Новая атака позволяет обходить протоколы безопасности ИИ Apple с высокой вероятностью успеха: исследователи RSAC взломали Intelligence, используя метод NeuralExect и манипуляции с кодировкой Unicode.
Apple Intelligence представляет собой глубоко интегрированную системe персонального интеллекта для iOS, iPadOS и macOS, которая сочетает генеративный ИИ с индивидуальным контекстом.
В основном, задачи обрабатываются непосредственно на процессорах Apple Silicon с помощью компактного встроенного в устройство LLM.
ИИ использует уникальный контекст пользователя (сообщения, фотографии и расписания) для обеспечения работы таких практических функций, как общесистемные инструменты для письма и Siri.
Для более сложных вычислений он перенаправляет запросы более крупным базовым моделям через частные облачные вычисления (PCC) на выделенной облачной инфраструктуре Apple.
Исследователи поставили перед собой задачу обойти локальные входные и выходные фильтры LLM (предназначенные для блокировки вредоносных входных данных и предотвращения нежелательных выходных данных), а также внутренние механизмы защиты, чтобы повлиять на его действия.
Для достижения этой цели они объединили две различные противодействующие техники.
Первая - это Neural Execs, известная атака с внедрением подсказок, которая использует «бессмысленные» входные данные, чтобы обмануть ИИ и заставить его выполнять произвольные, определенные злоумышленником задачи. Входные данные действуют как универсальные триггеры, которые не нужно переделывать для разных полезных нагрузок.
Второй метод, используемый RSAC для обхода входных и выходных фильтров, — это манипулирование кодировкой Unicode. Записав вредоносный выходной текст задом наперёд и используя функцию переопределения направления справа налево, им удалось обойти ограничения на содержимое.
По сути, в RSAC закодировали вредоносный/оскорбительный текст на английском языке, написав его наоборот и используя наш метод взлома Unicode, чтобы заставить LLM правильно его отобразить.
Сочетание этих двух методов позволяет злоумышленникам заставить локальную систему Apple Intelligence LLM создавать контент, представляющий угрозу, или, что более важно, манипулировать конфиденциальными данными и функциями сторонних приложений, интегрированных с ней, например, данными о здоровье или личными медиафайлами.
Атака была протестирована со 100 случайными запросами, и исследователи достигли показателя успешности в 76%. По их оценкам, от 100 000 до 1 млн. пользователей установили приложения, которые могут быть уязвимы для подобных атак.
По оценкам RSAC, по состоянию на декабрь 2025 года в руках потребителей находилось как минимум 200 млн. устройств с Apple Intelligence, а в Apple App Store уже представлены использующие ее приложения, - поэтому это уже очень перспективная цель.
Apple уведомили в октябре 2025 года, и, по данным RSAC Research, меры защиты были внедрены в последних версиях iOS 26.4 и macOS 26.4.
Пока никаких признаков злонамеренной эксплуатации не обнаружено, но в случае с Apple все не так однозначно, как оно рисуется.
Apple Intelligence представляет собой глубоко интегрированную системe персонального интеллекта для iOS, iPadOS и macOS, которая сочетает генеративный ИИ с индивидуальным контекстом.
В основном, задачи обрабатываются непосредственно на процессорах Apple Silicon с помощью компактного встроенного в устройство LLM.
ИИ использует уникальный контекст пользователя (сообщения, фотографии и расписания) для обеспечения работы таких практических функций, как общесистемные инструменты для письма и Siri.
Для более сложных вычислений он перенаправляет запросы более крупным базовым моделям через частные облачные вычисления (PCC) на выделенной облачной инфраструктуре Apple.
Исследователи поставили перед собой задачу обойти локальные входные и выходные фильтры LLM (предназначенные для блокировки вредоносных входных данных и предотвращения нежелательных выходных данных), а также внутренние механизмы защиты, чтобы повлиять на его действия.
Для достижения этой цели они объединили две различные противодействующие техники.
Первая - это Neural Execs, известная атака с внедрением подсказок, которая использует «бессмысленные» входные данные, чтобы обмануть ИИ и заставить его выполнять произвольные, определенные злоумышленником задачи. Входные данные действуют как универсальные триггеры, которые не нужно переделывать для разных полезных нагрузок.
Второй метод, используемый RSAC для обхода входных и выходных фильтров, — это манипулирование кодировкой Unicode. Записав вредоносный выходной текст задом наперёд и используя функцию переопределения направления справа налево, им удалось обойти ограничения на содержимое.
По сути, в RSAC закодировали вредоносный/оскорбительный текст на английском языке, написав его наоборот и используя наш метод взлома Unicode, чтобы заставить LLM правильно его отобразить.
Сочетание этих двух методов позволяет злоумышленникам заставить локальную систему Apple Intelligence LLM создавать контент, представляющий угрозу, или, что более важно, манипулировать конфиденциальными данными и функциями сторонних приложений, интегрированных с ней, например, данными о здоровье или личными медиафайлами.
Атака была протестирована со 100 случайными запросами, и исследователи достигли показателя успешности в 76%. По их оценкам, от 100 000 до 1 млн. пользователей установили приложения, которые могут быть уязвимы для подобных атак.
По оценкам RSAC, по состоянию на декабрь 2025 года в руках потребителей находилось как минимум 200 млн. устройств с Apple Intelligence, а в Apple App Store уже представлены использующие ее приложения, - поэтому это уже очень перспективная цель.
Apple уведомили в октябре 2025 года, и, по данным RSAC Research, меры защиты были внедрены в последних версиях iOS 26.4 и macOS 26.4.
Пока никаких признаков злонамеренной эксплуатации не обнаружено, но в случае с Apple все не так однозначно, как оно рисуется.
RSAC Conference
Is That a Bad Apple in Your Pocket? We Used Prompt Injection to Hijack Apple Intelligence
RSAC Cybersecurity News: Is That a Bad Apple in Your Pocket? We Used Prompt Injection to Hijack Apple Intelligence
Новое вредоносное ПО на Lua под названием LucidRook задействуется в целевых фишинговых кампаниях, направленных на неправительственные организации и университеты на Тайване.
