Уязвимость в ядре Linux оставалась скрытой практически во всех основных дистрибутивах Linux более 15 лет, прежде чем была исправлена в начале этого года.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
Уязвимость отслеживается как CVE-2026-43499 и получила название GhostLock. Она может быть использована непривилегированным локальным злоумышленником для получения прав root и выхода из контейнеров.
За ее обнаружение исследователи Nebula Security получили вознаграждение в размере 92 337 долл. по программе kernelCTF от Google.
По данным Nebula, ошибка может быть использована для повышения привилегий с заявленной вероятностью успеха в 97%. GhostLock был представлен в Linux 2.6.39 в 2011 году и оставался в ядре до тех пор, пока не был исправлен в Linux 7.1, затронув все основные дистрибутивы.
GhostLock обусловлена проблемой в коде блокировки мьютекса реального времени (rtmutex) ядра, используемом механизмом наследования приоритетов futex.
Из-за некорректной операции очистки ядро может сохранять висячую ссылку на память в стеке потока даже после того, как эта память перестает быть действительной.
Затем злоумышленник может освободить эту память с помощью контролируемых данных, в конечном итоге получив возможность перенаправлять выполнение ядра и получить права root.
Хотя эксплойт Nebula Security основан на нескольких передовых методах обхода современных средств защиты ядра и надежного перехвата выполнения ядра, лежащая в его основе ошибка относительно проста.
Вспомогательная функция, первоначально написанная для одного пути выполнения, позже была повторно использована в другом, где она ошибочно обновляла состояние текущего выполняющегося потока вместо потока, которому фактически принадлежал затронутый объект ядра.
По словам исследователей, для реализации GhostLock не требуются повышенные привилегии, пространства имен пользователей или необычные конфигурации ядра.
Система уязвима, если в ней включен параметр CONFIG_FUTEX_PI, который является параметром по умолчанию в большинстве универсальных ядер Linux.
Об уязвимости команду разработчиков безопасности ядра Linux уведомили 18 апреля 2026 года вместе с предложенным исправлением. Другой патч, устраняющий проблему, был принят два дня спустя, и в начале мая началось распространение стабильных версий ядра.
Google подтвердила успешное участие Nebula Security в kernelCTF 30 июня, а исследователи опубликовали свой технический отчет после скоординированного раскрытия информации.
Официальное исправление гарантирует, что ядро очищает информацию о состоянии для правильной задачи ожидания, устраняя «висячий» указатель, который позволил использовать эксплойт.
Nebula Security также отмечает, что включение таких функций защиты, как RANDOMIZE_KSTACK_OFFSET, значительно снижает надежность опубликованной ею техники эксплуатации, хотя обновление до пропатченного ядра остается единственным полным средством защиты.
Пользователям и администраторам Linux следует устанавливать обновления ядра, предоставляемые их дистрибутивом, как только они станут доступны.
Поскольку GhostLock требует локального выполнения кода, ограничение несанкционированного доступа к системам и поддержание ядра в актуальном состоянии остаются наиболее эффективными средствами защиты от эксплуатации.
nebusec.ai
IonStack part II: GhostLock, a stack-UAF that has existed in ALL Linux distributions for 15 years
GhostLock (CVE-2026-43499) is a Linux kernel vulnerability found by VEGA that exists in every major distribution since 2011. Triggering the bug does not require any special kernel config or privilege. By turning it into a 97% stable privilege escalation and…
Исследователи Лаборатории Касперского рассказали, как работает спецификация Device Authorization Grant (Device Authorization Grant Flow или Device Code Flow), провели анализ реальных атак с ее использованием, а также объяснили, как защититься от Device Code Phishing.
Одна из наиболее распространенных рекомендаций по защите от фишинга - проверять доменное имя сайта, который запрашивает учетные данные.
Как правило, нелегитимный домен можно распознать невооруженным взглядом: он будет отличаться от официального хотя бы несколькими символами.
Однако недавно в ЛК столкнулись со схемой, где злоумышленник предлагает жертве вводить данные на легитимном ресурсе известной компании.
Речь о «Платформе удостоверений Microsoft» (Microsoft Identity Platform), в которой поддерживается спецификация протокола OAuth 2.0 под названием Device Authorization Grant.
Эта спецификация разрабатывалась для удобства пользователей умных телевизоров, IoT-девайсов, принтеров и других устройств с ограниченным вводом, без полноценного браузера или клавиатуры.
Она позволяет авторизовать такое устройство для доступа к ресурсам пользователя через смартфон или ПК. Для этого пользователю нужно ввести одноразовый код на специальной странице авторизации.
Этот код вместе со ссылкой, где нужно его ввести, выдает Microsoft Identity Platform в ответ на запрос https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode, поэтому сценарий атаки, злоупотребляющий этим механизмом, называется Device Code Phishing.
В фишинговой кампании, которую в ЛК наблюдали с начала апреля по середину мая 2026 года, письмо было стилизовано под уведомление от юридической фирмы. К письму был приложен PDF-файл, защищенный паролем.
После открытия PDF-файла и ввода пароля пользователь видел страницу со списком документов, но для их просмотра нужно было перейти по ссылке.
Если обратить внимание на ссылку, по которой предлагалось перейти, то вместо привычного фишингового ресурса можно увидеть легальный адрес Microsoft. Но в параметры ссылки была включена переадресация на фишинговый ресурс.
Ссылка перенаправляла пользователя на фишинговую страницу, мимикрирующую под юридический портал. Интересно, что на такой странице было несколько капчей, - видимо, чтобы отсекать краулеры.
После их прохождения пользователь попадал еще на одну страницу, на которой предлагалось скопировать одноразовый код - user_code, который приложение на сервере/стороне злоумышленников получило путем запроса на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode.
Когда пользователь нажимал на отображаемый одноразовый код, тот копировался в буфер обмена, а сам пользователь перенаправлялся на подлинную страницу авторизации Microsoft (verification_uri), где и предлагалось ввести полученный код.
Если пользователь вводил код, начинался процесс Device Authorization Grant. Ничего не подозревающая жертва проходила полную MFA-авторизацию на официальной странице Microsoft.
После завершения этого процесса злоумышленник получал доступ к access_token, refresh_token и id_token, что позволяло ему, например, читать и отсылать письма с почтового ящика жертвы, а также получить доступ к файлам OneDrive и сообщениям в Teams.
Описанная фишинговая рассылка не имела массового характера и продлилась чуть больше месяца. Однако сам метод злоумышленники используют до сих пор, адаптируя под конкретные регионы.
В ЛК зафиксировали немного модифицированные атаки класса Device Code Phishing, нацеленные, в частности, на бразильских пользователей.
В этом письме не было вложенного PDF. Вместо этого была ссылка на легитимный ресурс cacoo.com (платформа компании Nulab для создания диаграмм), которая, как и в ранее описанной схеме, перенаправляла пользователя на фишинговый сайт.
Другие технические подробности и практические рекомендации по защите от Device Code Phishing - в отчете.
Одна из наиболее распространенных рекомендаций по защите от фишинга - проверять доменное имя сайта, который запрашивает учетные данные.
Как правило, нелегитимный домен можно распознать невооруженным взглядом: он будет отличаться от официального хотя бы несколькими символами.
Однако недавно в ЛК столкнулись со схемой, где злоумышленник предлагает жертве вводить данные на легитимном ресурсе известной компании.
Речь о «Платформе удостоверений Microsoft» (Microsoft Identity Platform), в которой поддерживается спецификация протокола OAuth 2.0 под названием Device Authorization Grant.
Эта спецификация разрабатывалась для удобства пользователей умных телевизоров, IoT-девайсов, принтеров и других устройств с ограниченным вводом, без полноценного браузера или клавиатуры.
Она позволяет авторизовать такое устройство для доступа к ресурсам пользователя через смартфон или ПК. Для этого пользователю нужно ввести одноразовый код на специальной странице авторизации.
Этот код вместе со ссылкой, где нужно его ввести, выдает Microsoft Identity Platform в ответ на запрос https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode, поэтому сценарий атаки, злоупотребляющий этим механизмом, называется Device Code Phishing.
В фишинговой кампании, которую в ЛК наблюдали с начала апреля по середину мая 2026 года, письмо было стилизовано под уведомление от юридической фирмы. К письму был приложен PDF-файл, защищенный паролем.
После открытия PDF-файла и ввода пароля пользователь видел страницу со списком документов, но для их просмотра нужно было перейти по ссылке.
Если обратить внимание на ссылку, по которой предлагалось перейти, то вместо привычного фишингового ресурса можно увидеть легальный адрес Microsoft. Но в параметры ссылки была включена переадресация на фишинговый ресурс.
Ссылка перенаправляла пользователя на фишинговую страницу, мимикрирующую под юридический портал. Интересно, что на такой странице было несколько капчей, - видимо, чтобы отсекать краулеры.
После их прохождения пользователь попадал еще на одну страницу, на которой предлагалось скопировать одноразовый код - user_code, который приложение на сервере/стороне злоумышленников получило путем запроса на https://login.microsoftonline.com/{tenant}/oauth2/v2.0/devicecode.
Когда пользователь нажимал на отображаемый одноразовый код, тот копировался в буфер обмена, а сам пользователь перенаправлялся на подлинную страницу авторизации Microsoft (verification_uri), где и предлагалось ввести полученный код.
Если пользователь вводил код, начинался процесс Device Authorization Grant. Ничего не подозревающая жертва проходила полную MFA-авторизацию на официальной странице Microsoft.
После завершения этого процесса злоумышленник получал доступ к access_token, refresh_token и id_token, что позволяло ему, например, читать и отсылать письма с почтового ящика жертвы, а также получить доступ к файлам OneDrive и сообщениям в Teams.
Описанная фишинговая рассылка не имела массового характера и продлилась чуть больше месяца. Однако сам метод злоумышленники используют до сих пор, адаптируя под конкретные регионы.
В ЛК зафиксировали немного модифицированные атаки класса Device Code Phishing, нацеленные, в частности, на бразильских пользователей.
В этом письме не было вложенного PDF. Вместо этого была ссылка на легитимный ресурс cacoo.com (платформа компании Nulab для создания диаграмм), которая, как и в ранее описанной схеме, перенаправляла пользователя на фишинговый сайт.
Другие технические подробности и практические рекомендации по защите от Device Code Phishing - в отчете.
Docs
OAuth 2.0 device authorization grant - Microsoft identity platform
Sign in users without a browser. Build embedded and browser-less authentication flows using the device authorization grant.
Progress Software в срочном порядке призывает своих клиентов немедленно отключить серверы ShareFile, мотивируя это «реальной внешней угрозой безопасности», нацеленной на это локальное ПО.
ShareFile предсталяет собой корпоративную платформу Progress Software для безопасного обмена файлами и совместной работы, которая позволяет клиентам размещать свои файлы в облачной инфраструктуре Progress.
Однако организации могут по своему усмотрению развернуть контроллеры зон хранения на локальных серверах Windows, чтобы файлы оставались размещенными локально в собственном хранилище организации, продолжая при этом использовать облачную платформу ShareFile для аутентификации, управления пользователями, совместного доступа и совместной работы.
В таких гибридных развертываниях облако ShareFile аутентифицирует пользователей и определяет, в какой зоне хранения находятся их файлы.
Когда пользователь загружает или скачивает файл, ShareFile направляет запрос контроллеру зоны хранения организации, который извлекает или сохраняет файл на собственном хранилище компании, прежде чем передать его пользователю.
Поскольку контроллеры зон хранения обрабатывают передачу файлов между облачной платформой и управляемым клиентом хранилищем, они, как правило, представляют собой серверы, доступные через Интернет.
Предупреждение, разосланное клиентам по электронной почте вчера вечером, озаглавлено «Сбой в работе сервиса. Требуются немедленные действия».
В электронном письме упоминается, что у компании есть основания полагать, что существует реальная внешняя угроза безопасности, нацеленная на контроллеры зон хранения ShareFile от Progress Software.
В настоящее время в Progress нет никаких сведений о несанкционированном доступе к каким-либо учетным записям или данным Progress ShareFile. В качестве меры предосторожности разработчики временно заблокировали доступ к учетным записям ShareFile, использующим контроллеры зон хранения.
Progress также рекомендует клиентам вручную выключать серверы Windows, на которых размещены контроллеры зон хранения, что указывает на то, что отключение доступа через облачную платформу ShareFile недостаточно для снижения угрозы.
Компания также ввела временные ограничения из «чрезмерной осторожности» в рамках взаимодействия с ИБ-экспертами в ходе расследования угрозы, и планирует предоставить клиентам еще одно обновление в течение 24 часов.
