SecAtor
41.4K subscribers
804 photos
88 videos
12 files
7.74K links
Руки-ножницы российского инфосека.

Для связи - mschniperson@mailfence.com
Download Telegram
Microsoft сообщает, что на протяжении более восьми месяцев отлеживаемый ими злоумышленник использует бэкдор и вайпер, обладающие многочисленными возможностями саботажа на системном уровне.

Вредоносная ПО получила название GigaWiper и представляет собой сложный бэкдор на Go, состоящий из нескольких семейств вредоносных ПО и обладающий мощными возможностями по части С2.

По данным Microsoft, GigaWiper была замаскирована под команды бэкдора, запускаемые по запросу, что позволяло злоумышленнику реализовать автономный инструмент, поддерживая функционал шифрования, аналогично ransomware, и удаления в несколько проходов.

Объединение множества разрушительных возможностей в модульный бэкдор отражает заметный сдвиг в развитии вредоносных программ-вайперов, которые, как правило, предназначены исключительно для уничтожения, а не для вымогательства и причинения реальных последствий.

Впервые обнаруженная в октябре 2025 года, GigaWiper содержит модуль очистки, работающий на уровне физических дисков.

Он перечисляет диски с помощью инструментария управления Windows (WMI) для идентификации раздела Windows, удаляет ссылки на разделы с дисков, не относящихся к Windows, чистит каждый диск, а затем перезагружает систему.

Компонент бэкдора GigaWiper также содержит аналогичную функциональность удаления данных, включая идентичный поток кода и имена функций. Кроме того, он устанавливает постоянное соединение и связь с C2 с использованием RabbitMQ и Redis.

На основе полученных команд он может запустить программу удаления данных, вызвать синий экран смерти (BSOD), загрузить файлы на удаленный сервер с помощью MinIO Client, запустить исполняемый файл, выполнять команды PowerShell, делать снимки экрана, записывать видео с экрана, собирать информацию о системе и вызывать команду для удаления установки Windows.

Бэкдор также поддерживает две команды шифрования файлов: одна является деструктивной, поскольку использует случайные ключи шифрования, которые никогда не сохраняются, а другая нацелена на шифрование и расшифровку файлов в больших объемах.

Кроме того, GigaWiper способен запускать различные менеджеры процессов, реестра, маршрутов RabbitMQ и служб, зачищать журналы Windows и запускать сервер, предоставляя злоумышленникам удаленный контроль над зараженной системой.

Команды удаления данных, реализованные в бэкдоре, берутся из отдельных, более старых вредоносных ПО, ранее использовавшихся злоумышленником, и объединены в один имплант с добавленными возможностями бэкдора.

Судя по коду шифрования, GigaWiper, по всей видимости, был создан разработчиком программы-вымогателя Crucio, но также демонстрирует связь с FlockWiper, появившимся в июне 2025 года и имеющим идентичную функцию очистки, портированную на Go.

Как отмечает Microsoft, GigaWiper - это бэкдор с широкими операционными возможностями, позволяющими злоумышленнику сохранять контроль над зараженными системами, выполнять команды, развертывать дополнительные инструменты и, в конечном итоге, запускать одну из множества разрушительных команд по запросу.

Он позволяет злоумышленнику действовать гибко, обеспечивая как скрытую шпионскую деятельность, так и разрушительные операции по удалению данных.
Forwarded from Russian OSINT
🥷 Экстрадированный в США гражданин Армении признал вину в кибератаках с использованием программы-вымогателя 💻Ryuk

Тридцатичетырехлетний гражданин Армении Карен Серобович Варданян, ранее экстрадированный из 🇺🇦Украины в 🇺🇸Соединенные Штаты, официально признал в федеральном суде округа Орегон свою вину в компьютерном мошенничестве и преступном сговоре с целью вымогательства. По данным Министерства юстиции США, с ноября 2019 года по апрель 2020 года Варданян незаконно получал доступ к сетям американских организаций и развёртывал программу-вымогатель Ryuk. Шифровальщик блокировал доступ к данным на скомпрометированных серверах и рабочих станциях, после чего злоумышленники требовали выкуп в биткоинах за ключи для расшифровки.

