SecAtor
41.5K subscribers
804 photos
88 videos
12 files
7.75K links
Руки-ножницы российского инфосека.

Для связи - mschniperson@mailfence.com
Download Telegram
Исследователи из Шаньдунского университета раскрыли новый способ извлечения данных с компьютеров, отключенных от сетей. Технология получила название TrojPix.

TrojPix изменяет пиксели на экране таким образом, что это невидимо для глаза, и видеокабель, передающий эти данные, излучает слабый радиосигнал, который может декодировать находящийся рядом приемник.

Однако TrojPix работает только после того, как вредоносное ПО уже установлено на целевом компьютере. В ходе тестов достиг пиковой пропускной способности в 8,1 Мбит/с и дальности действия до 208 метров, причем эти два показателя измерялись отдельно.

Большинство скрытых каналов связи, работающих в условиях отсутствия связи, работают со скоростью в биты или килобиты в секунду. При скорости в 8,1 Мбит/с (примерно мегабайт в секунду) TrojPix может переместить файл размером 100 МБ менее чем за две минуты.

Реальная дальность действия - это уже другой вопрос: приемнику все равно приходится преодолевать стены, экранирование и помехи.

Метод, который исследователи называют незаметной модуляцией пикселей, не требует прав администратора и никаких изменений в оборудовании, достаточно вредоносного ПО пользовательского уровня, способного рисовать на экране.

Исследователи описывают два способа скрыть трафик: один имитирует выключенный дисплей, оставляя экран темным во время передачи. Другой скрывает сигнал в том, что уже отображается на экране, так что полезная нагрузка оказывается в обычном на вид контенте.

Команда Шаньдунского университета сообщает, что работает с девятью марками мониторов и пятнадцатью видеокабелями, поэтому результат не зависит от конкретной конфигурации.

Превращение видеокабеля в скрытый передатчик - не новая идея. Она восходит к многолетнему исследованию излучений, известному как TEMPEST, а в последнее время - к таким разработкам, как TEMPEST-LoRa (CCS 2025), в которых использовался тот же приём для подключения к стандартным радиомодулям LoRa - распространённому стандарту беспроводной связи дальнего действия.

Максимальная скорость передачи данных у этого устройства составила 87,5 метров, или 21,6 кбит/с. Пиковая пропускная способность TrojPix в сотни раз выше, хотя в обоих случаях используются разные приемники и условия съемки, поэтому эти цифры не являются прямым сравнением.

Выявленные каналы излучения пока остаются лишь лабораторными исследованиями. Атаки через воздушный зазор, которые всплыли в реальных условиях, от Stuxnet до Agent.BTZ, преодолевали этот зазор через USB, а не по радиосвязи. TrojPix и подобные ему показывают лишь то, что это возможно.

Другой канал, основанный на использовании экрана, PIXHELL, заставлял сам дисплей издавать звук для утечки данных с компьютера, отключенного от сети.

Другие же получали данные из Ethernet с помощью имплантированного аппаратного обеспечения, чего TrojPix избегает в плане аппаратных изменений.

Само излучение устранить невозможно. Контрмеры носят физический и превентивный характер: передача видео по оптоволоконным каналам, которые не передают подобный сигнал, в отличие от медных; экранирование кабелей и помещений, и, прежде всего, предотвращение попадания вредоносного ПО на устройство, поскольку без этой точки опоры TrojPix нечего передавать.

Как только злоумышленник проникнет внутрь, канал с такой высокой скоростью сможет передать данные за то время, пока экран остается выключенным.
Исследователи Лаборатории Касперского объяснили, кому удобен OpenClaw, отметив основные риски для пользователей агента и как их снизить.

OpenClaw (Clawdbot, Moltbot) - на сегодняшний день одна из самых успешных и быстрорастущих экосистем для ИИ-агентов во всем мире. Проект почти сразу зашел пользователям из-за гибкости и возможности решать достаточно нетривиальные задачи.

Сейчас сотрудники в организациях по всему миру используют OpenClaw для автоматизации своих рабочих задач, часто даже не подозревая о рисках, которые это может нести для них самих и их работодателей.

Успешность проекта была обусловлена тем, что агент принимает инструкции на естественном языке, не требует знания языков разработки и позволяет использовать навыки (skill) для расширения функциональности.

Они могут располагаться в системе с установленным агентом и могут быть получены извне: существует отдельный хаб (ClawHub), где пользователи обмениваются навыками.

Одна из ключевых особенностей навыков - их легко создавать, поскольку для этого не нужно уметь писать код. По сути это набор команд, который написан на естественном языке, хотя и может содержать код.

Как правило, инструкции содержатся в текстовом файле с названием SKILL.md, хотя могут быть и более сложные варианты. Однако основное требование к ним - использование именно текстовых форматов.

Сферы применения навыков достаточно обширны и могут включать в себя как повседневные задачи — проверка почты, выполнение рутинных действий и расчетов при работе с компьютером, - так и достаточно сложные пайплайны для тестирования, исследований или создания ПО.

Для большинства действий агенту требуется доступ к файловой системе ОС, токенам и ключам систем, с которыми он будет работать. Зачастую все необходимые данные пользователи хранят либо в переменных окружения, либо в обычных текстовых файлах рядом с агентом.

За 2 года было найдено около 530 уязвимостей как в самом OpenClaw, так и в технологиях, на базе которых он построен. При этом публикация уязвимостей в базе данных CVE началась только с февраля 2026 года.

При этом число уязвимостей высокой степени критичности достаточно велико. Большинство из них представляют собой проблемы хранения ключевых данных и работы с неадекватно высокими привилегиями. Каждая использоваться для захвата агента или для внедрения команд.

Помимо эксплуатации уязвимостей и введения в заблуждения пользователя, существуют и более специфичные векторы атак на OpenClaw, в частности вредоносные навыки.

Исследования логично проводят параллель между распространением вредоносных навыков и атаками на цепочки поставок. Однако, в отличие от традиционных атак такого типа, создать вредоносный навык значительно проще.

При этом до 7 февраля 2026 года навыки не проходили даже элементарную проверку на вредоносность.Так что появились навыки, позволяющие атаковать различные системы.

В апреле во время одного из сканирований хаба навыков ЛК обнаружила 24 аккаунта, которые распространяли более 600 вредоносных навыков. Всего, по информации из открытых источников, с января было создано более 1100 вредоносных аккаунтов.

После этих исследований и достаточно продолжительной работы по очистке ClawHub от вредоносных навыков его создатели анонсировали проверку файлов перед публикацией с помощью VirusTotal и инструмента SkillSpector от NVIDIA.

