Ubiquiti выпустила обновления для устранения семи критических уязвимостей в UniFi OS, включая уязвимость максимальной серьезности, отслеживаемую как CVE-2026-50746, которая может быть использована в атаках с внедрением команд.
CVE-2026-50746 затрагивает приложение UniFi Connect (версии 3.4.16 и более ранние), пакет ПО для управления, который клиенты Ubiquiti могут использовать для автоматизации и управления эксплуатацией коммерческих зданий через единый интерфейс.
Злоумышленник, имеющий доступ к сети, может использовать уязвимость, связанную с некорректным контролем доступа (Improper Access Control), обнаруженную в приложении UniFi Connect, для выполнения внедрения команд на хост-устройстве.
Компания рекомендовала пользователям обновить затронутое приложение UniFi Connect до версии 3.4.20 или более поздней, чтобы защитить свои системы от потенциальных атак.
Ubiquiti также устранила еще шесть критических уязвимостей (CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115, CVE-2026-55116) в приложениях UniFi Talk, UniFi Access и UniFi Protect, UniFi OS Server, а также на широком спектре маршрутизаторов, шлюзов, NAS и систем видеонаблюдения Ubiquiti.
Ubiquiti пока не сообщила, были ли какие-либо из этих уязвимостей использованы злоумышленниками до их устранения, но заявила, что шесть из них могут быть использованы в атаках низкой сложности, не требующих взаимодействия с пользователем.
При этом Censys отслеживает более 100 000 экземпляров UniFi OS, находящихся в открытом доступе в сети, большинство из которых (почти 50 000 IP) расположены в США. Сколько из них уже защищены от этих уязвимостей или являются ловушками для злоумышленников не ясно.
Кроме того, данные Censys включают в себя результаты сканирования за прошлые периоды и могут неточно отражать количество систем, в настоящее время доступных через Интернет.
В последние годы поддерживаемые государством группы киберпреступников и хакерские группировки часто нацеливаются на продукцию Ubiquiti, взламывая её для создания ботнетов, предназначенных для сокрытия вредоносной деятельности.
CVE-2026-50746 затрагивает приложение UniFi Connect (версии 3.4.16 и более ранние), пакет ПО для управления, который клиенты Ubiquiti могут использовать для автоматизации и управления эксплуатацией коммерческих зданий через единый интерфейс.
Злоумышленник, имеющий доступ к сети, может использовать уязвимость, связанную с некорректным контролем доступа (Improper Access Control), обнаруженную в приложении UniFi Connect, для выполнения внедрения команд на хост-устройстве.
Компания рекомендовала пользователям обновить затронутое приложение UniFi Connect до версии 3.4.20 или более поздней, чтобы защитить свои системы от потенциальных атак.
Ubiquiti также устранила еще шесть критических уязвимостей (CVE-2026-50747, CVE-2026-50748, CVE-2026-54400, CVE-2026-54402, CVE-2026-55115, CVE-2026-55116) в приложениях UniFi Talk, UniFi Access и UniFi Protect, UniFi OS Server, а также на широком спектре маршрутизаторов, шлюзов, NAS и систем видеонаблюдения Ubiquiti.
Ubiquiti пока не сообщила, были ли какие-либо из этих уязвимостей использованы злоумышленниками до их устранения, но заявила, что шесть из них могут быть использованы в атаках низкой сложности, не требующих взаимодействия с пользователем.
При этом Censys отслеживает более 100 000 экземпляров UniFi OS, находящихся в открытом доступе в сети, большинство из которых (почти 50 000 IP) расположены в США. Сколько из них уже защищены от этих уязвимостей или являются ловушками для злоумышленников не ясно.
Кроме того, данные Censys включают в себя результаты сканирования за прошлые периоды и могут неточно отражать количество систем, в настоящее время доступных через Интернет.
В последние годы поддерживаемые государством группы киберпреступников и хакерские группировки часто нацеливаются на продукцию Ubiquiti, взламывая её для создания ботнетов, предназначенных для сокрытия вредоносной деятельности.
Исследователи Лаборатории Касперского выкатили новый отчет с аналитикой по ландшафту угроз для систем промышленной автоматизации за первый квартал 2026 года.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, продолжила снижаться и в первом квартале 2026 года составила 19,6%. Это наименьший показатель за три года, и он в 1,4 раза меньше, чем во втором квартале 2023 года.
При этом показатели в регионах варьируются от 9,1% в Северной Европе до 27,4% в Африке. Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал увеличилась в пяти регионах, больше всего - в Южной Европе, Северной Европе и России.
В первом квартале Южная Европа заняла первое место по росту доли компьютеров АСУ, затронутых угрозами из интернета и почтовых клиентов.
Регион также находится на первом месте по росту показателей, связанных с атаками шпионских программ, а также вредоносных скриптов и фишинговых страниц.
В России доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, превысила показатели предыдущих двух кварталов. В регионе вырос показатель угроз из интернета и немного выросла доля устройств, затронутых угрозами из почтовых клиентов.
Среди категорий угроз больше всего выросла доля компьютеров АСУ, столкнувшихся с ресурсами в интернете из списка запрещенных, а также шпионскими ПО (в России распространяются через интернет и почтовые клиенты).
Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавляют биометрические системы с показателем 26,4%.
Для этих систем характерны доступность интернета, активное использование электронной почты для обмена данными и согласований (например, предоставления доступов) и зачастую минимальный контроль ИБ со стороны организации-потребителя.
Биометрические системы находятся на первом месте среди отраслей по показателям угроз из почты. При этом, в отличие от остальных отраслей, для биометрических систем показатель почтовых клиентов превышает показатель угроз из интернета.
Во всех исследуемых отраслях наблюдается тенденция к уменьшению среднемирового показателя. В первом квартале 2026 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась только в производственной отрасли — на 1 п.п.
Показатель отрасли увеличился в 10 регионах, больше всего - в Западной Европе, Северной Европе и России.
В первом квартале защитные решения ЛК в системах промышленной автоматизации заблокировали вредоносное ПО из 10 052 семейств, относящихся к различным категориям.
За квартал выросла доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных (предыдущие два квартала она снижалась), и немного вырос показатель вредоносных программ для AutoCAD.
В первом квартале 2026 года показатели всех источников угроз, кроме угроз из интернета, в среднем по миру уменьшились.
Подробная инфографика и статистика по индустриальным угрозам в первом квартале 2026 года - в полной версии отчета.
Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, продолжила снижаться и в первом квартале 2026 года составила 19,6%. Это наименьший показатель за три года, и он в 1,4 раза меньше, чем во втором квартале 2023 года.
При этом показатели в регионах варьируются от 9,1% в Северной Европе до 27,4% в Африке. Доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, за квартал увеличилась в пяти регионах, больше всего - в Южной Европе, Северной Европе и России.
В первом квартале Южная Европа заняла первое место по росту доли компьютеров АСУ, затронутых угрозами из интернета и почтовых клиентов.
Регион также находится на первом месте по росту показателей, связанных с атаками шпионских программ, а также вредоносных скриптов и фишинговых страниц.
В России доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, превысила показатели предыдущих двух кварталов. В регионе вырос показатель угроз из интернета и немного выросла доля устройств, затронутых угрозами из почтовых клиентов.
Среди категорий угроз больше всего выросла доля компьютеров АСУ, столкнувшихся с ресурсами в интернете из списка запрещенных, а также шпионскими ПО (в России распространяются через интернет и почтовые клиенты).
Рейтинг исследуемых отраслей и типов ОT-инфраструктур по доле компьютеров АСУ, на которых были заблокированы вредоносные объекты, традиционно возглавляют биометрические системы с показателем 26,4%.
Для этих систем характерны доступность интернета, активное использование электронной почты для обмена данными и согласований (например, предоставления доступов) и зачастую минимальный контроль ИБ со стороны организации-потребителя.
Биометрические системы находятся на первом месте среди отраслей по показателям угроз из почты. При этом, в отличие от остальных отраслей, для биометрических систем показатель почтовых клиентов превышает показатель угроз из интернета.
Во всех исследуемых отраслях наблюдается тенденция к уменьшению среднемирового показателя. В первом квартале 2026 года доля компьютеров АСУ, на которых были заблокированы вредоносные объекты, увеличилась только в производственной отрасли — на 1 п.п.
Показатель отрасли увеличился в 10 регионах, больше всего - в Западной Европе, Северной Европе и России.
В первом квартале защитные решения ЛК в системах промышленной автоматизации заблокировали вредоносное ПО из 10 052 семейств, относящихся к различным категориям.
За квартал выросла доля компьютеров АСУ, на которых были заблокированы ресурсы в интернете из списка запрещенных (предыдущие два квартала она снижалась), и немного вырос показатель вредоносных программ для AutoCAD.
В первом квартале 2026 года показатели всех источников угроз, кроме угроз из интернета, в среднем по миру уменьшились.
Подробная инфографика и статистика по индустриальным угрозам в первом квартале 2026 года - в полной версии отчета.
Исследователи Positive Technologies поведали про рынки монетизации уязвимостей.
Данные об уязвимостях в ПО или инфраструктуре - важнейшая информация, которая может быть использована как для усиления защиты систем, так и для проведения кибератак.
Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру) и становится объектом интереса по обе стороны, а ее ценность определяется потенциальными последствиями использования.
По данным Positive Technologies, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).
По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях - легальном и теневом.
Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них.
Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, но самым масштабным каналом является, кончено же, багбаунти.
Обычно речь идет о типовых недостатках (например, ошибках контроля доступа, конфигурации, XSS). Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.
Нелегальный же связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.
Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают.
Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки.
При этом если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day и готовых доступах к системам.
После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По данным PT, подобные предложения составляют бjльшую часть теневого рынка сервисов - на них приходится 61% сообщений.
Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. На ytv также наблюдается активный переход к сервисной модели.
Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в ПО. При этом в 40% объявлений фигурируют 0-day, что дополнительно подтверждает их популярность.
Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор - эксплуатационная ценность - остается неизменным.
Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day и 1-day соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.
Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с RCE и LPE, на них приходится 43% и 25% соответственно.
Более детальные данные доступны в полной версия исследования - здесь.
Данные об уязвимостях в ПО или инфраструктуре - важнейшая информация, которая может быть использована как для усиления защиты систем, так и для проведения кибератак.
Уязвимости остаются одной из распространенных киберугроз (35% от доли успешных атак за 2025 год на организации по всему миру) и становится объектом интереса по обе стороны, а ее ценность определяется потенциальными последствиями использования.
По данным Positive Technologies, основными последствиями являются нарушения конфиденциальности (28%) и основной деятельности компаний (13%), а также использование их ресурсов для реализации последующих атак через цепочку поставок (12%).
По мере усложнения ИТ-систем растет и количество слабых мест в них, что приводит к формированию целого рынка уязвимостей, который развивается в двух параллельных направлениях - легальном и теневом.
Легальный основан на поиске недостатков безопасности с их последующей передачей на багбаунти-площадки либо с ответственным раскрытием информации о них.
Существует несколько полностью легальных каналов продажи данных об обнаруживаемых уязвимостях. Например, функционирующий уже более 20 лет проект Zero Day Initiative от Trend Micro, но самым масштабным каналом является, кончено же, багбаунти.
Обычно речь идет о типовых недостатках (например, ошибках контроля доступа, конфигурации, XSS). Тенденция подтверждается статистикой одной из популярных багбаунти-площадок: в 2025 году первое место в топе обнаруженных уязвимостей заняла XSS.
Нелегальный же связан с продажей данных об уязвимостях на теневых площадках. Оба рынка строятся вокруг спроса на эксклюзивную техническую информацию, но различаются правилами, мотивацией участников и последствиями использования найденных слабостей систем.
