0-day в Adobe Reader активно задействуется в атаках через специально созданные PDF-документы с декабря прошлого года.

Атаки обнаружил исследователь Хайфэй Ли (основатель платформы EXPMON), который вскрыл «высокотехнологичный эксплойт для PDF-файлов, похожий на снятие фингерпринтов», использующий нераскрытую уязвимость в Adobe Reader.

Он также отметил, что эти атаки нацелены на пользователей Adobe как минимум 4 месяца и приводят к краже данные из скомпрометированных систем с помощью привилегированных API-интерфейсов Acrobat util.readFileIntoStream и RSS.addFeed, а также через дополнительные эксплойты.

Упомянутая уязвимость, связанная с получением «цифрового отпечатка», работает в последней версии Adobe Reader без какого-либо взаимодействия с пользователем, кроме открытия PDF-файла. Точная природа этой уязвимости следующего этапа остается неизвестной.

Еще более тревожно то, что эта она позволяет злоумышленнику не только собирать/красть локальную информацию, но и потенциально запускать последующие атаки RCE/SBX, которые могут привести к полному контролю над системой жертвы.

Первый артефакт (Invoice540.pdf) засветился на платформе VirusTotal 28 ноября 2025 года, затем второй образец был загружен туда же уже 23 марта 2026 года.

Аналитик угроз Gi7w0rm также проанализировал эту уязвимость в Adobe Reader, обнаружив, что PDF-документы, распространяемые в ходе этих атак, содержат русскоязычные приманки, ссылающиеся на текущие события в российской нефтегазовой отрасли.

Судя по названию PDF-документа, вероятно, здесь присутствует элемент социнженерии: злоумышленники заманивают ничего не подозревающих пользователей, заставляя их открыть файлы в Adobe Reader.

После запуска автоматически запускается выполнение обфусцированного JavaScript для сбора конфиденциальных данных и получения дополнительных вредоносных программ.

Исследователи уведомили Adobe о своих находках и, до тех пор пока компания не выпустит обновления для устранения этой активно используемой 0-day, пользователям следует не открывать PDF-документы, полученные от ненадежных контактов, до выпуска патча.

Специалисты по сетевой безопасности также могут смягчать последствия атак, использующих эту 0-day, путем мониторинга и блокировки HTTP/HTTPS-трафика, содержащего строку Adobe Synchronizer в заголовке User-Agent.

Исследователи Solar 4RAYS расчехлили новые атаки Shedding Zmiy, на этот раз на объекты здравоохранения, где атакующие более 6 месяцев имели доступ к инфраструктуре через VPN и занимались кибершпионажем.

Подключение к инфраструктуре выполнялось с помощью учетных записей уволенных сотрудников, которые не были своевременно выведены из эксплуатации и оказались скомпрометированными.

В процессе расследования были обнаружены новые версии инструментов группы Shedding Zmiy, позволяющие экспортировать данные из баз данных и делать скриншоты экрана.

В ноябре 2025 года к Соларам обратился заказчик из отрасли здравоохранения с просьбой помочь в расследовании вероятной компрометации инфраструктуры. Причиной обращения стало детектирование подключений к IP-адресам GSocket на пограничном устройстве в сети.

В результате предварительного изучения нескольких систем стало понятно, что в инфраструктуре было скомпрометировано несколько десятков Unix-систем, атакующие имели доступ к системам не менее 6 месяцев, а вся цепочка компрометации сводится к VPN-серверу организации.

После получения доступа к VPN в апреле 2025 года атакующие скомпрометировали сервер PostgreSQL, в журналах которого нашлись следы удаленного выполнения команд в системе с использованием легитимной функциональности самой БД.

Доступ к выполнению команд был получен в результате компрометации стандартной УЗ в PostgreSQL, у которой был установлен ненадежный пароль. Для закрепления в системе атакующие разместили утилиту gs-netcat, закрепив ее в файлах «.profile» и «cron» УЗ в PostgreSQL.

Уже через несколько дней у атакующих появилось множество учетных данных (в том числе root), с помощью которых началось активное боковое перемещение и заражение инфраструктуры.

Стоит отметить, что атакующие с новыми учетными данными продолжали подключаться напрямую через VPN и длительное время не использовали размещенные в системах бэкдоры. В целом, в ходе исследования Солары обнаружили целый букет из вредоносного ПО, включая:

- gs-netcat: атакующие использовали и оригинальный исполняемый файл, и дополнительные упаковщики, такие как Bincryptor и UPX (некоторые файлы были упакованы сразу в оба упаковщика). Также выявлены образцы, собранные из исходников gs-netcat с измененным сервером С2.