С одной стороны, это более корректный подход к публикации навыков, с другой, так как OpenClaw - это в первую очередь агент, который используется для выполнения набора инструкций, обнаружение вредоносной активности выходит на несколько другую плоскость.

Теперь нужно не только анализировать файл на опасные команды, которые должны быть заблокированы. Также нужно анализировать все варианты вредоносного поведения, которое может быть порождено инструкцией в навыке.

Решения ЛК детектируют вредоносные навыки как HEUR:Trojan.ANSI.MalClaw.gen. Кроме того, отслеживают активность вредоносных навыков OpenClaw в системе. Другие рекомендации - в отчете.
Исследователи Solar 4RAYS сообщают об обнаружении кампании по распространению Santa Stealer, который превратил кражу логов в настоящий бесперебойный конвейер.

В марте 2026 года Солары зафиксировали атаку на российскую компанию из сферы промышленности с использованием техники ClickFix, где сотрудника на фишинговом сайте под видом проверки капчи от Cloudflare убедили выполнить команду через Win+R.

Запущенный PowerShell-скрипт загрузил стилер Santa Stealer, нацеленный на максимальный сбор всех доступных учетных данных.

Santa Stealer - не очередной рядовой инфостилер, а зрелая MaaS-платформа, прошедшая путь от классического граббера до инструмента подготовки данных к монетизации.

Конфиг-ориентированная архитектура (модули остаются в сборке даже при пустом конфиге), 16 заявленных модулей в панели и билдере, двухслойное сокрытие строк (XOR-распаковка блоба плюс ChaCha20 для отдельных строк), перехват данных прямо из памяти браузеров через инжект в их процессы и многоканальная эксфильтрация с резервированием C2 указывают на коммерческую зрелость продукта, а не на разовую поделку.

Злоумышленники использовали взломанный легитимный ресурс, а саму доставку стилера в систему осуществлял go-дропер, запускающий малварь исключительно в памяти процесса без записи файлов на диск.

В новой версии вредоноса появилась возможность туннелирования трафика через Cloudflare WARP/WireGuard, что позволяет скрывать реальный адрес командного сервера внутри легитимных UDP-пакетов.

В качестве резервного канала (Dead Drop Resolver) стилер обращается к подконтрольным страницам в Telegram и Mastodon, извлекая новые C2-домены.

Архитектура вредоноса включает 13 последовательных модулей, которые «пылесосят» сессии браузеров, токены Discord/Steam, корпоративные VPN-клиенты, облачные доступы (Azure, Google Cloud) и криптокошельки.

При этом заложенная в коде функция самоликвидации на системах в странах СНГ (Anti-CIS) была намеренно отключена, так как кампания изначально была нацелена на российские организации.

Солары предполагают, что инфраструктура Santa Stealer тесно завязана на массовую перепродажу похищенных игровых учетных записей, а за семейством стоит активный участник теневого рынка, для которого сам стилер лишь один элемент более широкой схемы.

Те же лица, по всей видимости, связаны с массовой перепродажей похищенных аккаунтов (в первую очередь Roblox) на профильной площадке, где происхождение товара даже не скрывается.

Отдельно исследователи выделяют важную особенность стилера: он не рассчитан на длительное закрепление и стремится завершить эксфильтрацию раньше, чем отреагируют средства защиты.

Его модель работы ближе к «быстро распаковаться, быстро собрать, быстро отправить», что подтверждается как описанием в панели, так и самим расследованным инцидентом: образец успел распаковаться и начать выполнение до того, как защитные средства смогли полноценно отреагировать.

В таких сценариях классические антивирусы могут просто не успеть остановить цепочку на ранней стадии, особенно если вредонос активно обфусцирует строки, восстанавливает конфиг в памяти и быстро переходит к сбору данных.

При этом подобная активность хорошо ложится на поведенческое детектирование: массовый доступ к браузерным профилям, чтение Local State, DPAPI-дешифрование, SQL-запросы к Login Data/Cookies, сбор токенов, multipart-эксфильтрация, чанкование полезной нагрузки, а также попытки поднять WARP/WireGuard-туннель являются устойчивыми признаками.

Наиболее значимой мы считаем не техническую начинку, а экосистему вокруг нее. MaaS в связке с централизованной C2-инфраструктурой может означать, что покупатель подписки не является единственным потребителем украденных данных: часть логов вполне может оседать у разработчика, посредника или любой стороны, контролирующей инфраструктуру и каналы эксфильтрации.

Солары полагают, что связки «Santa Stealer плюс готовый канал сбыта» будут вытеснять разрозненных одиночек на этом рынке. Для жертвы же это означает, что компрометация одного аккаунта обернется его появлением сразу в нескольких независимых каналах перепродажи.
Уязвимость ядра Linux позволяет виртуальным машинам обходить защиту на системах Intel и AMD.

Januscape, обнаруженная 16 лет назад, позволяет злоумышленникам выходить за пределы виртуальных машин и потенциально выполнять код на базовом хосте.

Уязвимость отслеживается как CVE-2026-53359 и получила условное наименование Januscape. Она затрагивает код теневого MMU в гипервизоре виртуальных машин на базе ядра Linux (KVM).

Уязвимость, позволяющая взаимодействовать между гостевыми системами и хостами, представляет собой серьезную угрозу для многопользовательских публичных облаков x86, работающих с ненадежными гостевыми системами и использующих вложенную виртуализацию.

Известно, что это первый эксплойт KVM, который может быть активирован как на архитектурах Intel, так и на AMD. Уязвимость была обнаружена исследователем Хёнву Кимом, который раскрыл её как 0-day в рамках Google kvmCTF.

По словам исследователя, эта уязвимость представляет собой уязвимость типа «использование после освобождения памяти», которая может быть активирована из виртуальной машины и привести к повреждению состояния теневых страниц ядра хоста.

Как поясняет исследователь, успешная эксплуатация Januscape может привести к полной компрометации хоста, на котором работает виртуальная машина.

Например, злоумышленник, арендовавший всего один экземпляр в публичном облаке, может вызвать сбой в работе ядра хоста, чтобы вывести из строя все остальные виртуальные машины арендаторов на той же физической машине (DoS-атака), или запустить код с правами root на хосте, чтобы захватить управление хостом и всеми его гостевыми системами (удалённое управление).

В некоторых дистрибутивах Linux, таких как Red Hat Enterprise Linux (RHEL), уязвимость безопасности может быть использована непривилегированными пользователями для повышения своих привилегий до уровня root.

Для эксплуатации уязвимости Januscape требуются права root на гостевой машине, которые обычно доступны по умолчанию, когда пользователю выделяется экземпляр виртуальной машины в публичном облаке.

Если доступ root недоступен, злоумышленник может объединить эту уязвимость с уязвимостью повышения привилегий, такой как Dirty Frag, как отмечает Ким.