Продажа информации об уязвимостях третьим сторонам формирует сегмент рынка, находящийся между багбаунти и теневыми площадками. В такой модели исследователь передает сведения о найденной уязвимости не разработчику для исправления, а посреднику, брокеру или специализированной компании, которые затем используют их в собственных целях или перепродают.
Большая часть активности по теневому обращению информации об уязвимостях и последствиях их эксплуатации размещается на дарквеб-форумах и в группах, где участники обсуждают детали и совершают сделки.
При этом если в багбаунти основное внимание часто уделяется широкому спектру уязвимостей, включая их менее критичные вариации, то на теневых рынках интерес сосредоточен преимущественно на 0-day и готовых доступах к системам.
После компрометации такой доступ превращается в отдельный товар, который может перепродаваться другим злоумышленникам для дальнейших атак. По данным PT, подобные предложения составляют бjльшую часть теневого рынка сервисов - на них приходится 61% сообщений.
Уникальные уязвимости и новые подходы к их эксплуатации формируют отдельный рынок. На ytv также наблюдается активный переход к сервисной модели.
Уже сейчас примерно 7% объявлений, продвигающих сервисные услуги, связаны с покупкой или продажей услуг по эксплуатации уязвимостей в ПО. При этом в 40% объявлений фигурируют 0-day, что дополнительно подтверждает их популярность.
Сстоимость каждой отдельной уязвимости не является строго регламентированной, а в половине случаев (47%) даже не указывается в сообщении, однако основной ценообразующий фактор - эксплуатационная ценность - остается неизменным.
Именно поэтому 49% и 11% от всех объявлений нацелены на 0-day и 1-day соответственно. При этом в 38% сообщений пишется не о продаже, а о покупке данных о конкретной уязвимости.
Большая часть объявлений о продаже сведений об уязвимостях касается тех, которые связаны с RCE и LPE, на них приходится 43% и 25% соответственно.
Более детальные данные доступны в полной версия исследования - здесь.
Хабр
Рынки монетизации уязвимостей
Оглавление Легальные каналы монетизации уязвимостей Багбаунти Ценообразование Серый рынок монетизации уязвимостей Нелегальный рынок монетизации уязвимостей Теневые форумы Ценообразование Итоги...
В киберподполье тем временем свои интересные кейсы. Среди наиболее громких следующие.
1. Хакеры выставили на продажу учетные данные Министерства иностранных дел Великобритании, добытые в результате атаки в начале этого года.
Учетные данные относятся к межсетевым экранам и VPN-серверам, установленным в ведомстве, британских посольствах и некоторых местных советах Великобритании.
Они были собраны в рамках кампании FortiBleed, когда были украдены учетные данные почти с 80 000 устройств Fortinet. Злоумышленник SantaAd взял на себя ответственность за кампанию. Учетные данные МИД Великобритании теперь продаются за 60 000 долл.
2. В прошлом году ведущее разведывательное агентство Канады провело ряд кибероперации в отношении RaaS-платформы. Неназванная группа, предположительно, участвовала более чем в 25 хакерских атаках по всей Канаде.
Управление безопасности связи (CSE) заявляет, что работало с партнерами по альянсу Five Eyes, выведя из строя инфраструктуру группы и удалив украденные данные после того, как они были выставлены на продажу.
Агентство также атаковало еще десять групп, занимавшихся распространением ransomware, вызвав «технические сбои». Другие кибер-операции CSE также были направлены против группы вербовщиков-экстремистов в Канаде и наркокартели, связанной с производством фентанила.
3. Японский телекоммуникационный гигант KDDI сообщил, что адреса электронной почты и пароли 14,22 миллионов пользователей были скомпрометированы в результате взлома почтовой платформы, используемой пятью интернет-провайдерами страны: STNet, JCOM, Chubu Telecommunications C, NIFTY Corporation и BIGLOBE.
4. Крупнейший IT-провайдер Accenture подтвердил, что подвергся утечке данных после того, как злоумышленник 888 заявил о краже 35 ГБ исходного кода и других данных у компании.
По словам злоумышленника, данные включают исходный код, ключи RSA, ключи SSH, персональные токены доступа Azure (PAT), ключи доступа к хранилищу Azure и файлы конфигурации.
5. Хакеры утверждают, что взломали внутренние системы Deutsche Bank, опубликовав якобы записи из базы данных сотрудников.
По имеющимся данным, утечка включает адреса электронной почты сотрудников, хэши паролей, физические адреса и записи из внутренней базы данных. Deutsche Bank при этом подтверждает утечку данных от третьей стороны.
1. Хакеры выставили на продажу учетные данные Министерства иностранных дел Великобритании, добытые в результате атаки в начале этого года.
Учетные данные относятся к межсетевым экранам и VPN-серверам, установленным в ведомстве, британских посольствах и некоторых местных советах Великобритании.
Они были собраны в рамках кампании FortiBleed, когда были украдены учетные данные почти с 80 000 устройств Fortinet. Злоумышленник SantaAd взял на себя ответственность за кампанию. Учетные данные МИД Великобритании теперь продаются за 60 000 долл.
2. В прошлом году ведущее разведывательное агентство Канады провело ряд кибероперации в отношении RaaS-платформы. Неназванная группа, предположительно, участвовала более чем в 25 хакерских атаках по всей Канаде.
Управление безопасности связи (CSE) заявляет, что работало с партнерами по альянсу Five Eyes, выведя из строя инфраструктуру группы и удалив украденные данные после того, как они были выставлены на продажу.
Агентство также атаковало еще десять групп, занимавшихся распространением ransomware, вызвав «технические сбои». Другие кибер-операции CSE также были направлены против группы вербовщиков-экстремистов в Канаде и наркокартели, связанной с производством фентанила.
3. Японский телекоммуникационный гигант KDDI сообщил, что адреса электронной почты и пароли 14,22 миллионов пользователей были скомпрометированы в результате взлома почтовой платформы, используемой пятью интернет-провайдерами страны: STNet, JCOM, Chubu Telecommunications C, NIFTY Corporation и BIGLOBE.
4. Крупнейший IT-провайдер Accenture подтвердил, что подвергся утечке данных после того, как злоумышленник 888 заявил о краже 35 ГБ исходного кода и других данных у компании.
По словам злоумышленника, данные включают исходный код, ключи RSA, ключи SSH, персональные токены доступа Azure (PAT), ключи доступа к хранилищу Azure и файлы конфигурации.
5. Хакеры утверждают, что взломали внутренние системы Deutsche Bank, опубликовав якобы записи из базы данных сотрудников.
По имеющимся данным, утечка включает адреса электронной почты сотрудников, хэши паролей, физические адреса и записи из внутренней базы данных. Deutsche Bank при этом подтверждает утечку данных от третьей стороны.
The Telegraph
Russian hackers steal government logins
Credentials for Foreign Office and council staff being offered on dark web for more than £40,000
Forwarded from Social Engineering
• А вы знали, что 16 лет назад в России был журнал с Linux? Дело в том, что в 2009 году компания Americhip представила технологию под названием Video in Print, которая позволяла встроить в обычный бумажный журнал специальную страницу с полноценным видеороликом. Понятное дело, что основной ориентир был на рекламодателей, да и такая реклама была отнюдь не дешевой из-за необходимости ручной сборки страницы, но тем не менее технология получила право на жизнь.
• В журнале Vogue от декабря 2010 года, компания Martini решила прорекламировать новый напиток созданный в кооперации с D&G. При открытии страницы включался плеер и воспроизводил заранее загруженный видеоролик.
• Первые покупатели ринулись "разбирать" страницу и изучать что у неё находится внутри, а затем публиковать восхищенные посты на всех технических форумах. Уже через два дня в гиковском сообществе произошел такой фурор, что взрослые бородатые мужики стояли в очередях за заветным женским журналом. Дошло до того, что гики скупили весь тираж с экранами в МСК, а некоторые дельцы даже перепродавали их в страны СНГ...
• И этому фурору была причина. Ведь дело не только в том, что видеоролик в памяти можно было изменить и получить интерактивную фоторамку за копейки, но и в том, что плеер в странице был построен на базе процессора от Ingenic. В Video in Print использовался самый младший чип - JZ4725B, который состоял из:
➡ Кастомного MIPS-ядра с архитектурой XBurst, способного работать на частоте до 360МГц;
➡ 16КБ кэша инструкций и 16КБ кэша данных;
➡ Контроллеров SDRAM памяти, DMA, системного таймера, а также периферии по типу MMC и дисплея;
➡ Контроллеров внешних шин - I2C, UART, USB;
➡ Встроенного аудиокодека с 24х-битным двухканальным ЦАП'ом, 24х-битным АЦП и встроенным усилителем для вывода звука на наушники.
• В паре с ним была установлена микросхема NAND-памяти производства Samsung объёмом аж в 1ГБ (для одного видеоролика то!), а также чип SDRAM-памяти объёмом в 32 мегабайта. Кроме того, на плате были установлены DC-DC преобразователи, формирующие питание процессора, контроллер зарядки литиевых аккумуляторов и различная мелкая обвязка. И все это ради одной рекламы...
• Также в журнале был установлен литиевый аккумулятор ёмкостью в 800мАч. А вот дисплей был настоящим подарком для гиков. 40 пиновая матрица с разрешением 480x232 использовалась везде: начиная от GPS-навигаторов и автомобильных ГУ, заканчивая другими китайскими игровыми консолями и плеерами. Так что если требовалось заменить дисплей в каком-нибудь устройстве, всегда можно было поискать журнал Vogue за копейки :)
• Как вы уже поняли, гики сразу ринулись искать возможность запустить на журнале Vogue Linux! И у них удалось. В итоге получился миниатюрный Linux-компьютер с 300МГц процессором и 32МБ оперативной памяти всего за пару сотен рублей!
➡ Источник (тут много крутых фоточек).
S.E. ▪️ infosec.work ▪️ VT
• В журнале Vogue от декабря 2010 года, компания Martini решила прорекламировать новый напиток созданный в кооперации с D&G. При открытии страницы включался плеер и воспроизводил заранее загруженный видеоролик.
• Первые покупатели ринулись "разбирать" страницу и изучать что у неё находится внутри, а затем публиковать восхищенные посты на всех технических форумах. Уже через два дня в гиковском сообществе произошел такой фурор, что взрослые бородатые мужики стояли в очередях за заветным женским журналом. Дошло до того, что гики скупили весь тираж с экранами в МСК, а некоторые дельцы даже перепродавали их в страны СНГ...
• И этому фурору была причина. Ведь дело не только в том, что видеоролик в памяти можно было изменить и получить интерактивную фоторамку за копейки, но и в том, что плеер в странице был построен на базе процессора от Ingenic. В Video in Print использовался самый младший чип - JZ4725B, который состоял из:
• В паре с ним была установлена микросхема NAND-памяти производства Samsung объёмом аж в 1ГБ (для одного видеоролика то!), а также чип SDRAM-памяти объёмом в 32 мегабайта. Кроме того, на плате были установлены DC-DC преобразователи, формирующие питание процессора, контроллер зарядки литиевых аккумуляторов и различная мелкая обвязка. И все это ради одной рекламы...
• Также в журнале был установлен литиевый аккумулятор ёмкостью в 800мАч. А вот дисплей был настоящим подарком для гиков. 40 пиновая матрица с разрешением 480x232 использовалась везде: начиная от GPS-навигаторов и автомобильных ГУ, заканчивая другими китайскими игровыми консолями и плеерами. Так что если требовалось заменить дисплей в каком-нибудь устройстве, всегда можно было поискать журнал Vogue за копейки :)
• Как вы уже поняли, гики сразу ринулись искать возможность запустить на журнале Vogue Linux! И у них удалось. В итоге получился миниатюрный Linux-компьютер с 300МГц процессором и 32МБ оперативной памяти всего за пару сотен рублей!