Исследователи Cisco Talos связали вредоносное ПО с группой угроз UAT-10362, которую описывают как опытного противника, «обладающего отточенными оперативными навыками».
В октябре 2025 года было замечено, что LucidRook использовался в фишинговых электронных письмах, содержащих защищенные паролем архивы.
Исследователи выявили две цепочки заражения: одна использовала LNK, который в конечном итоге распространял вредоносный дроппер под названием LucidPawn, а другая полагалась на фейковый исполняемый файл антивируса, имитирующий Trend Micro Worry-Free Business Security Services.
Атака, основанная на LNK, использует поддельные документы, такие как правительственные письма, составленные таким образом, чтобы выглядеть как письма от правительства Тайваня, для отвлечения внимания пользователя.
Cisco Talos обнаружила, что LucidPawn расшифровывает и развертывает легитимный исполняемый файл, переименованный для имитации Microsoft Edge, а также вредоносную DLL-библиотеку (DismCore.dll) для установки LucidRook.
Он примечателен своей модульной конструкцией и встроенной средой выполнения Lua, что позволяет ему получать и выполнять полезную нагрузку второго этапа в виде байт-кода Lua.
Такой подход позволяет операторам обновлять функциональность без изменения основного вредоносного ПО, одновременно ограничивая возможности проведения криминалистического анализа. Скрытность дополнительно повышается за счет обфускации кода.
Встраивание интерпретатора Lua фактически превращает нативную DLL в стабильную платформу выполнения, позволяя злоумышленнику обновлять или адаптировать поведение для каждой цели или кампании, обновляя полезную нагрузку байт-кода Lua с помощью более легкого и гибкого процесса разработки.
Такой подход также повышает OpSec, поскольку этап Lua может быть размещен лишь на короткое время и удален из системы C2 после доставки, а также способен затруднить восстановление после инцидента, когда защитники добираются только до загрузчика без доставленной нагрузки.
Исследователи также отмечает, что бинарный файл сильно обфусцирован с помощью встроенных строк, расширений файлов, внутренних идентификаторов и адресов C2, что усложняет любые попытки обратного проектирования.
В процессе своей работы LucidRook проводит разведку системы, собирая такую информацию, как имена пользователей и компьютеров, установленные приложения и запущенные процессы.
Данные шифруются с использованием алгоритма RSA, хранятся в защищенных паролем архивах и передаются на контролируемую злоумышленником инфраструктуру через FTP.
В ходе изучения LucidRook исследователи обнаружили связанный с ним инструмент под названием LucidKnight, который, вероятно, используется для разведки.
Одной из примечательных особенностей LucidKnight является злоупотребление протоколом Gmail GMTP для кражи собранных данных, что говорит о том, что UAT-10362 располагает гибким набором инструментов для удовлетворения различных операционных потребностей.
Cisco Talos с умеренной степенью уверенности заключает, что атаки LucidRook являются частью целенаправленной кампании по вторжению.
Однако им не удалось перехватить расшифровываемый байт-код Lua, полученный LucidRook, поэтому конкретные действия, предпринятые после заражения, остаются неизвестны.
Исследователи Cisco Talos связали вредоносное ПО с группой угроз UAT-10362, которую описывают как опытного противника, «обладающего отточенными оперативными навыками».
В октябре 2025 года было замечено, что LucidRook использовался в фишинговых электронных письмах, содержащих защищенные паролем архивы.
Исследователи выявили две цепочки заражения: одна использовала LNK, который в конечном итоге распространял вредоносный дроппер под названием LucidPawn, а другая полагалась на фейковый исполняемый файл антивируса, имитирующий Trend Micro Worry-Free Business Security Services.
Атака, основанная на LNK, использует поддельные документы, такие как правительственные письма, составленные таким образом, чтобы выглядеть как письма от правительства Тайваня, для отвлечения внимания пользователя.
Cisco Talos обнаружила, что LucidPawn расшифровывает и развертывает легитимный исполняемый файл, переименованный для имитации Microsoft Edge, а также вредоносную DLL-библиотеку (DismCore.dll) для установки LucidRook.
Он примечателен своей модульной конструкцией и встроенной средой выполнения Lua, что позволяет ему получать и выполнять полезную нагрузку второго этапа в виде байт-кода Lua.
Такой подход позволяет операторам обновлять функциональность без изменения основного вредоносного ПО, одновременно ограничивая возможности проведения криминалистического анализа. Скрытность дополнительно повышается за счет обфускации кода.
Встраивание интерпретатора Lua фактически превращает нативную DLL в стабильную платформу выполнения, позволяя злоумышленнику обновлять или адаптировать поведение для каждой цели или кампании, обновляя полезную нагрузку байт-кода Lua с помощью более легкого и гибкого процесса разработки.
Такой подход также повышает OpSec, поскольку этап Lua может быть размещен лишь на короткое время и удален из системы C2 после доставки, а также способен затруднить восстановление после инцидента, когда защитники добираются только до загрузчика без доставленной нагрузки.
Исследователи также отмечает, что бинарный файл сильно обфусцирован с помощью встроенных строк, расширений файлов, внутренних идентификаторов и адресов C2, что усложняет любые попытки обратного проектирования.
В процессе своей работы LucidRook проводит разведку системы, собирая такую информацию, как имена пользователей и компьютеров, установленные приложения и запущенные процессы.
Данные шифруются с использованием алгоритма RSA, хранятся в защищенных паролем архивах и передаются на контролируемую злоумышленником инфраструктуру через FTP.
В ходе изучения LucidRook исследователи обнаружили связанный с ним инструмент под названием LucidKnight, который, вероятно, используется для разведки.
Одной из примечательных особенностей LucidKnight является злоупотребление протоколом Gmail GMTP для кражи собранных данных, что говорит о том, что UAT-10362 располагает гибким набором инструментов для удовлетворения различных операционных потребностей.