По версии обвинения, Варданян действовал совместно с гражданами Украины Олегом Николаевичем Люлявой и Андреем Леонидовичем Приходченко, а также гражданином Армении Левоном Георгиевичем Аветисяном. Среди целей фигурировали технологическая компания из Уилсонвилла в штате Орегон, школа в Техасе и предприятие из Мичигана. Последняя жертва выплатила злоумышленникам 200 биткоинов.

Прокуратура утверждает, что Варданян и его сообщники развернули Ryuk на сотнях скомпрометированных серверов и рабочих станций. Предполагается, что участники преступной схемы получили около 1 610 биткоинов, стоимость которых на момент выплаты превышала $15 млн. В прессе также отмечалось, что Ryuk применялся против тысяч организаций по всему миру. С Ryuk также связывали атаку на сеть медицинских учреждений Universal Health Services и компрометацию Electronic Warfare Associates.

⚖️ Оглашение приговора назначено на 22 сентября 2026 года. По двум эпизодам, по которым Варданян признал вину, ему теоретически грозит до 15 лет лишения свободы, штрафы на общую сумму до $500 000 и до трёх лет надзора после освобождения.

В рамках сделки он согласился выплатить пострадавшим свыше $1,1 млн в качестве реституции. По данным CyberScoop, Варданян также признал, что обвинительный приговор повлечёт иммиграционные последствия и его последующее выдворение из США после отбытия наказания.

@Russian_OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость в ядре Linux оставалась скрытой практически во всех основных дистрибутивах Linux более 15 лет, прежде чем была исправлена в начале этого года.

Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.

За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.

По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.

GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.

Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.

Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.

Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.

Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.

По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.

Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.

Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.

Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.

Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.

Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.

Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.

Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
Исследователи Лаборатории Касперского рассказали, как работает спецификация Device Authorization Grant (Device Authorization Grant Flow или Device Code Flow), провели анализ реальных атак с ее использованием, а также объяснили, как защититься от Device Code Phishing.

Одна из наиболее распространенных рекомендаций по защите от фишинга - проверять доменное имя сайта, который запрашивает учетные данные.

Как правило, нелегитимный домен можно распознать невооруженным взглядом: он будет отличаться от официального хотя бы несколькими символами.

Однако недавно в ЛК столкнулись со схемой, где злоумышленник предлагает жертве вводить данные на легитимном ресурсе известной компании.

Речь о «Платформе удостоверений Microsoft» (Microsoft Identity Platform), в которой поддерживается спецификация протокола OAuth 2.0 под названием Device Authorization Grant.

Эта спецификация разрабатывалась для удобства пользователей умных телевизоров, IoT-девайсов, принтеров и других устройств с ограниченным вводом, без полноценного браузера или клавиатуры.

Она позволяет авторизовать такое устройство для доступа к ресурсам пользователя через смартфон или ПК. Для этого пользователю нужно ввести одноразовый код на специальной странице авторизации.

Этот код вместе со ссылкой, где нужно его ввести, выдает Microsoft Identity Platform в ответ на запрос https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode, поэтому сценарий атаки, злоупотребляющий этим механизмом, называется Device Code Phishing.

В фишинговой кампании, которую в ЛК наблюдали с начала апреля по середину мая 2026 года, письмо было стилизовано под уведомление от юридической фирмы. К письму был приложен PDF-файл, защищенный паролем.

После открытия PDF-файла и ввода пароля пользователь видел страницу со списком документов, но для их просмотра нужно было перейти по ссылке.

Если обратить внимание на ссылку, по которой предлагалось перейти, то вместо привычного фишингового ресурса можно увидеть легальный адрес Microsoft. Но в параметры ссылки была включена переадресация на фишинговый ресурс.

Ссылка перенаправляла пользователя на фишинговую страницу, мимикрирующую под юридический портал. Интересно, что на такой странице было несколько капчей, - видимо, чтобы отсекать краулеры.

После их прохождения пользователь попадал еще на одну страницу, на которой предлагалось скопировать одноразовый код - user_code, который приложение на сервере/стороне злоумышленников получило путем запроса на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode.

Когда пользователь нажимал на отображаемый одноразовый код, тот копировался в буфер обмена, а сам пользователь перенаправлялся на подлинную страницу авторизации Microsoft (verification_uri), где и предлагалось ввести полученный код.

