступлений, подпитывая растущую экономику даркнета, где украденные учетные данные, платежная информация и полные профили личности торгуются в больших масштабах, что позволяет осуществлять широкомасштабные и разрушительные мошеннические операции.
В целом, снижение количества традиционных банковских вредоносных ПО для ПК не указывают на снижение риска, скорее - на перефокусирование устремлений киберподполья в сторону более эффективных методов, направленных на мобильные устройства, кражу учетных данных и социнженерию.
В частности, программы для кражи информации являются мощным инструментом, позволяющим широкомасштабно компрометировать системы.
В 2026 году ожидается, что ландшафт финансовых угроз станет еще более ориентированным на данные и автоматизированным.
Организациям необходимо адаптироваться, сосредоточившись на защите личных данных, мониторинге в реальном времени и анализе угроз по различным каналам, в то время как пользователи должны сохранять бдительность в отношении все более изощренных и персонализированных методов атак.
Подробная инфографика и вся детальная фактура - в отчете.
В 2025 году распространенность традиционных банковских вредоносных ПО для ПК снизилась, но этот сдвиг был компенсирован быстрым ростом кражи учетных данных со стороны злоумышленников, занимающихся хищением информации.
Злоумышленники все чаще полагались на агрегирование и повторное использование украденных данных, а не на разработку совершенно новых возможностей вредоносного ПО.
В рамках исследования в ЛК проанализировали анонимизированные данные о вредоносной активности, обнаруженной на устройствах пользователей своих решений и в телеметрии Kaspersky KSN, а также общедоступные данные и аналитику по даркнету.
В призму изучения попали данные по финансовому фишингу, банковскому вредоносному ПО, а также стилерам и даркнету.
Отчет получился весьма внушительным и не менее полезным с практической точки зрения, со своей стороны, отметим ключевые положения:
- Фишинг:
В 2025 году фишинговая активность сместилась в сторону электронной коммерции (14,17%) и цифровых услуг (16,15%).
При этом злоумышленники все чаще адаптировали свои кампании к региональным тенденциям и поведению пользователей, что сделало социнженерию более целенаправленной, несмотря на снижение внимания к традиционным банковским приманкам.
- Банковское вредоносное ПО:
Распространенность вредоносных ПО для финансовых ПК снизилась, но они по-прежнему представляют собой постоянную угрозу: устоявшиеся семейства продолжают функционировать, а злоумышленники все чаще отдают приоритет получению доступа к учетным данным и опосредованному мошенничеству, а не развертыванию сложных банковских троянов.
Напротив, вредоносные ПО для мобильного банкинга продолжают расти (подробно об этом в ЛК поведали в отчете по вредоносным ПО для мобильных устройств).
- Похитители информации и даркнет:
Информационные мошенники стали одним из главных двигателей финансовых киберпреступлений, подпитывая растущую экономику даркнета, где украденные учетные данные, платежная информация и полные профили личности торгуются в больших масштабах, что позволяет осуществлять широкомасштабные и разрушительные мошеннические операции.
В целом, снижение количества традиционных банковских вредоносных ПО для ПК не указывают на снижение риска, скорее - на перефокусирование устремлений киберподполья в сторону более эффективных методов, направленных на мобильные устройства, кражу учетных данных и социнженерию.
В частности, программы для кражи информации являются мощным инструментом, позволяющим широкомасштабно компрометировать системы.
В 2026 году ожидается, что ландшафт финансовых угроз станет еще более ориентированным на данные и автоматизированным.
Организациям необходимо адаптироваться, сосредоточившись на защите личных данных, мониторинге в реальном времени и анализе угроз по различным каналам, в то время как пользователи должны сохранять бдительность в отношении все более изощренных и персонализированных методов атак.
Подробная инфографика и вся детальная фактура - в отчете.
Securelist
Kaspersky financial threat report 2025
In this report, Kaspersky experts share their insights into the 2025 financial threat landscape, including regional statistics and trends in phishing, PC malware, and infostealers.