Разработчики по не сообщили, связана ли угроза с 0-day или были ли скомпрометированы какие-либо контроллеры зон хранения.
Тем не менее предупреждение фактически совпадает с событиями предыдущих атак, направленных на корпоративное ПО для передачи и обмена файлами, как в случае с Clop и Progress MOVEit Transfer.
ShareFile предсталяет собой корпоративную платформу Progress Software для безопасного обмена файлами и совместной работы, которая позволяет клиентам размещать свои файлы в облачной инфраструктуре Progress.
Однако организации могут по своему усмотрению развернуть контроллеры зон хранения на локальных серверах Windows, чтобы файлы оставались размещенными локально в собственном хранилище организации, продолжая при этом использовать облачную платформу ShareFile для аутентификации, управления пользователями, совместного доступа и совместной работы.
В таких гибридных развертываниях облако ShareFile аутентифицирует пользователей и определяет, в какой зоне хранения находятся их файлы.
Когда пользователь загружает или скачивает файл, ShareFile направляет запрос контроллеру зоны хранения организации, который извлекает или сохраняет файл на собственном хранилище компании, прежде чем передать его пользователю.
Поскольку контроллеры зон хранения обрабатывают передачу файлов между облачной платформой и управляемым клиентом хранилищем, они, как правило, представляют собой серверы, доступные через Интернет.
Предупреждение, разосланное клиентам по электронной почте вчера вечером, озаглавлено «Сбой в работе сервиса. Требуются немедленные действия».
В электронном письме упоминается, что у компании есть основания полагать, что существует реальная внешняя угроза безопасности, нацеленная на контроллеры зон хранения ShareFile от Progress Software.
В настоящее время в Progress нет никаких сведений о несанкционированном доступе к каким-либо учетным записям или данным Progress ShareFile. В качестве меры предосторожности разработчики временно заблокировали доступ к учетным записям ShareFile, использующим контроллеры зон хранения.
Progress также рекомендует клиентам вручную выключать серверы Windows, на которых размещены контроллеры зон хранения, что указывает на то, что отключение доступа через облачную платформу ShareFile недостаточно для снижения угрозы.
Компания также ввела временные ограничения из «чрезмерной осторожности» в рамках взаимодействия с ИБ-экспертами в ходе расследования угрозы, и планирует предоставить клиентам еще одно обновление в течение 24 часов.
Разработчики по не сообщили, связана ли угроза с 0-day или были ли скомпрометированы какие-либо контроллеры зон хранения.
Тем не менее предупреждение фактически совпадает с событиями предыдущих атак, направленных на корпоративное ПО для передачи и обмена файлами, как в случае с Clop и Progress MOVEit Transfer.
Новая версия вредоносной ПО RedHook для Android задействует механизм беспроводной отладки Android (Wireless ADB) оригинальным способом для получения привилегий на уровне командной оболочки без необходимости подключения к компьютеру.
Исследователи Group-IB проанализировали новую версию мобильного вредоносного ПО и утверждают, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, задокументированным в 2025.
В то же время вредоносная ПО сохраняет свои функции RAT, позволяя транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.
ADB (Android Debug Bridge) - это отладочный интерфейс от Google, позволяющий пользователю управлять устройством Android из командной строки. Система, работающая на устройстве Android в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.
Беспроводной ADB, впервые представленный в Android 11, обеспечивает те же возможности по беспроводной связи, не требуя подключения устройств через USB-кабель.
По сути, RedHook превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему разрешения на доступ к спецвозможностям, которые позволяют автоматически управлять настройками, включать параметры разработчика и активировать беспроводную отладку.
После этого вредоносная ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).
После сопряжения она получает привилегии командной оболочки (UID 2000), которые значительно шире, чем у обычных приложений Android, хотя и не обеспечивают права root.
Вся цепочка атак не требует рутирования устройства, поэтому работает на всех устройствах Android, если пользователя обманом заставить дать согласие на запрос разрешения для службы спецвозможностей.
Далее вредоносная ПО использует основанную на Shizuku структуру для выполнения команд оболочки, предоставления себе дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений, а также выполнения различных операций без отображения диалоговых окон для пользователя.
В свою очередь, Shizuku - это легитимная утилита для Android, популярная среди продвинутых пользователей и разработчиков, и для её использования не требуется root-доступ к устройству.
RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android от имени пользователя с UID 2000.
Как отмечают в Group-IB, текущая версия вредоносного ПО поддерживает 53 команды, отправляемые сервером, обладая при этом различными механизмами закрепления вредоносного ПО в системе.
RedHook использует бесшумное воспроизведение звука для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим, а также две службы, которые перезапускают друг друга при завершении одной из них.
К другим механизмам относятся пятиминутный будильник таймера, автоматический перезапуск после загрузки устройства и установка параметра oom_score_adj в значение -1000 для снижения вероятности завершения работы системы при низком уровне доступной системной памяти.
Последняя версия RedHook распространяется посредством методов социнженерии, сообщений и телефонных звонков, в которых злоумышленники выдают себя за госучреждения или финансовые организации, направляя жертв на фейковые сайты Google Play.
Исследователи Group-IB проанализировали новую версию мобильного вредоносного ПО и утверждают, что она значительно расширяет свои возможности по сравнению с предыдущим вариантом, задокументированным в 2025.
В то же время вредоносная ПО сохраняет свои функции RAT, позволяя транслировать изображение с экрана, перехватывать нажатия клавиш, автоматизировать взаимодействие с пользовательским интерфейсом и красть учетные данные.
ADB (Android Debug Bridge) - это отладочный интерфейс от Google, позволяющий пользователю управлять устройством Android из командной строки. Система, работающая на устройстве Android в качестве демона ADB, позволяет выполнять команды оболочки с компьютера, на котором запущен клиент ADB.
Беспроводной ADB, впервые представленный в Android 11, обеспечивает те же возможности по беспроводной связи, не требуя подключения устройств через USB-кабель.
По сути, RedHook превращает телефон в собственный ADB-клиент, обманом заставляя жертву предоставить ему разрешения на доступ к спецвозможностям, которые позволяют автоматически управлять настройками, включать параметры разработчика и активировать беспроводную отладку.
После этого вредоносная ПО получает код сопряжения, отображаемый на экране, и подключается к службе ADB телефона через интерфейс обратной связи (127.0.0.1).
После сопряжения она получает привилегии командной оболочки (UID 2000), которые значительно шире, чем у обычных приложений Android, хотя и не обеспечивают права root.
Вся цепочка атак не требует рутирования устройства, поэтому работает на всех устройствах Android, если пользователя обманом заставить дать согласие на запрос разрешения для службы спецвозможностей.
Далее вредоносная ПО использует основанную на Shizuku структуру для выполнения команд оболочки, предоставления себе дополнительных разрешений, изменения защищенных настроек Android, скрытой установки или удаления приложений, а также выполнения различных операций без отображения диалоговых окон для пользователя.
В свою очередь, Shizuku - это легитимная утилита для Android, популярная среди продвинутых пользователей и разработчиков, и для её использования не требуется root-доступ к устройству.
RedHook выполняет код Shizuku в рамках своей цепочки атак, используя его в качестве привилегированного сервера (libmx.so) для вызова привилегированных API Android от имени пользователя с UID 2000.
Как отмечают в Group-IB, текущая версия вредоносного ПО поддерживает 53 команды, отправляемые сервером, обладая при этом различными механизмами закрепления вредоносного ПО в системе.
RedHook использует бесшумное воспроизведение звука для повышения приоритета процесса, WakeLocks для предотвращения перехода процессора в спящий режим, а также две службы, которые перезапускают друг друга при завершении одной из них.
К другим механизмам относятся пятиминутный будильник таймера, автоматический перезапуск после загрузки устройства и установка параметра oom_score_adj в значение -1000 для снижения вероятности завершения работы системы при низком уровне доступной системной памяти.
Последняя версия RedHook распространяется посредством методов социнженерии, сообщений и телефонных звонков, в которых злоумышленники выдают себя за госучреждения или финансовые организации, направляя жертв на фейковые сайты Google Play.
Group-IB
RedHook Returns with a Dangerous Upgrade
Group-IB analysts examine this resurfaced Android Remote Access Trojan, demonstrating new, sophisticated and malicious functionalities including autonomous privilege abuse, expanded command-and-control capabilities, and a robust persistence stack.
Исследователи Positive Technologies сообщают о новой волне кибератак CloudAtlas на Россию и Ирак с использованием цепочек легитимных веб-ресурсов.
В мае 2026 года Позитивы задетектили очередную кампанию APT CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.
При этом наряду с кибератаками на российские объекты ТЭК, ОПК и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.
Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в доменных зонах Бразилии, Аргентины и Индонезии.
Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами.
Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.
Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.
Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, извлекающий специально созданную директорию комплект дополнительных вредоносных модулей: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs
Закрепление в скомпрометированной системе реализовывалось путем прописывания в ключе реестра Windows команды автозапуска VBS-скрипта WebCachea54.vbs.
Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте извлекает из JFM-файла VBS-скрипт, выступающий дроппером третьей стадии.
Он также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.
Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет на зараженном хосте: сбор и эксфильтрацию системной информации.
После чего, используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом.
Осуществляет XOR-расшифровку загруженной полезной нагрузки и закрепляет ее в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows.
При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.
Итоговой полезной нагрузкой, загружаемой VBS-лоадером, выступают инструменты из арсенала CloudAtlas - загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2 через Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.
Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей.
Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов.
Все технические подробности и IOCs - в отчете.
В мае 2026 года Позитивы задетектили очередную кампанию APT CloudAtlas, в рамках которой использовались характерные документы Microsoft Office с техникой внедрения вредоносных шаблонов и многоступенчатая цепочка доставки вредоносных HTA- и VBS-компонентов.
При этом наряду с кибератаками на российские объекты ТЭК, ОПК и транспортной инфраструктуры с акцентом на предприятия на территории Крымского полуострова ряд обнаруженных вредоносных документов предназначался для пользователей из Ирака.
Начальная стадия атаки направлена на получение первоначального доступа к атакуемой инфраструктуре через рассылку по электронной почте документов Microsoft Office с внедренными вредоносными шаблонами, загружаемыми при открытии документов со скомпрометированных легитимных веб-ресурсов в доменных зонах Бразилии, Аргентины и Индонезии.
Однако в новой кампании группировка вместо прямых HTTP-запросов к скомпрометированным веб-ресурсам использовала механизм oEmbed-запросов для доставки полезной нагрузки через промежуточные легитимные WordPress-сайты с открытыми API-эндпойнтами.
Эта техника позволила маскировать истинное назначение сетевых соединений, усложнить сигнатурное детектирование и обеспечить сокрытие канала доставки вредоносных модулей.
Еще одной особенностью обнаруженной кампании является то, что часть использованных документов по внешним признакам предназначена для аудитории из Ирака, что является нетипичной географией кибератак для группировки CloudAtlas.
Полезной нагрузкой, загружаемой при открытии вредоносного документа, является обфусцированный HTA-дроппер, извлекающий специально созданную директорию комплект дополнительных вредоносных модулей: WebCachea54.vbs, WebCachea54.jfm, WebCachea54tmp0.vbs
Закрепление в скомпрометированной системе реализовывалось путем прописывания в ключе реестра Windows команды автозапуска VBS-скрипта WebCachea54.vbs.
Файл WebCachea54.vbs является VBS-дроппером второй стадии, который при запуске на зараженном хосте извлекает из JFM-файла VBS-скрипт, выступающий дроппером третьей стадии.
Он также содержит в себе закодированный вредоносный код, который декодируется и выполняется через команду Execute фрагментами.
Итоговой полезной нагрузкой, извлекаемой цепочкой дропперов, является обфусцированный VBS-лоадер, который с использованием WMI-функций выполняет на зараженном хосте: сбор и эксфильтрацию системной информации.
После чего, используя HTTP-заголовок User-Agent, загружает полезную нагрузку следующей стадии со скомпрометированного легитимного ресурса с использованием oEmbed-запроса к промежуточному легитимному WordPress-сайту с открытым API-эндпойнтом.
Осуществляет XOR-расшифровку загруженной полезной нагрузки и закрепляет ее в скомпрометированной системе путем прописывания команды ее автозапуска в ключе реестра Windows.
При запуске в скомпрометированной системе лоадер проверяет настройки прокси в реестре Windows и устанавливает аналогичное проксирование собственных HTTP-запросов к вредоносной инфраструктуре.
Итоговой полезной нагрузкой, загружаемой VBS-лоадером, выступают инструменты из арсенала CloudAtlas - загрузчики VBShower и PowerCloud, осуществляющие дальнейшую эксфильтрацию информации о зараженном хосте и взаимодействие с С2 через Google Sheets. Для маскировки канала доставки загрузчиков также используются oEmbed-запросы и промежуточные легитимные веб-ресурсы.