Если пользователь вводил код, начинался процесс Device Authorization Grant. Ничего не подозревающая жертва проходила полную MFA-авторизацию на официальной странице Microsoft.

После завершения этого процесса злоумышленник получал доступ к access_token, refresh_token и id_token, что позволяло ему, например, читать и отсылать письма с почтового ящика жертвы, а также получить доступ к файлам OneDrive и сообщениям в Teams.

Описанная фишинговая рассылка не имела массового характера и продлилась чуть больше месяца. Однако сам метод злоумышленники используют до сих пор, адаптируя под конкретные регионы.

В ЛК зафиксировали немного модифицированные атаки класса Device Code Phishing, нацеленные, в частности, на бразильских пользователей.

В этом письме не было вложенного PDF. Вместо этого была ссылка на легитимный ресурс cacoo.com (платформа компании Nulab для создания диаграмм), которая, как и в ранее описанной схеме, перенаправляла пользователя на фишинговый сайт.

Другие технические подробности и практические рекомендации по защите от Device Code Phishing - в отчете.
Progress Software в срочном порядке призывает своих клиентов немедленно отключить серверы ShareFile, мотивируя это «реальной внешней угрозой безопасности», нацеленной на это локальное ПО.

ShareFile предсталяет собой корпоративную платформу Progress Software для безопасного обмена файлами и совместной работы, которая позволяет клиентам размещать свои файлы в облачной инфраструктуре Progress.

Однако организации могут по своему усмотрению развернуть контроллеры зон хранения на локальных серверах Windows, чтобы файлы оставались размещенными локально в собственном хранилище организации, продолжая при этом использовать облачную платформу ShareFile для аутентификации, управления пользователями, совместного доступа и совместной работы.

В таких гибридных развертываниях облако ShareFile аутентифицирует пользователей и определяет, в какой зоне хранения находятся их файлы.

Когда пользователь загружает или скачивает файл, ShareFile направляет запрос контроллеру зоны хранения организации, который извлекает или сохраняет файл на собственном хранилище компании, прежде чем передать его пользователю.

Поскольку контроллеры зон хранения обрабатывают передачу файлов между облачной платформой и управляемым клиентом хранилищем, они, как правило, представляют собой серверы, доступные через Интернет.

Предупреждение, разосланное клиентам по электронной почте вчера вечером, озаглавлено «Сбой в работе сервиса. Требуются немедленные действия».

В электронном письме упоминается, что у компании есть основания полагать, что существует реальная внешняя угроза безопасности, нацеленная на контроллеры зон хранения ShareFile от Progress Software.

В настоящее время в Progress нет никаких сведений о несанкционированном доступе к каким-либо учетным записям или данным Progress ShareFile. В качестве меры предосторожности разработчики временно заблокировали доступ к учетным записям ShareFile, использующим контроллеры зон хранения.

Progress также рекомендует клиентам вручную выключать серверы Windows, на которых размещены контроллеры зон хранения, что указывает на то, что отключение доступа через облачную платформу ShareFile недостаточно для снижения угрозы.

Компания также ввела временные ограничения из «чрезмерной осторожности» в рамках взаимодействия с ИБ-экспертами в ходе расследования угрозы, и планирует предоставить клиентам еще одно обновление в течение 24 часов.

Разработчики по не сообщили, связана ли угроза с 0-day или были ли скомпрометированы какие-либо контроллеры зон хранения.

Тем не менее предупреждение фактически совпадает с событиями предыдущих атак, направленных на корпоративное ПО для передачи и обмена файлами, как в случае с Clop и Progress MOVEit Transfer.
Новая версия вредоносной ПО RedHook для Android задействует механизм беспроводной отладки Android (Wireless ADB) оригинальным способом для получения привилегий на уровне командной оболочки без необходимости подключения к компьютеру.

Исследователи Group-IB проанализировали новую версию мобильного вредоносного ПО и утверждают, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, задокументированным в 2025.

В то же время вредоносная ПО сохраняет свои функции RAT, позволяя транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.

ADB (Android Debug Bridge) - это отладочный интерфейс от Google, позволяющий пользователю управлять устройством Android из командной строки. Система, работающая на устройстве Android в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.