Cisco Talos с умеренной степенью уверенности заключает, что атаки LucidRook являются частью целенаправленной кампании по вторжению.
Однако им не удалось перехватить расшифровываемый байт-код Lua, полученный LucidRook, поэтому конкретные действия, предпринятые после заражения, остаются неизвестны.
Cisco Talos
New Lua-based malware “LucidRook” observed in targeted attacks against Taiwanese organizations
Cisco Talos uncovered a cluster of activity we track as UAT-10362 conducting spear-phishing campaigns against Taiwanese non-governmental organizations (NGOs) and suspected universities to deliver a newly identified malware family, “LucidRook.”
Скопрометирована система обновления плагина Smart Slider 3 Pro для WordPress и Joomla, которая теперь используется для распространили вредоносной версии с множеством бэкдоров.
Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.
Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.
PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.
Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.
Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.
Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.
Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.
PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.
Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.
Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.
Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.
Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.
Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.
Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).
Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.
Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.
Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.
Разработчик заявляет, что проблема затрагивает только Pro-версию плагина 3.5.1.35, и рекомендует немедленно перейти на последнюю версию, в настоящее время 3.5.1.36, или 3.5.1.34 и более ранние.
Smart Slider 3 для WordPress используется более чем на 900 000 сайтах для создания адаптивных слайдеров с помощью редактора слайдеров в режиме реального времени, предлагающего большой выбор макетов и дизайнов.
PatchStack отмечает, что вредоносное ПО представляет собой полнофункциональный многоуровневый набор инструментов, встроенный в основной файл плагина, при этом сохраняя обычную функциональность Smart Slider.
Исследователи заметили, что вредоносный набор позволяет удаленному злоумышленнику выполнять команды без аутентификации с помощью специально сформированных HTTP-заголовков.
Он также включает в себя второй бэкдор с аутентификацией, позволяющий выполнять как PHP-выполнение команд, так и команды ОС, а также автоматическую кражу учетных данных.
Вредоносная ПО обеспечивает свое постоянное присутствие в сети за счет нескольких уровней защиты, одним из которых является создание скрытой учетной записи администратора и хранение учетных данных в базе данных.
Кроме того, создает каталог mu-plugins и создает обязательный для использования плагин с именем файла, который имитирует легитимный компонент кэширования.
PatchStack отмечает, что вредоносный набор также внедряет бэкдор в файл functions.php активной темы, что позволяет ему сохраняться до тех пор, пока тема активна.
Ещё один уровень обеспечения постоянного хранения данных заключается во внедрении в каталог wp-includes PHP-файла с именем, имитирующим имя легитимного класса ядра WordPress.
Как объясняют исследователи, в отличие от других уровней обеспечения постоянного доступа, этот бэкдор не зависит от базы данных WordPress, а считывает ключ аутентификации из .cache_key файла, хранящегося в том же каталоге.
Таким образом, изменение учетных данных базы данных не влияет на бэкдор, который продолжает работать, даже если WordPress не сможет полностью загрузиться.
Поставщик выпустил аналогичное предупреждение для Joomla, заявляя, что вредоносный код, присутствующий в версии 3.5.1.35 плагина, может создать скрытую учетную запись администратора (обычно с префиксом wpsvc_ ), установить дополнительные бэкдоры в каталогах /cache и /media, а также украсть информацию о сайте и учетные данные.
Вредоносное обновление было распространено среди пользователей 7 апреля, однако разработчики Smart Slider рекомендуют 5 апреля в качестве наиболее безопасной даты для восстановления резервных копий, чтобы во всех случаях учитывать разницу во времени.
Если резервная копия недоступна, рекомендуется удалить скомпрометированный плагин и установить чистую версию (3.5.1.36).
Администраторам, обнаружившим скомпрометированную версию плагина, должны исходить из предположения о полной компрометации сайта и предпринять все необходимые в этом случае действия.
Поставщик также предоставляет многоэтапное руководство по ручной очистке для WordPress и Joomla, которое начинается с перевода сайта в режим обслуживания и его резервного копирования.
Администраторам следует очистить сайт от неавторизованных пользователей, удалить все вредоносные компоненты и установить все основные файлы, плагины и темы, а также сбросить все пароли и выполнить сканирование на наличие дополнительных вредоносных ПО.
Patchstack
Critical Supply Chain Compromise in Smart Slider 3 Pro: Full Malware Analysis - Patchstack
This blog post is a technical analysis of the supply chain compromise affecting Smart Slider 3 Pro version 3.5.1.35 for WordPress. An unauthorized party gained
Новости шоу-бизнеса.
На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.
Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.
Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)
Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее45 сантиметров почти миллиард долларов. Получилось лучше, размер впечатлил.
На этом развлекательная часть закончилась.
Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.
Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.
Мельчаем-с, господа…
На прошедшей неделе российские инфосек-вендоры привычно мерялись МСФО-пинусами. В синхронном помахивании достоинствами по результатам 2025 года приняли участие Касперские, Позитивы и Солары. Бизоны осторожно поделились данными о выручке, кадавр F6 смотрит и молчит.
Первыми трололо устроили Позитивы, которые стали задорно (на самом деле не очень) тыкать палочкой в Касперских, демонстрируя свою увеличившуюся вдвое прибыль против показанного российским филиалом Лаборатории убытка.
Касперские включили антикриз и сообщили, что это вовсе не убыток, а "резервы под инвестиции" и, вообще, во всем виноват Мой Офис. (Кстати, когда-нибудь админы нашего канала уйдут на пенсию и напишут в мемуарах о сомнительных ИБ-практиках команды Комиссарова, когда в релизе могли забить на исправление уязвимости в пользу отрисовки новой красивой кнопочки)
Антикриз получился не очень и тогда Лаборатория обратила внимание на то, что в ее широких штанинах притаилась вторая часть выручки, международная. А в общем она у нее
На этом развлекательная часть закончилась.
Позади стояли Солары и застенчиво показывали свое OIBDA. Нет бы сразу чистую прибыль предъявить.