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Microsoft устранила уязвимость повышения привилегий в Defender, известную как RoguePlanet, с помощью обновления Microsoft Malware Protection Engine примерно через месяц после того, как исследователь опубликовал 0-day эксплойт.
Уязвимость отслеживается как CVE-2026-50656 и реализует состояние гонки, позволяя злоумышленнику повысить свои привилегии до уровня System.
PoC-‘ксплойт для RoguePlanet был представлен 9 июня анонимным исследователем Nightmare Eclipse (Chaotic Eclipse), который за последние месяцы выпустил несколько эксплойтов для Windows после конфликта с Microsoft по поводу обработки компанией сообщений об уязвимостях.
В то время исследователь отметил, что в ходе тестирования эксплойт не показал 100% успеха, но его можно было бы переработать для повышения стабильности.
Microsoft выдала уведомление об уязвимости 16 июня и обновила его 8 июля, информируя клиентов о доступности исправлений. Клиентам не нужно предпринимать никаких действий, поскольку исправление было предоставлено посредством обновления Microsoft Malware Protection Engine, развернутого автоматически.
Кроме того, микромягкие заявляют, что обновление, исправляющее RoguePlanet, также включает в себя некоторые неуказанные «углубленные обновления защиты, призванные улучшить функции, связанные с безопасностью».
После выпуска компанией Microsoft патчей для RoguePlanet, Nightmare Eclipse повторно проанализировал Defender и обнаружил новые проблемы, связанные с утечками памяти и обработкой файлов, помещенных в карантин.
Так что теперь Nightmare Eclipse пытается определить, можно ли использовать эти уязвимости в своих целях.
На данный момент сообщений об эксплуатации RoguePlanet нет, но некоторые из уязвимостей, обнаруженные Nightmare Eclipse, все же использовались киберподпольем, включая RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) и BlueHammer (CVE-2026-33825).
Уязвимость отслеживается как CVE-2026-50656 и реализует состояние гонки, позволяя злоумышленнику повысить свои привилегии до уровня System.
PoC-‘ксплойт для RoguePlanet был представлен 9 июня анонимным исследователем Nightmare Eclipse (Chaotic Eclipse), который за последние месяцы выпустил несколько эксплойтов для Windows после конфликта с Microsoft по поводу обработки компанией сообщений об уязвимостях.
В то время исследователь отметил, что в ходе тестирования эксплойт не показал 100% успеха, но его можно было бы переработать для повышения стабильности.
Microsoft выдала уведомление об уязвимости 16 июня и обновила его 8 июля, информируя клиентов о доступности исправлений. Клиентам не нужно предпринимать никаких действий, поскольку исправление было предоставлено посредством обновления Microsoft Malware Protection Engine, развернутого автоматически.
Кроме того, микромягкие заявляют, что обновление, исправляющее RoguePlanet, также включает в себя некоторые неуказанные «углубленные обновления защиты, призванные улучшить функции, связанные с безопасностью».
После выпуска компанией Microsoft патчей для RoguePlanet, Nightmare Eclipse повторно проанализировал Defender и обнаружил новые проблемы, связанные с утечками памяти и обработкой файлов, помещенных в карантин.
Так что теперь Nightmare Eclipse пытается определить, можно ли использовать эти уязвимости в своих целях.
На данный момент сообщений об эксплуатации RoguePlanet нет, но некоторые из уязвимостей, обнаруженные Nightmare Eclipse, все же использовались киберподпольем, включая RedSun (CVE-2026-41091), UnDefend (CVE-2026-45498) и BlueHammer (CVE-2026-33825).
blog.projectnightcrawler.dev
Some interesting findings in Windows Defender – PNC Blog
A blog for researchers and open source contributors
Принадлежащая Google Wiz раскрыла подробности нового метода атаки на помощника по программированию с использованием ИИ, получившего название GhostApproval.
GhostApproval была успешно протестирована на платформах Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment и Windsurf.
Атака использует отслеживание символических ссылок (symlink) - давно существующую особенность файловой системы, при которой программа разрешает и обрабатывает целевую ссылку, а не саму ссылку, что позволяет злоумышленнику обманом заставить привилегированные или изолированные процессы получить доступ к непреднамеренным файлам или изменить их с помощью обманных путей.
Уязвимость, связанная с символическими ссылками, известна ещё со времён ранних версий Unix, а исследователи Wiz продемонстрировали, что её можно использовать против программистов-ассистентов в области программирования с использованием ИИ.
При атаке GhostApproval хакеры внедряют символическую ссылку в, казалось бы, безобидный репозиторий, которая маскируется под обычный файл проекта, но на самом деле указывает на конфиденциальную информацию за пределами рабочей области.
Когда разработчик открывает репозиторий в ИИ-помощнике по программированию и дает ему указание внести изменения, агент переходит по символической ссылке и выполняет запись в целевой файл, указанный злоумышленником.
Некоторые инструменты для разработки программного обеспечения на основе ИИ не могут определить и отобразить канонический путь в запросах подтверждения, поэтому пользователи одобряют, казалось бы, безобидные локальные изменения, в то время как агент незаметно изменяет системные файлы.
Сама по себе примитивная символическая ссылка уже представляет серьёзную опасность, но то, что обнаружили в Wiz, гораздо глубже. Wiz предупредила, что GhostApproval позволяет злоумышленнику удаленно выполнить код на компьютере целевого разработчика.
При этом многие из этих инструментов имеют песочницы или диалоговые окна подтверждения, предназначенные для предотвращения именно такого рода атак.
Диалоговое окно перехватывает операцию записи и запрашивает у пользователя разрешение. В теории это своего рода система безопасности с участием человека. Проблема не только в том, что по символической ссылке переходят, а в том, что пользовательский интерфейс не раскрывает истинную цель.
Как отмечают в Wiz, модель безопасности с участием человека в процессе взаимодействия работает только в том случае, если этот процесс предоставляет точную информацию.
Когда агент показывает одно, а делает другое, подтверждение пользователя теряет смысл. Диалоговое окно подтверждения превращается из средства контроля безопасности в формальность.
Исследователи уведомили о результатах каждого поставщика в первом квартале 2026 года. AWS, Google и Cursor подтвердили наличие уязвимости и выпустили исправления.
Anthropic же не рассматривает эти результаты как уязвимость, но заявила, что до сообщения Wiz она уже приняла меры по предотвращению подобных атак. Augment и Windsurf подтвердили получение сообщений об уязвимостях, но пока не выпустили исправления.
GhostApproval была успешно протестирована на платформах Claude Code, Amazon Q Developer, Cursor, Google Antigravity, Augment и Windsurf.
Атака использует отслеживание символических ссылок (symlink) - давно существующую особенность файловой системы, при которой программа разрешает и обрабатывает целевую ссылку, а не саму ссылку, что позволяет злоумышленнику обманом заставить привилегированные или изолированные процессы получить доступ к непреднамеренным файлам или изменить их с помощью обманных путей.
Уязвимость, связанная с символическими ссылками, известна ещё со времён ранних версий Unix, а исследователи Wiz продемонстрировали, что её можно использовать против программистов-ассистентов в области программирования с использованием ИИ.
При атаке GhostApproval хакеры внедряют символическую ссылку в, казалось бы, безобидный репозиторий, которая маскируется под обычный файл проекта, но на самом деле указывает на конфиденциальную информацию за пределами рабочей области.
Когда разработчик открывает репозиторий в ИИ-помощнике по программированию и дает ему указание внести изменения, агент переходит по символической ссылке и выполняет запись в целевой файл, указанный злоумышленником.
Некоторые инструменты для разработки программного обеспечения на основе ИИ не могут определить и отобразить канонический путь в запросах подтверждения, поэтому пользователи одобряют, казалось бы, безобидные локальные изменения, в то время как агент незаметно изменяет системные файлы.
Сама по себе примитивная символическая ссылка уже представляет серьёзную опасность, но то, что обнаружили в Wiz, гораздо глубже. Wiz предупредила, что GhostApproval позволяет злоумышленнику удаленно выполнить код на компьютере целевого разработчика.
При этом многие из этих инструментов имеют песочницы или диалоговые окна подтверждения, предназначенные для предотвращения именно такого рода атак.
Диалоговое окно перехватывает операцию записи и запрашивает у пользователя разрешение. В теории это своего рода система безопасности с участием человека. Проблема не только в том, что по символической ссылке переходят, а в том, что пользовательский интерфейс не раскрывает истинную цель.
Как отмечают в Wiz, модель безопасности с участием человека в процессе взаимодействия работает только в том случае, если этот процесс предоставляет точную информацию.
Когда агент показывает одно, а делает другое, подтверждение пользователя теряет смысл. Диалоговое окно подтверждения превращается из средства контроля безопасности в формальность.
Исследователи уведомили о результатах каждого поставщика в первом квартале 2026 года. AWS, Google и Cursor подтвердили наличие уязвимости и выпустили исправления.
Anthropic же не рассматривает эти результаты как уязвимость, но заявила, что до сообщения Wiz она уже приняла меры по предотвращению подобных атак. Augment и Windsurf подтвердили получение сообщений об уязвимостях, но пока не выпустили исправления.
wiz.io
GhostApproval: AI Coding Assistant Trust Boundary Flaw | Wiz Blog
Wiz Research uncovered GhostApproval, a trust boundary flaw affecting leading AI coding assistants that can bypass human approval and enable code execution.
Исследователи из Лаборатории Касперского провели глубокий анализ проектов Kaspersky Compromise Assessment, представив ключевые выводы в части инцидентов, устойчивых угроз и проблем реагирования в 2025 году.
Kaspersky Compromise Assessment - это независимый экспертный сервис для выявления признаков компрометации в сетях организаций, в рамках которого анализируются данные об угрозах (включая даркнет), сканируются конечные устройства, осуществляется комплексный анализ логов событий безопасности и сетевого трафика, а при необходимости - проводится первичное реагирование и криминалистический анализ.
Отчет посвящен инцидентам, которые оставались незамеченными на протяжении нескольких недель, месяцев и даже лет. Исследование достойно объемное и содержательное, так что отметим ключевые тенденции, выявленные в проектах Kaspersky Compromise Assessment:
- Поиск следов компрометации (compromise assessment) позволяет снизить количество пропущенных инцидентов высокой критичности.
Наибольшая доля высококритичных инцидентов была выявлена в организациях, которые обратились к нам за поиском следов компрометации после локализации уже известного инцидента безопасности. Наименьшая доля инцидентов высокой критичности наблюдалась в организациях, регулярно проводивших аудиты безопасности.
Из всех исследованных инцидентов 20% были обнаружены вручную. Около 60% угроз не были замечены организациями из-за отсутствия надежных оповещений от существующих средств защиты.
- Почти треть зафиксированных инцидентов были выявлены более чем через три месяца после первичного проникновения. Чем дольше угроза сохраняла присутствие в целевой среде, тем выше была вероятность того, что инцидент имел высокий уровень критичности.
В 30,8% случаев были найдены следы активности злоумышленников, продолжавшейся более трех месяцев, при этом среди заражений высокой критичности таких случаев было 52%. Самый давний инцидент, выявленный нами в 2025 году, оставался незамеченным на протяжении четырех лет.
- Нередко вредоносные файлы сохраняются в резервных копиях и восстанавливаются после принятия мер реагирования на инцидент.
Так, 40% обнаруженных веб-шеллов находились в резервных копиях и оставались незамеченными до проведения полноценного поиска следов компрометации.
- Злоумышленники предпочитают инструменты удаленного управления, а также уже установленные легитимные программы (так называемые LOLBins). Подобные инструменты использовались во всех инцидентах, обнаруженных по итогам поиска следов компрометации.
- Наличие средств мониторинга и защиты само по себе недостаточно - решающую роль играет зрелость операционных процессов.
Решения для мониторинга необходимо корректно настраивать и адаптировать с учетом постоянно меняющегося ландшафта угроз. При этом оповещения с низким уровнем достоверности должны рассматривать аналитики.