Беспроводной ADB, впервые представленный в Android 11, обеспечивает те же возможности по беспроводной связи, не требуя подключения устройств через USB-кабель.

По сути, RedHook превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему разрешения на доступ к спецвозможностям, которые позволяют автоматически управлять настройками, включать параметры разработчика и активировать беспроводную отладку.

После этого вредоносная ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).

После сопряжения она получает привилегии командной оболочки (UID 2000), которые значительно шире, чем у обычных приложений Android, хотя и не обеспечивают права root.

Вся цепочка атак не требует рутирования устройства, поэтому работает на всех устройствах Android, если пользователя обманом заставить дать согласие на запрос разрешения для службы спецвозможностей.

Далее вредоносная ПО использует основанную на Shizuku структуру для выполнения команд оболочки, предоставления себе дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений, а также выполнения различных операций без отображения диалоговых окон для пользователя.

В свою очередь, Shizuku - это легитимная утилита для Android, популярная среди продвинутых пользователей и разработчиков, и для её использования не требуется root-доступ к устройству.

RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android от имени пользователя с UID 2000.

Как отмечают в Group-IB, текущая версия вредоносного ПО поддерживает 53 команды, отправляемые сервером, обладая при этом различными механизмами закрепления вредоносного ПО в системе.

RedHook использует бесшумное воспроизведение звука для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим, а также две службы, которые перезапускают друг друга при завершении одной из них.

К другим механизмам относятся пятиминутный будильник таймера, автоматический перезапуск после загрузки устройства и установка параметра oom_score_adj в значение -1000 для снижения вероятности завершения работы системы при низком уровне доступной системной памяти.

Последняя версия RedHook распространяется посредством методов социнженерии, сообщений и телефонных звонков, в которых злоумышленники выдают себя за госучреждения или финансовые организации, направляя жертв на фейковые сайты Google Play.
Исследователи Positive Technologies сообщают о новой волне кибератак CloudAtlas на Россию и Ирак с использованием цепочек легитимных веб-ресурсов.

В мае 2026 года Позитивы задетектили очередную кампанию APT CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.

При этом наряду с кибератаками на российские объекты ТЭК, ОПК и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.

Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в доменных зонах Бразилии, Аргентины и Индонезии.

Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами.

Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.

Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.

Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, извлекающий специально созданную директорию комплект дополнительных вредоносных модулей: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs

Закрепление в скомпрометированной системе реализовывалось путем прописывания в ключе реестра Windows команды автозапуска VBS-скрипта WebCachea54.vbs.

Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте извлекает из JFM-файла VBS-скрипт, выступающий дроппером третьей стадии.

Он также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.

Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет на зараженном хосте: сбор и эксфильтрацию системной информации.

После чего, используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом.

Осуществляет XOR-расшифровку загруженной полезной нагрузки и закрепляет ее в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows.

При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.

Итоговой полезной нагрузкой, загружаемой VBS-лоадером, выступают инструменты из арсенала CloudAtlas - загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2 через Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.

Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей.

Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов.

Все технические подробности и IOCs - в отчете.
Исследователи Jamf расчехлили новое вредоносное ПО для macOS под названием CrashStealer, предназначенное для кражи информации, которое выдает себя за инструмент Apple для отправки отчетов о сбоях.

Вредоносную ПО удалось отследить в мае, когда она, по-видимому, еще находилась в разработке, но в начале июля начала активно применяться в атаках.

CrashStealer обладает типичным для подобных ПО набором функций, ориентированным на менеджеры паролей и более чем 80 расширений для криптокошельков.

Бинарная версия стилера CrashStealer имитирует системный компонент Apple, принимая имя «CrashReporter.app», пытаясь таким образом избежать проверки пользователями и, возможно, средств защиты.

Помимо названия, также создает LaunchAgent с именем com.apple.crashreporter.helper, использует значок и метаданные легитимного инструмента, чтобы максимально имитировать его внешний вид.

По данным Jamf, вредоносная ПО доставляется через подписанный и заверенный Apple установщик (Werkbit Setup). Это позволяет обходить Gatekeeper, встроенную антивирусную программу macOS, без каких-либо предупреждений.