CVE-2026-53359 оставалась неактивной в ядре Linux в течение 16 лет. Она была исправлена в основной ветке 19 июня, когда был объединен коммит 81ccda30b4e8.
Исследователи Лаборатории Касперского совсем разошлись и выкатывают отчет за отчетом, на этот раз в их поле зрения - Armored Likho, APT-группа, реализующая сложные таргетированные атаки на правительственные организации и ТЭК в нескольких странах.

Злоумышленник использует модульные RAT и стилеры в рамках как финансово мотивированными атаках на отдельных лиц, так и кибершпионажа в отношении организаций в России, Бразилии и Казахстане.

В арсенале злоумышленника - BusySnake Stealer на основе Python, а также такие инструменты, как Go2Tunnel, для удаленного доступа и сетевого туннелирования.

Разнообразный набор вредоносных ПО позволяет злоумышленнику сохранять скрытый контроль над скомпрометированными хостами, похищать учетные данные и другую конфиденциальную информацию, а также динамически развертывать загружаемые модули, адаптированные к профилю жертвы и выполняемым задачам.

Armored Likho в основном использует целевой фишинг для первоначального доступа. Архивы, прикрепленные к его электронным письмам, содержат исполняемые файлы или LNK-файлы, которые после открытия отображают ложные цели, в то время как вредоносное ПО устанавливается в фоновом режиме.

Загрузчик, внедряемый в память через такой исполняемый файл, загружает архивы из репозиториев GitHub, содержащие ранние сборки и тестовые образцы вредоносного ПО. Файлы LNK отображают фейковый документ, в то время как интерпретатор Python 3.12 и архив загружаются в фоновом режиме.

В числе прочих компонентов архивы содержат вредоносную ПО на основе Python, которую в ЛК отслеживают как BusySnake Stealer.

Эта вредоносная ПО использует множество методов обхода защиты, динамически расшифровывает байт-код при вызове функции, сразу же шифруя его после вызова, и работает в фоновом режиме без окна консоли.

Стилер задействует сразу несколько обработчиков для выполнения различных функций, таких как кража данных из буфера обмена, перечисление файлов, извлечение 64-символьных шестнадцатеричных ключей, эксфильтрация документов, захват скриншотов, архивирование скриншотов, проверка на сохранение активности и выполнение команд.

На основе команд, полученных от С2, вредоносная ПО может делать снимки экрана, извлекать данные о нажатиях клавиш, расшифровывать сохраненные пароли из браузеров на основе Chromium и Firefox, извлекать файлы cookie из браузеров, собирать данные с машины в виде одноразовых паролей (OTP), находить криптокошельки, собирать данные о сессиях и учетные данные Telegram, устанавливать обратный SSH-туннель и перезапускать RustDesk для захвата учетных данных пользователей.

До появления BusySnake Stealer группа Armored Likho использовала Go2Tunnel для установления обратного SSH-туннеля, но реализовала эту функциональность в своем стилере, который теперь предоставляет злоумышленникам постоянный удаленный доступ и интерактивное управление системой жертвы.

Деятельность Armored Likho, по всей видимости, пересекается с деятельностью Eagle Werewolf. Ранее эта хакерская группа использовала RAT-программу AquilaRAT, которая имеет схожую структуру и механизм обеспечения устойчивости с BusySnake Stealer.

При этом вредоносная нагрузка первого этапа (загрузчики и стейджеры) сгенерирована при помощи ИИ, что размывает TTP атакующих, усложняя атрибуцию атак.

В ходе анализа Касперы также выявили признаки, указывающие на то, что операторы стилера владеют украинским языком, на основе языковых и инфраструктурных артефактов.

Наблюдаемая кампания демонстрирует сразу несколько трендов: рост технической зрелости Armored Likho, морфизм инструментов и переход к более сложным схемам в попытках обойти защитные решения, от обфускации исходного кода на Python до внедрения сетевых механизмов прямо в код вредоносного ПО. 

Технические подробности и IOCs - в отчете.
Исследователи Sysdig предупреждают о начале эксплуатации недавно исправленной критической уязвимости в образах Docker Gitea.

CVE-2026-20896 (CVSS: 9,8) обусловлена тем, что платформа DevOps доверяет заголовку X-WEBAUTH-USER от любого исходного IP, что фактически позволяет неаутентифицированному интернет-клиенту получить расширенный доступ.

Исследователь Али Мустафа, которому приписывают обнаружение уязвимости, сообщил, что образы Docker от Gitea содержали шаблон app.ini, в котором по умолчанию жестко задано значение REVERSE_PROXY_TRUSTED_PROXIES = *.

Файл app.ini является основным конфигурационным файлом для управления параметрами сервера, подключениями к базам данных, поведением в области безопасности и настройками приложения.

При включенном обратном прокси-сервере этот подстановочный знак доверяет каждому IP источника, поэтому любой, кто может получить доступ к порту, может отправить заголовок X-WEBAUTH-USER и пройти аутентификацию как любой пользователь, без пароля и токена.

Стоит отметить, что документированное безопасное значение для внутренней переменной REVERSE_PROXY_TRUSTED_PROXIES - 127.0.0.0/8,::1/128, что означает, что в качестве доверенного прокси-сервера разрешен только localhost, то есть интерфейс обратной связи.

Однако в официальном образе Docker это значение по умолчанию не используется, вместо него жестко задан символ "*". Другими словами, проверка в списке разрешенных серверов фактически отсутствует.

Таким образом, если администратор устанавливает параметр ENABLE_REVERSE_PROXY_AUTHENTICATION = true, чтобы Gitea использовал аутентифицирующий обратный прокси-сервер, и оставляет параметр REVERSE_PROXY_TRUSTED_PROXIES в значении по умолчанию, это разрешает пользовательский HTTP-заголовок X-WEBAUTH-USER с любого исходного IP, который может достичь контейнера.

Любой процесс, который может напрямую получить доступ к HTTP-порту контейнера Gitea - не через предназначенный для аутентификации прокси-сервер - может выдать себя за любого пользователя, чье имя пользователя известно или может быть угадано.

Уязвимость затрагивает образы Docker Gitea версий до 1.26.2 включительно. Она была устранена в 1.26.3, выпущенной в конце прошлого месяца, где был удален символ подстановки "*", а аутентификация через обратный прокси-сервер стала необязательной.

Sysdig сообщила об обнаружении первой попытки эксплуатации уязвимости в реальных условиях спустя 13 дней после ее публичного раскрытия. Речь идет примерно о 6200 доступных из интернета экземплярах Gitea.