Отсутствие непрерывного мониторинга и активного поиска угроз повышало вероятность инцидентов средней и высокой критичности до 84–86%. В то же время инциденты высокого уровня критичности реже встречались в организациях, команды которых обладали навыками реверс-инжиниринга вредоносного ПО.
- Пробелы в коммуникациях приводят к пропуску инцидентов. Почти треть проведенных оценок компрометации выявили коммуникационные пробелы, повлиявшие на эффективность мероприятий по реагированию на инциденты.
- Сценарии реагирования на инциденты должны быть гибкими.
Чтобы реагирование было эффективным, сценарии необходимо регулярно пересматривать с учетом появления новых артефактов. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.
Все подробности, инфографика, подробная статистика и практические рекомендации - в отчете.
Kaspersky Compromise Assessment - это независимый экспертный сервис для выявления признаков компрометации в сетях организаций, в рамках которого анализируются данные об угрозах (включая даркнет), сканируются конечные устройства, осуществляется комплексный анализ логов событий безопасности и сетевого трафика, а при необходимости - проводится первичное реагирование и криминалистический анализ.
Отчет посвящен инцидентам, которые оставались незамеченными на протяжении нескольких недель, месяцев и даже лет. Исследование достойно объемное и содержательное, так что отметим ключевые тенденции, выявленные в проектах Kaspersky Compromise Assessment:
- Поиск следов компрометации (compromise assessment) позволяет снизить количество пропущенных инцидентов высокой критичности.
Наибольшая доля высококритичных инцидентов была выявлена в организациях, которые обратились к нам за поиском следов компрометации после локализации уже известного инцидента безопасности. Наименьшая доля инцидентов высокой критичности наблюдалась в организациях, регулярно проводивших аудиты безопасности.
Из всех исследованных инцидентов 20% были обнаружены вручную. Около 60% угроз не были замечены организациями из-за отсутствия надежных оповещений от существующих средств защиты.
- Почти треть зафиксированных инцидентов были выявлены более чем через три месяца после первичного проникновения. Чем дольше угроза сохраняла присутствие в целевой среде, тем выше была вероятность того, что инцидент имел высокий уровень критичности.
В 30,8% случаев были найдены следы активности злоумышленников, продолжавшейся более трех месяцев, при этом среди заражений высокой критичности таких случаев было 52%. Самый давний инцидент, выявленный нами в 2025 году, оставался незамеченным на протяжении четырех лет.
- Нередко вредоносные файлы сохраняются в резервных копиях и восстанавливаются после принятия мер реагирования на инцидент.
Так, 40% обнаруженных веб-шеллов находились в резервных копиях и оставались незамеченными до проведения полноценного поиска следов компрометации.
- Злоумышленники предпочитают инструменты удаленного управления, а также уже установленные легитимные программы (так называемые LOLBins). Подобные инструменты использовались во всех инцидентах, обнаруженных по итогам поиска следов компрометации.
- Наличие средств мониторинга и защиты само по себе недостаточно - решающую роль играет зрелость операционных процессов.
Решения для мониторинга необходимо корректно настраивать и адаптировать с учетом постоянно меняющегося ландшафта угроз. При этом оповещения с низким уровнем достоверности должны рассматривать аналитики.
Отсутствие непрерывного мониторинга и активного поиска угроз повышало вероятность инцидентов средней и высокой критичности до 84–86%. В то же время инциденты высокого уровня критичности реже встречались в организациях, команды которых обладали навыками реверс-инжиниринга вредоносного ПО.
- Пробелы в коммуникациях приводят к пропуску инцидентов. Почти треть проведенных оценок компрометации выявили коммуникационные пробелы, повлиявшие на эффективность мероприятий по реагированию на инциденты.
- Сценарии реагирования на инциденты должны быть гибкими.
Чтобы реагирование было эффективным, сценарии необходимо регулярно пересматривать с учетом появления новых артефактов. Постоянно дорабатывая план реагирования на инциденты, организации снижают вероятность пропуска угроз.
Все подробности, инфографика, подробная статистика и практические рекомендации - в отчете.
Исследователи F6 изучили ситуацию с утечками баз данных российских компаний, впервые размещённых киберпреступниками в открытом доступе в первом полугодии 2026 года.
Аналитики обнаружили в январе-июне 2026 года 88 новых случаев публикации утечек баз данных российских компаний и организаций. По сравнению с первым полугодием 2025 года (162 публикации) количество впервые опубликованных баз данных уменьшилось на 46%.
В публичном доступе за первое полугодие 2026 года оказались в основном такие данные пользователей, как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, номера мобильных телефонов и адреса электронной почты.
При этом общий объём новых публикаций баз данных – 114 млн. строк, что на 43% меньше, чем за аналогичный период прошлого года (200 млн строк).
Количество новых публикаций утечек баз данных уменьшается на протяжении двух кварталов подряд, отмечают аналитики F6.
Среди основных причин снижения – продолжающаяся пауза в активности андеграундных Telegram-каналов, специализировавшихся на распространении баз данных, которая возникла в начале 2026 года в связи с волной блокировок такихканалов.
Кроме того, публикации утечек баз данных всё реже появлялись на андеграундных форумах, что связано с закрытием некоторых таких площадок и нестабильной работой других ресурсов, популярных у злоумышленников, а также введением на некоторых ресурсах новых запретов на публикацию данных, связанных с организациями из РФ и странам СНГ.
На этом фоне количество впервые опубликованных баз данных во втором квартале 2026 года по сравнению с первым кварталом этого года уменьшилось на 70%, а количество строк – на на 97%.
Основная доля публичных утечек данных в 2026 году приходится на такие сферы, как ретейл и интернет-магазины, образовательные платформы и организации, здравоохранение, а также госсектор.
По сравнению с топ-5 индустрий по итогам прошлого года из списка лидеров по утечкам выбыли отрасли профессиональных услуг и IT, а сфера образования, напротив, дополнила этот список.
Тем не менее, ритейл и электронная коммерция наряду с госсектором на протяжении последних полутора лет остаются на первых местах среди отраслей, базы данных которых чаще всего размещаются злоумышленниками в публичном доступе. Интерес киберпреступников к атакам на компании и организации из этих сфер сохраняется на высоком уровне.
Аналитики обнаружили в январе-июне 2026 года 88 новых случаев публикации утечек баз данных российских компаний и организаций. По сравнению с первым полугодием 2025 года (162 публикации) количество впервые опубликованных баз данных уменьшилось на 46%.
В публичном доступе за первое полугодие 2026 года оказались в основном такие данные пользователей, как ФИО, адреса проживания, пароли, даты рождения, паспортные данные, номера мобильных телефонов и адреса электронной почты.
При этом общий объём новых публикаций баз данных – 114 млн. строк, что на 43% меньше, чем за аналогичный период прошлого года (200 млн строк).
Количество новых публикаций утечек баз данных уменьшается на протяжении двух кварталов подряд, отмечают аналитики F6.
Среди основных причин снижения – продолжающаяся пауза в активности андеграундных Telegram-каналов, специализировавшихся на распространении баз данных, которая возникла в начале 2026 года в связи с волной блокировок такихканалов.
Кроме того, публикации утечек баз данных всё реже появлялись на андеграундных форумах, что связано с закрытием некоторых таких площадок и нестабильной работой других ресурсов, популярных у злоумышленников, а также введением на некоторых ресурсах новых запретов на публикацию данных, связанных с организациями из РФ и странам СНГ.
На этом фоне количество впервые опубликованных баз данных во втором квартале 2026 года по сравнению с первым кварталом этого года уменьшилось на 70%, а количество строк – на на 97%.
Основная доля публичных утечек данных в 2026 году приходится на такие сферы, как ретейл и интернет-магазины, образовательные платформы и организации, здравоохранение, а также госсектор.
По сравнению с топ-5 индустрий по итогам прошлого года из списка лидеров по утечкам выбыли отрасли профессиональных услуг и IT, а сфера образования, напротив, дополнила этот список.
Тем не менее, ритейл и электронная коммерция наряду с госсектором на протяжении последних полутора лет остаются на первых местах среди отраслей, базы данных которых чаще всего размещаются злоумышленниками в публичном доступе. Интерес киберпреступников к атакам на компании и организации из этих сфер сохраняется на высоком уровне.
Подкатила новая утечка с разоблачениями еще одного потенциального киберподрядчика, причастного к наступательным кибероперациям Китая.
На этот раз взлому подверглась Zhirong, которая специализируется на услугах по тестированию на проникновение. Документы, украденные из внутренней сети Zhengzhou Zhirong Network Technology, раскрывают арсенал инструментов для взлома и анализа данных.
К ним относятся инструменты для внедрения вредоносного ПО во все основные операционные системы, создания оружия на USB-накопителях, утечки данных и кражи электронных писем из почтовых ящиков.
Аналитик NetAskari отмечает, что, хотя многие инструменты являются стандартными для компаний, занимающихся пентестом, наличие передовых бэкэнд-систем для анализа всех украденных данных предполагает, что услуги Zhirong предназначены для APT-операций.
Как отмечается, уже даже по примерам, которые в Zhirong использовали для демонстрации возможностей своего ПО, становится ясно, что целевая аудитория таких инструментов - это не обычные специалисты по тестированию на проникновение или корпоративные клиенты.
Они явно ориентированы на пользователей из госструктур, которые могут иметь доступ к электронной почте иностранных организаций, не являющихся дипломатами.
Так что теперь следует ожидать еще пару тройку отчетов с конкретной атрибуцией конкретных атак и кампаний. Будем следить.
На этот раз взлому подверглась Zhirong, которая специализируется на услугах по тестированию на проникновение. Документы, украденные из внутренней сети Zhengzhou Zhirong Network Technology, раскрывают арсенал инструментов для взлома и анализа данных.
К ним относятся инструменты для внедрения вредоносного ПО во все основные операционные системы, создания оружия на USB-накопителях, утечки данных и кражи электронных писем из почтовых ящиков.
Аналитик NetAskari отмечает, что, хотя многие инструменты являются стандартными для компаний, занимающихся пентестом, наличие передовых бэкэнд-систем для анализа всех украденных данных предполагает, что услуги Zhirong предназначены для APT-операций.
Как отмечается, уже даже по примерам, которые в Zhirong использовали для демонстрации возможностей своего ПО, становится ясно, что целевая аудитория таких инструментов - это не обычные специалисты по тестированию на проникновение или корпоративные клиенты.
Они явно ориентированы на пользователей из госструктур, которые могут иметь доступ к электронной почте иностранных организаций, не являющихся дипломатами.
Так что теперь следует ожидать еще пару тройку отчетов с конкретной атрибуцией конкретных атак и кампаний. Будем следить.
Substack
ZRON: Full digital espionage service ?
Leaked information of a red team toolbox from the Chinese company Zhirong Network Tech reveals an information acquisition and processing pipeline seemingly designed for foreign espionage operations.
Атака на цепочку поставок затронула проект Injective Labs SDK: хакеры взломали репозиторий GitHub и использовали его для публикации вредоносного пакета в Node Package Manager (npm), который похищал закрытые ключи криптовалютных кошельков и мнемонические сид-фразы.
Injective SDK - это комплект разработки ПО на TypeScript/JavaScript для создания приложений на блокчейне Injective, блокчейне первого уровня, ориентированном на децентрализованные финансы (DeFi), токенизированные активы и децентрализованные биржи.
Пакет еженедельно скачивается 50 000 раз на npm и используется разработчиками, создающими криптовалютные кошельки, торговых ботов, децентрализованные биржи, DeFi-приложения и платежные инструменты. SDK является зависимостью для всех пакетов проекта, поэтому он загружается везде, где используется библиотека Injection.
