SecAtor

Ботнет для Android под названием Kimwolf, связанный с ботнетом Aisuru IoT и созданный с использованием NDK (Native Development Kit), смог захватить 1,8 миллиона устройств, отправив более 1,7 млрд. команд в рамках DDoS-атак.

Обнаружили новинку исследователи китайской QiAnXin XLab, отмечая широкий функуционал ботнета: реализация прокси-серверов, обратной оболочки и управления файлами.

По данным XLab, Kimwolf в основном специализируется на проксировании трафика, но, как было замечено, в период с 19 по 22 ноября он отдал более 1,7 миллиарда команд для DDoS-атак.

В общей сложности поддерживает 13 методов DDoS-атак по протоколам UDP, TCP и ICMP.

Это позволило его домену С2 14emeliaterracewestroxburyma02132[.]su занять первое место в глобальном рейтинге популярности доменов Cloudflare, обогнав google.com.

По данным компании, вредоносное ПО использует протокол DNS over TLS (DoT) для инкапсуляции DNS-запросов и обхода обнаружения, а также механизм проверки подписи для подтверждения инструкций связи.

Kimwolf в основном нацелен на телевизионные приставки Android TV, используемые в домашних сетях, при этом зараженные устройства распространены более чем в 220 странах.

При этом наибольшая концентрация - в Бразилии, Индии, США, Аргентине, Южной Африке и на Филиппинах.

Среди затронутых моделей устройств - TV BOX, SuperBOX, HiDPTAndroid, P200, X96Q, XBOX, SmartTV и MX10.

Однако точный механизм распространения вредоносного ПО на эти устройства в настоящее время неясен.

Сама вредоносная ПО довольно проста.

После запуска она гарантирует, что на зараженном устройстве будет работать только один экземпляр процесса, а затем расшифровывает встроенный домен C2, использует DNS-over-TLS для получения IP-адреса C2 и подключается к нему для получения и выполнения команд.

Из-за динамических механизмов распределения IP-адресов и глобального распространения зараженных устройств фактический размер ботнета остается неизвестным.

По данным XLab, домены С2, связанные с ботнетом, как минимум трижды выводились из строя третьими лицами, что вынудило разработчиков усилить защиту инфраструктуры, используя домены ENS (Ethereum Name Service).

XLab инциировала расследование в отношении ботнета после того, как 24 октября 2025 года она получила от доверенного партнера из сообщества артефакт «версии 4» Kimwolf.

С тех пор, по состоянию на прошлый месяц, было обнаружено еще восемь образцов.

Предполагается, что злоумышленники использовали код AISURU на ранних этапах, прежде чем решили разработать ботнет Kimwolf, чтобы избежать обнаружения.

Эти два крупных ботнета распространялись с помощью одних и тех же скриптов заражения в период с сентября по ноябрь, сосуществуя в одной и той же партии устройств.

Они фактически принадлежат одной и той же хакерской группе.

Оценка основана на сходстве APK-пакетов, загруженных на платформу VirusTotal, в некоторых случаях даже с использованием одного и того же сертификата подписи кода (John Dinglebert Dinglenut VIII VanSack Smith).

Дополнительные убедительные доказательства появились 8 декабря 2025 года с обнаружением активного сервера загрузки (93.95.112[.]59), содержащего скрипт, ссылающийся на APK-файлы как Kimwolf, так и AISURU.

По мнению исследователей, ботнет был причастен как минимум к двум крупномасштабным DDoS-атакам, включая инцидент с мощностью почти 30 Тбит/с, о котором сообщалось ранее в этом месяце.

Хотя многочисленные масштабные DDoS-атаки в последнее время были приписаны Aisuru, XLab считает, что именно Kimwolf мог быть ведущим ботнетом в этих инцидентах.

Вайперы атакуют!

Эксперты BI.ZONE подвели итоги 2025 года. Если раньше хакеры требовали выкуп или сливали данные, то теперь всё чаще цель — полное уничтожение инфраструктуры.

В 2025 году зафиксированы публичные упоминания о компрометации более чем 40 российских компаний. В ряде инцидентов последствия распространялись за пределы корпоративной инфраструктуры и затрагивали работу сервисов, с которыми взаимодействуют обычные пользователи.

Команда BI.ZONE DFIR не участвовала в реагировании на все зафиксированные инциденты. Но объем проектов, в которых она была задействована, позволяет выделить тенденции и сформировать статистическую картину по атакам и реакции компаний на них.