Мы, как специалисты по устраиванию развеселых срачей, не одобряем такой унылый подход, без огонька все как-то. Уж если публику эпатировать, то с размахом, битьем посуды и выкидыванием стульев в окно.
Мельчаем-с, господа…
Forwarded from историк-алкоголик
Говорят, среди адептов запрещенной в РФ экстремистской организации «ЛГБТ» новая мода, они в тексте тг-постов ставят стикеры «чистовик» или «черновик», тем самым дают понять, что сегодня свободны и находятся в поисках партнера на вечер.
Официальный сайт CPUID, по всей видимости, был скомпрометирован, а все пользователи, которые пытались загрузить HWMonitor и CPU-Z получали установочные файлы с вредоносным ПО.
CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.
Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.
Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.
После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.
Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.
На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.
По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.
Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).
Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.
В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.
Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.
Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.
Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.
Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.
CPUID, разработчик HWMonitor и CPU-Z, - французская компания, известная своими инструментами профилирования и мониторинга систем, широко используемыми ИТ-специалистами и производителями оборудования. Только у CPU-Z десятки миллионов пользователей по всему миру.
Первые сообщения о проблема появились на Reddit. Один из пользователей, обновлявших HWMonitor до версии 1.63, был перенаправлен с официального сайта CPUID на загрузку подозрительного файла с именем HWiNFO_Monitor_Setup.exe.
Аномалия сразу же привлекла внимание, поскольку HWiNFO - это совершенно отдельный инструмент для мониторинга оборудования, разработанный другим поставщиком.
После запуска установщик, как сообщается, запустил интерфейс установки на русском языке, что побудило пользователя прервать установку.
Дальнейшее расследование показало, что ссылка для скачивания, встроенная в официальную страницу HWMonitor на CPUID, перенаправляла на внешний домен, размещенный в хранилище Cloudflare R2, вместо стандартной инфраструктуры CPUID.
На этом домене хостился троянизированный установщик, упакованный в модифицированный пакет Inno Setup - широко распространенный метод маскировки вредоносных ПО и противодействия анализу. Легитимные же установщики HWMonitor используют стандартные, легко извлекаемые конфигурации Inno Setup.
По результатам изучения образца на VirusTotal наличие вредоносного поведения было подтверждено. При этом чистые версии HWMonitor не демонстрировали подобных признаков, что указывает на органиченность взлома определенными путями загрузки или динамически распространяемыми полезными нагрузками.
Последовавшие затем сообщения указывают на то, что CPU-Z также могла быть затронута (заграждение также фиксировалась антивирусами).
Кроме того, пользователи отмечали нестабильность системы и возможные симптомы заражения, соответствующие выполнению вредоносного ПО. Один пользователь утверждал, что установка CPU-Z с официального сайта привела к серьезному повреждению работоспособности Windows.
В свою очередь, исследователи VX-Underground также подтвердили все предположения и задокументировали, что на момент своего расследования компания cpuid.com активно распространяла вредоносное ПО.
Согласно их отчету, вредоносная ПО представляет собой не типичную угрозу массового распространения, а сложный многоступенчатый имплант, разработанный для скрытного и постоянного присутствия.
Вредоносное ПО работает преимущественно в оперативной памяти, что уменьшает количество артефактов для криминалистического анализа на диске, и использует передовые методы обхода защиты, включая проксирование Windows NTDLL через сборку .NET для обхода EDR-систем.
Исследователи также выявили инфраструктуру C2, связанную с известной группой злоумышленников, которая ранее, в марте 2026 года, распространяла троянизированные версии FileZilla.
Пока остается неясно, как злоумышленники получили доступ к инфраструктуре CPUID и удалось ли полностью локализовать последствия инцидента. Так что будем следить.
Reddit
From the pcmasterrace community on Reddit
Explore this post and more from the pcmasterrace community
Нарисовались подробности в отношении исправленной к настоящему времени уязвимости в широко используемом SDK для Android под названием EngageLab SDK, которая потенциально ставит под угрозу миллионы пользователей криптокошельков.
Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.
Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.
EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.
По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.
Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.
После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.
В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.
Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.
Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.
Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.
Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.
Занавес приоткрыли участники исследовательская группы Microsoft Defender Security Research Team, предъявив соответствующий отчет.
Как заявляют исследователи, упомянутая уязвимость позволяет приложениям на одном устройстве обходить песочницу безопасности Android и получать несанкционированный доступ к личным данным.
EngageLab SDK предназначен для управления обменом сообщениями и push-уведомлениями в мобильных приложениях. После интеграции в приложение реализует возможность отправлять персонализированные уведомления и стимулировать взаимодействие в режиме реального времени.
По данным Microsoft, значительное число приложений, использующих SDK, являются частью экосистемы криптовалют и цифровых кошельков, имеют более 30 миллионов загрузок. С учетом иных нетематических приложений на основе того же SDK, количество установок переваливает за 50.
Microsoft не раскрывает точный перечень приложений, но отмечает, что все приложения с уязвимыми версиями SDK, были удалены из Google Play Store.
После ответственного раскрытия информации в апреле 2025 года, EngageLab в ноябре 2025 года выпустила обновленную версию 5.2.1 с исправлениями всех обнаруженных проблем.
В необновлённых версиях EngageSDK обнаружена уязвимость, связанная с интентами Android, которые обеспечивают взаимодействие между различными приложениями и обмен данными между компонентами одного и того же приложения.
Исследователи Microsoft выявили уязвимость в механизме перенаправления намерений, которая позволяет злоумышленнику манипулировать содержимым намерений, отправляемых уязвимыми приложениями.
Злоумышленник может использовать вредоносное приложение, работающее на целевом устройстве, для отправки специально сформированных намерений, которые, используя уязвимость приложения, позволяют обойти песочницу безопасности Android и получить доступ к конфиденциальным данным, включая личную информацию, учетные данные пользователей и финансовую информацию.