Несмотря на первые действия с IP-адреса сервиса ProtonVPN, 159.26.98[.]241, до сих пор активность не привела к эксплуатации уязвимости или атаке. Как считают исследователи, это связано с тем, что детектирование было реализовано на ранней стадии, до того, как атака успела развиться дальше начальной фазы.

Учитывая серьезность проблемы и начавшуюся эксплуатацию, пользователям крайне важно как можно скорее применить исправления для обеспечения оптимальной защиты.
CERT/CC предупреждает о наличии скрытого административного бэкдора в нескольких версиях прошивки, выпущенных китайским производителем сетевого оборудования Tenda.

недокументированный бэкдор аутентификации обеспечивает административный доступ к веб-интерфейсам управления устройствами.

Злоумышленник может использовать недокументированный бэкдор аутентификации (CVE-2026-11405) для обхода процесса проверки пароля и получения полного административного контроля без действительных учетных данных.

Уязвимость затрагивает несколько версий прошивки: US_FH1201V1.0BR_V1.2.0.14(408)_EN_TD; US_W15EV1.0br_V15.11.0.5(1068_1567_841)_EN_TDE; US_AC10V1.0re_V15.03.06.46_multi_TDE01; US_AC5V1.0RTL_V15.03.06.48_multi_TDE01 и US_AC6V2.0RTL_V15.03.06.51_multi_T.

Бэкдор присутствует в функции login() исполняемого файла веб-сервера /bin/httpd. Хотя изначально метод использует обычный путь аутентификации с проверкой пароля на основе MD5, в случае неудачной аутентификации активируется альтернативный путь выполнения кода.

В частности, это включает вызов функции GetValue (sys.rzadmin.password) для получения альтернативного значения пароля из конфигурации устройства и выполнение прямого сравнения предоставленного пользователем пароля с значением, хранящимся в конфигурации.

Если эти значения совпадают, приложение предоставляет доступ уровня администратора (роль=2) и создает действительную сессию с повышенными привилегиями.

Связанное имя пользователя [rzadmin] не проверяется, поэтому любое предоставленное имя пользователя будет успешно использовано в паре с паролем бэкдора. Этот механизм аутентификации через бэкдор не задокументирован и не виден ни в одном административном интерфейсе.

Успешная эксплуатация этой стандартной функции обхода проверки имени пользователя позволяет получить полный административный доступ к веб-интерфейсу устройства независимо от учетных данных администратора.

Это позволит злоумышленнику вносить несанкционированные удаленные изменения в настройки, отключать функции безопасности или перенастраивать устройство, что потенциально может привести к полному захвату устройства.

Уязвимость, о которой сообщил анонимный исследователь, на текущий момент до сих пор не устранена. Tenda также никак не комментирует.

Пользователям рекомендуется отключить удаленное управление на устройстве и изменить IP локальной сети по умолчанию, чтобы предотвратить доступ злоумышленников к нему и уменьшить вероятность обнаружения сканерами, нацеленными на известные диапазоны IP по умолчанию.
Forwarded from Russian OSINT
▫️ SkillSpector — открытый сканер безопасности 🖥NVIDIA для проверки подключаемых навыков (skills) ИИ-агентов перед установкой. Инструмент сочетает статический анализ и опциональную оценку с помощью ИИ-моделей, выявляя 68 шаблонов уязвимостей в 17 категориях, включая внедрение инструкций в промпт (prompt injection), эксфильтрацию данных, опасный код, повышение привилегий, отравление MCP-инструментов, совпадения с YARA-сигнатурами вредоносного ПО и риски цепочки поставок.

Зависимости проверяются через OSV[.]dev на известные уязвимости. SkillSpector сканирует Git-репозитории, URL, ZIP-архивы, локальные каталоги и отдельные файлы, рассчитывает риск по шкале от 0 до 100 и формирует отчёты в форматах терминального вывода, JSON, Markdown и SARIF. Инструмент можно использовать для ручного аудита, интеграции в CI/CD и оценки безопасности сторонних навыков ИИ-агентов.

🤖 AI agent skills: cогласно исследованиям, 26,1% подключаемых навыков ИИ-агентов содержат хотя бы одну уязвимость.


@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Ubiquiti выпустила обновления для устранения семи критических уязвимостей в UniFi OS, включая уязвимость максимальной серьезности, отслеживаемую как CVE-2026-50746, которая может быть использована в атаках с внедрением команд.

CVE-2026-50746 затрагивает приложение UniFi Connect (версии 3.4.16 и более ранние), пакет ПО для управления, который клиенты Ubiquiti могут использовать для автоматизации и управления эксплуатацией коммерческих зданий через единый интерфейс.

Злоумышленник, имеющий доступ к сети, может использовать уязвимость, связанную с некорректным контролем доступа (Improper Access Control), обнаруженную в приложении UniFi Connect, для выполнения внедрения команд на хост-устройстве.

Компания рекомендовала пользователям обновить затронутое приложение UniFi Connect до версии 3.4.20 или более поздней, чтобы защитить свои системы от потенциальных атак.

Ubiquiti также устранила еще шесть критических уязвимостей (CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115, CVE-2026-55116) в приложениях UniFi Talk, UniFi Access и UniFi Protect, UniFi OS Server, а также на широком спектре маршрутизаторов, шлюзов, NAS и систем видеонаблюдения Ubiquiti.

Ubiquiti пока не сообщила, были ли какие-либо из этих уязвимостей использованы злоумышленниками до их устранения, но заявила, что шесть из них могут быть использованы в атаках низкой сложности, не требующих взаимодействия с пользователем.

При этом Censys отслеживает более 100 000 экземпляров UniFi OS, находящихся в открытом доступе в сети, большинство из которых (почти 50 000 IP) расположены в США. Сколько из них уже защищены от этих уязвимостей или являются ловушками для злоумышленников не ясно.

Кроме того, данные Censys включают в себя результаты сканирования за прошлые периоды и могут неточно отражать количество систем, в настоящее время доступных через Интернет.

В последние годы поддерживаемые государством группы киберпреступников и хакерские группировки часто нацеливаются на продукцию Ubiquiti, взламывая её для создания ботнетов, предназначенных для сокрытия вредоносной деятельности.
Исследователи Лаборатории Касперского выкатили новый отчет с аналитикой по ландшафту угроз для систем промышленной автоматизации за первый квартал 2026 года.

Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, продолжила снижаться и в первом квартале 2026 года составила 19,6%. Это наименьший показатель за три года, и он в 1,4 раза меньше, чем во втором квартале 2023 года.

При этом показатели в регионах варьируются от 9,1% в Северной Европе до 27,4% в Африке. Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал увеличилась в пяти регионах, больше всего - в Южной Европе, Северной Европе и России.