Исследователи Socket Security, DataDog, Ox Security и Step Security обнаружили атаку через версию 1.20.21 npm-пакета injectivelabs/sdk-ts.
По данным исследователей, злоумышленник взломал учетную запись GitHub, принадлежащую законному участнику проекта, и 8 июня сделал первые подозрительные коммиты, после чего вскоре опубликовал вредоносную версию пакета.
Злоумышленник также опубликовал версию 1.20.21 для еще 17 пакетов, связанных с проектом, привязав все их к скомпрометированной версии SDK.
Владелец легитимного аккаунта обнаружил взлом в течение нескольких минут, отменил изменения и выпустил чистую версию 1.20.23.
Однако системы разработчиков, загружавшие вредоносные пакеты через обновление или использовавшие их, скорее всего, были скомпрометированы.
По данным Socket, вредоносная версия пакета была загружена 310 раз, прежде чем её устарели, а не удалили, и вредоносные репозитории релизов на GitHub всё ещё доступны.
Исследователи также отмечают, что пакет имеет 87 прямых зависимостей от npm и, весьма вероятно, множество дополнительных транзитивных зависимостей.
В отчете Ox Security содержится предупреждение о том, что 87 зависимых пакетов в общей сложности были загружены чуть более 112 000 раз.
Вредоносная ПО активируется, когда разработчики используют функции SDK, которые генерируют или импортируют ключи кошелька, а не при установке.
После вызова этих функций вредоносная ПО перехватывает полную мнемоническую фразу и закрытый ключ и кодирует данные в формате Base64.
Вся информация передается через HTTP POST-запрос на общедоступную конечную точку инфраструктуры Injective Labs, чтобы трафик выглядел легитимным.
StepSecurity сообщает, что вредоносная ПО не передавала украденные секреты немедленно, а вместо этого в течение двух секунд ставила в очередь несколько ключей и мнемоник, объединяла их в заголовке HTTP-запроса и отправляла.
Затем злоумышленники могут использовать мнемонический или закрытый ключ для переноса кошельков жертвы на свои собственные устройства и получения доступа, использования или передачи их цифровых активов.
Разработчикам, подозревающим взлом, следует перевести свою криптовалюту в новые кошельки и обновить все секреты в своей среде.
Injective SDK - это комплект разработки ПО на TypeScript/JavaScript для создания приложений на блокчейне Injective, блокчейне первого уровня, ориентированном на децентрализованные финансы (DeFi), токенизированные активы и децентрализованные биржи.
Пакет еженедельно скачивается 50 000 раз на npm и используется разработчиками, создающими криптовалютные кошельки, торговых ботов, децентрализованные биржи, DeFi-приложения и платежные инструменты. SDK является зависимостью для всех пакетов проекта, поэтому он загружается везде, где используется библиотека Injection.
Исследователи Socket Security, DataDog, Ox Security и Step Security обнаружили атаку через версию 1.20.21 npm-пакета injectivelabs/sdk-ts.
По данным исследователей, злоумышленник взломал учетную запись GitHub, принадлежащую законному участнику проекта, и 8 июня сделал первые подозрительные коммиты, после чего вскоре опубликовал вредоносную версию пакета.
Злоумышленник также опубликовал версию 1.20.21 для еще 17 пакетов, связанных с проектом, привязав все их к скомпрометированной версии SDK.
Владелец легитимного аккаунта обнаружил взлом в течение нескольких минут, отменил изменения и выпустил чистую версию 1.20.23.
Однако системы разработчиков, загружавшие вредоносные пакеты через обновление или использовавшие их, скорее всего, были скомпрометированы.
По данным Socket, вредоносная версия пакета была загружена 310 раз, прежде чем её устарели, а не удалили, и вредоносные репозитории релизов на GitHub всё ещё доступны.
Исследователи также отмечают, что пакет имеет 87 прямых зависимостей от npm и, весьма вероятно, множество дополнительных транзитивных зависимостей.
В отчете Ox Security содержится предупреждение о том, что 87 зависимых пакетов в общей сложности были загружены чуть более 112 000 раз.
Вредоносная ПО активируется, когда разработчики используют функции SDK, которые генерируют или импортируют ключи кошелька, а не при установке.
После вызова этих функций вредоносная ПО перехватывает полную мнемоническую фразу и закрытый ключ и кодирует данные в формате Base64.
Вся информация передается через HTTP POST-запрос на общедоступную конечную точку инфраструктуры Injective Labs, чтобы трафик выглядел легитимным.
StepSecurity сообщает, что вредоносная ПО не передавала украденные секреты немедленно, а вместо этого в течение двух секунд ставила в очередь несколько ключей и мнемоник, объединяла их в заголовке HTTP-запроса и отправляла.
Затем злоумышленники могут использовать мнемонический или закрытый ключ для переноса кошельков жертвы на свои собственные устройства и получения доступа, использования или передачи их цифровых активов.
Разработчикам, подозревающим взлом, следует перевести свою криптовалюту в новые кошельки и обновить все секреты в своей среде.
Socket
Compromised Injective SDK npm Package Exfiltrates Wallet Key...
Compromised Injective SDK npm version 1.20.21 exfiltrates wallet private keys and mnemonics through fake telemetry functionality.
Zimbra настоятельно призывает клиентов устранить критическую уязвимость, затрагивающую классический веб-клиент, используемый для доступа к пакету инструментов Zimbra Collaboration.
Zimbra - это мега популярный пакет ПО для электронной почты и совместной работы, используемый сотнями миллионов пользователей, включая тысячи компаний и сотни госучреждений по всему миру.
Этот веб-интерфейс электронной почты, также известный как Classic UI, основан на технологии Ajax и работает быстрее, чем современный веб-клиент Zimbra, который требует больше ресурсов при загрузке больших папок с письмами.
Компания выпустила во вторник Zimbra 10.1.19 для устранения уязвимости, связанной с XSS, которая пока не получила идентификатор CVE для отслеживания.
Злоумышленники могут использовать эту уязвимость классического веб-клиента с помощью специально созданных электронных писем, которые выполняют вредоносный код при открытии письма.
Успешная эксплуатация уязвимости может помочь злоумышленникам украсть данные сеансов, настройки учетных записей или информацию о почтовых ящиках.
Zimbra пока не отметила эту уязвимость как эксплуатируемую в реальных условиях, о ней сообщила Google TAG, которая часто выявляет 0-day, используемые APT-группами в кибератаках, направленных против лиц из категории с высоким риском.
Zimbra - это мега популярный пакет ПО для электронной почты и совместной работы, используемый сотнями миллионов пользователей, включая тысячи компаний и сотни госучреждений по всему миру.
Этот веб-интерфейс электронной почты, также известный как Classic UI, основан на технологии Ajax и работает быстрее, чем современный веб-клиент Zimbra, который требует больше ресурсов при загрузке больших папок с письмами.
Компания выпустила во вторник Zimbra 10.1.19 для устранения уязвимости, связанной с XSS, которая пока не получила идентификатор CVE для отслеживания.
Злоумышленники могут использовать эту уязвимость классического веб-клиента с помощью специально созданных электронных писем, которые выполняют вредоносный код при открытии письма.
Успешная эксплуатация уязвимости может помочь злоумышленникам украсть данные сеансов, настройки учетных записей или информацию о почтовых ящиках.
Zimbra пока не отметила эту уязвимость как эксплуатируемую в реальных условиях, о ней сообщила Google TAG, которая часто выявляет 0-day, используемые APT-группами в кибератаках, направленных против лиц из категории с высоким риском.
Zimbra : Blog
Patch Release Update: Zimbra 10.1.19 - Zimbra : Blog
Patch Security Severity: High Deployment Risk: Low We have released Zimbra 10.1.19 to address a critical security vulnerability which impacts the Classic Web Client: Zimbra 10.1.19 (Release Notes) We strongly recommend upgrading to this version to keep your…
SentinelOne расследовали необычный инцидент, в котором связанные с Китаем и Индией хакеры проникли и окучивали на протяжении как минимум двух лет одну и ту же структуру полиции Белуджистана в Пакистане.
Согласно данным SentinelLabs, вторжения происходили с февраля 2024 года по апрель 2026 года и были направлены на несколько пакистанских полицейских организаций, при этом основная часть атак была сфокусирована на полицию Белуджистана.
Злоумышленники проникли на серверы, связанные с биометрическими базами данных, материалами уголовных дел, личными делами сотрудников и системами, ориентированными на граждан.
Исследователи сгруппировали вторжения в четыре кластера на основе используемого вредоносного ПО и инфраструктуры: PlugX, ShadowPad, Cobalt Strike и Remcos.
Они предупредили, что кластеры, построенные на основе общего или стандартного вредоносного ПО - в отличие от активности Remcos, связанной с одним отслеживаемым злоумышленником - могут включать в себя более одного оператора.
Примечательно, наличие кибершпионов, связанных с Китаем, в рядах полиции, принадлежащей одному из ближайших региональных партнеров Пекина. SentinelLabs считает вероятным мотивом - корыстные интересы.
В частности, граждане Китая, работающие над проектами инициативы «Один пояс, один путь» в Пакистане, неоднократно становились жертвами нападений, связанных с белуджскими сепаратистскими боевиками, а китайские чиновники открыто критиковали способность Исламабада обеспечить им защиту.
Получение прямого доступа к данным пакистанской полиции позволило бы Пекину самостоятельно анализировать и контролировать угрозу.
С другой стороны, деятельность, связанная с Индией, совпадает с давним спором между Исламабадом и Нью-Дели.
Пакистан давно обвиняет Индию в поддержке боевиков из Белуджистана, что Индия, в свою очередь, отрицает. Так что Нью-Дели также заинтересован в мониторинге сети полиции Белуджистана на предмет понимания действий Исламабада в отношении повстанческого движения.
Исследователи также обнаружили вредоносные файлы, замаскированные под обновления ПО, которые были внедрены непосредственно в общедоступную систему управления жалобами полиции Белуджистана - портал, используемый жителями для подачи и отслеживания заявительских материалов.
Фейковое уведомление об обновлении могло бы заразить любого пользователя сайта, включая как сотрудников полиции, так и обычных граждан.
SentinelLabs полагает в общем, что китайская APT собирала данные о возможных угрозах гражданам Китая в регионе, в то время как индийская APT интересовалась общей реакцией правительства на кризис.
Согласно данным SentinelLabs, вторжения происходили с февраля 2024 года по апрель 2026 года и были направлены на несколько пакистанских полицейских организаций, при этом основная часть атак была сфокусирована на полицию Белуджистана.
Злоумышленники проникли на серверы, связанные с биометрическими базами данных, материалами уголовных дел, личными делами сотрудников и системами, ориентированными на граждан.
Исследователи сгруппировали вторжения в четыре кластера на основе используемого вредоносного ПО и инфраструктуры: PlugX, ShadowPad, Cobalt Strike и Remcos.
Они предупредили, что кластеры, построенные на основе общего или стандартного вредоносного ПО - в отличие от активности Remcos, связанной с одним отслеживаемым злоумышленником - могут включать в себя более одного оператора.
Примечательно, наличие кибершпионов, связанных с Китаем, в рядах полиции, принадлежащей одному из ближайших региональных партнеров Пекина. SentinelLabs считает вероятным мотивом - корыстные интересы.
В частности, граждане Китая, работающие над проектами инициативы «Один пояс, один путь» в Пакистане, неоднократно становились жертвами нападений, связанных с белуджскими сепаратистскими боевиками, а китайские чиновники открыто критиковали способность Исламабада обеспечить им защиту.
Получение прямого доступа к данным пакистанской полиции позволило бы Пекину самостоятельно анализировать и контролировать угрозу.
С другой стороны, деятельность, связанная с Индией, совпадает с давним спором между Исламабадом и Нью-Дели.