Нет никаких доказательств того, что уязвимость когда-либо использовалась в злонамеренных целях. Тем не менее, разработчикам, интегрировавшим SDK, рекомендуется как можно скорее обновить его до последней версии.
Особенно следует учесть, что даже незначительные недостатки в исходных библиотеках могут иметь каскадные последствия и затронуть миллионы устройств.
Microsoft News
Intent redirection vulnerability in third-party SDK exposed millions of Android wallets to potential risk
A severe Android intent‑redirection vulnerability in a widely deployed SDK exposed sensitive user data across millions of apps. Microsoft researchers detail how the flaw works, why it matters, and how developers can mitigate similar risks by updating affected…
Adobe выпустила экстренные обновления для устранения критической уязвимости в Acrobat Reader, которая активно использовалась злоумышленниками в реальных условиях.
CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.
Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.
Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:
- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).
При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».
Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.
По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.
CVE-2026-34621 имеет оценку CVSS 8,6 из 10,0, а ее успешная эксплуатация позволяет злоумышленнику запустить вредоносный код на затронутых установках.
Проблема связана с «загрязнением прототипов», которое может привести к выполнению произвольного кода. Ошибка относится к уязвимости безопасности JavaScript, которая позволяет злоумышленнику манипулировать объектами и свойствами приложения.
Данная проблема затрагивает следующие продукты и версии как для Windows, так и для macOS:
- Acrobat DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat Reader DC версий 26.001.21367 и более ранних (исправлено в версии 26.001.21411);
- Acrobat 2024 версий 24.001.30356 и более ранних (исправлено в версии 24.001.30362 для Windows и 24.001.30360 для macOS).
При этом Adobe подтвердила, что ей «известно об использовании уязвимости CVE-2026-34621 в реальных условиях».
Обновления вышли спустя несколько дней после того, как исследователь и основатель EXPMON Хайфэй Ли раскрыл подробности использования 0-day для запуска вредоносного кода JavaScript при открытии специально созданных PDF-документов через Adobe Reader.
По имеющимся данным, уязвимость могла использоваться еще с декабря 2025 года, а утечки информации она также активно применялась для RCE, что согласуется с выводами и других исследователей, которые последовали в течении последних нескольких дней.
Adobe
Adobe Security Bulletin
Prenotification Security Advisory for Adobe Acrobat and Reader | APSB26-43
Всего через 10 часов после ее публичного раскрытия критической уязвимости в платформе с открытым исходным кодом Marimo началась эксплуатация.
Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.
По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.
Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.
CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.
Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.
Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.
Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.
По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.
Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.
Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.
Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.
Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.
Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.
Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.
Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.
Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.
Уязвимость позволяет удаленно выполнять код без аутентификации в Marimo 0.20.4 и более ранних версиях. Проблема отслеживается как CVE-2026-39987 и GitHub оценил её в 9,3 из 10.
По данным исследователей Sysdig, злоумышленники создали эксплойт на основе уведомления разработчика и без промедления задействовали его в атаках, в результате которых была украдена конфиденциальная информация.
Marimo - это среда разработки блокнотов на Python с открытым исходным кодом, которая обычно используется датасайнтистами, ИИ-специалистами, исследователями и разработчиками. В целом, это довольно популярный проект, имеющий 20 000 звезд на GitHub и 1000 форков.
CVE-2026-39987 обусловлена тем, что конечная точка WebSocket /terminal/ws предоставляет доступ к интерактивному терминалу без надлежащей проверки аутентификации, что позволяет устанавливать соединения с любого неаутентифицированного клиента.
Это обеспечивает прямой доступ к полноценной интерактивной оболочке, работающей с теми же привилегиями, что и процесс Marimo.
Marimo сообщила об уязвимости 8 апреля и выпустила версию 0.23.0 для её устранения.
Разработчики отмечают, что уязвимость затрагивает пользователей, которые развернули Marimo как редактируемый блокнот, а также тех, кто предоставляет доступ к Marimo через общую сеть, используя параметр --host 0.0.0.0 в режиме редактирования.
По данным Sysdig, в течение первых 12 часов после публикации подробностей об уязвимости удалось задетектить 125 IP, с которых реализуется разведактивность.
Менее чем через 10 часов после публикации результатов исследования ученые зафиксировали первую попытку использования уязвимости в операции по краже учетных данных.
Злоумышленник сначала проверил наличие уязвимости, подключившись к конечной точке /terminal/ws и выполнив короткую последовательность скриптов для подтверждения удаленного выполнения команд, после чего отключился через несколько секунд.
Вскоре после этого хакеры восстановили соединение и начали ручную разведку, выполняя базовые команды, такие как pwd, whoami и ls, чтобы понять окружение, а затем пытались перемещаться по каталогам и проверяли наличие SSH.
Далее злоумышленник сосредоточился на сборе учетных данных, сразу же атаковав .env для извлечения переменных среды, включая учетные данные облачного сервиса и секретные ключи приложений. Затем он попытался считать дополнительные файлы в рабочем каталоге и продолжил поиск SSH-ключей.
Согласно отчету Sysdig, весь этап получения доступа к учетным данным был завершен менее чем за три минуты. Примерно через час злоумышленник вернулся для совершения второй попытки эксплуатации уязвимости, используя ту же последовательность эксплойтов.
Исследователи утверждают, что за атакой, по всей видимости, стоит «методичный оператор», использующий практический подход, а не автоматизированные скрипты, и сосредоточенный на таких важных целях, как кража учетных данных .env и ключей SSH.
Злоумышленники не пытались установить средства обеспечения постоянного присутствия в системе, развернуть криптомайнеры или бэкдоры, что говорит о быстрой и скрытной операции.
Пользователям Marimo рекомендуется немедленно обновиться до версии 0.23.0, отслеживать соединения WebSocket с /terminal/ws, ограничить внешний доступ с помощью брандмауэра и ротировать все раскрытые секреты.
GitHub
Pre-Auth Remote Code Execution via Terminal WebSocket Authentication Bypass
## Summary
Marimo (19.6k stars) has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint `/terminal/ws` lacks authentication validation, allowing an unauthenticated attacker to obtain a f...