В первом квартале Южная Европа заняла первое место по росту доли компьютеров АСУ, затронутых угрозами из интернета и почтовых клиентов.

Регион также находится на первом месте по росту показателей, связанных с атаками шпионских программ, а также вредоносных скриптов и фишинговых страниц.

В России доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, превысила показатели предыдущих двух кварталов. В регионе вырос показатель угроз из интернета и немного выросла доля устройств, затронутых угрозами из почтовых клиентов.

Среди категорий угроз больше всего выросла доля компьютеров АСУ, столкнувшихся с ресурсами в интернете из списка запрещенных, а также шпионскими ПО (в России распространяются через интернет и почтовые клиенты).

Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавляют биометрические системы с показателем 26,4%.

Для этих систем характерны доступность интернета, активное использование электронной почты для обмена данными и согласований (например, предоставления доступов) и зачастую минимальный контроль ИБ со стороны организации-потребителя.

Биометрические системы находятся на первом месте среди отраслей по показателям угроз из почты. При этом, в отличие от остальных отраслей, для биометрических систем показатель почтовых клиентов превышает показатель угроз из интернета.

Во всех исследуемых отраслях наблюдается тенденция к уменьшению среднемирового показателя. В первом квартале 2026 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась только в производственной отрасли — на 1 п.п.

Показатель отрасли увеличился в 10 регионах, больше всего - в Западной Европе, Северной Европе и России.

В первом квартале защитные решения ЛК в системах промышленной автоматизации заблокировали вредоносное ПО из 10 052 семейств, относящихся к различным категориям.

За квартал выросла доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных (предыдущие два квартала она снижалась), и немного вырос показатель вредоносных программ для AutoCAD.

В первом квартале 2026 года показатели всех источников угроз, кроме угроз из интернета, в среднем по миру уменьшились.

Подробная инфографика и статистика по индустриальным угрозам в первом квартале 2026 года - в полной версии отчета.
Исследователи Positive Technologies поведали про рынки монетизации уязвимостей.

Данные об уязвимостях в ПО или инфраструктуре - важнейшая информация, которая может быть использована как для усиления защиты систем, так и для проведения кибератак.

Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру) и становится объектом интереса по обе стороны, а ее ценность определяется потенциальными последствиями использования.

По данным Positive Technologies, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).

По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях - легальном и теневом.

Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них.

Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, но самым масштабным каналом является, кончено же, багбаунти.

Обычно речь идет о типовых недостатках (например, ошибках контроля доступа, конфигурации, XSS). Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.

Нелегальный же связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.

Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают.

Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки.

При этом если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day и готовых доступах к системам.

После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По данным PT, подобные предложения составляют бjльшую часть теневого рынка сервисов - на них приходится 61% сообщений.

Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. На ytv также наблюдается активный переход к сервисной модели.

Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в ПО. При этом в 40% объявлений фигурируют 0-day, что дополнительно подтверждает их популярность.

Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор - эксплуатационная ценность - остается неизменным.

Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day и 1-day соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.

Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с RCE и LPE, на них приходится 43% и 25% соответственно.

Более детальные данные доступны в полной версия исследования - здесь.
В киберподполье тем временем свои интересные кейсы. Среди наиболее громких следующие.

1. Хакеры выставили на продажу учетные данные Министерства иностранных дел Великобритании, добытые в результате атаки в начале этого года.

Учетные данные относятся к межсетевым экранам и VPN-серверам, установленным в ведомстве, британских посольствах и некоторых местных советах Великобритании.

Они были собраны в рамках кампании FortiBleed, когда были украдены учетные данные почти с 80 000 устройств Fortinet. Злоумышленник SantaAd взял на себя ответственность за кампанию. Учетные данные МИД Великобритании теперь продаются за 60 000 долл.

2. В прошлом году ведущее разведывательное агентство Канады провело ряд кибероперации в отношении RaaS-платформы. Неназванная группа, предположительно, участвовала более чем в 25 хакерских атаках по всей Канаде.

Управление безопасности связи (CSE) заявляет, что работало с партнерами по альянсу Five Eyes, выведя из строя инфраструктуру группы и удалив украденные данные после того, как они были выставлены на продажу.

Агентство также атаковало еще десять групп, занимавшихся распространением ransomware, вызвав «технические сбои». Другие кибер-операции CSE также были направлены против группы вербовщиков-экстремистов в Канаде и наркокартели, связанной с производством фентанила.

3. Японский телекоммуникационный гигант KDDI сообщил, что адреса электронной почты и пароли 14,22 миллионов пользователей были скомпрометированы в результате взлома почтовой платформы, используемой пятью интернет-провайдерами страны: STNet, JCOM, Chubu Telecommunications C, NIFTY Corporation и BIGLOBE.

4. Крупнейший IT-провайдер Accenture подтвердил, что подвергся утечке данных после того, как злоумышленник 888 заявил о краже 35 ГБ исходного кода и других данных у компании.

По словам злоумышленника, данные включают исходный код, ключи RSA, ключи SSH, персональные токены доступа Azure (PAT), ключи доступа к хранилищу Azure и файлы конфигурации.

5. Хакеры утверждают, что взломали внутренние системы Deutsche Bank, опубликовав якобы записи из базы данных сотрудников.

По имеющимся данным, утечка включает адреса электронной почты сотрудников, хэши паролей, физические адреса и записи из внутренней базы данных. Deutsche Bank при этом подтверждает утечку данных от третьей стороны.
Forwarded from Social Engineering
А вы знали, что 16 лет назад в России был журнал с Linux? Дело в том, что в 2009 году компания Americhip представила технологию под названием Video in Print, которая позволяла встроить в обычный бумажный журнал специальную страницу с полноценным видеороликом. Понятное дело, что основной ориентир был на рекламодателей, да и такая реклама была отнюдь не дешевой из-за необходимости ручной сборки страницы, но тем не менее технология получила право на жизнь.

В журнале Vogue от декабря 2010 года, компания Martini решила прорекламировать новый напиток созданный в кооперации с D&G. При открытии страницы включался плеер и воспроизводил заранее загруженный видеоролик.

Первые покупатели ринулись "разбирать" страницу и изучать что у неё находится внутри, а затем публиковать восхищенные посты на всех технических форумах. Уже через два дня в гиковском сообществе произошел такой фурор, что взрослые бородатые мужики стояли в очередях за заветным женским журналом. Дошло до того, что гики скупили весь тираж с экранами в МСК, а некоторые дельцы даже перепродавали их в страны СНГ...