Пакистан давно обвиняет Индию в поддержке боевиков из Белуджистана, что Индия, в свою очередь, отрицает. Так что Нью-Дели также заинтересован в мониторинге сети полиции Белуджистана на предмет понимания действий Исламабада в отношении повстанческого движения.
Исследователи также обнаружили вредоносные файлы, замаскированные под обновления ПО, которые были внедрены непосредственно в общедоступную систему управления жалобами полиции Белуджистана - портал, используемый жителями для подачи и отслеживания заявительских материалов.
Фейковое уведомление об обновлении могло бы заразить любого пользователя сайта, включая как сотрудников полиции, так и обычных граждан.
SentinelLabs полагает в общем, что китайская APT собирала данные о возможных угрозах гражданам Китая в регионе, в то время как индийская APT интересовалась общей реакцией правительства на кризис.
SentinelOne
One Target, Two Flags | Rival Espionage Actors Converge On Pakistani Law Enforcement
China and India ran separate espionage operations against the same Pakistani police force, each drawn by different stakes in Pakistan's internal security.
Microsoft сообщает, что на протяжении более восьми месяцев отлеживаемый ими злоумышленник использует бэкдор и вайпер, обладающие многочисленными возможностями саботажа на системном уровне.
Вредоносная ПО получила название GigaWiper и представляет собой сложный бэкдор на Go, состоящий из нескольких семейств вредоносных ПО и обладающий мощными возможностями по части С2.
По данным Microsoft, GigaWiper была замаскирована под команды бэкдора, запускаемые по запросу, что позволяло злоумышленнику реализовать автономный инструмент, поддерживая функционал шифрования, аналогично ransomware, и удаления в несколько проходов.
Объединение множества разрушительных возможностей в модульный бэкдор отражает заметный сдвиг в развитии вредоносных программ-вайперов, которые, как правило, предназначены исключительно для уничтожения, а не для вымогательства и причинения реальных последствий.
Впервые обнаруженная в октябре 2025 года, GigaWiper содержит модуль очистки, работающий на уровне физических дисков.
Он перечисляет диски с помощью инструментария управления Windows (WMI) для идентификации раздела Windows, удаляет ссылки на разделы с дисков, не относящихся к Windows, чистит каждый диск, а затем перезагружает систему.
Компонент бэкдора GigaWiper также содержит аналогичную функциональность удаления данных, включая идентичный поток кода и имена функций. Кроме того, он устанавливает постоянное соединение и связь с C2 с использованием RabbitMQ и Redis.
На основе полученных команд он может запустить программу удаления данных, вызвать синий экран смерти (BSOD), загрузить файлы на удаленный сервер с помощью MinIO Client, запустить исполняемый файл, выполнять команды PowerShell, делать снимки экрана, записывать видео с экрана, собирать информацию о системе и вызывать команду для удаления установки Windows.
Бэкдор также поддерживает две команды шифрования файлов: одна является деструктивной, поскольку использует случайные ключи шифрования, которые никогда не сохраняются, а другая нацелена на шифрование и расшифровку файлов в больших объемах.
Кроме того, GigaWiper способен запускать различные менеджеры процессов, реестра, маршрутов RabbitMQ и служб, зачищать журналы Windows и запускать сервер, предоставляя злоумышленникам удаленный контроль над зараженной системой.
Команды удаления данных, реализованные в бэкдоре, берутся из отдельных, более старых вредоносных ПО, ранее использовавшихся злоумышленником, и объединены в один имплант с добавленными возможностями бэкдора.
Судя по коду шифрования, GigaWiper, по всей видимости, был создан разработчиком программы-вымогателя Crucio, но также демонстрирует связь с FlockWiper, появившимся в июне 2025 года и имеющим идентичную функцию очистки, портированную на Go.
Как отмечает Microsoft, GigaWiper - это бэкдор с широкими операционными возможностями, позволяющими злоумышленнику сохранять контроль над зараженными системами, выполнять команды, развертывать дополнительные инструменты и, в конечном итоге, запускать одну из множества разрушительных команд по запросу.
Он позволяет злоумышленнику действовать гибко, обеспечивая как скрытую шпионскую деятельность, так и разрушительные операции по удалению данных.
Вредоносная ПО получила название GigaWiper и представляет собой сложный бэкдор на Go, состоящий из нескольких семейств вредоносных ПО и обладающий мощными возможностями по части С2.
По данным Microsoft, GigaWiper была замаскирована под команды бэкдора, запускаемые по запросу, что позволяло злоумышленнику реализовать автономный инструмент, поддерживая функционал шифрования, аналогично ransomware, и удаления в несколько проходов.
Объединение множества разрушительных возможностей в модульный бэкдор отражает заметный сдвиг в развитии вредоносных программ-вайперов, которые, как правило, предназначены исключительно для уничтожения, а не для вымогательства и причинения реальных последствий.
Впервые обнаруженная в октябре 2025 года, GigaWiper содержит модуль очистки, работающий на уровне физических дисков.
Он перечисляет диски с помощью инструментария управления Windows (WMI) для идентификации раздела Windows, удаляет ссылки на разделы с дисков, не относящихся к Windows, чистит каждый диск, а затем перезагружает систему.
Компонент бэкдора GigaWiper также содержит аналогичную функциональность удаления данных, включая идентичный поток кода и имена функций. Кроме того, он устанавливает постоянное соединение и связь с C2 с использованием RabbitMQ и Redis.
На основе полученных команд он может запустить программу удаления данных, вызвать синий экран смерти (BSOD), загрузить файлы на удаленный сервер с помощью MinIO Client, запустить исполняемый файл, выполнять команды PowerShell, делать снимки экрана, записывать видео с экрана, собирать информацию о системе и вызывать команду для удаления установки Windows.
Бэкдор также поддерживает две команды шифрования файлов: одна является деструктивной, поскольку использует случайные ключи шифрования, которые никогда не сохраняются, а другая нацелена на шифрование и расшифровку файлов в больших объемах.
Кроме того, GigaWiper способен запускать различные менеджеры процессов, реестра, маршрутов RabbitMQ и служб, зачищать журналы Windows и запускать сервер, предоставляя злоумышленникам удаленный контроль над зараженной системой.
Команды удаления данных, реализованные в бэкдоре, берутся из отдельных, более старых вредоносных ПО, ранее использовавшихся злоумышленником, и объединены в один имплант с добавленными возможностями бэкдора.
Судя по коду шифрования, GigaWiper, по всей видимости, был создан разработчиком программы-вымогателя Crucio, но также демонстрирует связь с FlockWiper, появившимся в июне 2025 года и имеющим идентичную функцию очистки, портированную на Go.
Как отмечает Microsoft, GigaWiper - это бэкдор с широкими операционными возможностями, позволяющими злоумышленнику сохранять контроль над зараженными системами, выполнять команды, развертывать дополнительные инструменты и, в конечном итоге, запускать одну из множества разрушительных команд по запросу.
Он позволяет злоумышленнику действовать гибко, обеспечивая как скрытую шпионскую деятельность, так и разрушительные операции по удалению данных.
Microsoft News
GigaWiper: Anatomy of a destructive backdoor assembled from multiple malware
GigaWiper is a destructive backdoor that combines multiple wiping and ransomware-like capabilities into a single operational platform. This blog analyzes how the malware incorporates code from several previously separate malware families and provides guidance…
Forwarded from Russian OSINT
Тридцатичетырехлетний гражданин Армении Карен Серобович Варданян, ранее экстрадированный из 🇺🇦Украины в 🇺🇸Соединенные Штаты, официально признал в федеральном суде округа Орегон свою вину в компьютерном мошенничестве и преступном сговоре с целью вымогательства. По данным Министерства юстиции США, с ноября 2019 года по апрель 2020 года Варданян незаконно получал доступ к сетям американских организаций и развёртывал программу-вымогатель Ryuk. Шифровальщик блокировал доступ к данным на скомпрометированных серверах и рабочих станциях, после чего злоумышленники требовали выкуп в биткоинах за ключи для расшифровки.
По версии обвинения, Варданян действовал совместно с гражданами Украины Олегом Николаевичем Люлявой и Андреем Леонидовичем Приходченко, а также гражданином Армении Левоном Георгиевичем Аветисяном. Среди целей фигурировали технологическая компания из Уилсонвилла в штате Орегон, школа в Техасе и предприятие из Мичигана. Последняя жертва выплатила злоумышленникам 200 биткоинов.
Прокуратура утверждает, что Варданян и его сообщники развернули Ryuk на сотнях скомпрометированных серверов и рабочих станций. Предполагается, что участники преступной схемы получили около 1 610 биткоинов, стоимость которых на момент выплаты превышала $15 млн. В прессе также отмечалось, что Ryuk применялся против тысяч организаций по всему миру. С Ryuk также связывали атаку на сеть медицинских учреждений Universal Health Services и компрометацию Electronic Warfare Associates.
⚖️ Оглашение приговора назначено на 22 сентября 2026 года. По двум эпизодам, по которым Варданян признал вину, ему теоретически грозит до 15 лет лишения свободы, штрафы на общую сумму до $500 000 и до трёх лет надзора после освобождения.
В рамках сделки он согласился выплатить пострадавшим свыше $1,1 млн в качестве реституции. По данным CyberScoop, Варданян также признал, что обвинительный приговор повлечёт иммиграционные последствия и его последующее выдворение из США после отбытия наказания.
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость в ядре Linux оставалась скрытой практически во всех основных дистрибутивах Linux более 15 лет, прежде чем была исправлена в начале этого года.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
nebusec.ai
IonStack part II: GhostLock, a stack-UAF that has existed in ALL Linux distributions for 15 years
GhostLock (CVE-2026-43499) is a Linux kernel vulnerability found by VEGA that exists in every major distribution since 2011. Triggering the bug does not require any special kernel config or privilege. By turning it into a 97% stable privilege escalation and…
Исследователи Лаборатории Касперского рассказали, как работает спецификация Device Authorization Grant (Device Authorization Grant Flow или Device Code Flow), провели анализ реальных атак с ее использованием, а также объяснили, как защититься от Device Code Phishing.
Одна из наиболее распространенных рекомендаций по защите от фишинга - проверять доменное имя сайта, который запрашивает учетные данные.
Как правило, нелегитимный домен можно распознать невооруженным взглядом: он будет отличаться от официального хотя бы несколькими символами.
Однако недавно в ЛК столкнулись со схемой, где злоумышленник предлагает жертве вводить данные на легитимном ресурсе известной компании.
Речь о «Платформе удостоверений Microsoft» (Microsoft Identity Platform), в которой поддерживается спецификация протокола OAuth 2.0 под названием Device Authorization Grant.
Эта спецификация разрабатывалась для удобства пользователей умных телевизоров, IoT-девайсов, принтеров и других устройств с ограниченным вводом, без полноценного браузера или клавиатуры.
Она позволяет авторизовать такое устройство для доступа к ресурсам пользователя через смартфон или ПК. Для этого пользователю нужно ввести одноразовый код на специальной странице авторизации.
Этот код вместе со ссылкой, где нужно его ввести, выдает Microsoft Identity Platform в ответ на запрос https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode, поэтому сценарий атаки, злоупотребляющий этим механизмом, называется Device Code Phishing.
В фишинговой кампании, которую в ЛК наблюдали с начала апреля по середину мая 2026 года, письмо было стилизовано под уведомление от юридической фирмы. К письму был приложен PDF-файл, защищенный паролем.
После открытия PDF-файла и ввода пароля пользователь видел страницу со списком документов, но для их просмотра нужно было перейти по ссылке.
Если обратить внимание на ссылку, по которой предлагалось перейти, то вместо привычного фишингового ресурса можно увидеть легальный адрес Microsoft. Но в параметры ссылки была включена переадресация на фишинговый ресурс.