Одновременно с доставкой указанных загрузчиков извлеченный на первой стадии VBS-скрипт WebCachea54tmp0.vbs с использованием WMI-функций уничтожает следы распаковки вредоносных модулей.
Обнаруженная кампания подтверждает изменение TTPs группировки, выраженное в более активном использовании цепочек скомпрометированных легитимных веб-ресурсов в качестве канала доставки вредоносных модулей вместо собственных вредоносных доменов.
Все технические подробности и IOCs - в отчете.
Хабр
CloudAtlas. Новая волна кибератак на Россию и Ирак с использованием цепочек легитимных веб-ресурсов
В мае 2026 года департамент Threat Intelligence экспертного центра безопасности Positive Technologies обнаружил очередную кампанию APT-группировки CloudAtlas, в рамках которой использовались...
Исследователи Jamf расчехлили новое вредоносное ПО для macOS под названием CrashStealer, предназначенное для кражи информации, которое выдает себя за инструмент Apple для отправки отчетов о сбоях.
Вредоносную ПО удалось отследить в мае, когда она, по-видимому, еще находилась в разработке, но в начале июля начала активно применяться в атаках.
CrashStealer обладает типичным для подобных ПО набором функций, ориентированным на менеджеры паролей и более чем 80 расширений для криптокошельков.
Бинарная версия стилера CrashStealer имитирует системный компонент Apple, принимая имя «CrashReporter.app», пытаясь таким образом избежать проверки пользователями и, возможно, средств защиты.
Помимо названия, также создает LaunchAgent с именем com.apple.crashreporter.helper, использует значок и метаданные легитимного инструмента, чтобы максимально имитировать его внешний вид.
По данным Jamf, вредоносная ПО доставляется через подписанный и заверенный Apple установщик (Werkbit Setup). Это позволяет обходить Gatekeeper, встроенную антивирусную программу macOS, без каких-либо предупреждений.
При запуске вредоносная ПО отображает фейковый запрос пароля macOS, чтобы убедить пользователей в том, что они разрешают законную системную операцию, требующую прав администратора. Это позволяет разблокировать связку ключей пользователя, которая содержит локально хранящиеся секреты.
После ввода пароля вредоносная ПО проверяет его локально с помощью команды dscl (командная строка службы каталогов). Если пароль неверен, CrashStealer возвращает ошибку аутентификации, предлагая пользователю ввести его снова.
Помимо данных из связки ключей, CrashStealer также нацелен на: браузеры на основе Chromium и Firefox, 80 расширений для криптокошельков (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr и Solflare), 14 менеджеров паролей (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm), а также файлы из пользовательских каталогов, игнорируя большие медиафайлы, установочные файлы и системные каталоги.
Перед извлечением украденных данных CrashStealer шифрует их с помощью AES-256-GCM, упаковывает в скрытые ZIP-архивы и загружает сжатые данные на сервер C2 с помощью библиотеки libcurl.
В Jamf утверждают, что, несмотря на частичное совпадение целей с другими семействами стилеров (например, Atomic, MacSync и Phexia), CrashStealer отличается от них механизмом шифрования на стороне клиента и собственной реализацией на C++.
Jamf пока не предоставила подробностей о точном методе первоначального распространения CrashStealer, но отметила, что полезная нагрузка первого этапа (Werkbit Setup) размещена на поддельном сайте ПО, зарегистрированном в конце июня.
Загрузка вредоносного ПО осуществляется с помощью PIN-кода, который указывает на то, что кампания доступна только тем посетителям, которые предоставят правильный код.
Исследователи утверждают, что CrashStealer представляет собой тщательно спланированную операцию, ориентированную на скрытность, с использованием подписанного и заверенного вредоносного ПО-дроппера, а также полезной нагрузки, которая повторно подписывает себя для обеспечения постоянного присутствия в системе.
Цель процесса переподписи - перезаписать данные цифровой подписи в бинарном файле, в результате чего файл будет иметь другой хеш, несмотря на то, что сам код останется неизменным.
IOCs и более подробная информация об инфраструктуре доставки и артефактах файловой системы - в отчете.
Вредоносную ПО удалось отследить в мае, когда она, по-видимому, еще находилась в разработке, но в начале июля начала активно применяться в атаках.
CrashStealer обладает типичным для подобных ПО набором функций, ориентированным на менеджеры паролей и более чем 80 расширений для криптокошельков.
Бинарная версия стилера CrashStealer имитирует системный компонент Apple, принимая имя «CrashReporter.app», пытаясь таким образом избежать проверки пользователями и, возможно, средств защиты.
Помимо названия, также создает LaunchAgent с именем com.apple.crashreporter.helper, использует значок и метаданные легитимного инструмента, чтобы максимально имитировать его внешний вид.
По данным Jamf, вредоносная ПО доставляется через подписанный и заверенный Apple установщик (Werkbit Setup). Это позволяет обходить Gatekeeper, встроенную антивирусную программу macOS, без каких-либо предупреждений.
При запуске вредоносная ПО отображает фейковый запрос пароля macOS, чтобы убедить пользователей в том, что они разрешают законную системную операцию, требующую прав администратора. Это позволяет разблокировать связку ключей пользователя, которая содержит локально хранящиеся секреты.
После ввода пароля вредоносная ПО проверяет его локально с помощью команды dscl (командная строка службы каталогов). Если пароль неверен, CrashStealer возвращает ошибку аутентификации, предлагая пользователю ввести его снова.
Помимо данных из связки ключей, CrashStealer также нацелен на: браузеры на основе Chromium и Firefox, 80 расширений для криптокошельков (MetaMask, Phantom, Coinbase Wallet, Trust Wallet, Rabby, Exodus, Keplr и Solflare), 14 менеджеров паролей (1Password, Bitwarden, LastPass, Dashlane, Keeper, KeePassXC, NordPass, Enpass и RoboForm), а также файлы из пользовательских каталогов, игнорируя большие медиафайлы, установочные файлы и системные каталоги.
Перед извлечением украденных данных CrashStealer шифрует их с помощью AES-256-GCM, упаковывает в скрытые ZIP-архивы и загружает сжатые данные на сервер C2 с помощью библиотеки libcurl.
В Jamf утверждают, что, несмотря на частичное совпадение целей с другими семействами стилеров (например, Atomic, MacSync и Phexia), CrashStealer отличается от них механизмом шифрования на стороне клиента и собственной реализацией на C++.
Jamf пока не предоставила подробностей о точном методе первоначального распространения CrashStealer, но отметила, что полезная нагрузка первого этапа (Werkbit Setup) размещена на поддельном сайте ПО, зарегистрированном в конце июня.
Загрузка вредоносного ПО осуществляется с помощью PIN-кода, который указывает на то, что кампания доступна только тем посетителям, которые предоставят правильный код.
Исследователи утверждают, что CrashStealer представляет собой тщательно спланированную операцию, ориентированную на скрытность, с использованием подписанного и заверенного вредоносного ПО-дроппера, а также полезной нагрузки, которая повторно подписывает себя для обеспечения постоянного присутствия в системе.
Цель процесса переподписи - перезаписать данные цифровой подписи в бинарном файле, в результате чего файл будет иметь другой хеш, несмотря на то, что сам код останется неизменным.
IOCs и более подробная информация об инфраструктуре доставки и артефактах файловой системы - в отчете.
Jamf
CrashStealer: C++ macOS Infostealer Posing as Crash Reporter
Jamf Threat Labs analyzes CrashStealer, a macOS infostealer in native C++ that steals browser data, crypto wallets and keychain secrets using AES-GCM encryption.
По меньшей мере два разных злоумышленника используют новый метод обхода защиты, называемый подменой идентификатора клиента OAuth, для валидации украденных учетных данных Microsoft Entra, уклоняясь при этом от сбора телеметрии.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
Метод позволяет перечислять учетные записи и проверять украденные учетные данные в средах Microsoft Entra ID, не генерируя при этом событие успешного входа в систему, которое в противном случае привлекло бы внимание специалистов по защите.
Злоумышленники начали использовать эту уязвимость для получения несанкционированного доступа к облачным сервисам организации.
Как отмечают в Proofpoint, это «слепое пятно» в телеметрии входа в облако: Entra ID возвращает разные ответы об ошибках в зависимости от того, действителен ли предоставленный идентификатор клиента OAuth.
Злоумышленники используют это для определения действительных имен пользователей и правильных паролей в больших масштабах, фактически проверяя украденные списки учетных данных без регистрации успешного входа в систему.
Другими словами, атаки используют идентификатор клиента OAuth, глобально уникальный идентификатор (GUID), присваиваемый приложениям при запросе доступа к пользовательским данным и передаваемый в качестве client_id в запросах аутентификации.
Предоставляя фейковые идентификаторы клиентов, злоумышленники могут перечислять учетные записи без зарегистрированного приложения OAuth и определять действительность как пароля, так и учетной записи, не генерируя событие успешного входа в систему.
Журналы входа в систему Entra являются основным источником телеметрии для выявления вредоносной активности аутентификации, включая перечисление пользователей, подбор паролей и первоначальные попытки доступа.
При этом такие кластеры угроз, как UNK_CustomCloak манипулируют строками User-Agent для брут-атак на среды Microsoft Entra ID, используя устаревшее приложение Windows Live Custom Domains, обходя стандартные ограничения на вход в систему и проверяя пароли пользователей в объемах более чем 4000 учетных записей.
Однако последние попытки знаменуют демонстрируют совершенствование этого метода, реализуя подмену идентификаторов клиентов OAuth посредством HTTP POST-запросов к конечной точке токена OAuth 2.0 от Microsoft с использованием потока учетных данных владельца ресурса (ROPC).
В частности, это включает в себя предоставление синтаксически корректного идентификатора клиента, но такого, который не соответствует реальному приложению.
В таких сценариях в журнале входа в Entra записывается только идентификатор приложения без соответствующего имени приложения. Ответ, содержащий код ошибки службы токенов безопасности Azure Active Directory (AADSTS), затем можно использовать для определения того, существует ли учетная запись и правилен ли пароль, даже если приложение не зарегистрировано.
Proofpoint выявила две крупные кампании, которые независимо друг от друга использовали эту технику в конце декабря 2025 года:
- UNK_pyreq2323 (с января по март 2026), использовавший более 700 000 поддельных идентификаторов клиентов из инфраструктуры Amazon Web Services (AWS) для атаки на более чем 1 млн. учетных записей в почти 4000 клиентах.
- UNK_OutFlareAZ (начиная с декабря 2025), в рамках которого использовалась инфраструктура Cloudflare для атаки на более чем 2 млн. пользователей с помощью 3,7 млн. случайных поддельных идентификаторов приложений.
В обеих кампаниях использовались действительные UUID и были выявлены закономерности, соответствующие предварительно составленным спискам имен пользователей.
Однако, если в UNK_OutFlareAZ пользователи нумеровались в алфавитном порядке, то в UNK_pyreq2323 этого не делалось. Еще одно различие заключалось в способе подмены идентификаторов клиентов.
UNK_pyreq2323 изменил последние цифры известного идентификатора приложения, а затем повторно использовал поддельные идентификаторы для 12 пользователей. В отличие от него, UNK_OutFlareAZ генерировал уникальный идентификатор клиента для каждого запроса.
Proofpoint
OAuth Client ID Spoofing: Why Fake Client IDs Are Gaining Traction for Stealthy Enumeration | Proofpoint US
Key Takeaways Proofpoint has observed OAuth client ID spoofing emerging as a novel technique, increasingly leveraged in cloud campaigns. Microsoft Entra ID returns different responses
В киберподполье, по всей видимости, засветилась база данных, содержащая 182 млн. записей о пользователях телеги с личными идентификаторами.
Как передает Cybernews, злоумышленники выставили на продажу в даркнете текстовый файл размером 41,1 ГБ и предоставил 60 образцов записей, которые принадлежат преимущественно русскоязычным пользователям и могли быть собраны из онлайн-сервисов или ТГ-каналов, а не из единого источника.
Выборка включает следующие данные: имена пользователей, номера телефонов, идентификаторы пользователей, а в некоторых случаях - полные имена.
Однако, на основании предоставленных образцов данных, как отмечают исследователи, перепроверить заявленный объем невозможно.
Как передает Cybernews, злоумышленники выставили на продажу в даркнете текстовый файл размером 41,1 ГБ и предоставил 60 образцов записей, которые принадлежат преимущественно русскоязычным пользователям и могли быть собраны из онлайн-сервисов или ТГ-каналов, а не из единого источника.