И этому фурору была причина. Ведь дело не только в том, что видеоролик в памяти можно было изменить и получить интерактивную фоторамку за копейки, но и в том, что плеер в странице был построен на базе процессора от Ingenic. В Video in Print использовался самый младший чип - JZ4725B, который состоял из:

Кастомного MIPS-ядра с архитектурой XBurst, способного работать на частоте до 360МГц;
16КБ кэша инструкций и 16КБ кэша данных;
Контроллеров SDRAM памяти, DMA, системного таймера, а также периферии по типу MMC и дисплея;
Контроллеров внешних шин - I2C, UART, USB;
Встроенного аудиокодека с 24х-битным двухканальным ЦАП'ом, 24х-битным АЦП и встроенным усилителем для вывода звука на наушники.

В паре с ним была установлена микросхема NAND-памяти производства Samsung объёмом аж в 1ГБ (для одного видеоролика то!), а также чип SDRAM-памяти объёмом в 32 мегабайта. Кроме того, на плате были установлены DC-DC преобразователи, формирующие питание процессора, контроллер зарядки литиевых аккумуляторов и различная мелкая обвязка. И все это ради одной рекламы...

Также в журнале был установлен литиевый аккумулятор ёмкостью в 800мАч. А вот дисплей был настоящим подарком для гиков. 40 пиновая матрица с разрешением 480x232 использовалась везде: начиная от GPS-навигаторов и автомобильных ГУ, заканчивая другими китайскими игровыми консолями и плеерами. Так что если требовалось заменить дисплей в каком-нибудь устройстве, всегда можно было поискать журнал Vogue за копейки :)

Как вы уже поняли, гики сразу ринулись искать возможность запустить на журнале Vogue Linux! И у них удалось. В итоге получился миниатюрный Linux-компьютер с 300МГц процессором и 32МБ оперативной памяти всего за пару сотен рублей!

Источник (тут много крутых фоточек).

S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft устранила уязвимость повышения привилегий в Defender, известную как RoguePlanet, с помощью обновления Microsoft Malware Protection Engine примерно через месяц после того, как исследователь опубликовал 0-day эксплойт.

Уязвимость отслеживается как CVE-2026-50656 и реализует состояние гонки, позволяя злоумышленнику повысить свои привилегии до уровня System.

PoC-‘ксплойт для RoguePlanet был представлен 9 июня анонимным исследователем Nightmare Eclipse (Chaotic Eclipse), который за последние месяцы выпустил несколько эксплойтов для Windows после конфликта с Microsoft по поводу обработки компанией сообщений об уязвимостях. 

В то время исследователь отметил, что в ходе тестирования эксплойт не показал 100% успеха, но его можно было бы переработать для повышения стабильности.

Microsoft выдала уведомление об уязвимости 16 июня и обновила его 8 июля, информируя клиентов о доступности исправлений. Клиентам не нужно предпринимать никаких действий, поскольку исправление было предоставлено посредством обновления Microsoft Malware Protection Engine, развернутого автоматически. 

Кроме того, микромягкие заявляют, что обновление, исправляющее RoguePlanet, также включает в себя некоторые неуказанные «углубленные обновления защиты, призванные улучшить функции, связанные с безопасностью».

После выпуска компанией Microsoft патчей для RoguePlanet, Nightmare Eclipse повторно проанализировал Defender и обнаружил новые проблемы, связанные с утечками памяти и обработкой файлов, помещенных в карантин.

Так что теперь Nightmare Eclipse пытается определить, можно ли использовать эти уязвимости в своих целях.

На данный момент сообщений об эксплуатации RoguePlanet нет, но некоторые из уязвимостей, обнаруженные Nightmare Eclipse, все же использовались киберподпольем, включая RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) и BlueHammer (CVE-2026-33825).
Принадлежащая Google Wiz раскрыла подробности нового метода атаки на помощника по программированию с использованием ИИ, получившего название GhostApproval.

GhostApproval была успешно протестирована на платформах Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment и Windsurf. 

Атака использует отслеживание символических ссылок (symlink) - давно существующую особенность файловой системы, при которой программа разрешает и обрабатывает целевую ссылку, а не саму ссылку, что позволяет злоумышленнику обманом заставить привилегированные или изолированные процессы получить доступ к непреднамеренным файлам или изменить их с помощью обманных путей.

Уязвимость, связанная с символическими ссылками, известна ещё со времён ранних версий Unix, а исследователи Wiz продемонстрировали, что её можно использовать против программистов-ассистентов в области программирования с использованием ИИ.

При атаке GhostApproval хакеры внедряют символическую ссылку в, казалось бы, безобидный репозиторий, которая маскируется под обычный файл проекта, но на самом деле указывает на конфиденциальную информацию за пределами рабочей области.

Когда разработчик открывает репозиторий в ИИ-помощнике по программированию и дает ему указание внести изменения, агент переходит по символической ссылке и выполняет запись в целевой файл, указанный злоумышленником.

Некоторые инструменты для разработки программного обеспечения на основе ИИ не могут определить и отобразить канонический путь в запросах подтверждения, поэтому пользователи одобряют, казалось бы, безобидные локальные изменения, в то время как агент незаметно изменяет системные файлы.

Сама по себе примитивная символическая ссылка уже представляет серьёзную опасность, но то, что обнаружили в Wiz, гораздо глубже. Wiz предупредила, что GhostApproval позволяет злоумышленнику удаленно выполнить код на компьютере целевого разработчика.

При этом многие из этих инструментов имеют песочницы или диалоговые окна подтверждения, предназначенные для предотвращения именно такого рода атак.

Диалоговое окно перехватывает операцию записи и запрашивает у пользователя разрешение. В теории это своего рода система безопасности с участием человека. Проблема не только в том, что по символической ссылке переходят, а в том, что пользовательский интерфейс не раскрывает истинную цель.

Как отмечают в Wiz, модель безопасности с участием человека в процессе взаимодействия работает только в том случае, если этот процесс предоставляет точную информацию.

Когда агент показывает одно, а делает другое, подтверждение пользователя теряет смысл. Диалоговое окно подтверждения превращается из средства контроля безопасности в формальность. 

Исследователи уведомили о результатах каждого поставщика в первом квартале 2026 года. AWS, Google и Cursor подтвердили наличие уязвимости и выпустили исправления.

Anthropic же не рассматривает эти результаты как уязвимость, но заявила, что до сообщения Wiz она уже приняла меры по предотвращению подобных атак. Augment и Windsurf подтвердили получение сообщений об уязвимостях, но пока не выпустили исправления.
Исследователи из Лаборатории Касперского провели глубокий анализ проектов Kaspersky Compromise Assessment, представив ключевые выводы в части инцидентов, устойчивых угроз и проблем реагирования в 2025 году.