Marimo (19.6k stars) has a Pre-Auth RCE vulnerability. The terminal WebSocket endpoint `/terminal/ws` lacks authentication validation, allowing an unauthenticated attacker to obtain a f...
Forwarded from Russian OSINT
Компания OpenAI выявила проблему безопасности, связанную со сторонним инструментом для разработчиков под названием Axios, о которой говорилось ранее [1,2]. Принимаются меры по защите процесса сертификации, подтверждающего подлинность её приложений для macOS. Компания Сэма Альтмана сообщила об отсутствии доказательств несанкционированного доступа к пользовательским данным, компрометации систем или интеллектуальной собственности.
В результате этой атаки рабочий процесс (workflow) GitHub Actions, используемый OpenAI, загрузил и запустил «вредоносную» версию Axios. Данный рабочий процесс имел доступ к сертификату и материалам нотаризации, используемым для подписания приложений под macOS, включая ChatGPT Desktop, Codex, Codex-cli и Atlas.
Компания заявила, что обновляет свои сертификаты безопасности и требует от всех пользователей macOS обновить Desktop приложения OpenAI до последних версий, чтобы предотвратить любые риски, связанные с попытками распространения поддельных приложений.
Начиная с 8 мая старые версии Desktop приложений OpenAI для macOS больше не будут получать обновления или поддержку, а также могут перестать функционировать, отметил разработчик ChatGPT.
Please open Telegram to view this post
VIEW IN TELEGRAM
Как нам подсказали подписчики, исследователи из Лаборатории Касперского разобрались в кейсе с компрометацией веб-сайта cpuid[.]com, на котором размещались установщики популярных ПО для администрирования систем CPU-Z, HWMonitor (и Pro) и Perfmonitor 2.
В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.
Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).
Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.
Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.
Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.
Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.
Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.
Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.
Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.
По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.
Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.
Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.
Индикаторы компрометации и рекомендации - в отчете.
В ЛК обнаружили, что примерно с 9 апреля, 15:00 UTC, до 10 апреля, 10:00 UTC, легитимные URL для загрузки установщиков этого ПО были заменены URL-адресами на следующие вредоносные веб-сайты: cahayailmukreatif.web[.]id, pub-45c2577dbd174292a02137c18e7b1b5a.r2[.]dev, transitopalermo[.]com и vatrobran[.]hr.
Злоумышленники распространяли вредоносные дистрибутивы различного популярного ПО для администрирования систем через cpuid[.]com, включая: CPU-Z (версия 2.19), HWMonitor Pro (версия 1.57), HWMonitor (версия 1.63) и PerfMonitor (версия 2.04).
Вирус распространялся как в виде ZIP-архивов, так и в виде отдельных установщиков. Файлы содержат легитимный подписанный исполняемый файл для соответствующего продукта и вредоносную DLL-библиотеку CRYPTBASE.dll, созданную с использованием метода боковой загрузки DLL.
Вредоносная DLL отвечает за подключение к C2 и дальнейшее выполнение полезной нагрузки. Перед этим она также выполняет ряд проверок на предмет соответствия требованиям песочницы, и если все проверки пройдены, она подключается к серверу C2.
Примечательно, что злоумышленники повторно использовали как адрес C2, так и конфигурацию подключения из кампании марта 2026 года, где они разместили фейковый сайт FileZilla, распространяющий вредоносные файлы.
Загрузчик также содержит огромный массив MAC-адресов (представленных в виде строк), которые впоследствии формируют полезную нагрузку следующего этапа путем преобразования шестнадцатеричных символов в MAC-адресах в их байтовые значения. После набора вспомогательных загрузчиков цепочка выполнения приводит к созданию сложной системы RAT.
Однако RAT на заключительном этапе не является чем-то новым. Злоумышленник решил повторно использовать так называемый STX RAT, о котором сообщала Esentire, тем самым совершив еще одну ошибку.
Как отмечают в ЛК, заключительный этап полностью обнаруживается правилами YARA, представленными у eSentire. Злоумышленники приложили усилия для взлома популярного сайта с ПО, но не смогли избежать обнаружения с помощью известных индикаторов взлома.
Согласно телеметрии ЛК, выявлено более 150 пострадавших, в основном - частные лица. Однако заразились и организаций различных секторов, включая торговлю, производство, консалтинг, телеком и сельское хозяйство. Большинство заражений - в Бразилии, России и Китае.
По сравнению с другими недавними атаками типа watering hole и атаками на цепочки поставок, как в случае с Notepad++, атака на cpuid[.]com была организована крайне плохо.
Самая серьёзная ошибка злоумышленников заключалась в повторном использовании той же цепочки заражения с использованием STX RAT и тех же доменных имён для связи C2, что и в предыдущей атаке, связанной с поддельными установщиками FileZilla.
Общий уровень разработки/развертывания вредоносного ПО и OpSec злоумышленников довольно низок, что, в свою очередь, позволило обнаружить компрометацию на ранней стадии.
Индикаторы компрометации и рекомендации - в отчете.
Securelist
CPU-Z and HWMonitor watering hole infection – a copy-pasted attack
On April 9, 2026, the website cpuid[.]com, hosting installers for popular system administration software CPU-Z, HWMonitor (HWMonitor Pro) and Perfmonitor 2, was compromised.
Booking взломали: хакеры получили доступ к информации о пользователях, сколько именно клиентов лишились доступа к информации о своих бронированиях не разглашается;
Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.
Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.
В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».
К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента.
В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.
Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.
Согласно заявлениям компании, проблема локализована, некоторых пострадавших из Амстердама уведомили, что что хакеры могли получить доступ к информации, связанной с бронированиями поездок.
Как отмечается, неавторизованная третья сторона могла получить доступ к такой информации, включая имена, адреса электронной почты, номера телефонов и другие данные, которыми пользователи делились в рамках размещений.