Выборка включает следующие данные: имена пользователей, номера телефонов, идентификаторы пользователей, а в некоторых случаях - полные имена.
Однако, на основании предоставленных образцов данных, как отмечают исследователи, перепроверить заявленный объем невозможно.
Cybernews
Telegram dataset for sale: millions of users in peril | Cybernews
A threat actor is selling a 41GB database allegedly containing 182 million user records exfiltrated from Telegram.
Microsoft выкатила рекордный PatchTuesday за июль 2026 года с исправлениями для 570 уязвимостей, включая две 0-day, используемые в атаках, и одну, публично раскрытую.
В рамках обновления PatchTuesday устранено 59 критических уязвимостей, 48 из которых представляют собой RCE, 9 - EoP, 1 - обход системы безопасности и 1 - подмену IP.
Распределение исправленных проблем по категориям представлено следующим образом: 254 - EoP, 17 - обход функции безопасности, 145 - RCE, 102 - раскрытие информации, 35 - DoS и 16 - подмена данных.
В число выявленных уязвимостей не вошли ошибки в Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, которые были исправлены Microsoft ранее в этом месяце.
Также в этом месяце Google исправила 468 серьезных уязвимостей в Microsoft Edge/Chromium, которые также не были включены в PatchTuesday.
На прошлой неделе Microsoft предупредила об увеличении количества исправлений в рамках PatchTuesday, поскольку начала использовать систему обнаружения уязвимостей в коде Windows на основе ИИ.
В числе названных микромягкие закрыли три нуля, два из которых использовались в атаках, а одна была публично раскрыта. Среди первых двух:
- CVE-2026-56155: уязвимость повышения привилегий в службах федерации Active Directory.
Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному злоумышленнику повысить привилегии локально.
Обнаружение приписывается экспертам из группы обнаружения и реагирования Microsoft (DART), которые выявили проблемы, по всей видимости, в ходе расследования активных атак. Однако Microsoft не раскрыла подробностей о том, как именно была использована уязвимость.
- CVE-2026-56164: уязвимость повышения привилегий в Microsoft SharePoint Server.
Как отмечает Microsoft, отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику повысить свои привилегии в сети.
Включение интерфейса сканирования вредоносных программ (AMSI) на сервере и установка режима сканирования тела запроса на «Полный» позволяет устранить эту уязвимость. Подробности о том, как именно эта уязвимость была использована в атаках, также пока не разглашаются.
Microsoft приписала обнаружение исследователям Mandiant Incident Response, Google Cloud, FLARE OTF, а также еще одному анонимному исследователю.
И, наконец, третья публично обнародованная 0-day - это CVE-2026-50661, которая представляет собой уязвимость обхода функции безопасности BitLocker в Windows и позволяет злоумышленникам, имеющим физический доступ к целевому объекту, расшифровать данные на системном запоминающем устройстве. Обнаружение приписывается анонимному исследователю.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
В рамках обновления PatchTuesday устранено 59 критических уязвимостей, 48 из которых представляют собой RCE, 9 - EoP, 1 - обход системы безопасности и 1 - подмену IP.
Распределение исправленных проблем по категориям представлено следующим образом: 254 - EoP, 17 - обход функции безопасности, 145 - RCE, 102 - раскрытие информации, 35 - DoS и 16 - подмена данных.
В число выявленных уязвимостей не вошли ошибки в Mariner, Azure OpenAI, Azure Synapse, M365 Copilot, Microsoft Exchange Online, Microsoft Edge для Android и Microsoft Entra Provisioning Service, которые были исправлены Microsoft ранее в этом месяце.
Также в этом месяце Google исправила 468 серьезных уязвимостей в Microsoft Edge/Chromium, которые также не были включены в PatchTuesday.
На прошлой неделе Microsoft предупредила об увеличении количества исправлений в рамках PatchTuesday, поскольку начала использовать систему обнаружения уязвимостей в коде Windows на основе ИИ.
В числе названных микромягкие закрыли три нуля, два из которых использовались в атаках, а одна была публично раскрыта. Среди первых двух:
- CVE-2026-56155: уязвимость повышения привилегий в службах федерации Active Directory.
Недостаточная детализация контроля доступа в Active Directory Federation Services (AD FS) позволяет авторизованному злоумышленнику повысить привилегии локально.
Обнаружение приписывается экспертам из группы обнаружения и реагирования Microsoft (DART), которые выявили проблемы, по всей видимости, в ходе расследования активных атак. Однако Microsoft не раскрыла подробностей о том, как именно была использована уязвимость.
- CVE-2026-56164: уязвимость повышения привилегий в Microsoft SharePoint Server.
Как отмечает Microsoft, отсутствие аутентификации для критически важных функций в Microsoft Office SharePoint позволяет неавторизованному злоумышленнику повысить свои привилегии в сети.
Включение интерфейса сканирования вредоносных программ (AMSI) на сервере и установка режима сканирования тела запроса на «Полный» позволяет устранить эту уязвимость. Подробности о том, как именно эта уязвимость была использована в атаках, также пока не разглашаются.
Microsoft приписала обнаружение исследователям Mandiant Incident Response, Google Cloud, FLARE OTF, а также еще одному анонимному исследователю.
И, наконец, третья публично обнародованная 0-day - это CVE-2026-50661, которая представляет собой уязвимость обхода функции безопасности BitLocker в Windows и позволяет злоумышленникам, имеющим физический доступ к целевому объекту, расшифровать данные на системном запоминающем устройстве. Обнаружение приписывается анонимному исследователю.
Полное описание каждой уязвимости и затронутых ею систем - здесь.
Forwarded from Social Engineering
• Очень объемное руководство по обеспечению безопасности сервера GNU/Linux. Отличный материал, который можно использовать как чек-лист. Основные темы:
➡ SSH Server;
➡ The Network;
➡ The Auditing;
➡ The Danger Zone;
➡ The Miscellaneous.
➡ https://github.com/How-To-Secure-A-Linux-Server
S.E. ▪️ infosec.work ▪️ VT
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
SonicWall предупреждает клиентов об атаках на SMA1000 с использованием двух 0-day, которые отслеживаются как CVE-2026-15409 и CVE-2026-15410.
CVE-2026-15409 - это критическая (CVSS 10.0) SSRF-уязвимость в интерфейсе SMA1000 Appliance Work Place, которая позволяет удаленному неаутентифицированному злоумышленнику заставить устройство отправлять запросы в непредусмотренные места.
CVE-2026-15410 представляет собой уязвимость высокой степени серьезности (CVSS 7.2), связанную с внедрением кода после аутентификации в консоли управления устройством SMA1000, которая предоставляет удаленному авторизованному администратору возможность выполнять произвольные команды ОС.
Несмотря на то, что для уязвимости CVE-2026-15410 требуются права администратора, SonicWall присвоила этому уведомлению общую оценку CVSS 10,0.
В SonicWall PSIRT провели расследование нескольких инцидентов и подтвердили, что обе уязвимости активно используются злоумышленниками. Однако не сообщила, объединяют ли злоумышленники эти проблемы в цепочку.
Компания настоятельно рекомендует пользователям как можно скорее обновить систему до версии с исправлением, чтобы устранить эти уязвимости.
Уязвимости затрагивают модели SMA1000 6210, 7210 и 8200v, работающие под управлением исправлений платформы версий 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 и 12.5.0-02800. Исправления доступны в версиях 12.4.3-03453 и 12.5.0-02835, а также в более поздних.
При этом как заявляет SonicWall, уязвимости не влияют на работу SSL-VPN на межсетевых экранах SonicWall или продуктах серии SMA 100.
Компания также поделилась IOCs, которые администраторы могут использовать для определения того, было ли устройство скомпрометировано, в частности:
- Если в файле extraweb_access.log упоминаются запросы к /__api__/login или /__api__/logout со статусом HTTP 200;
- Если в файле extraweb_access.log упоминаются запросы к /wsproxy с подозрительными параметрами хоста и HTTP-статусом 101;
- Если в файле ctrl-service.log упоминаются откаты исправлений с именами, полученными путем обхода пути;
- Если файл /var/lib/unit/conf.json содержит маршруты для /__api__/login или /__api__/logout (эти URI отсутствуют в допустимой конфигурации).
В случае обнаружения взлома устройства SonicWall рекомендует администраторам переустановить ОС на физических устройствах или повторно развернуть виртуальные устройства, изменить все пароли пользователей и администраторов, а также сбросить токены TOTP.
Причем помимо установки исправлений, других способов устранения этих уязвимостей нет. CISA добавила обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив, что они активно используются в атаках.
CVE-2026-15409 - это критическая (CVSS 10.0) SSRF-уязвимость в интерфейсе SMA1000 Appliance Work Place, которая позволяет удаленному неаутентифицированному злоумышленнику заставить устройство отправлять запросы в непредусмотренные места.
CVE-2026-15410 представляет собой уязвимость высокой степени серьезности (CVSS 7.2), связанную с внедрением кода после аутентификации в консоли управления устройством SMA1000, которая предоставляет удаленному авторизованному администратору возможность выполнять произвольные команды ОС.
Несмотря на то, что для уязвимости CVE-2026-15410 требуются права администратора, SonicWall присвоила этому уведомлению общую оценку CVSS 10,0.
В SonicWall PSIRT провели расследование нескольких инцидентов и подтвердили, что обе уязвимости активно используются злоумышленниками. Однако не сообщила, объединяют ли злоумышленники эти проблемы в цепочку.
Компания настоятельно рекомендует пользователям как можно скорее обновить систему до версии с исправлением, чтобы устранить эти уязвимости.
Уязвимости затрагивают модели SMA1000 6210, 7210 и 8200v, работающие под управлением исправлений платформы версий 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 и 12.5.0-02800. Исправления доступны в версиях 12.4.3-03453 и 12.5.0-02835, а также в более поздних.
При этом как заявляет SonicWall, уязвимости не влияют на работу SSL-VPN на межсетевых экранах SonicWall или продуктах серии SMA 100.
Компания также поделилась IOCs, которые администраторы могут использовать для определения того, было ли устройство скомпрометировано, в частности:
- Если в файле extraweb_access.log упоминаются запросы к /__api__/login или /__api__/logout со статусом HTTP 200;
- Если в файле extraweb_access.log упоминаются запросы к /wsproxy с подозрительными параметрами хоста и HTTP-статусом 101;
- Если в файле ctrl-service.log упоминаются откаты исправлений с именами, полученными путем обхода пути;
- Если файл /var/lib/unit/conf.json содержит маршруты для /__api__/login или /__api__/logout (эти URI отсутствуют в допустимой конфигурации).
В случае обнаружения взлома устройства SonicWall рекомендует администраторам переустановить ОС на физических устройствах или повторно развернуть виртуальные устройства, изменить все пароли пользователей и администраторов, а также сбросить токены TOTP.
Причем помимо установки исправлений, других способов устранения этих уязвимостей нет. CISA добавила обе уязвимости в свой каталог известных эксплуатируемых уязвимостей (KEV), подтвердив, что они активно используются в атаках.
Как и ожидалось, анонимный исследователь Chaotic Eclipse (Nightmare-Eclipse) выпустил новый PoC-эксплойт LegacyHive для очередной 0-day спустя несколько часов после выхода июльского PatchTuesday.
На этот раз это уязвимость, позволяющая произвольно загружать раздел реестра и повышать привилегии в службе профилей пользователей Windows.
Служба профилей пользователей Windows, также известная как ProfSvc, является основным системным компонентом, управляющим учетными записями пользователей и средами.
Как отмечает Chaotic Eclipse, для проверки концепции требуется еще одни стандартные учетные данные пользователя и третье имя пользователя (которое может быть учетной записью администратора). В случае успеха она в конечном итоге смонтирует раздел реестра целевого пользователя в корневой каталог текущих классов пользователей.
Исследователь заявил, что эксплойт был упрощен, чтобы предотвратить его публичное использование, добавив, что первоначальный эксплойт не требовал дополнительных учетных данных пользователя и не ограничивался разделом usrclass.dat.
Примечательно, что это обновление работает на всех поддерживаемых версиях Windows для настольных компьютеров и серверов с последними обновлениями PatchTuesday за июль 2026 года.
Батл между Chaotic Eclipse и Microsoft продолжается как минимум с апреля 2026 года. Исследователь публиковал подробности многочисленных уязвимостей ещё до того, как микромягкие успевали их исправить в ответ на некорректную практику раскрытия уязвимостей последних.
Причем три из них в Microsoft Defender были активно использованы вскоре после их публичного раскрытия. Ранее в этом месяце Microsoft выпустила обновления для еще одной уязвимости Defender, известной как RoguePlanet, о которой сообщил исследователь.