- Bulldog Backdoor: характерный инструмент группы Shedding Zmiy.

- Megatsune Rootkit (семейство Kitsune Rootkit). Также является характерным инструментом Shedding Zmiy, с помощью которого, вероятно, и были получены учетные данные для бокового перемещения, так как данный Rootkit обладает функцией сбора паролей и ключей ssh.

- Revsocks Proxy, Nmap и различные утилиты для EoP, разведки и удаления логов.

Как отмечают исследователи, в данном инциденте злоумышленник все же заметили, и, вероятно, не один раз. ИТ и ИБ уже проводили реагирование - данный факт был установлен при ретроспективном анализе некоторых систем, где имеются следы удаления вредоносного ПО с последующим повторным заражением.

При этом некоторые системы вовсе были удалены по причине их участия в «иных» инцидентах ИБ летом 2025 года. На деле, вероятно, это были следы более крупного инцидента.

Анализ VPN-сервера стал для непростой задачей, так как глубина журналов составляла лишь несколько дней, но определить несколько ряд IP-адресов из сети VPN все же удалось с помощью журналов различных сервисов, к которым можно было подключиться из сети VPN.

Так нашлись косвенные следы сетевого сканирования с помощью Nmap в периоды активности атакующих.

Однако на этом расследование столкнулось с проблемой: большая часть обнаруженных подозрительных IP из VPN-пула принадлежала сотрудникам, которые были уволены до или в период инцидента, а их системы уже были недоступны для анализа. При этом учетные записи не были своевременно выведены из эксплуатации.

Определить источник компрометации личных систем сотрудников на момент расследования не представлялось возможным. Вероятно, - фишинг.

Зато нащупали cloudflared proxy, которую Shedding Zmiy периодически использует при атаках на Windows-инфраструктуру.

Другие, в том числе технические подробности - в отчете.

Исследователи обнаружили RCE-уязвимость в Apache ActiveMQ Classic, которая оставалась незамеченной в течение 13 лет и могла быть использована для выполнения произвольных команд.

Уязвимость была обнаружена с помощью ИИ-помощника Claude, который определил путь для эксплуатации уязвимости, проанализировав взаимодействие независимо разработанных компонентов.

Уязвимость отслеживается как CVE-2026-34197 (CVSS 8,8) и затрагивает все версии Apache ActiveMQ/Broker до 5.19.4, а также все версии от 6.0.0 до 6.2.3.

Несмотря на то, что ActiveMQ выпустила более новую ветку «Artemis» с улучшенной производительностью, версия «Classic», затронутая CVE-2026-34197, широко используется в корпоративных системах, веб-бэкендах, государственных и корпоративных системах на Java.

Исследователь Horizon3 Навин Сункавалли обнаружил проблему, «с помощью всего лишь нескольких простых подсказок» в системе Claude. При этом 80% решения принимал Claude, а 20% - человек.

Как отметил Сункавалли, что Claude указал на проблему после изучения множества отдельных компонентов (Jolokia, JMX, сетевых коннекторов и транспортных протоколов виртуальных машин).

Каждая функция в отдельности выполняет свою задачу, но вместе они представляли опасность. Именно здесь Claude проявил себя во всей красе - умело соединив все элементы воедино.

Исследователь сообщил об уязвимости разработчикам Apache 22 марта, а разработчик устранил ее 30 марта в версиях ActiveMQ Classic 6.2.3 и 5.19.4.

В отчете Horizon3 поясняется, что уязвимость связана с тем, что API управления Jolokia в ActiveMQ предоставляет функцию брокера (addNetworkConnector), которую можно использовать для загрузки внешних конфигураций.

Отправив специально сформированный запрос, злоумышленник может заставить брокера получить удаленный Spring XML-файл и выполнить произвольные системные команды во время его инициализации.

Для решения этой проблемы требуется аутентификация через Jolokia, но в версиях с 6.0.0 по 6.1.1 аутентификация становится невозможной из-за отдельной CVE-2024-32114, которая предоставляет доступ к API без контроля доступа.

Исследователи Horizon3 подчеркнули риск, связанный с недавно обнаруженной уязвимостью, указав на другие уязвимости ActiveMQ CVE, которые хакеры использовали в реальных атаках.

Пользователям, использующим ActiveMQ, рекомендовано рассматривать проблему как приоритетную задачу, поскольку ActiveMQ неоднократно становился целью для реальных злоумышленников, а методы эксплуатации и постэксплуатации ActiveMQ хорошо известны.