Ссылка перенаправляла пользователя на фишинговую страницу, мимикрирующую под юридический портал. Интересно, что на такой странице было несколько капчей, - видимо, чтобы отсекать краулеры.
После их прохождения пользователь попадал еще на одну страницу, на которой предлагалось скопировать одноразовый код - user_code, который приложение на сервере/стороне злоумышленников получило путем запроса на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode.
Когда пользователь нажимал на отображаемый одноразовый код, тот копировался в буфер обмена, а сам пользователь перенаправлялся на подлинную страницу авторизации Microsoft (verification_uri), где и предлагалось ввести полученный код.
Если пользователь вводил код, начинался процесс Device Authorization Grant. Ничего не подозревающая жертва проходила полную MFA-авторизацию на официальной странице Microsoft.
После завершения этого процесса злоумышленник получал доступ к access_token, refresh_token и id_token, что позволяло ему, например, читать и отсылать письма с почтового ящика жертвы, а также получить доступ к файлам OneDrive и сообщениям в Teams.
Описанная фишинговая рассылка не имела массового характера и продлилась чуть больше месяца. Однако сам метод злоумышленники используют до сих пор, адаптируя под конкретные регионы.
В ЛК зафиксировали немного модифицированные атаки класса Device Code Phishing, нацеленные, в частности, на бразильских пользователей.
В этом письме не было вложенного PDF. Вместо этого была ссылка на легитимный ресурс cacoo.com (платформа компании Nulab для создания диаграмм), которая, как и в ранее описанной схеме, перенаправляла пользователя на фишинговый сайт.
Другие технические подробности и практические рекомендации по защите от Device Code Phishing - в отчете.
Одна из наиболее распространенных рекомендаций по защите от фишинга - проверять доменное имя сайта, который запрашивает учетные данные.
Как правило, нелегитимный домен можно распознать невооруженным взглядом: он будет отличаться от официального хотя бы несколькими символами.
Однако недавно в ЛК столкнулись со схемой, где злоумышленник предлагает жертве вводить данные на легитимном ресурсе известной компании.
Речь о «Платформе удостоверений Microsoft» (Microsoft Identity Platform), в которой поддерживается спецификация протокола OAuth 2.0 под названием Device Authorization Grant.
Эта спецификация разрабатывалась для удобства пользователей умных телевизоров, IoT-девайсов, принтеров и других устройств с ограниченным вводом, без полноценного браузера или клавиатуры.
Она позволяет авторизовать такое устройство для доступа к ресурсам пользователя через смартфон или ПК. Для этого пользователю нужно ввести одноразовый код на специальной странице авторизации.
Этот код вместе со ссылкой, где нужно его ввести, выдает Microsoft Identity Platform в ответ на запрос https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode, поэтому сценарий атаки, злоупотребляющий этим механизмом, называется Device Code Phishing.
В фишинговой кампании, которую в ЛК наблюдали с начала апреля по середину мая 2026 года, письмо было стилизовано под уведомление от юридической фирмы. К письму был приложен PDF-файл, защищенный паролем.
После открытия PDF-файла и ввода пароля пользователь видел страницу со списком документов, но для их просмотра нужно было перейти по ссылке.
Если обратить внимание на ссылку, по которой предлагалось перейти, то вместо привычного фишингового ресурса можно увидеть легальный адрес Microsoft. Но в параметры ссылки была включена переадресация на фишинговый ресурс.
Ссылка перенаправляла пользователя на фишинговую страницу, мимикрирующую под юридический портал. Интересно, что на такой странице было несколько капчей, - видимо, чтобы отсекать краулеры.
После их прохождения пользователь попадал еще на одну страницу, на которой предлагалось скопировать одноразовый код - user_code, который приложение на сервере/стороне злоумышленников получило путем запроса на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode.
Когда пользователь нажимал на отображаемый одноразовый код, тот копировался в буфер обмена, а сам пользователь перенаправлялся на подлинную страницу авторизации Microsoft (verification_uri), где и предлагалось ввести полученный код.
Если пользователь вводил код, начинался процесс Device Authorization Grant. Ничего не подозревающая жертва проходила полную MFA-авторизацию на официальной странице Microsoft.
После завершения этого процесса злоумышленник получал доступ к access_token, refresh_token и id_token, что позволяло ему, например, читать и отсылать письма с почтового ящика жертвы, а также получить доступ к файлам OneDrive и сообщениям в Teams.
Описанная фишинговая рассылка не имела массового характера и продлилась чуть больше месяца. Однако сам метод злоумышленники используют до сих пор, адаптируя под конкретные регионы.
В ЛК зафиксировали немного модифицированные атаки класса Device Code Phishing, нацеленные, в частности, на бразильских пользователей.
В этом письме не было вложенного PDF. Вместо этого была ссылка на легитимный ресурс cacoo.com (платформа компании Nulab для создания диаграмм), которая, как и в ранее описанной схеме, перенаправляла пользователя на фишинговый сайт.
Другие технические подробности и практические рекомендации по защите от Device Code Phishing - в отчете.
Docs
OAuth 2.0 device authorization grant - Microsoft identity platform
Sign in users without a browser. Build embedded and browser-less authentication flows using the device authorization grant.
Progress Software в срочном порядке призывает своих клиентов немедленно отключить серверы ShareFile, мотивируя это «реальной внешней угрозой безопасности», нацеленной на это локальное ПО.
ShareFile предсталяет собой корпоративную платформу Progress Software для безопасного обмена файлами и совместной работы, которая позволяет клиентам размещать свои файлы в облачной инфраструктуре Progress.
Однако организации могут по своему усмотрению развернуть контроллеры зон хранения на локальных серверах Windows, чтобы файлы оставались размещенными локально в собственном хранилище организации, продолжая при этом использовать облачную платформу ShareFile для аутентификации, управления пользователями, совместного доступа и совместной работы.
В таких гибридных развертываниях облако ShareFile аутентифицирует пользователей и определяет, в какой зоне хранения находятся их файлы.
Когда пользователь загружает или скачивает файл, ShareFile направляет запрос контроллеру зоны хранения организации, который извлекает или сохраняет файл на собственном хранилище компании, прежде чем передать его пользователю.
Поскольку контроллеры зон хранения обрабатывают передачу файлов между облачной платформой и управляемым клиентом хранилищем, они, как правило, представляют собой серверы, доступные через Интернет.
Предупреждение, разосланное клиентам по электронной почте вчера вечером, озаглавлено «Сбой в работе сервиса. Требуются немедленные действия».
В электронном письме упоминается, что у компании есть основания полагать, что существует реальная внешняя угроза безопасности, нацеленная на контроллеры зон хранения ShareFile от Progress Software.
В настоящее время в Progress нет никаких сведений о несанкционированном доступе к каким-либо учетным записям или данным Progress ShareFile. В качестве меры предосторожности разработчики временно заблокировали доступ к учетным записям ShareFile, использующим контроллеры зон хранения.
Progress также рекомендует клиентам вручную выключать серверы Windows, на которых размещены контроллеры зон хранения, что указывает на то, что отключение доступа через облачную платформу ShareFile недостаточно для снижения угрозы.
Компания также ввела временные ограничения из «чрезмерной осторожности» в рамках взаимодействия с ИБ-экспертами в ходе расследования угрозы, и планирует предоставить клиентам еще одно обновление в течение 24 часов.
Разработчики по не сообщили, связана ли угроза с 0-day или были ли скомпрометированы какие-либо контроллеры зон хранения.
Тем не менее предупреждение фактически совпадает с событиями предыдущих атак, направленных на корпоративное ПО для передачи и обмена файлами, как в случае с Clop и Progress MOVEit Transfer.
ShareFile предсталяет собой корпоративную платформу Progress Software для безопасного обмена файлами и совместной работы, которая позволяет клиентам размещать свои файлы в облачной инфраструктуре Progress.
Однако организации могут по своему усмотрению развернуть контроллеры зон хранения на локальных серверах Windows, чтобы файлы оставались размещенными локально в собственном хранилище организации, продолжая при этом использовать облачную платформу ShareFile для аутентификации, управления пользователями, совместного доступа и совместной работы.
В таких гибридных развертываниях облако ShareFile аутентифицирует пользователей и определяет, в какой зоне хранения находятся их файлы.
Когда пользователь загружает или скачивает файл, ShareFile направляет запрос контроллеру зоны хранения организации, который извлекает или сохраняет файл на собственном хранилище компании, прежде чем передать его пользователю.
Поскольку контроллеры зон хранения обрабатывают передачу файлов между облачной платформой и управляемым клиентом хранилищем, они, как правило, представляют собой серверы, доступные через Интернет.
Предупреждение, разосланное клиентам по электронной почте вчера вечером, озаглавлено «Сбой в работе сервиса. Требуются немедленные действия».
В электронном письме упоминается, что у компании есть основания полагать, что существует реальная внешняя угроза безопасности, нацеленная на контроллеры зон хранения ShareFile от Progress Software.
В настоящее время в Progress нет никаких сведений о несанкционированном доступе к каким-либо учетным записям или данным Progress ShareFile. В качестве меры предосторожности разработчики временно заблокировали доступ к учетным записям ShareFile, использующим контроллеры зон хранения.
Progress также рекомендует клиентам вручную выключать серверы Windows, на которых размещены контроллеры зон хранения, что указывает на то, что отключение доступа через облачную платформу ShareFile недостаточно для снижения угрозы.
Компания также ввела временные ограничения из «чрезмерной осторожности» в рамках взаимодействия с ИБ-экспертами в ходе расследования угрозы, и планирует предоставить клиентам еще одно обновление в течение 24 часов.
Разработчики по не сообщили, связана ли угроза с 0-day или были ли скомпрометированы какие-либо контроллеры зон хранения.
Тем не менее предупреждение фактически совпадает с событиями предыдущих атак, направленных на корпоративное ПО для передачи и обмена файлами, как в случае с Clop и Progress MOVEit Transfer.
Новая версия вредоносной ПО RedHook для Android задействует механизм беспроводной отладки Android (Wireless ADB) оригинальным способом для получения привилегий на уровне командной оболочки без необходимости подключения к компьютеру.
Исследователи Group-IB проанализировали новую версию мобильного вредоносного ПО и утверждают, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, задокументированным в 2025.
В то же время вредоносная ПО сохраняет свои функции RAT, позволяя транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.
ADB (Android Debug Bridge) - это отладочный интерфейс от Google, позволяющий пользователю управлять устройством Android из командной строки. Система, работающая на устройстве Android в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.
Беспроводной ADB, впервые представленный в Android 11, обеспечивает те же возможности по беспроводной связи, не требуя подключения устройств через USB-кабель.
По сути, RedHook превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему разрешения на доступ к спецвозможностям, которые позволяют автоматически управлять настройками, включать параметры разработчика и активировать беспроводную отладку.
После этого вредоносная ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).
После сопряжения она получает привилегии командной оболочки (UID 2000), которые значительно шире, чем у обычных приложений Android, хотя и не обеспечивают права root.
Вся цепочка атак не требует рутирования устройства, поэтому работает на всех устройствах Android, если пользователя обманом заставить дать согласие на запрос разрешения для службы спецвозможностей.
Далее вредоносная ПО использует основанную на Shizuku структуру для выполнения команд оболочки, предоставления себе дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений, а также выполнения различных операций без отображения диалоговых окон для пользователя.
В свою очередь, Shizuku - это легитимная утилита для Android, популярная среди продвинутых пользователей и разработчиков, и для её использования не требуется root-доступ к устройству.
RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android от имени пользователя с UID 2000.
Как отмечают в Group-IB, текущая версия вредоносного ПО поддерживает 53 команды, отправляемые сервером, обладая при этом различными механизмами закрепления вредоносного ПО в системе.
RedHook использует бесшумное воспроизведение звука для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим, а также две службы, которые перезапускают друг друга при завершении одной из них.