При запуске вредоносная ПО отображает фейковый запрос пароля macOS, чтобы убедить пользователей в том, что они разрешают законную системную операцию, требующую прав администратора. Это позволяет разблокировать связку ключей пользователя, которая содержит локально хранящиеся секреты.

После ввода пароля вредоносная ПО проверяет его локально с помощью команды dscl (командная строка службы каталогов). Если пароль неверен, CrashStealer возвращает ошибку аутентификации, предлагая пользователю ввести его снова.

Помимо данных из связки ключей, CrashStealer также нацелен на: браузеры на основе Chromium и Firefox, 80 расширений для криптокошельков (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr и Solflare), 14 менеджеров паролей (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm), а также файлы из пользовательских каталогов, игнорируя большие медиафайлы, установочные файлы и системные каталоги.

Перед извлечением украденных данных CrashStealer шифрует их с помощью AES-256-GCM, упаковывает в скрытые ZIP-архивы и загружает сжатые данные на сервер C2 с помощью библиотеки libcurl.

В Jamf утверждают, что, несмотря на частичное совпадение целей с другими семействами стилеров (например, Atomic, MacSync и Phexia), CrashStealer отличается от них механизмом шифрования на стороне клиента и собственной реализацией на C++.

Jamf пока не предоставила подробностей о точном методе первоначального распространения CrashStealer, но отметила, что полезная нагрузка первого этапа (Werkbit Setup) размещена на поддельном сайте ПО, зарегистрированном в конце июня.

Загрузка вредоносного ПО осуществляется с помощью PIN-кода, который указывает на то, что кампания доступна только тем посетителям, которые предоставят правильный код.

Исследователи утверждают, что CrashStealer представляет собой тщательно спланированную операцию, ориентированную на скрытность, с использованием подписанного и заверенного вредоносного ПО-дроппера, а также полезной нагрузки, которая повторно подписывает себя для обеспечения постоянного присутствия в системе.

Цель процесса переподписи - перезаписать данные цифровой подписи в бинарном файле, в результате чего файл будет иметь другой хеш, несмотря на то, что сам код останется неизменным.

IOCs и более подробная информация об инфраструктуре доставки и артефактах файловой системы - в отчете.
По меньшей мере два разных злоумышленника используют новый метод обхода защиты, называемый подменой идентификатора клиента OAuth, для валидации украденных учетных данных Microsoft Entra, уклоняясь при этом от сбора телеметрии.

Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.

Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.

Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.

Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.

Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.

Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.

Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.

При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.

Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).

В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.

В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.

Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:

- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.

- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.

В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.

Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.

UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
В киберподполье, по всей видимости, засветилась база данных, содержащая 182 млн. записей о пользователях телеги с личными идентификаторами.

Как передает Cybernews, злоумышленники выставили на продажу в даркнете текстовый файл размером 41,1 ГБ и предоставил 60 образцов записей, которые принадлежат преимущественно русскоязычным пользователям и могли быть собраны из онлайн-сервисов или ТГ-каналов, а не из единого источника.

Выборка включает следующие данные: имена пользователей, номера телефонов, идентификаторы пользователей, а в некоторых случаях - полные имена.

Однако, на основании предоставленных образцов данных, как отмечают исследователи, перепроверить заявленный объем невозможно.
Microsoft выкатила рекордный PatchTuesday за июль 2026 года с исправлениями для 570 уязвимостей, включая две 0-day, используемые в атаках, и одну, публично раскрытую.

В рамках обновления PatchTuesday устранено 59 критических уязвимостей, 48 из которых представляют собой RCE, 9 - EoP, 1 - обход системы безопасности и 1 - подмену IP.

Распределение исправленных проблем по категориям представлено следующим образом: 254 - EoP, 17 - обход функции безопасности, 145 - RCE, 102 - раскрытие информации, 35 - DoS и 16 - подмена данных.

В число выявленных уязвимостей не вошли ошибки в Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, которые были исправлены Microsoft ранее в этом месяце.

Также в этом месяце Google исправила 468 серьезных уязвимостей в Microsoft Edge/Chromium, которые также не были включены в PatchTuesday.

На прошлой неделе Microsoft предупредила об увеличении количества исправлений в рамках PatchTuesday, поскольку начала использовать систему обнаружения уязвимостей в коде Windows на основе ИИ.