Однако выяснилось, что недавно выпущенные «углубленные обновления защиты» для устранения этой уязвимости могут привести к утечке 8 байт данных Microsoft Defender при попытке открыть файл в определенных сценариях.
На текущий момент Microsoft инициировала расследование по поводу новой LegacyHive. Так что игра в догонялки продолжается и вряд ли закончится в ближайшее время. Но в любом расследовании, как говорят, главное не выйти на самих себя, так что будем следить.
На этот раз это уязвимость, позволяющая произвольно загружать раздел реестра и повышать привилегии в службе профилей пользователей Windows.
Служба профилей пользователей Windows, также известная как ProfSvc, является основным системным компонентом, управляющим учетными записями пользователей и средами.
Как отмечает Chaotic Eclipse, для проверки концепции требуется еще одни стандартные учетные данные пользователя и третье имя пользователя (которое может быть учетной записью администратора). В случае успеха она в конечном итоге смонтирует раздел реестра целевого пользователя в корневой каталог текущих классов пользователей.
Исследователь заявил, что эксплойт был упрощен, чтобы предотвратить его публичное использование, добавив, что первоначальный эксплойт не требовал дополнительных учетных данных пользователя и не ограничивался разделом usrclass.dat.
Примечательно, что это обновление работает на всех поддерживаемых версиях Windows для настольных компьютеров и серверов с последними обновлениями PatchTuesday за июль 2026 года.
Батл между Chaotic Eclipse и Microsoft продолжается как минимум с апреля 2026 года. Исследователь публиковал подробности многочисленных уязвимостей ещё до того, как микромягкие успевали их исправить в ответ на некорректную практику раскрытия уязвимостей последних.
Причем три из них в Microsoft Defender были активно использованы вскоре после их публичного раскрытия. Ранее в этом месяце Microsoft выпустила обновления для еще одной уязвимости Defender, известной как RoguePlanet, о которой сообщил исследователь.
Однако выяснилось, что недавно выпущенные «углубленные обновления защиты» для устранения этой уязвимости могут привести к утечке 8 байт данных Microsoft Defender при попытке открыть файл в определенных сценариях.
На текущий момент Microsoft инициировала расследование по поводу новой LegacyHive. Так что игра в догонялки продолжается и вряд ли закончится в ближайшее время. Но в любом расследовании, как говорят, главное не выйти на самих себя, так что будем следить.
blog.projectnightcrawler.dev
LegacyHive public disclosure – PNC Blog
A blog for researchers and open source contributors
Mindgard сообщает, что до сих пор неисправленная уязвимость в Cursor на Windows может привести к выполнению кода, когда разработчик открывает репозиторий в приложении.
Cursor - одна из самых популярных сред разработки с использованием ИИ, насчитывающая более 7 млн. активных пользователей.
Уязвимость в системе безопасности проста: при открытии репозитория Cursor автоматически запускал вредоносный исполняемый файл git.exe в корневой директории проекта, не предупреждая пользователя и не запрашивая его разрешения.
Уязвимость не является теоретической и не зависит от сложной цепочки эксплуатации, внедрения уязвимостей, манипулирования моделями, взлома системы, повреждения памяти или изощренных методов злоумышленника.
Для эксплуатации достаточно просто открыть проект, содержащий исполняемый файл git.exe, в корневом каталоге репозитория.
По данным Mindgard, проблема обусловлена тем, что при загрузке проекта Cursor ищет исполняемые файлы Git в нескольких местах, включая само рабочее пространство.
Если злоумышленник внедрит вредоносный файл git.exe в корневой каталог репозитория, Cursor автоматически запустит его в рамках своей логики разрешения путей без предупреждения, одобрения или даже указания на то, что исполняемый файл из репозитория собирается быть запущен.
Mindgard публично сообщила об уязвимости после того, как 15 декабря 2025 года уведомила об этом компанию Cursor, но в течение семи месяцев не получила никакого ответа относительно возможного обновления.
В компании заявляют, что в январе директор по ИБ Cursor пригласил Mindgard принять участие в программе поиска уязвимостей на HackerOne, где обнаруженная уязвимость была повторно зарегистрирована и подтверждена как воспроизводимая, но ответа от Cursor они так и не получили.
Cursor - одна из самых популярных сред разработки с использованием ИИ, насчитывающая более 7 млн. активных пользователей.
Уязвимость в системе безопасности проста: при открытии репозитория Cursor автоматически запускал вредоносный исполняемый файл git.exe в корневой директории проекта, не предупреждая пользователя и не запрашивая его разрешения.
Уязвимость не является теоретической и не зависит от сложной цепочки эксплуатации, внедрения уязвимостей, манипулирования моделями, взлома системы, повреждения памяти или изощренных методов злоумышленника.
Для эксплуатации достаточно просто открыть проект, содержащий исполняемый файл git.exe, в корневом каталоге репозитория.
По данным Mindgard, проблема обусловлена тем, что при загрузке проекта Cursor ищет исполняемые файлы Git в нескольких местах, включая само рабочее пространство.
Если злоумышленник внедрит вредоносный файл git.exe в корневой каталог репозитория, Cursor автоматически запустит его в рамках своей логики разрешения путей без предупреждения, одобрения или даже указания на то, что исполняемый файл из репозитория собирается быть запущен.
Mindgard публично сообщила об уязвимости после того, как 15 декабря 2025 года уведомила об этом компанию Cursor, но в течение семи месяцев не получила никакого ответа относительно возможного обновления.
В компании заявляют, что в январе директор по ИБ Cursor пригласил Mindgard принять участие в программе поиска уязвимостей на HackerOne, где обнаруженная уязвимость была повторно зарегистрирована и подтверждена как воспроизводимая, но ответа от Cursor они так и не получили.
mindgard.ai
Cursor 0day: When Full Disclosure Becomes the Only Protection Left - Mindgard
The vulnerability nobody seems interested in fixing
Исследователи Лаборатории Касперского обнаружили новую APT-атаку с использованием ранее неизвестного инструментария, которая началась как минимум в мае 2026 года и остается активной на момент публикации.
Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).
В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.
Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.
Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.
Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.
После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.
Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.
Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.
В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.
В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
Кампания получила условное наименование HelloNet и включает в себя новые вредоносные модули, которые запускаются через систему обновления ViPNet (программный комплекс для создания защищенных сетей).
В ходе исследования в ЛК выявили попытки целенаправленного заражения крупных российских организаций из государственного, энергетического, транспортного, образовательного и логистического секторов, а также промышленности.
Причем это уже не первый случай, когда APT-группировка нацеливается на компьютеры, подключенные к сетям ViPNet. Например, в прошлом году был детектирован сложный бэкдор, мимикрирующий под обновления ViPNet.
Возвращаясь к HelloNet, в одной из проанализированных систем специалисты выявили вредоносный файл c именем wtsapi32.dll в директории, которая относится к системе обновления комплекса ViPNet.
Помещая файл в эту директорию, злоумышленники реализуют технику DLL Sideloading - ей подвержен исполняемый файл системы обновлений ViPNet itcsrvup64.exe, который запускается при старте ОС.
Таким образом, в ходе данной атаки злоумышленники пытались реализовать закрепление на системе через компонент обновления ПО ViPNet.
Wtsapi32.dll является загрузчиком, который был назван HelloInjector. Его основная цель - внедрить свой код в процесс svchost.exe и запустить вредоносную нагрузку.
После запуска вредонос проверяет процесс, в контексте которого он был запущен. Если имя основного процесса не svchost.exe, загрузчик запускает перебор всех процессов, запущенных в ОС.
Он ищет процесс, имя которого содержит строку svchost, а командная строка - строку netsvcs. Если такой процесс найден, загрузчик внедряет себя в целевой процесс с помощью функций NtWriteVirtualMemory и NtCreateThreadEx.
После повторного запуска в новом процессе загрузчик снова проверяет имя процесса на наличие строки svchost. Убедившись в успешной проверке, HelloInjector загружает и выполняет в памяти вредоносную нагрузку, которая хранится в его теле в открытом виде.
Вредоносная нагрузка, которую назвали HelloProxy, является одновременно скрытым прокси и загрузчиком следующих модулей, которые присылает командный сервер.
Работает за счет перехвата функций NtDeviceIoControlFile, closesocket и shutdown, который осуществляется с помощью Microsoft библиотеки Detours. После установки перехватчиков, вредонос начинает прослушивать порты 5003 и 5060 в ожидании первых команд от С2 сервера.
В ходе исследования ЛК удалось обнаружить две вредоносные нагрузки, которые были внедрены в процесс svchost, вероятно в результате работы ранее описанного загрузчика:
- Имплант, который назвали HelloExecutor, с помощью которого атакующие могут выполнять команды на зараженной системе;
- Модуль для очистки файлов журналов ПО ViPNet, который был назван HelloCleaner. Он позволяет скрыть действия злоумышленников в системе.
Помимо этого, на одной из зараженных систем был обнаружен бэкдор написанный на языке Rust, который в ЛК назвали HelloBackdoor.
В настоящее время в ЛК с низкой долей уверенности связывают данную кампанию с деятельностью неизвестной китайскоязычной APT. Все технические подробности и IOCs - в отчете.
ESET предупреждает, что около десятка уязвимых загрузчиков UEFI (Unified Extensible Firmware Interface), подписанных Microsoft, позволяют злоумышленникам обходить защиту Secure Boot.
Небольшие, заслуживающие доверия программные компоненты обеспечивают связь между микропрограммой UEFI материнской платы компьютера и операционной системой, как правило, дистрибутивом Linux, позволяя компьютеру загружаться с включенной функцией Secure Boot.
Используя загрузчики UEFI с цифровой подписью от Microsoft, дистрибутивы Linux могут установить модель доверия без необходимости встраивания отдельных ключей в NVRAM материнской платы.
Несмотря на устранение различных уязвимостей, не все поставщики обновили свои загрузчики. Она оставались подписанными и доверенными в цепочке безопасной загрузки, что делало системы уязвимыми для потенциальных атак.
По данным ESET, 11 таких «забытых» загрузчиков, в основном из версии 0.9 и более ранних, оставались активными до тех пор, пока Microsoft не удалила их в рамках обновления PatchTuesday в июне 2026 года. Были присвоены два CVE: CVE-2026-8863 и CVE-2026-10797.
По данным ESET, уязвимые модули могут быть использованы для «обхода безопасной загрузки UEFI на любой машине, которая доверяет стороннему сертификату центра сертификации UEFI Microsoft Corporation UEFI CA 2011, независимо от установленной ОС.
Эти уязвимые модули, поступающие из различных инструментов и пакетов, расширяют поверхность атаки за счет своих доверенных загрузчиков второго этапа. Кроме того, злоумышленники могут использовать свои собственные уязвимые модули в системах, в которых зарегистрирован сторонний сертификат UEFI от Microsoft.
Временные метки подписи и компиляции приложений, которым доверяли обнаруженные вредоносные ПО, охватывают период с 2013 по 2025 год - этого достаточно, чтобы подтвердить, что значительная часть этих бинарных файлов устарела и, вероятно, подвержена многочисленным общеизвестным уязвимостям, таким как BootHole в случае GRUB2.
Постоянное доверие к этим старым, уязвимым модулям позволяет злоумышленникам выполнять недоверенный код во время процесса загрузки и развертывать буткиты, даже если включена функция безопасной загрузки.
В феврале 2026 года ESET сообщила о результатах расследования в CERT/CC. В июне Microsoft аннулировала все уязвимые приложения и добавила их в базу данных запрещенных подписей UEFI (DBX). По данным CERT/CC, системные администраторы должны обновить базу данных подписей (DB) перед применением аннулирования DBX.
На практике это означает, что сначала необходимо обновить доверенные загрузочные приложения и сертификаты, а затем развернуть список отозванных сертификатов. Несоблюдение этого порядка может привести к тому, что системы отклонят обновленные компоненты загрузки.
Как отмечают в CERT/CC, предприятиям, поставщикам виртуализации и операторам облачных сервисов, управляющим крупными развертываниями, следует уделять приоритетное внимание проверке и развертыванию этих обновлений, чтобы предотвратить выполнение уязвимых или неподписанных бинарных файлов во время запуска физических или виртуальных машин.
Начиная с 2017 года, промежуточные продукты (shims) подписываются и документируются после процесса проверки, но те, которые были одобрены до этого времени, не документируются, и многие старые, все еще пользующиеся доверием промежуточные продукты могут оставаться, потенциально подвергая системы атакам.
Небольшие, заслуживающие доверия программные компоненты обеспечивают связь между микропрограммой UEFI материнской платы компьютера и операционной системой, как правило, дистрибутивом Linux, позволяя компьютеру загружаться с включенной функцией Secure Boot.