Kaspersky Compromise Assessment - это независимый экспертный сервис для выявления признаков компрометации в сетях организаций, в рамках которого анализируются данные об угрозах (включая даркнет), сканируются конечные устройства, осуществляется комплексный анализ логов событий безопасности и сетевого трафика, а при необходимости - проводится первичное реагирование и криминалистический анализ.

Отчет посвящен инцидентам, которые оставались незамеченными на протяжении нескольких недель, месяцев и даже лет. Исследование достойно объемное и содержательное, так что отметим ключевые тенденции, выявленные в проектах Kaspersky Compromise Assessment:

- Поиск следов компрометации (compromise assessment) позволяет снизить количество пропущенных инцидентов высокой критичности.

Наибольшая доля высококритичных инцидентов была выявлена в организациях, которые обратились к нам за поиском следов компрометации после локализации уже известного инцидента безопасности. Наименьшая доля инцидентов высокой критичности наблюдалась в организациях, регулярно проводивших аудиты безопасности.

Из всех исследованных инцидентов 20% были обнаружены вручную. Около 60% угроз не были замечены организациями из-за отсутствия надежных оповещений от существующих средств защиты.

- Почти треть зафиксированных инцидентов были выявлены более чем через три месяца после первичного проникновения. Чем дольше угроза сохраняла присутствие в целевой среде, тем выше была вероятность того, что инцидент имел высокий уровень критичности.

В 30,8% случаев были найдены следы активности злоумышленников, продолжавшейся более трех месяцев, при этом среди заражений высокой критичности таких случаев было 52%. Самый давний инцидент, выявленный нами в 2025 году, оставался незамеченным на протяжении четырех лет.

- Нередко вредоносные файлы сохраняются в резервных копиях и восстанавливаются после принятия мер реагирования на инцидент.

Так, 40% обнаруженных веб-шеллов находились в резервных копиях и оставались незамеченными до проведения полноценного поиска следов компрометации.

- Злоумышленники предпочитают инструменты удаленного управления, а также уже установленные легитимные программы (так называемые LOLBins). Подобные инструменты использовались во всех инцидентах, обнаруженных по итогам поиска следов компрометации.

- Наличие средств мониторинга и защиты само по себе недостаточно - решающую роль играет зрелость операционных процессов.

Решения для мониторинга необходимо корректно настраивать и адаптировать с учетом постоянно меняющегося ландшафта угроз. При этом оповещения с низким уровнем достоверности должны рассматривать аналитики.

Отсутствие непрерывного мониторинга и активного поиска угроз повышало вероятность инцидентов средней и высокой критичности до 84–86%. В то же время инциденты высокого уровня критичности реже встречались в организациях, команды которых обладали навыками реверс-инжиниринга вредоносного ПО.

- Пробелы в коммуникациях приводят к пропуску инцидентов. Почти треть проведенных оценок компрометации выявили коммуникационные пробелы, повлиявшие на эффективность мероприятий по реагированию на инциденты.

- Сценарии реагирования на инциденты должны быть гибкими.

Чтобы реагирование было эффективным, сценарии необходимо регулярно пересматривать с учетом появления новых артефактов. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.

Все подробности, инфографика, подробная статистика и практические рекомендации - в отчете.
Исследователи F6 изучили ситуацию с утечками баз данных российских компаний, впервые размещённых киберпреступниками в открытом доступе в первом полугодии 2026 года.

Аналитики обнаружили в январе-июне 2026 года 88 новых случаев публикации утечек баз данных российских компаний и организаций. По сравнению с первым полугодием 2025 года (162 публикации) количество впервые опубликованных баз данных уменьшилось на 46%.

В публичном доступе за первое полугодие 2026 года оказались в основном такие данные пользователей, как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, номера мобильных телефонов и адреса электронной почты.

При этом общий объём новых публикаций баз данных – 114 млн. строк, что на 43% меньше, чем за аналогичный период прошлого года (200 млн строк).

Количество новых публикаций утечек баз данных уменьшается на протяжении двух кварталов подряд, отмечают аналитики F6.

Среди основных причин снижения – продолжающаяся пауза в активности андеграундных Telegram-каналов, специализировавшихся на распространении баз данных, которая возникла в начале 2026 года в связи с волной блокировок такихканалов.

Кроме того, публикации утечек баз данных всё реже появлялись на андеграундных форумах, что связано с закрытием некоторых таких площадок и нестабильной работой других ресурсов, популярных у злоумышленников, а также введением на некоторых ресурсах новых запретов на публикацию данных, связанных с организациями из РФ и странам СНГ.

На этом фоне количество впервые опубликованных баз данных во втором квартале 2026 года по сравнению с первым кварталом этого года уменьшилось на 70%, а количество строк – на на 97%.

Основная доля публичных утечек данных в 2026 году приходится на такие сферы, как ретейл и интернет-магазины, образовательные платформы и организации, здравоохранение, а также госсектор.

По сравнению с топ-5 индустрий по итогам прошлого года из списка лидеров по утечкам выбыли отрасли профессиональных услуг и IT, а сфера образования, напротив, дополнила этот список.

Тем не менее, ритейл и электронная коммерция наряду с госсектором на протяжении последних полутора лет остаются на первых местах среди отраслей, базы данных которых чаще всего размещаются злоумышленниками в публичном доступе. Интерес киберпреступников к атакам на компании и организации из этих сфер сохраняется на высоком уровне.
Подкатила новая утечка с разоблачениями еще одного потенциального киберподрядчика, причастного к наступательным кибероперациям Китая.

На этот раз взлому подверглась Zhirong, которая специализируется на услугах по тестированию на проникновение. Документы, украденные из внутренней сети Zhengzhou Zhirong Network Technology, раскрывают арсенал инструментов для взлома и анализа данных.

К ним относятся инструменты для внедрения вредоносного ПО во все основные операционные системы, создания оружия на USB-накопителях, утечки данных и кражи электронных писем из почтовых ящиков.

Аналитик NetAskari отмечает, что, хотя многие инструменты являются стандартными для компаний, занимающихся пентестом, наличие передовых бэкэнд-систем для анализа всех украденных данных предполагает, что услуги Zhirong предназначены для APT-операций.

Как отмечается, уже даже по примерам, которые в Zhirong использовали для демонстрации возможностей своего ПО, становится ясно, что целевая аудитория таких инструментов - это не обычные специалисты по тестированию на проникновение или корпоративные клиенты.

Они явно ориентированы на пользователей из госструктур, которые могут иметь доступ к электронной почте иностранных организаций, не являющихся дипломатами.

Так что теперь следует ожидать еще пару тройку отчетов с конкретной атрибуцией конкретных атак и кампаний. Будем следить.
Атака на цепочку поставок затронула проект Injective Labs SDK: хакеры взломали репозиторий GitHub и использовали его для публикации вредоносного пакета в Node Package Manager (npm), который похищал закрытые ключи криптовалютных кошельков и мнемонические сид-фразы.