В числе названных микромягкие закрыли три нуля, два из которых использовались в атаках, а одна была публично раскрыта. Среди первых двух:

- CVE-2026-56155: уязвимость повышения привилегий в службах федерации Active Directory.

Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному злоумышленнику повысить привилегии локально.

Обнаружение приписывается экспертам из группы обнаружения и реагирования Microsoft (DART), которые выявили проблемы, по всей видимости, в ходе расследования активных атак. Однако Microsoft не раскрыла подробностей о том, как именно была использована уязвимость.

- CVE-2026-56164: уязвимость повышения привилегий в Microsoft SharePoint Server.

Как отмечает Microsoft, отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику повысить свои привилегии в сети.

Включение интерфейса сканирования вредоносных программ (AMSI) на сервере и установка режима сканирования тела запроса на «Полный» позволяет устранить эту уязвимость. Подробности о том, как именно эта уязвимость была использована в атаках, также пока не разглашаются.

Microsoft приписала обнаружение исследователям Mandiant Incident Response, Google Cloud, FLARE OTF, а также еще одному анонимному исследователю.

И, наконец, третья публично обнародованная 0-day - это CVE-2026-50661, которая представляет собой уязвимость обхода функции безопасности BitLocker в Windows и позволяет злоумышленникам, имеющим физический доступ к целевому объекту, расшифровать данные на системном запоминающем устройстве. Обнаружение приписывается анонимному исследователю.

Полное описание каждой уязвимости и затронутых ею систем - здесь.
Forwarded from Social Engineering
Очень объемное руководство по обеспечению безопасности сервера GNU/Linux. Отличный материал, который можно использовать как чек-лист. Основные темы:

SSH Server;
The Network;
The Auditing;
The Danger Zone;
The Miscellaneous.

https://github.com/How-To-Secure-A-Linux-Server

S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
SonicWall предупреждает клиентов об атаках на SMA1000 с использованием двух 0-day, которые отслеживаются как CVE-2026-15409 и CVE-2026-15410.

CVE-2026-15409 - это критическая (CVSS 10.0) SSRF-уязвимость в интерфейсе SMA1000 Appliance Work Place, которая позволяет удаленному неаутентифицированному злоумышленнику заставить устройство отправлять запросы в непредусмотренные места.

CVE-2026-15410 представляет собой уязвимость высокой степени серьезности (CVSS 7.2), связанную с внедрением кода после аутентификации в консоли управления устройством SMA1000, которая предоставляет удаленному авторизованному администратору возможность выполнять произвольные команды ОС.

Несмотря на то, что для уязвимости CVE-2026-15410 требуются права администратора, SonicWall присвоила этому уведомлению общую оценку CVSS 10,0.

В SonicWall PSIRT провели расследование нескольких инцидентов и подтвердили, что обе уязвимости активно используются злоумышленниками. Однако не сообщила, объединяют ли злоумышленники эти проблемы в цепочку.

Компания настоятельно рекомендует пользователям как можно скорее обновить систему до версии с исправлением, чтобы устранить эти уязвимости.

Уязвимости затрагивают модели SMA1000 6210, 7210 и 8200v, работающие под управлением исправлений платформы версий 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 и 12.5.0-02800. Исправления доступны в версиях 12.4.3-03453 и 12.5.0-02835, а также в более поздних.

При этом как заявляет SonicWall, уязвимости не влияют на работу SSL-VPN на межсетевых экранах SonicWall или продуктах серии SMA 100.

Компания также поделилась IOCs, которые администраторы могут использовать для определения того, было ли устройство скомпрометировано, в частности:

- Если в файле extraweb_access.log упоминаются запросы к /__api__/login или /__api__/logout со статусом HTTP 200;
- Если в файле extraweb_access.log упоминаются запросы к /wsproxy с подозрительными параметрами хоста и HTTP-статусом 101;
- Если в файле ctrl-service.log упоминаются откаты исправлений с именами, полученными путем обхода пути;
- Если файл /var/lib/unit/conf.json содержит маршруты для /__api__/login или /__api__/logout (эти URI отсутствуют в допустимой конфигурации).