Используя загрузчики UEFI с цифровой подписью от Microsoft, дистрибутивы Linux могут установить модель доверия без необходимости встраивания отдельных ключей в NVRAM материнской платы.
Несмотря на устранение различных уязвимостей, не все поставщики обновили свои загрузчики. Она оставались подписанными и доверенными в цепочке безопасной загрузки, что делало системы уязвимыми для потенциальных атак.
По данным ESET, 11 таких «забытых» загрузчиков, в основном из версии 0.9 и более ранних, оставались активными до тех пор, пока Microsoft не удалила их в рамках обновления PatchTuesday в июне 2026 года. Были присвоены два CVE: CVE-2026-8863 и CVE-2026-10797.
По данным ESET, уязвимые модули могут быть использованы для «обхода безопасной загрузки UEFI на любой машине, которая доверяет стороннему сертификату центра сертификации UEFI Microsoft Corporation UEFI CA 2011, независимо от установленной ОС.
Эти уязвимые модули, поступающие из различных инструментов и пакетов, расширяют поверхность атаки за счет своих доверенных загрузчиков второго этапа. Кроме того, злоумышленники могут использовать свои собственные уязвимые модули в системах, в которых зарегистрирован сторонний сертификат UEFI от Microsoft.
Временные метки подписи и компиляции приложений, которым доверяли обнаруженные вредоносные ПО, охватывают период с 2013 по 2025 год - этого достаточно, чтобы подтвердить, что значительная часть этих бинарных файлов устарела и, вероятно, подвержена многочисленным общеизвестным уязвимостям, таким как BootHole в случае GRUB2.
Постоянное доверие к этим старым, уязвимым модулям позволяет злоумышленникам выполнять недоверенный код во время процесса загрузки и развертывать буткиты, даже если включена функция безопасной загрузки.
В феврале 2026 года ESET сообщила о результатах расследования в CERT/CC. В июне Microsoft аннулировала все уязвимые приложения и добавила их в базу данных запрещенных подписей UEFI (DBX). По данным CERT/CC, системные администраторы должны обновить базу данных подписей (DB) перед применением аннулирования DBX.
На практике это означает, что сначала необходимо обновить доверенные загрузочные приложения и сертификаты, а затем развернуть список отозванных сертификатов. Несоблюдение этого порядка может привести к тому, что системы отклонят обновленные компоненты загрузки.
Как отмечают в CERT/CC, предприятиям, поставщикам виртуализации и операторам облачных сервисов, управляющим крупными развертываниями, следует уделять приоритетное внимание проверке и развертыванию этих обновлений, чтобы предотвратить выполнение уязвимых или неподписанных бинарных файлов во время запуска физических или виртуальных машин.
Начиная с 2017 года, промежуточные продукты (shims) подписываются и документируются после процесса проверки, но те, которые были одобрены до этого времени, не документируются, и многие старые, все еще пользующиеся доверием промежуточные продукты могут оставаться, потенциально подвергая системы атакам.
Welivesecurity
Forgotten UEFI shims undermining Secure Boot
ESET researchers discovered 11 vulnerable UEFI shim bootloaders signed by Microsoft that allow attackers to bypass UEFI Secure Boot by exploiting decade-old vulnerabilities.
Новая вредоносная программа-вымогатель под названием Spirals использовалась в атаке, в рамках которой операторам удалось провернуть делягу от первоначального доступа до кражи и шифрования данных менее чем за 24 часа.
Атака произошла в июне и затронула ИТ-компанию в Южной Азии через взлом сервера Internet Information Services (IIS), открытого в сеть Интернет.
Исследователи Symantec Threat Hunter утверждают, что злоумышленник действовал быстро после получения первоначального доступа и загрузки веб-оболочки ASP.NET.
Затем оператор Spirals обошел контроль учетных записей пользователей (UAC), включил удаленный рабочий стол и создал локальную учетную запись для обеспечения постоянного доступа.
Злоумышленник также выгрузил содержимое раздела реестра SAM и память процесса LSASS в попытке извлечь учетные данные.
Он пытался удалить ПО безопасности с хостов, использовал WMI для распространения атаки на более чем десяток систем и создал резервные каналы удаленного доступа с помощью revsocks, Chisel и туннелей Cloudflare.
В ходе выполнения вредоносной ПО PowerShell был отключен Microsoft Defender, удалены его базы данных угроз и остановлены службы, связанные с 23 продуктами для резервного копирования, баз данных и виртуализации, включая Veeam, VMware, Hyper-V, SQL Server, Oracle и PostgreSQL, в рамках подготовки к этапу шифрования.
Как сообщает Symantec, развертывание вредоносной ПО Spirals произошло менее чем через 24 часа после первоначального взлома.
Оператор начал развертывать ransomware в сети жертвы, используя PsExec, запущенный от имени SYSTEM. Вредоносная ПО получила название bitsadmin.exe, вероятно, для того, чтобы замаскироваться под легитимную утилиту Windows, связанную с фоновой интеллектуальной службой передачи данных.
Spirals - это штамм программ-вымогателей на языке Rust, использующее ключи AES-128, защищенные открытым ключом ECDH P-256, контролируемым злоумышленником.
Программа-вымогатель использует периодическое шифрование файлов размером более 5 МБ для ускорения процесса. На диск C:\ помещается записка с требованием выкупа под названием RECOVERY_SECTION.log, содержащая инструкции по ведению переговоров о выкупе.
Пострадавшим угрожают публичной публикацией украденных данных в течение шести дней, если злоумышленнику не будет выплачено вознаграждение.
Несмотря на наличие DLS, Symantec обнаружила Spirals лишь в одном случае, поэтому неясно, предназначено ли новое семейство для более широкого применения или это была специально разработанная полезная нагрузка для этой атаки на компанию, предоставляющую ИТ-услуги.
В отчете Symantec представлены сетевые индикаторы и хеши файлов, связанные с задокументированной атакой Spirals.
Атака произошла в июне и затронула ИТ-компанию в Южной Азии через взлом сервера Internet Information Services (IIS), открытого в сеть Интернет.
Исследователи Symantec Threat Hunter утверждают, что злоумышленник действовал быстро после получения первоначального доступа и загрузки веб-оболочки ASP.NET.
Затем оператор Spirals обошел контроль учетных записей пользователей (UAC), включил удаленный рабочий стол и создал локальную учетную запись для обеспечения постоянного доступа.
Злоумышленник также выгрузил содержимое раздела реестра SAM и память процесса LSASS в попытке извлечь учетные данные.
Он пытался удалить ПО безопасности с хостов, использовал WMI для распространения атаки на более чем десяток систем и создал резервные каналы удаленного доступа с помощью revsocks, Chisel и туннелей Cloudflare.
В ходе выполнения вредоносной ПО PowerShell был отключен Microsoft Defender, удалены его базы данных угроз и остановлены службы, связанные с 23 продуктами для резервного копирования, баз данных и виртуализации, включая Veeam, VMware, Hyper-V, SQL Server, Oracle и PostgreSQL, в рамках подготовки к этапу шифрования.
Как сообщает Symantec, развертывание вредоносной ПО Spirals произошло менее чем через 24 часа после первоначального взлома.
Оператор начал развертывать ransomware в сети жертвы, используя PsExec, запущенный от имени SYSTEM. Вредоносная ПО получила название bitsadmin.exe, вероятно, для того, чтобы замаскироваться под легитимную утилиту Windows, связанную с фоновой интеллектуальной службой передачи данных.
Spirals - это штамм программ-вымогателей на языке Rust, использующее ключи AES-128, защищенные открытым ключом ECDH P-256, контролируемым злоумышленником.
Программа-вымогатель использует периодическое шифрование файлов размером более 5 МБ для ускорения процесса. На диск C:\ помещается записка с требованием выкупа под названием RECOVERY_SECTION.log, содержащая инструкции по ведению переговоров о выкупе.
Пострадавшим угрожают публичной публикацией украденных данных в течение шести дней, если злоумышленнику не будет выплачено вознаграждение.
Несмотря на наличие DLS, Symantec обнаружила Spirals лишь в одном случае, поэтому неясно, предназначено ли новое семейство для более широкого применения или это была специально разработанная полезная нагрузка для этой атаки на компанию, предоставляющую ИТ-услуги.
В отчете Symantec представлены сетевые индикаторы и хеши файлов, связанные с задокументированной атакой Spirals.
Продолжаем отслеживать наиболее трендовые уязвимости и угрозы:
1. Zoom предупреждает о критической уязвимости в своем настольном клиенте и комплекте разработки ПО для Windows, которая может быть использована неавторизованным лицом для взлома учетных записей.
CVE-2026-53412 (CVSS 9,8) затрагивает Zoom Workplace для Windows версий до 7.0.0, Windows VDI Client версий до 7.0.10, 6.6.15 и 6.5.18, а также Meeting SDK для Windows версий до 7.0.0.
Поставщик не предоставил никаких технических подробностей, а лишь описал его как проблему некорректной проверки входных данных.
2. Splunk объявила о выпуске исправлений для множества уязвимостей в своих продуктах, включая несколько критических и серьезных дефектов. Из пяти опубликованных уведомлений только три касаются недостатков в продуктах, два других устраняют десятки ошибок в компонентах сторонних разработчиков.
К уязвимостям, характерным для Splunk, относятся CVE-2026-20296 (обход системы защиты команд высокой степени опасности), CVE-2026-20297 (обход пути к уязвимости высокой степени опасности) и CVE-2026-20298 (раскрытие информации средней степени опасности).
Успешная эксплуатация этих уязвимостей может позволить злоумышленникам получить доступ к учетным данным и данным, записывать файлы за пределами предполагаемого каталога приложения и просматривать сохраненные хэши учетных данных.
3. F5 объявила о внеполосном обновлении системы безопасности, устраняющем восемь уязвимостей в NGINX и BIG-IP.
Наиболее серьёзная уязвимость - CVE-2026-42533 (CVSS 9.2), критическая проблема в NGINX Plus и NGINX Open Source, может быть использована для взлома с помощью специально сформированных HTTP-запросов, вызывающих переполнение буфера кучи и перезапуск рабочего процесса NGINX.
Злоумышленник может использовать уязвимость безопасности без аутентификации. F5 не упоминает о случаях эксплуатации этих уязвимостей в реальных условиях.
4. В этом месяце ИБ-компании Trend Micro, ESET, Tenable и Tanium выпустили обновления своих продуктов для устранения серьезных уязвимостей.
Tenable сообщила клиентам об устранении критической уязвимости обхода пути в Tenable Agent. CVE-2026-15265 может позволить злоумышленнику выполнить удаленное выполнение кода.
ESET уведомила клиентов об устранении серьезной уязвимости локального повышения привилегий в программе Inspect Connector для Windows, а Tanium - о серьезной уязвимости DoS, затронувшей Tanium Server.
Trend Micro обрадовала пользователей Cleaner One Pro о серьезной уязвимости локального повышения привилегий, которая может позволить злоумышленнику удалить файлы Trend Micro, имеющие привилегии.
5. Исследователи Bitdefender продемонстрировали три метода атак, с помощью которых можно использовать привязку ссылок Windows для обхода средств EDR.
6. Positive Technologies выкатила свой июльский «В тренде VM», отметив в нем уязвимость в Microsoft Exchange Server (CVE-2026-42897, CVSS 8,1)
7. Неисправленная уязвимость в пылесосе Shark позволяет злоумышленникам контролировать другие пылесосы в масштабах всего региона.
8. В результате атаки на цепочку поставок в менеджер пакетов Node (npm) были опубликованы пять вредоносных версий пакетов AsyncAPI (суммарное количество еженедельных загрузок превысило 2,25 млн.), которые доставили троян с возможностью удаленного доступа и кражи информации.
1. Zoom предупреждает о критической уязвимости в своем настольном клиенте и комплекте разработки ПО для Windows, которая может быть использована неавторизованным лицом для взлома учетных записей.
CVE-2026-53412 (CVSS 9,8) затрагивает Zoom Workplace для Windows версий до 7.0.0, Windows VDI Client версий до 7.0.10, 6.6.15 и 6.5.18, а также Meeting SDK для Windows версий до 7.0.0.
Поставщик не предоставил никаких технических подробностей, а лишь описал его как проблему некорректной проверки входных данных.
2. Splunk объявила о выпуске исправлений для множества уязвимостей в своих продуктах, включая несколько критических и серьезных дефектов. Из пяти опубликованных уведомлений только три касаются недостатков в продуктах, два других устраняют десятки ошибок в компонентах сторонних разработчиков.