CVE-2026-34197 пока не упоминается как активно используемая, но исследователи полагают, что признаки эксплуатации очевидны в журналах брокера ActiveMQ.

Они рекомендуют искать подозрительные соединения брокера, использующие внутренний протокол передачи данных VM и параметр запроса brokerConfig=xbean:http://.

Выполнение команды происходит во время нескольких попыток подключения. Если появляется предупреждение о проблеме с конфигурацией, исследователи говорят, что полезная нагрузка уже была выполнена.

Новая атака позволяет обходить протоколы безопасности ИИ Apple с высокой вероятностью успеха: исследователи RSAC взломали Intelligence, используя метод NeuralExect и манипуляции с кодировкой Unicode.

Apple Intelligence представляет собой глубоко интегрированную системe персонального интеллекта для iOS, iPadOS и macOS, которая сочетает генеративный ИИ с индивидуальным контекстом.

В основном, задачи обрабатываются непосредственно на процессорах Apple Silicon с помощью компактного встроенного в устройство LLM.

ИИ использует уникальный контекст пользователя (сообщения, фотографии и расписания) для обеспечения работы таких практических функций, как общесистемные инструменты для письма и Siri.

Для более сложных вычислений он перенаправляет запросы более крупным базовым моделям через частные облачные вычисления (PCC) на выделенной облачной инфраструктуре Apple.

Исследователи поставили перед собой задачу обойти локальные входные и выходные фильтры LLM (предназначенные для блокировки вредоносных входных данных и предотвращения нежелательных выходных данных), а также внутренние механизмы защиты, чтобы повлиять на его действия.

Для достижения этой цели они объединили две различные противодействующие техники.

Первая - это Neural Execs, известная атака с внедрением подсказок, которая использует «бессмысленные» входные данные, чтобы обмануть ИИ и заставить его выполнять произвольные, определенные злоумышленником задачи. Входные данные действуют как универсальные триггеры, которые не нужно переделывать для разных полезных нагрузок.

Второй метод, используемый RSAC для обхода входных и выходных фильтров, — это манипулирование кодировкой Unicode. Записав вредоносный выходной текст задом наперёд и используя функцию переопределения направления справа налево, им удалось обойти ограничения на содержимое.

По сути, в RSAC закодировали вредоносный/оскорбительный текст на английском языке, написав его наоборот и используя наш метод взлома Unicode, чтобы заставить LLM правильно его отобразить.

Сочетание этих двух методов позволяет злоумышленникам заставить локальную систему Apple Intelligence LLM создавать контент, представляющий угрозу, или, что более важно, манипулировать конфиденциальными данными и функциями сторонних приложений, интегрированных с ней, например, данными о здоровье или личными медиафайлами.

Атака была протестирована со 100 случайными запросами, и исследователи достигли показателя успешности в 76%. По их оценкам, от 100 000 до 1 млн. пользователей установили приложения, которые могут быть уязвимы для подобных атак. 

По оценкам RSAC, по состоянию на декабрь 2025 года в руках потребителей находилось как минимум 200 млн. устройств с Apple Intelligence, а в Apple App Store уже представлены использующие ее приложения, - поэтому это уже очень перспективная цель.

Apple уведомили в октябре 2025 года, и, по данным RSAC Research, меры защиты были внедрены в последних версиях iOS 26.4 и macOS 26.4.

Пока никаких признаков злонамеренной эксплуатации не обнаружено, но в случае с Apple все не так однозначно, как оно рисуется.

Новое вредоносное ПО на Lua под названием LucidRook задействуется в целевых фишинговых кампаниях, направленных на неправительственные организации и университеты на Тайване.

Исследователи Cisco Talos связали вредоносное ПО с группой угроз UAT-10362, которую описывают как опытного противника, «обладающего отточенными оперативными навыками».

В октябре 2025 года было замечено, что LucidRook использовался в фишинговых электронных письмах, содержащих защищенные паролем архивы.

Исследователи выявили две цепочки заражения: одна использовала LNK, который в конечном итоге распространял вредоносный дроппер под названием LucidPawn, а другая полагалась на фейковый исполняемый файл антивируса, имитирующий Trend Micro Worry-Free Business Security Services.

Атака, основанная на LNK, использует поддельные документы, такие как правительственные письма, составленные таким образом, чтобы выглядеть как письма от правительства Тайваня, для отвлечения внимания пользователя.