В ответ на запросы Booking уточняет, что учетные записи клиентов не были взломаны, тем не менее был скомпрометирован доступ к информации о «бронировании некоторых гостей».
К настоящему времени, компания не предоставила никаких разъяснений по поводу инцидента, и остается неясным, были ли взломаны ее системы или злоумышленники получили доступ к данным другими способами. Также неясно, сколько пользователей пострадало от этого инцидента.
В Booking ограничились лишь упоминанием об оперативной локализации и обновлении PIN-кодов бронирований.
Несмотря на заявления о безопасности финансовой или платежной информации, компания все же рекомендовала клиентам сохранять бдительность в отношении потенциальных фишинговых атак, нацеленных на платежные данные. Будем следить, в общем.
Reddit
From the Bookingcom community on Reddit: Serious security breach - confirmed by booking.com
Explore this post and more from the Bookingcom community
Критическая уязвимость в библиотеке wolfSSL SSL/TLS приводит к снижению защищенности в виду некорректной проверки алгоритма хеширования или его размера при проверке цифровых подписей на основе эллиптических кривых (ECDSA).
Исследователи предупреждают, что злоумышленник может использовать эту уязвимость, чтобы заставить целевое устройство или приложение принимать поддельные сертификаты для вредоносных серверов или соединений.
wolfSSL - это облегчённая реализация TLS/SSL на C, предназначенная для встраиваемых систем, IoT, систем промышленного управления, маршрутизаторов, бытовой техники, датчиков, автомобильных систем и даже аэрокосмического или военного оборудования.
Согласно официальной информации, wolfSSL используется более чем в 5 миллиардах приложений и устройств по всему миру.
Уязвимость обнаружена Николасом Карлини из Anthropic и отслеживается как CVE-2026-5194. Устранена wolfSSL 5.9.1, выпущенной 8 апреля.
Она представляет собой криптографическую ошибку проверки, затрагивающую несколько алгоритмов подписи в wolfSSL, что позволяет принимать некорректно слабые дайджесты во время проверки сертификата.
Проблема затрагивает несколько алгоритмов, включая ECDSA/ECC, DSA, ML-DSA, Ed25519 и Ed448. Для сборок, в которых активны одновременно ECC и EdDSA или ML-DSA, рекомендуется обновить WolfSSL до последней версии.
Согласно уведомлению по безопасности, отсутствие проверки размера хеша/дайджеста и OID позволяет функциям проверки подписи принимать дайджесты меньшего размера, чем разрешено при проверке сертификатов ECDSA, или меньшего размера, чем это подходит для соответствующего типа ключа.
Это может привести к снижению безопасности аутентификации на основе сертификатов ECDSA, если также известен открытый ключ центра сертификации (CA).
По мнению исследователя Лукаша Олейника, использование CVE-2026-5194 позволяет обмануть приложения или устройства, заставив их «принять поддельную цифровую идентификацию как подлинную, доверяя вредоносному серверу, файлу или соединению, которые они должны были отклонить».
Злоумышленник может использовать эту уязвимость, предоставив поддельный сертификат с меньшим по размеру дайджестом, чем это допустимо с точки зрения криптографии, в результате чего система принимает подпись, которую легче подделать или воспроизвести.
Несмотря на то, что уязвимость затрагивает основную процедуру проверки подписи, могут существовать предварительные условия и условия, специфичные для развертывания, которые могут ограничить возможность ее эксплуатации.
Системным администраторам, управляющим средами, которые не используют исходные релизы wolfSSL, а вместо этого полагаются на пакеты дистрибутива Linux, встроенное ПО поставщиков и встроенные SDK, следует обращаться за разъяснениями к поставщикам.
В частности, в уведомлении Red Hat, присваивающем уязвимости максимальный уровень серьезности, отмечается, что MariaDB не затронута, поскольку использует OpenSSL, а не wolfSSL для криптографических операций.
Организациям, использующим wolfSSL, рекомендуется проверить свои развертывания и незамедлительно установить обновления, дабы обеспечить надежную проверку сертификатов.
Исследователи предупреждают, что злоумышленник может использовать эту уязвимость, чтобы заставить целевое устройство или приложение принимать поддельные сертификаты для вредоносных серверов или соединений.
wolfSSL - это облегчённая реализация TLS/SSL на C, предназначенная для встраиваемых систем, IoT, систем промышленного управления, маршрутизаторов, бытовой техники, датчиков, автомобильных систем и даже аэрокосмического или военного оборудования.
Согласно официальной информации, wolfSSL используется более чем в 5 миллиардах приложений и устройств по всему миру.
Уязвимость обнаружена Николасом Карлини из Anthropic и отслеживается как CVE-2026-5194. Устранена wolfSSL 5.9.1, выпущенной 8 апреля.
Она представляет собой криптографическую ошибку проверки, затрагивающую несколько алгоритмов подписи в wolfSSL, что позволяет принимать некорректно слабые дайджесты во время проверки сертификата.
Проблема затрагивает несколько алгоритмов, включая ECDSA/ECC, DSA, ML-DSA, Ed25519 и Ed448. Для сборок, в которых активны одновременно ECC и EdDSA или ML-DSA, рекомендуется обновить WolfSSL до последней версии.
Согласно уведомлению по безопасности, отсутствие проверки размера хеша/дайджеста и OID позволяет функциям проверки подписи принимать дайджесты меньшего размера, чем разрешено при проверке сертификатов ECDSA, или меньшего размера, чем это подходит для соответствующего типа ключа.
Это может привести к снижению безопасности аутентификации на основе сертификатов ECDSA, если также известен открытый ключ центра сертификации (CA).
По мнению исследователя Лукаша Олейника, использование CVE-2026-5194 позволяет обмануть приложения или устройства, заставив их «принять поддельную цифровую идентификацию как подлинную, доверяя вредоносному серверу, файлу или соединению, которые они должны были отклонить».
Злоумышленник может использовать эту уязвимость, предоставив поддельный сертификат с меньшим по размеру дайджестом, чем это допустимо с точки зрения криптографии, в результате чего система принимает подпись, которую легче подделать или воспроизвести.