К другим механизмам относятся пятиминутный будильник таймера, автоматический перезапуск после загрузки устройства и установка параметра oom_score_adj в значение -1000 для снижения вероятности завершения работы системы при низком уровне доступной системной памяти.
Последняя версия RedHook распространяется посредством методов социнженерии, сообщений и телефонных звонков, в которых злоумышленники выдают себя за госучреждения или финансовые организации, направляя жертв на фейковые сайты Google Play.
Исследователи Group-IB проанализировали новую версию мобильного вредоносного ПО и утверждают, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, задокументированным в 2025.
В то же время вредоносная ПО сохраняет свои функции RAT, позволяя транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.
ADB (Android Debug Bridge) - это отладочный интерфейс от Google, позволяющий пользователю управлять устройством Android из командной строки. Система, работающая на устройстве Android в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.
Беспроводной ADB, впервые представленный в Android 11, обеспечивает те же возможности по беспроводной связи, не требуя подключения устройств через USB-кабель.
По сути, RedHook превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему разрешения на доступ к спецвозможностям, которые позволяют автоматически управлять настройками, включать параметры разработчика и активировать беспроводную отладку.
После этого вредоносная ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).
После сопряжения она получает привилегии командной оболочки (UID 2000), которые значительно шире, чем у обычных приложений Android, хотя и не обеспечивают права root.
Вся цепочка атак не требует рутирования устройства, поэтому работает на всех устройствах Android, если пользователя обманом заставить дать согласие на запрос разрешения для службы спецвозможностей.
Далее вредоносная ПО использует основанную на Shizuku структуру для выполнения команд оболочки, предоставления себе дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений, а также выполнения различных операций без отображения диалоговых окон для пользователя.
В свою очередь, Shizuku - это легитимная утилита для Android, популярная среди продвинутых пользователей и разработчиков, и для её использования не требуется root-доступ к устройству.
RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android от имени пользователя с UID 2000.
Как отмечают в Group-IB, текущая версия вредоносного ПО поддерживает 53 команды, отправляемые сервером, обладая при этом различными механизмами закрепления вредоносного ПО в системе.
RedHook использует бесшумное воспроизведение звука для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим, а также две службы, которые перезапускают друг друга при завершении одной из них.
К другим механизмам относятся пятиминутный будильник таймера, автоматический перезапуск после загрузки устройства и установка параметра oom_score_adj в значение -1000 для снижения вероятности завершения работы системы при низком уровне доступной системной памяти.
Последняя версия RedHook распространяется посредством методов социнженерии, сообщений и телефонных звонков, в которых злоумышленники выдают себя за госучреждения или финансовые организации, направляя жертв на фейковые сайты Google Play.
Group-IB
RedHook Returns with a Dangerous Upgrade
Group-IB analysts examine this resurfaced Android Remote Access Trojan, demonstrating new, sophisticated and malicious functionalities including autonomous privilege abuse, expanded command-and-control capabilities, and a robust persistence stack.
Исследователи Positive Technologies сообщают о новой волне кибератак CloudAtlas на Россию и Ирак с использованием цепочек легитимных веб-ресурсов.
В мае 2026 года Позитивы задетектили очередную кампанию APT CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.
При этом наряду с кибератаками на российские объекты ТЭК, ОПК и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.
Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в доменных зонах Бразилии, Аргентины и Индонезии.
Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами.
Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.
Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.
Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, извлекающий специально созданную директорию комплект дополнительных вредоносных модулей: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs
Закрепление в скомпрометированной системе реализовывалось путем прописывания в ключе реестра Windows команды автозапуска VBS-скрипта WebCachea54.vbs.
Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте извлекает из JFM-файла VBS-скрипт, выступающий дроппером третьей стадии.
Он также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.
Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет на зараженном хосте: сбор и эксфильтрацию системной информации.
После чего, используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом.
Осуществляет XOR-расшифровку загруженной полезной нагрузки и закрепляет ее в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows.
При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.
Итоговой полезной нагрузкой, загружаемой VBS-лоадером, выступают инструменты из арсенала CloudAtlas - загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2 через Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.
Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей.
Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов.
Все технические подробности и IOCs - в отчете.
В мае 2026 года Позитивы задетектили очередную кампанию APT CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.
При этом наряду с кибератаками на российские объекты ТЭК, ОПК и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.
Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в доменных зонах Бразилии, Аргентины и Индонезии.
Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами.
Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.
Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.
Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, извлекающий специально созданную директорию комплект дополнительных вредоносных модулей: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs
Закрепление в скомпрометированной системе реализовывалось путем прописывания в ключе реестра Windows команды автозапуска VBS-скрипта WebCachea54.vbs.
Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте извлекает из JFM-файла VBS-скрипт, выступающий дроппером третьей стадии.
Он также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.
Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет на зараженном хосте: сбор и эксфильтрацию системной информации.
После чего, используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом.
Осуществляет XOR-расшифровку загруженной полезной нагрузки и закрепляет ее в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows.
При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.
Итоговой полезной нагрузкой, загружаемой VBS-лоадером, выступают инструменты из арсенала CloudAtlas - загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2 через Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.
Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей.
Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов.
Все технические подробности и IOCs - в отчете.
Хабр
CloudAtlas. Новая волна кибератак на Россию и Ирак с использованием цепочек легитимных веб-ресурсов
В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT-группировки CloudAtlas, в рамках которой использовались...
Исследователи Jamf расчехлили новое вредоносное ПО для macOS под названием CrashStealer, предназначенное для кражи информации, которое выдает себя за инструмент Apple для отправки отчетов о сбоях.
Вредоносную ПО удалось отследить в мае, когда она, по-видимому, еще находилась в разработке, но в начале июля начала активно применяться в атаках.
CrashStealer обладает типичным для подобных ПО набором функций, ориентированным на менеджеры паролей и более чем 80 расширений для криптокошельков.
Бинарная версия стилера CrashStealer имитирует системный компонент Apple, принимая имя «CrashReporter.app», пытаясь таким образом избежать проверки пользователями и, возможно, средств защиты.
Помимо названия, также создает LaunchAgent с именем com.apple.crashreporter.helper, использует значок и метаданные легитимного инструмента, чтобы максимально имитировать его внешний вид.
По данным Jamf, вредоносная ПО доставляется через подписанный и заверенный Apple установщик (Werkbit Setup). Это позволяет обходить Gatekeeper, встроенную антивирусную программу macOS, без каких-либо предупреждений.
При запуске вредоносная ПО отображает фейковый запрос пароля macOS, чтобы убедить пользователей в том, что они разрешают законную системную операцию, требующую прав администратора. Это позволяет разблокировать связку ключей пользователя, которая содержит локально хранящиеся секреты.
После ввода пароля вредоносная ПО проверяет его локально с помощью команды dscl (командная строка службы каталогов). Если пароль неверен, CrashStealer возвращает ошибку аутентификации, предлагая пользователю ввести его снова.
Помимо данных из связки ключей, CrashStealer также нацелен на: браузеры на основе Chromium и Firefox, 80 расширений для криптокошельков (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr и Solflare), 14 менеджеров паролей (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm), а также файлы из пользовательских каталогов, игнорируя большие медиафайлы, установочные файлы и системные каталоги.
Перед извлечением украденных данных CrashStealer шифрует их с помощью AES-256-GCM, упаковывает в скрытые ZIP-архивы и загружает сжатые данные на сервер C2 с помощью библиотеки libcurl.
В Jamf утверждают, что, несмотря на частичное совпадение целей с другими семействами стилеров (например, Atomic, MacSync и Phexia), CrashStealer отличается от них механизмом шифрования на стороне клиента и собственной реализацией на C++.
Jamf пока не предоставила подробностей о точном методе первоначального распространения CrashStealer, но отметила, что полезная нагрузка первого этапа (Werkbit Setup) размещена на поддельном сайте ПО, зарегистрированном в конце июня.
Загрузка вредоносного ПО осуществляется с помощью PIN-кода, который указывает на то, что кампания доступна только тем посетителям, которые предоставят правильный код.
Исследователи утверждают, что CrashStealer представляет собой тщательно спланированную операцию, ориентированную на скрытность, с использованием подписанного и заверенного вредоносного ПО-дроппера, а также полезной нагрузки, которая повторно подписывает себя для обеспечения постоянного присутствия в системе.
Цель процесса переподписи - перезаписать данные цифровой подписи в бинарном файле, в результате чего файл будет иметь другой хеш, несмотря на то, что сам код останется неизменным.
IOCs и более подробная информация об инфраструктуре доставки и артефактах файловой системы - в отчете.
Вредоносную ПО удалось отследить в мае, когда она, по-видимому, еще находилась в разработке, но в начале июля начала активно применяться в атаках.
CrashStealer обладает типичным для подобных ПО набором функций, ориентированным на менеджеры паролей и более чем 80 расширений для криптокошельков.
Бинарная версия стилера CrashStealer имитирует системный компонент Apple, принимая имя «CrashReporter.app», пытаясь таким образом избежать проверки пользователями и, возможно, средств защиты.
Помимо названия, также создает LaunchAgent с именем com.apple.crashreporter.helper, использует значок и метаданные легитимного инструмента, чтобы максимально имитировать его внешний вид.
По данным Jamf, вредоносная ПО доставляется через подписанный и заверенный Apple установщик (Werkbit Setup). Это позволяет обходить Gatekeeper, встроенную антивирусную программу macOS, без каких-либо предупреждений.
При запуске вредоносная ПО отображает фейковый запрос пароля macOS, чтобы убедить пользователей в том, что они разрешают законную системную операцию, требующую прав администратора. Это позволяет разблокировать связку ключей пользователя, которая содержит локально хранящиеся секреты.
После ввода пароля вредоносная ПО проверяет его локально с помощью команды dscl (командная строка службы каталогов). Если пароль неверен, CrashStealer возвращает ошибку аутентификации, предлагая пользователю ввести его снова.
Помимо данных из связки ключей, CrashStealer также нацелен на: браузеры на основе Chromium и Firefox, 80 расширений для криптокошельков (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr и Solflare), 14 менеджеров паролей (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm), а также файлы из пользовательских каталогов, игнорируя большие медиафайлы, установочные файлы и системные каталоги.
Перед извлечением украденных данных CrashStealer шифрует их с помощью AES-256-GCM, упаковывает в скрытые ZIP-архивы и загружает сжатые данные на сервер C2 с помощью библиотеки libcurl.
В Jamf утверждают, что, несмотря на частичное совпадение целей с другими семействами стилеров (например, Atomic, MacSync и Phexia), CrashStealer отличается от них механизмом шифрования на стороне клиента и собственной реализацией на C++.
Jamf пока не предоставила подробностей о точном методе первоначального распространения CrashStealer, но отметила, что полезная нагрузка первого этапа (Werkbit Setup) размещена на поддельном сайте ПО, зарегистрированном в конце июня.
Загрузка вредоносного ПО осуществляется с помощью PIN-кода, который указывает на то, что кампания доступна только тем посетителям, которые предоставят правильный код.
Исследователи утверждают, что CrashStealer представляет собой тщательно спланированную операцию, ориентированную на скрытность, с использованием подписанного и заверенного вредоносного ПО-дроппера, а также полезной нагрузки, которая повторно подписывает себя для обеспечения постоянного присутствия в системе.
Цель процесса переподписи - перезаписать данные цифровой подписи в бинарном файле, в результате чего файл будет иметь другой хеш, несмотря на то, что сам код останется неизменным.
IOCs и более подробная информация об инфраструктуре доставки и артефактах файловой системы - в отчете.
Jamf
CrashStealer: C++ macOS Infostealer Posing as Crash Reporter
Jamf Threat Labs analyzes CrashStealer, a macOS infostealer in native C++ that steals browser data, crypto wallets and keychain secrets using AES-GCM encryption.