К уязвимостям, характерным для Splunk, относятся CVE-2026-20296 (обход системы защиты команд высокой степени опасности), CVE-2026-20297 (обход пути к уязвимости высокой степени опасности) и CVE-2026-20298 (раскрытие информации средней степени опасности).
Успешная эксплуатация этих уязвимостей может позволить злоумышленникам получить доступ к учетным данным и данным, записывать файлы за пределами предполагаемого каталога приложения и просматривать сохраненные хэши учетных данных.
3. F5 объявила о внеполосном обновлении системы безопасности, устраняющем восемь уязвимостей в NGINX и BIG-IP.
Наиболее серьёзная уязвимость - CVE-2026-42533 (CVSS 9.2), критическая проблема в NGINX Plus и NGINX Open Source, может быть использована для взлома с помощью специально сформированных HTTP-запросов, вызывающих переполнение буфера кучи и перезапуск рабочего процесса NGINX.
Злоумышленник может использовать уязвимость безопасности без аутентификации. F5 не упоминает о случаях эксплуатации этих уязвимостей в реальных условиях.
4. В этом месяце ИБ-компании Trend Micro, ESET, Tenable и Tanium выпустили обновления своих продуктов для устранения серьезных уязвимостей.
Tenable сообщила клиентам об устранении критической уязвимости обхода пути в Tenable Agent. CVE-2026-15265 может позволить злоумышленнику выполнить удаленное выполнение кода.
ESET уведомила клиентов об устранении серьезной уязвимости локального повышения привилегий в программе Inspect Connector для Windows, а Tanium - о серьезной уязвимости DoS, затронувшей Tanium Server.
Trend Micro обрадовала пользователей Cleaner One Pro о серьезной уязвимости локального повышения привилегий, которая может позволить злоумышленнику удалить файлы Trend Micro, имеющие привилегии.
5. Исследователи Bitdefender продемонстрировали три метода атак, с помощью которых можно использовать привязку ссылок Windows для обхода средств EDR.
6. Positive Technologies выкатила свой июльский «В тренде VM», отметив в нем уязвимость в Microsoft Exchange Server (CVE-2026-42897, CVSS 8,1)
7. Неисправленная уязвимость в пылесосе Shark позволяет злоумышленникам контролировать другие пылесосы в масштабах всего региона.
8. В результате атаки на цепочку поставок в менеджер пакетов Node (npm) были опубликованы пять вредоносных версий пакетов AsyncAPI (суммарное количество еженедельных загрузок превысило 2,25 млн.), которые доставили троян с возможностью удаленного доступа и кражи информации.
Splunk Vulnerability Disclosure
Splunk Vulnerability Disclosure
Новый OkoBot доставляет более 20 различных вредоносных ПО в рамках атак, направленных на кражу сид-фраз криптокошельков, учетных данных и другой конфиденциальной информации.
OkoBot проникает к жертвам через атаки ClickFix или вредоносные репозитории GitHub, выдавая себя за легитимные программные инструменты.
В одном случае репозиторий якобы представлял SQL Server Management Studio (SSMS), но вместо этого распространял троянизированную версию аудиоредактора Audacity.
Исследователи Лаборатории Касперского отмечают, что кампания OkoBot продолжается уже более года и стала продолжением активности, связанной с распространением вредоносного скрипта PowerShell TookPS.
Однако цепочка заражения полностью изменилась: теперь она включает несколько этапов атаки, а на первом этапе используется TookPS для установки и настройки SSH-бота, который доставляет другие вредоносные компоненты.
SSH-бот также отвечает за сбор системных данных (имя пользователя, антивирусное ПО, IP-адрес, версия ОС) и отключение уведомлений Windows Defender. Кроме того, он собирает файлы криптовалютных кошельков, cookie-файлы браузера и учетные данные.
Среди 20 модулей, задействуемых OkoBot в атаках, наиболее примечательны следующие:
- ext daemon/extl.exe: внедряется в браузер Chrome для скрытой установки вредоносных расширений, таких как Rilide, которые нацелены на учетные данные, файлы cookie, финансовую информацию и данные, связанные с криптовалютой.
- SeedHunter: внедряется в Trezor Suite, Ledger Wallet и Ledger Live для отображения фейкового экрана восстановления сид-фразы, предназначенного для кражи фраз восстановления кошелька у жертв.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированный текст, изображения и пути к файлам, а также может отслеживать USB-подключения и делать снимки экрана каждые 5 минут.
- OkoSpyware: отслеживает работу 100 программ, включая криптокошельки и менеджеры паролей, и использует FFmpeg для записи видео их окон, а также для захвата нажатий клавиш.
Телеметрия ЛК показывает, что большинство жертв OkoBot находятся в Бразилии, за ней следуют Вьетнам, Канада, Мексика и Турция. Однако охват кампании глобален.
В ЛК не связывают кампанию OkoBot с каким-либо конкретным злоумышленником, но исследователи отмечают, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован по географическому признаку.
Они заметили, что полезные нагрузки не доставляются при использовании IP из России или стран СНГ, и сервер возвращает пустой ответ.
Дополнительные признаки, указывающие на русскоязычного злоумышленника, включают комментарии на русском языке в исходном коде модуля SeedHunter и использование стилера, активно распространяемого на закрытых российских даркнет-ресурсах.
IOCs, включающий хеши вредоносных плагинов, полезных нагрузок инжекторов, утилит SSH-ботов, пути к файлам, домены и IP - в отчете.
OkoBot проникает к жертвам через атаки ClickFix или вредоносные репозитории GitHub, выдавая себя за легитимные программные инструменты.
В одном случае репозиторий якобы представлял SQL Server Management Studio (SSMS), но вместо этого распространял троянизированную версию аудиоредактора Audacity.
Исследователи Лаборатории Касперского отмечают, что кампания OkoBot продолжается уже более года и стала продолжением активности, связанной с распространением вредоносного скрипта PowerShell TookPS.
Однако цепочка заражения полностью изменилась: теперь она включает несколько этапов атаки, а на первом этапе используется TookPS для установки и настройки SSH-бота, который доставляет другие вредоносные компоненты.
SSH-бот также отвечает за сбор системных данных (имя пользователя, антивирусное ПО, IP-адрес, версия ОС) и отключение уведомлений Windows Defender. Кроме того, он собирает файлы криптовалютных кошельков, cookie-файлы браузера и учетные данные.
Среди 20 модулей, задействуемых OkoBot в атаках, наиболее примечательны следующие:
- ext daemon/extl.exe: внедряется в браузер Chrome для скрытой установки вредоносных расширений, таких как Rilide, которые нацелены на учетные данные, файлы cookie, финансовую информацию и данные, связанные с криптовалютой.
- SeedHunter: внедряется в Trezor Suite, Ledger Wallet и Ledger Live для отображения фейкового экрана восстановления сид-фразы, предназначенного для кражи фраз восстановления кошелька у жертв.
- MC Keylogger: записывает нажатия клавиш и активность буфера обмена, включая скопированный текст, изображения и пути к файлам, а также может отслеживать USB-подключения и делать снимки экрана каждые 5 минут.
- OkoSpyware: отслеживает работу 100 программ, включая криптокошельки и менеджеры паролей, и использует FFmpeg для записи видео их окон, а также для захвата нажатий клавиш.
Телеметрия ЛК показывает, что большинство жертв OkoBot находятся в Бразилии, за ней следуют Вьетнам, Канада, Мексика и Турция. Однако охват кампании глобален.
В ЛК не связывают кампанию OkoBot с каким-либо конкретным злоумышленником, но исследователи отмечают, что доступ к серверам, на которых размещены скрипты PowerShell для начального этапа атаки, заблокирован по географическому признаку.
Они заметили, что полезные нагрузки не доставляются при использовании IP из России или стран СНГ, и сервер возвращает пустой ответ.
Дополнительные признаки, указывающие на русскоязычного злоумышленника, включают комментарии на русском языке в исходном коде модуля SeedHunter и использование стилера, активно распространяемого на закрытых российских даркнет-ресурсах.
IOCs, включающий хеши вредоносных плагинов, полезных нагрузок инжекторов, утилит SSH-ботов, пути к файлам, домены и IP - в отчете.
Исследователи F6 в своем новом отчете отследили эволюцию атак группировки xplogs22, которая получила свое наименование благорадя электронному адресу, использовавшемуся злоумышленниками в атаках для эксфильтрации похищенных данных.
xplogs22 - это киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. Использует в атаках троян XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.
Обнаруженные F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ.
Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком. Большая часть фишинговых писем связана с юридической тематикой оформления и заключения договоров.
Компании, которые атакует группировка, в основном относятся к таким отраслям, как: торговля; энергетика; промышленность; наука и инженерия; строительство; здравоохранение; IT; финансы; развлечения; телеком; спорт; добыча полезных ископаемых; ЖКХ; сельское хозяйство и транспорт.
В ранних атаках злоумышленники использовали в рассылках вредоносную ПО SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.
SnakeKeylogger представляет собой вредоносное ПО, впервые обнаруженное в 2020 году. Совмещает возможности стилера и кейлогера. В его функционал входит кража информации, включая различные учетные данные, а также считывание нажатий клавиш пользователя.
Эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.]com.
Кроме того, в ходе ретроспективного анализа удалось установить, что xplogs22, предположительно, начала свои атаки как минимум с ноября 2023 года и периодически меняла адреса для эксфильтрации.
Также в некоторых атаках было замечено использование стилера FormBook.
С июля 2025 года xplogs22 начала рассылать письма именно с XWorm и вносить изменения в цепочки атак.
Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается: злоумышленники отправили компаниям более 2900 писем.
XWorm - троян удалённого доступа на основе .NET. Впервые появился на хакфорумах в 2022 году. С помощью этого ВПО злоумышленники могут получить скрытый удаленный доступ к системе, похищать из нее различные данные и размещать в ней дополнительные вредоносные модули.
С началом использования нового трояна группировка стала видоизменять цепочки атак: внутри вложений писем, помимо привычных .exe-файлов, начали также доставляться файлы с расширениями vbs, hta или bat.
Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне ru. В атаках также встречались почты с доменами верхнего уровня by, uz, kz, ae, tr, net, com, org.
В некоторых атаках группа подменяла e-mail отправителя с помощью спуфинга. В других, предположительно, для рассылок использовались скомпрометированные электронные адреса российских и белорусских организаций.
Среди обнаруженных F6 атак группировки xplogs22 с использованием XWorm бо́льшая часть была нацелена на страны СНГ.
Также были замечены атаки на страны: ОАЭ, Ливан, Пакистан, Турция, Индия, Болгария, Бразилия, Гонконг, Канада, Кипр, Чехия, Эстония, Германия, Венгрия, Италия, Япония, Южная Корея, Латвия, Нидерланды, Норвегия, Польша, Испания, Швеция, Швейцария, Великобритания и США.
xplogs22 периодически меняла С2-адреса, на начало июля 2026 года группировка использует IP-адрес 109[.]248[.]150[.]234.
Как отметили в F6, xplogs22 делает ставку на широкий охват, выполняя рассылки большими партиями на десятки стран и оформляя письма сразу на нескольких языках.
Злоумышленики довольно консервативны: используют повторяющиеся темы и имена файлов, а также редко меняют свой инструментарий, оставаясь приверженными одному вредоносному ПО в течение длительного периода времени.
Технические подробности и IOCs - в отчете на сайте F6.
xplogs22 - это киберпреступная группировка, активная как минимум с ноября 2023 года. Проводит массовые фишинговые атаки на организации из разных стран. Использует в атаках троян XWorm, ранее применяла вредоносное ПО SnakeKeylogger и стилер FormBookFormgrabber.
Обнаруженные F6 атаки xplogs22 преимущественно нацелены на Россию и другие страны СНГ.
Большинство текстов писем группы написаны на русском языке, но встречаются также письма на английском, арабском, казахском и турецком. Большая часть фишинговых писем связана с юридической тематикой оформления и заключения договоров.
Компании, которые атакует группировка, в основном относятся к таким отраслям, как: торговля; энергетика; промышленность; наука и инженерия; строительство; здравоохранение; IT; финансы; развлечения; телеком; спорт; добыча полезных ископаемых; ЖКХ; сельское хозяйство и транспорт.
В ранних атаках злоумышленники использовали в рассылках вредоносную ПО SnakeKeylogger, также было обнаружено несколько атак с применением стилера FormBook.
SnakeKeylogger представляет собой вредоносное ПО, впервые обнаруженное в 2020 году. Совмещает возможности стилера и кейлогера. В его функционал входит кража информации, включая различные учетные данные, а также считывание нажатий клавиш пользователя.
Эксфильтрация похищенных данных осуществлялась через SMTP-протокол, и в качестве целевого электронного адреса был указан xplogs22@yandex[.]com.