Несмотря на то, что уязвимость затрагивает основную процедуру проверки подписи, могут существовать предварительные условия и условия, специфичные для развертывания, которые могут ограничить возможность ее эксплуатации.
Системным администраторам, управляющим средами, которые не используют исходные релизы wolfSSL, а вместо этого полагаются на пакеты дистрибутива Linux, встроенное ПО поставщиков и встроенные SDK, следует обращаться за разъяснениями к поставщикам.
В частности, в уведомлении Red Hat, присваивающем уязвимости максимальный уровень серьезности, отмечается, что MariaDB не затронута, поскольку использует OpenSSL, а не wolfSSL для криптографических операций.
Организациям, использующим wolfSSL, рекомендуется проверить свои развертывания и незамедлительно установить обновления, дабы обеспечить надежную проверку сертификатов.
GitHub
Releases · wolfSSL/wolfssl
The wolfSSL library is a small, fast, portable implementation of TLS/SSL for embedded devices to the cloud. wolfSSL supports up to TLS 1.3 and DTLS 1.3! - wolfSSL/wolfssl
Rockstar Games вновь стала жертвой киберподполья в рамках недавнего инцидента с Anodot, на этот раз постарались ShinyHunters, которые вывалили украденные данные на своем сайте DLS.
Злоумышленники утверждают, что данные были похищены из среды Snowflake с использованием токенов аутентификации, украденных во время недавнего инцидента Anodot. Опубликованные данные Rockstar Games включают более 78,6 млн. записей.
В Rockstar Games пока отмалчиваются на этот счет. Однако в заявлении изданию Kotaku, компания подтвердила, что «в связи с утечкой данных третьей стороны был получен доступ к ограниченному объему несущественной информации компании», а сам «инцидент никак не влияет на организацию или игроков».
Злоумышленники сообщили, что утечка данных в основном состоит из внутренней аналитики, используемой для мониторинга онлайн-сервисов Rockstar и заявок в службу поддержки.
Слитые данные, предположительно, включают показатели выручки и покупок, отслеживание поведения игроков и данные об игровой экономике для Grand Theft Auto Online и Red Dead Online, а также, по всей видимости, аналитику службы поддержки клиентов для системы Zendesk.
Кроме того, в числе украденных файлов содержались ссылки на системы обнаружения мошенничества и тестирование моделей противодействия мошенничеству.
Инцидент является частью более масштабной кампании, связанной с недавним инцидентом в компании Anodot, специализирующейся на выявлении аномалий данных и интегрирующейся с широким спектром облачных SaaS-платформ.
Как сообщается, злоумышленники украли токены аутентификации из сервиса и использовали их для доступа к данным клиентов, хранящимся в подключенных экземплярах Snowflake, S3 и Amazon Kinesis.
На прошлой неделе Snowflake, в свою очередь, подтвердила, что обнаружила необычную активность, затрагивающую небольшое количество учетных записей клиентов, связанных с интеграцией стороннего сервиса, в ответ заблокировав затронутые учетные записи и уведомив клиентов.
Позже компания подтвердила, что интегратором выступила компания Anodot. ShinyHunters не осталась в стороне и взяла ответственность за атаки, заявляя о краже данных у десятков компаний с использованием скомпрометированных токенов.
Ранее, в 2022 году, Rockstar Games уже сталкивалась с утечкой данных, когда группа Lapsus$ слила в сеть видеоролики с Grand Theft Auto 6 вместе с исходным кодом игры. Так что им не уже привыкать, но каждый раз неприятно.
Злоумышленники утверждают, что данные были похищены из среды Snowflake с использованием токенов аутентификации, украденных во время недавнего инцидента Anodot. Опубликованные данные Rockstar Games включают более 78,6 млн. записей.
В Rockstar Games пока отмалчиваются на этот счет. Однако в заявлении изданию Kotaku, компания подтвердила, что «в связи с утечкой данных третьей стороны был получен доступ к ограниченному объему несущественной информации компании», а сам «инцидент никак не влияет на организацию или игроков».
Злоумышленники сообщили, что утечка данных в основном состоит из внутренней аналитики, используемой для мониторинга онлайн-сервисов Rockstar и заявок в службу поддержки.
Слитые данные, предположительно, включают показатели выручки и покупок, отслеживание поведения игроков и данные об игровой экономике для Grand Theft Auto Online и Red Dead Online, а также, по всей видимости, аналитику службы поддержки клиентов для системы Zendesk.
Кроме того, в числе украденных файлов содержались ссылки на системы обнаружения мошенничества и тестирование моделей противодействия мошенничеству.
Инцидент является частью более масштабной кампании, связанной с недавним инцидентом в компании Anodot, специализирующейся на выявлении аномалий данных и интегрирующейся с широким спектром облачных SaaS-платформ.
Как сообщается, злоумышленники украли токены аутентификации из сервиса и использовали их для доступа к данным клиентов, хранящимся в подключенных экземплярах Snowflake, S3 и Amazon Kinesis.
На прошлой неделе Snowflake, в свою очередь, подтвердила, что обнаружила необычную активность, затрагивающую небольшое количество учетных записей клиентов, связанных с интеграцией стороннего сервиса, в ответ заблокировав затронутые учетные записи и уведомив клиентов.
Позже компания подтвердила, что интегратором выступила компания Anodot. ShinyHunters не осталась в стороне и взяла ответственность за атаки, заявляя о краже данных у десятков компаний с использованием скомпрометированных токенов.
Ранее, в 2022 году, Rockstar Games уже сталкивалась с утечкой данных, когда группа Lapsus$ слила в сеть видеоролики с Grand Theft Auto 6 вместе с исходным кодом игры. Так что им не уже привыкать, но каждый раз неприятно.
Kotaku
GTA 6 Developer Rockstar Reportedly Hacked, Data Being Ransomed
Well known hacking group ShinyHunters claims to have breached the GTA 6 developers cloud servers