Injective SDK - это комплект разработки ПО на TypeScript/JavaScript для создания приложений на блокчейне Injective, блокчейне первого уровня, ориентированном на децентрализованные финансы (DeFi), токенизированные активы и децентрализованные биржи.

Пакет еженедельно скачивается 50 000 раз на npm и используется разработчиками, создающими криптовалютные кошельки, торговых ботов, децентрализованные биржи, DeFi-приложения и платежные инструменты. SDK является зависимостью для всех пакетов проекта, поэтому он загружается везде, где используется библиотека Injection.

Исследователи Socket Security, DataDog, Ox Security и Step Security обнаружили атаку через версию 1.20.21 npm-пакета injectivelabs/sdk-ts.

По данным исследователей, злоумышленник взломал учетную запись GitHub, принадлежащую законному участнику проекта, и 8 июня сделал первые подозрительные коммиты, после чего вскоре опубликовал вредоносную версию пакета.

Злоумышленник также опубликовал версию 1.20.21 для еще 17 пакетов, связанных с проектом, привязав все их к скомпрометированной версии SDK.

Владелец легитимного аккаунта обнаружил взлом в течение нескольких минут, отменил изменения и выпустил чистую версию 1.20.23.

Однако системы разработчиков, загружавшие вредоносные пакеты через обновление или использовавшие их, скорее всего, были скомпрометированы.

По данным Socket, вредоносная версия пакета была загружена 310 раз, прежде чем её устарели, а не удалили, и вредоносные репозитории релизов на GitHub всё ещё доступны.

Исследователи также отмечают, что пакет имеет 87 прямых зависимостей от npm и, весьма вероятно, множество дополнительных транзитивных зависимостей.

В отчете Ox Security содержится предупреждение о том, что 87 зависимых пакетов в общей сложности были загружены чуть более 112 000 раз.

Вредоносная ПО активируется, когда разработчики используют функции SDK, которые генерируют или импортируют ключи кошелька, а не при установке.

После вызова этих функций вредоносная ПО перехватывает полную мнемоническую фразу и закрытый ключ и кодирует данные в формате Base64.

Вся информация передается через HTTP POST-запрос на общедоступную конечную точку инфраструктуры Injective Labs, чтобы трафик выглядел легитимным.

StepSecurity сообщает, что вредоносная ПО не передавала украденные секреты немедленно, а вместо этого в течение двух секунд ставила в очередь несколько ключей и мнемоник, объединяла их в заголовке HTTP-запроса и отправляла.

Затем злоумышленники могут использовать мнемонический или закрытый ключ для переноса кошельков жертвы на свои собственные устройства и получения доступа, использования или передачи их цифровых активов.

Разработчикам, подозревающим взлом, следует перевести свою криптовалюту в новые кошельки и обновить все секреты в своей среде.
Zimbra настоятельно призывает клиентов устранить критическую уязвимость, затрагивающую классический веб-клиент, используемый для доступа к пакету инструментов Zimbra Collaboration.

Zimbra - это мега популярный пакет ПО для электронной почты и совместной работы, используемый сотнями миллионов пользователей, включая тысячи компаний и сотни госучреждений по всему миру.

Этот веб-интерфейс электронной почты, также известный как Classic UI, основан на технологии Ajax и работает быстрее, чем современный веб-клиент Zimbra, который требует больше ресурсов при загрузке больших папок с письмами.

Компания выпустила во вторник Zimbra 10.1.19 для устранения уязвимости, связанной с XSS, которая пока не получила идентификатор CVE для отслеживания.

Злоумышленники могут использовать эту уязвимость классического веб-клиента с помощью специально созданных электронных писем, которые выполняют вредоносный код при открытии письма.

Успешная эксплуатация уязвимости может помочь злоумышленникам украсть данные сеансов, настройки учетных записей или информацию о почтовых ящиках.

Zimbra пока не отметила эту уязвимость как эксплуатируемую в реальных условиях, о ней сообщила Google TAG, которая часто выявляет 0-day, используемые APT-группами в кибератаках, направленных против лиц из категории с высоким риском.
SentinelOne расследовали необычный инцидент, в котором связанные с Китаем и Индией хакеры проникли и окучивали на протяжении как минимум двух лет одну и ту же структуру полиции Белуджистана в Пакистане.

Согласно данным SentinelLabs, вторжения происходили с февраля 2024 года по апрель 2026 года и были направлены на несколько пакистанских полицейских организаций, при этом основная часть атак была сфокусирована на полицию Белуджистана.

Злоумышленники проникли на серверы, связанные с биометрическими базами данных, материалами уголовных дел, личными делами сотрудников и системами, ориентированными на граждан.

Исследователи сгруппировали вторжения в четыре кластера на основе используемого вредоносного ПО и инфраструктуры: PlugX, ShadowPad, Cobalt Strike и Remcos.

Они предупредили, что кластеры, построенные на основе общего или стандартного вредоносного ПО - в отличие от активности Remcos, связанной с одним отслеживаемым злоумышленником - могут включать в себя более одного оператора.

Примечательно, наличие кибершпионов, связанных с Китаем, в рядах полиции, принадлежащей одному из ближайших региональных партнеров Пекина. SentinelLabs считает вероятным мотивом - корыстные интересы.

В частности, граждане Китая, работающие над проектами инициативы «Один пояс, один путь» в Пакистане, неоднократно становились жертвами нападений, связанных с белуджскими сепаратистскими боевиками, а китайские чиновники открыто критиковали способность Исламабада обеспечить им защиту.

Получение прямого доступа к данным пакистанской полиции позволило бы Пекину самостоятельно анализировать и контролировать угрозу.

С другой стороны, деятельность, связанная с Индией, совпадает с давним спором между Исламабадом и Нью-Дели.

Пакистан давно обвиняет Индию в поддержке боевиков из Белуджистана, что Индия, в свою очередь, отрицает. Так что Нью-Дели также заинтересован в мониторинге сети полиции Белуджистана на предмет понимания действий Исламабада в отношении повстанческого движения.

Исследователи также обнаружили вредоносные файлы, замаскированные под обновления ПО, которые были внедрены непосредственно в общедоступную систему управления жалобами полиции Белуджистана - портал, используемый жителями для подачи и отслеживания заявительских материалов.

Фейковое уведомление об обновлении могло бы заразить любого пользователя сайта, включая как сотрудников полиции, так и обычных граждан.

SentinelLabs полагает в общем, что китайская APT собирала данные о возможных угрозах гражданам Китая в регионе, в то время как индийская APT интересовалась общей реакцией правительства на кризис.