Cisco Talos обнаружила, что LucidPawn расшифровывает и развертывает легитимный исполняемый файл, переименованный для имитации Microsoft Edge, а также вредоносную DLL-библиотеку (DismCore.dll) для установки LucidRook.

Он примечателен своей модульной конструкцией и встроенной средой выполнения Lua, что позволяет ему получать и выполнять полезную нагрузку второго этапа в виде байт-кода Lua.

Такой подход позволяет операторам обновлять функциональность без изменения основного вредоносного ПО, одновременно ограничивая возможности проведения криминалистического анализа. Скрытность дополнительно повышается за счет обфускации кода.

Встраивание интерпретатора Lua фактически превращает нативную DLL в стабильную платформу выполнения, позволяя злоумышленнику обновлять или адаптировать поведение для каждой цели или кампании, обновляя полезную нагрузку байт-кода Lua с помощью более легкого и гибкого процесса разработки.

Такой подход также повышает OpSec, поскольку этап Lua может быть размещен лишь на короткое время и удален из системы C2 после доставки, а также способен затруднить восстановление после инцидента, когда защитники добираются только до загрузчика без доставленной нагрузки.

Исследователи также отмечает, что бинарный файл сильно обфусцирован с помощью встроенных строк, расширений файлов, внутренних идентификаторов и адресов C2, что усложняет любые попытки обратного проектирования.

В процессе своей работы LucidRook проводит разведку системы, собирая такую информацию, как имена пользователей и компьютеров, установленные приложения и запущенные процессы.

Данные шифруются с использованием алгоритма RSA, хранятся в защищенных паролем архивах и передаются на контролируемую злоумышленником инфраструктуру через FTP.

В ходе изучения LucidRook исследователи обнаружили связанный с ним инструмент под названием LucidKnight, который, вероятно, используется для разведки.

Одной из примечательных особенностей LucidKnight является злоупотребление протоколом Gmail GMTP для кражи собранных данных, что говорит о том, что UAT-10362 располагает гибким набором инструментов для удовлетворения различных операционных потребностей.

Cisco Talos с умеренной степенью уверенности заключает, что атаки LucidRook являются частью целенаправленной кампании по вторжению.

Однако им не удалось перехватить расшифровываемый байт-код Lua, полученный LucidRook, поэтому конкретные действия, предпринятые после заражения, остаются неизвестны.

Скопрометирована система обновления плагина Smart Slider 3 Pro для WordPress и Joomla, которая теперь используется для распространили вредоносной версии с множеством бэкдоров.

Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.

Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.

PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.

Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.

Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.

Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.

Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.

PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.

Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.

Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.

Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.

Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.

Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.

Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).

Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.

Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.

Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.

Новости шоу-бизнеса.

На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.

Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.

Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)

Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее 45 сантиметров почти миллиард долларов. Получилось лучше, размер впечатлил.

На этом развлекательная часть закончилась.

Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.

Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.

Мельчаем-с, господа…

Говорят, среди адептов запрещенной в РФ экстремистской организации «ЛГБТ» новая мода, они в тексте тг-постов ставят стикеры «чистовик» или «черновик», тем самым дают понять, что сегодня свободны и находятся в поисках партнера на вечер.

Официальный сайт CPUID, по всей видимости, был скомпрометирован, а все пользователи, которые пытались загрузить HWMonitor и CPU-Z получали установочные файлы с вредоносным ПО.

CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.

Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.

Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.

После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.

Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.

На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.

По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.

Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).

Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.

В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.

Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.

Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.

Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.

Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.

Нарисовались подробности в отношении исправленной к настоящему времени уязвимости в широко используемом SDK для Android под названием EngageLab SDK, которая потенциально ставит под угрозу миллионы пользователей криптокошельков.

Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.

Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.

EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.

По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.

Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.

После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.

В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.

Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.

Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.

Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.

Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.

Adobe выпустила экстренные обновления для устранения критической уязвимости в Acrobat Reader, которая активно использовалась злоумышленниками в реальных условиях.

CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.

Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.

Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:

- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).

При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».

Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.

По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.

Всего через 10 часов после ее публичного раскрытия критической уязвимости в платформе с открытым исходным кодом Marimo началась эксплуатация.

Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.

По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.

Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.

CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.

Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.

Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.

Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.

По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.

Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.

Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.

Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.

Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.

Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.

Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.

Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.

Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.

Как нам подсказали подписчики, исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.

В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.

Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).

Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.

Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.

Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.

Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.

Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.

Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.

Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.

По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.

Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.

Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.

Индикаторы компрометации и рекомендации - в отчете.

Booking взломали: хакеры получили доступ к информации о пользователях, сколько именно клиентов лишились доступа к информации о своих бронированиях не разглашается;

Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.

Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.

В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».

К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента. 

В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.

Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.