В случае обнаружения взлома устройства SonicWall рекомендует администраторам переустановить ОС на физических устройствах или повторно развернуть виртуальные устройства, изменить все пароли пользователей и администраторов, а также сбросить токены TOTP.

Причем помимо установки исправлений, других способов устранения этих уязвимостей нет. CISA добавила обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив, что они активно используются в атаках.
Как и ожидалось, анонимный исследователь Chaotic Eclipse (Nightmare-Eclipse) выпустил новый PoC-эксплойт LegacyHive для очередной 0-day спустя несколько часов после выхода июльского PatchTuesday.

На этот раз это уязвимость, позволяющая произвольно загружать раздел реестра и повышать привилегии в службе профилей пользователей Windows.

Служба профилей пользователей Windows, также известная как ProfSvc, является основным системным компонентом, управляющим учетными записями пользователей и средами.

Как отмечает Chaotic Eclipse, для проверки концепции требуется еще одни стандартные учетные данные пользователя и третье имя пользователя (которое может быть учетной записью администратора). В случае успеха она в конечном итоге смонтирует раздел реестра целевого пользователя в корневой каталог текущих классов пользователей.

Исследователь заявил, что эксплойт был упрощен, чтобы предотвратить его публичное использование, добавив, что первоначальный эксплойт не требовал дополнительных учетных данных пользователя и не ограничивался разделом usrclass.dat.

Примечательно, что это обновление работает на всех поддерживаемых версиях Windows для настольных компьютеров и серверов с последними обновлениями PatchTuesday за июль 2026 года.

Батл между Chaotic Eclipse и Microsoft продолжается как минимум с апреля 2026 года. Исследователь публиковал подробности многочисленных уязвимостей ещё до того, как микромягкие успевали их исправить в ответ на некорректную практику раскрытия уязвимостей последних.

Причем три из них в Microsoft Defender были активно использованы вскоре после их публичного раскрытия. Ранее в этом месяце Microsoft выпустила обновления для еще одной уязвимости Defender, известной как RoguePlanet, о которой сообщил исследователь.

Однако выяснилось, что недавно выпущенные «углубленные обновления защиты» для устранения этой уязвимости могут привести к утечке 8 байт данных Microsoft Defender при попытке открыть файл в определенных сценариях.

На текущий момент Microsoft инициировала расследование по поводу новой LegacyHive. Так что игра в догонялки продолжается и вряд ли закончится в ближайшее время. Но в любом расследовании, как говорят, главное не выйти на самих себя, так что будем следить.
Mindgard сообщает, что до сих пор неисправленная уязвимость в Cursor на Windows может привести к выполнению кода, когда разработчик открывает репозиторий в приложении.

Cursor - одна из самых популярных сред разработки с использованием ИИ, насчитывающая более 7 млн. активных пользователей.

Уязвимость в системе безопасности проста: при открытии репозитория Cursor автоматически запускал вредоносный исполняемый файл git.exe в корневой директории проекта, не предупреждая пользователя и не запрашивая его разрешения.

Уязвимость не является теоретической и не зависит от сложной цепочки эксплуатации, внедрения уязвимостей, манипулирования моделями, взлома системы, повреждения памяти или изощренных методов злоумышленника.

Для эксплуатации достаточно просто открыть проект, содержащий исполняемый файл git.exe, в корневом каталоге репозитория.

По данным Mindgard, проблема обусловлена тем, что при загрузке проекта Cursor ищет исполняемые файлы Git в нескольких местах, включая само рабочее пространство.

Если злоумышленник внедрит вредоносный файл git.exe в корневой каталог репозитория, Cursor автоматически запустит его в рамках своей логики разрешения путей без предупреждения, одобрения или даже указания на то, что исполняемый файл из репозитория собирается быть запущен.

Mindgard публично сообщила об уязвимости после того, как 15 декабря 2025 года уведомила об этом компанию Cursor, но в течение семи месяцев не получила никакого ответа относительно возможного обновления.

В компании заявляют, что в январе директор по ИБ Cursor пригласил Mindgard принять участие в программе поиска уязвимостей на HackerOne, где обнаруженная уязвимость была повторно зарегистрирована и подтверждена как воспроизводимая, но ответа от Cursor они так и не получили.