Кроме того, в ходе ретроспективного анализа удалось установить, что xplogs22, предположительно, начала свои атаки как минимум с ноября 2023 года и периодически меняла адреса для эксфильтрации.
Также в некоторых атаках было замечено использование стилера FormBook.
С июля 2025 года xplogs22 начала рассылать письма именно с XWorm и вносить изменения в цепочки атак.
Кампания с использованием XWorm на момент исследования в июле 2026 года продолжается: злоумышленники отправили компаниям более 2900 писем.
XWorm - троян удалённого доступа на основе .NET. Впервые появился на хакфорумах в 2022 году. С помощью этого ВПО злоумышленники могут получить скрытый удаленный доступ к системе, похищать из нее различные данные и размещать в ней дополнительные вредоносные модули.
С началом использования нового трояна группировка стала видоизменять цепочки атак: внутри вложений писем, помимо привычных .exe-файлов, начали также доставляться файлы с расширениями vbs, hta или bat.
Пытаясь имитировать действия реальных компаний, группировка xplogs22 в основном использовала в своих рассылках электронные адреса в доменной зоне ru. В атаках также встречались почты с доменами верхнего уровня by, uz, kz, ae, tr, net, com, org.
В некоторых атаках группа подменяла e-mail отправителя с помощью спуфинга. В других, предположительно, для рассылок использовались скомпрометированные электронные адреса российских и белорусских организаций.
Среди обнаруженных F6 атак группировки xplogs22 с использованием XWorm бо́льшая часть была нацелена на страны СНГ.
Также были замечены атаки на страны: ОАЭ, Ливан, Пакистан, Турция, Индия, Болгария, Бразилия, Гонконг, Канада, Кипр, Чехия, Эстония, Германия, Венгрия, Италия, Япония, Южная Корея, Латвия, Нидерланды, Норвегия, Польша, Испания, Швеция, Швейцария, Великобритания и США.
xplogs22 периодически меняла С2-адреса, на начало июля 2026 года группировка использует IP-адрес 109[.]248[.]150[.]234.
Как отметили в F6, xplogs22 делает ставку на широкий охват, выполняя рассылки большими партиями на десятки стран и оформляя письма сразу на нескольких языках.
Злоумышленики довольно консервативны: используют повторяющиеся темы и имена файлов, а также редко меняют свой инструментарий, оставаясь приверженными одному вредоносному ПО в течение длительного периода времени.
Технические подробности и IOCs - в отчете на сайте F6.
Хабр
Чемпионат по контрактам: изучаем эволюцию атак киберпреступной группировки xplogs22
Киберпреступные группы, атакующие Россию, отличаются разнообразием. Среди них есть те, кто специализируется на взломе исключительно российских компаний, а есть и такие, для кого организации в РФ —...
Исследователи Solar 4RAYS рассказали, как как распознать фейковый репозиторий за 10 секунд, причитая на то, что по README встречают, по малвари провожают.
За последнее время Солары обнаружили несколько очень схожих инцидентов запуска вредоносных утилит, скачанных с GitHub под видом подлинного софта. Заражений не произошло - антивирусы отработали штатно, но тренд налицо.
Пользователи пытаются найти рабочие инструменты для обхода ограничений, например популярный локальный прокси tg-ws-proxy от flowseal. Поиск нужной утилиты часто начинается в браузере, и тут пользователей ждет ловушка, связанная со спецификой поисковиков.
Из-за действующих ограничений в РФ ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи Яндекса. В результате на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на малварь.
Эти фейки еще не успели попасть в списки на блокировку, поэтому выдаются первыми. По наблюдениям Соларов, Google такую проблему с подменой выдачи решает довольно быстро.
Пользователи часто доверяют неофициальным прокси-сервисам для скачивания релизов по инерции, думая, что скачивают оригинальный код.
Однако под капотом такого зеркала вполне может оказаться подмененный бинарник или скрипт с «сюрпризом» в виде того же Salat Stealer или Santa Stealer (который, к слову, умеет пылесосить не только сессии браузеров, но и нужные файлы по заданным расширениям).
Даже если ссылка выглядит максимально похоже на оригинал, при скачивании со сторонних платформ всегда есть опасность подмены скачиваемого файла.
Внешне подделка выглядит абсолютно органично. Мошенники подчистую копируют раздел README.md настоящей программы, сохраняя оригинальную верстку и даже реквизиты для донатов настоящему автору.
Расчет строится на машинальные действия. Пользователь видит знакомое оформление и на автомате тянется к кнопке загрузки, не задумываясь о проверке источника.
Выявить вредоносный репозиторий можно с первого взгляда на профиль, но вот, что сразу выдает подделку:
1. Поскольку вредоносная инфраструктура долго не живет: сразу встречается свежий аккаунт. Профили разработчиков-злоумышленников обычно зарегистрированы буквально пару недель назад.
2. Настоящая разработка состоит из истории осмысленных коммитов, а в фейках весь код заливается за один раз через веб-интерфейс платформы. Вместо нормальных описаний изменений везде висит заглушка «Add files via upload».
3. Оригинальный проект всегда имеет тысячи звезд, кучу форков, множество следящих пользователей и кипящую вкладку Issues. У клонов по всем счетчикам стоят нули, а обсуждение проблем часто просто отключено.
4. И еще один важнейший маркер: инструкции по установке. Мошенники часто пишут в README что-то вроде: «Софт использует обфускацию / взаимодействует с сетью, поэтому Windows Defender ругается - это false positive, добавьте папку в исключения».
5. Последнее, но не по значимости - спам репозиториями. Внутри фейкового аккаунта обычно сразу создана целая пачка репозиториев с похожими названиями для максимального покрытия поисковых запросов.
Данная атака работает исключительно за счет того, что мошенники эксплуатируют популярность рабочих инструментов из-за блокировок, слепое доверие к авторитету GitHub и особенности алгоритмов поисковой выдачи.
Практический чек-лист безопасности репозитория и IOCs выявленных угроз - в отчете.
За последнее время Солары обнаружили несколько очень схожих инцидентов запуска вредоносных утилит, скачанных с GitHub под видом подлинного софта. Заражений не произошло - антивирусы отработали штатно, но тренд налицо.
Пользователи пытаются найти рабочие инструменты для обхода ограничений, например популярный локальный прокси tg-ws-proxy от flowseal. Поиск нужной утилиты часто начинается в браузере, и тут пользователей ждет ловушка, связанная со спецификой поисковиков.
Из-за действующих ограничений в РФ ссылки на оригинальные и валидные репозитории удаляются из поисковой выдачи Яндекса. В результате на самом верху поиска образуется вакуум, который моментально заполняется свежими ссылками на малварь.
Эти фейки еще не успели попасть в списки на блокировку, поэтому выдаются первыми. По наблюдениям Соларов, Google такую проблему с подменой выдачи решает довольно быстро.
Пользователи часто доверяют неофициальным прокси-сервисам для скачивания релизов по инерции, думая, что скачивают оригинальный код.
Однако под капотом такого зеркала вполне может оказаться подмененный бинарник или скрипт с «сюрпризом» в виде того же Salat Stealer или Santa Stealer (который, к слову, умеет пылесосить не только сессии браузеров, но и нужные файлы по заданным расширениям).
Даже если ссылка выглядит максимально похоже на оригинал, при скачивании со сторонних платформ всегда есть опасность подмены скачиваемого файла.
Внешне подделка выглядит абсолютно органично. Мошенники подчистую копируют раздел README.md настоящей программы, сохраняя оригинальную верстку и даже реквизиты для донатов настоящему автору.
Расчет строится на машинальные действия. Пользователь видит знакомое оформление и на автомате тянется к кнопке загрузки, не задумываясь о проверке источника.
Выявить вредоносный репозиторий можно с первого взгляда на профиль, но вот, что сразу выдает подделку:
1. Поскольку вредоносная инфраструктура долго не живет: сразу встречается свежий аккаунт. Профили разработчиков-злоумышленников обычно зарегистрированы буквально пару недель назад.
2. Настоящая разработка состоит из истории осмысленных коммитов, а в фейках весь код заливается за один раз через веб-интерфейс платформы. Вместо нормальных описаний изменений везде висит заглушка «Add files via upload».
3. Оригинальный проект всегда имеет тысячи звезд, кучу форков, множество следящих пользователей и кипящую вкладку Issues. У клонов по всем счетчикам стоят нули, а обсуждение проблем часто просто отключено.
4. И еще один важнейший маркер: инструкции по установке. Мошенники часто пишут в README что-то вроде: «Софт использует обфускацию / взаимодействует с сетью, поэтому Windows Defender ругается - это false positive, добавьте папку в исключения».
5. Последнее, но не по значимости - спам репозиториями. Внутри фейкового аккаунта обычно сразу создана целая пачка репозиториев с похожими названиями для максимального покрытия поисковых запросов.
Данная атака работает исключительно за счет того, что мошенники эксплуатируют популярность рабочих инструментов из-за блокировок, слепое доверие к авторитету GitHub и особенности алгоритмов поисковой выдачи.
Практический чек-лист безопасности репозитория и IOCs выявленных угроз - в отчете.
rt-solar.ru
По README встречают, по малвари провожают: как распознать фейковый репозиторий за 10 секунд
Исследователи BI.ZONE поломали ONLYOFFICE Desktop Editors в 3 шага и представили цепочку уязвимостей OnlyShells, позволяющую при открытии документа выполнить код с системными правами.
Офисный пакет ONLYOFFICE Desktop Editors построен на Chromium Embedded Framework (CEF) и является приложением на базе Chromium.
Он запускается без браузерной песочницы, а используемая версия Chromium (109.0.5414.120) устарела еще в 2023 году. Кроме того, вместе с редактором устанавливается служба для его обновления, которая действует с максимальными системными правами NT AUTHORITY\SYSTEM.
Существует еще одна большая поверхность атаки: парсеры различных файловых форматов, реализованные на небезопасных языках.
Но даже имея серьезный примитив эксплуатации в одном из парсеров, полноценная атака почти всегда усложняется необходимостью эксплуатации one‑shot: эксплойт не сможет подстраиваться под митигации системы жертвы, такие как PIE и ASLR.
Все эти вводные привели Бизонов к следующей предполагаемой цепочке:
- Уязвимость XSS, исполнение произвольного кода JavaScript.
- Эксплуатация браузерной уязвимости рендерера.
- Эксплуатация уязвимости службы обновлений, повышение привилегий.
Комбинация уязвимостей CVE‑2025‑68936, CVE‑2023‑2033 и CVE‑2026‑41030 составили по итогу цепочку OnlyShells, позволяющую выполнять произвольный код от имени суперпользователя при открытии подготовленного файла.
Для защиты от OnlyShells необходимо обновить ONLYOFFICE Desktop Editors до версии 9.3.0.
Демонстрация полного цикла эксплуатации цепочки OnlyShells - в ролике, а техническое описание каждой из проблем с описанием путей эксплутаатции - в отчете.
Офисный пакет ONLYOFFICE Desktop Editors построен на Chromium Embedded Framework (CEF) и является приложением на базе Chromium.
Он запускается без браузерной песочницы, а используемая версия Chromium (109.0.5414.120) устарела еще в 2023 году. Кроме того, вместе с редактором устанавливается служба для его обновления, которая действует с максимальными системными правами NT AUTHORITY\SYSTEM.
Существует еще одна большая поверхность атаки: парсеры различных файловых форматов, реализованные на небезопасных языках.
Но даже имея серьезный примитив эксплуатации в одном из парсеров, полноценная атака почти всегда усложняется необходимостью эксплуатации one‑shot: эксплойт не сможет подстраиваться под митигации системы жертвы, такие как PIE и ASLR.
Все эти вводные привели Бизонов к следующей предполагаемой цепочке:
- Уязвимость XSS, исполнение произвольного кода JavaScript.
- Эксплуатация браузерной уязвимости рендерера.
- Эксплуатация уязвимости службы обновлений, повышение привилегий.
Комбинация уязвимостей CVE‑2025‑68936, CVE‑2023‑2033 и CVE‑2026‑41030 составили по итогу цепочку OnlyShells, позволяющую выполнять произвольный код от имени суперпользователя при открытии подготовленного файла.
Для защиты от OnlyShells необходимо обновить ONLYOFFICE Desktop Editors до версии 9.3.0.
Демонстрация полного цикла эксплуатации цепочки OnlyShells - в ролике, а техническое описание каждой из проблем с описанием путей эксплутаатции - в отчете.
BI.ZONE
Ломаем ONLYOFFICE за 3 шага: цепочка уязвимостей OnlyShells
Разбираем цепочку уязвимостей, позволяющую при открытии документа выполнить код с системными правами