Ключевые метрики 2025 года:
42 дня — столько в среднем злоумышленники скрытно находятся в сети компании до начала активной фазы. Минимальное зафиксированное время до шифрования — 12,5 минуты. Наиболее продолжительная атака — 181 день.
Время установки EDR‑агентов на критические системы. Среднее значение 1–2 дня. С момента остановки работы сервисов.
Время восстановления основной функциональности бизнес‑процессов — 3 дня (в среднем). За это время восстанавливаются критически важные сервисы для возобновления бизнес‑процессов.
Время восстановления полной функциональности бизнес‑процессов — 14 дней (среднее значение). С учетом полной очистки, пересоздания AD и возврата сервисов.

Тенденции атак и новые угрозы 2025 года:

Если раньше основной целью было получение выкупа, то в этом году все чаще встречаются случаи, когда злоумышленники сразу переходят к уничтожению инфраструктуры. В ряде атак мы наблюдали вайп серверов и сетевого оборудования — полное удаление данных и конфигурации без возможности восстановления даже при оплате выкупа. Некоторые группировки больше не стремятся к получению денег от взломанной компании, их цель — нанести максимальный ущерб.
Использование известных шифровальщиков. В инцидентах с классическим шифрованием по‑прежнему популярны известные инструменты — Babuk, LockBit и Rancoz. Злоумышленники продолжают использовать их для блокировки инфраструктуры и принуждения к выкупу. Но уже не всегда это единственная цель атаки.
Злоумышленники стремятся устойчиво закрепиться в инфраструктуре и организовать туннели удаленного доступа. Закрепление часто реализуется через сервисы туннелирования, которые обеспечивают стабильный канал управления даже при частичной потере контроля над сетью.
PR-атаки. Атакующие продолжают вести публичные телеграм‑каналы, в которых регулярно публикуют данные, даже если фактический ущерб компании был минимален или инфраструктура восстановлена еще до публикации. Такая активность создает дополнительное давление на организацию и вредит ее репутации.
Проникновение через подрядчиков. Число атак через подрядчиков существенно выросло. По данным BI.ZONE DFIR, в 2025 году около 30% всех инцидентов начинались с компрометации компаний-подрядчиков, имеющих доступ к инфраструктуре клиента. Годом ранее доля таких атак составляла около 15%.

В конечном счете цель не в том, чтобы избежать атаки, — это невозможно. Задача компаний в том, чтобы сократить время обнаружения угроз и минимизировать потенциальный ущерб, обеспечить непрерывность бизнес-процессов и не дать злоумышленнику закрепиться в инфраструктуре. Чем лучше организация понимает свою инфраструктуру, процессы и риски, тем быстрее она реагирует и тем меньше шансов у атакующих.

@Russian_OSINT

Более 115 000 устройств WatchGuard Firebox в сети уязвимы для RCE и остаются без обновлений для критической проблемы записи за пределами допустимого диапазона, которая активно используется в атаках.

CVE-2025-14733 межсетевые экраны Firebox под управлением Fireware OS 11.x и более поздних версий (включая 11.12.4_Update1), 12.x и более поздних версий (включая 12.11.5), а также версий 2025.1 и до 2025.1.3 включительно.

Успешная эксплуатация позволяет неаутентифицированным злоумышленникам удаленно выполнять произвольный код на уязвимых устройствах в атаках низкой сложности, не требующих взаимодействия с пользователем.

Как пояснила WatchGuard в своем бюллетене, CVE-2025-14733 эксплуатируется в реальных условиях, но только в том случае, если необновленные межсетевые экраны Firebox настроены для VPN-подключения IKEv2.

Компания также предупредила, что даже если уязвимые конфигурации будут удалены, межсетевой экран все еще может быть подвержен риску, если по-прежнему настроено VPN-подключение филиала (BOVPN) к статическому шлюзу.

WatchGuard также предоставила соответствующие IOCs для клиентов, позволяющих выявлять скомпрометированные устройства Firebox в сетях.

Компания также предложила временные меры по смягчению последствий, предусматривающие отключение динамических одноранговых BOVPN, добавление новых политик межсетевого экрана и отключение стандартных системных политик, обрабатывающих VPN-трафик.

В свою очередь, Shadowserver обнаружила более 124 658 незащищенных экземпляров Firebox, находящихся в открытом доступе, в воскресенье их число немного уменьшилось до 117 490.

Через день после выпуска WatchGuard патчей CISA добавила CVE-2025-14733 в свой каталог известных эксплуатируемых уязвимостей (KEV), отметив, что именно этот тип уязвимости является частым вектором атак для киберпреступников.

Беспокойства WatchGuard можно понять, ведь в она сотрудничает с более чем 17 000 поставщиками услуг в сфере безопасности, обеспечивая защиту сетей для 250 000 малых и средних компаний по всему миру, почти половина из которых сейчас под угрозой атак.

Материнские платы таких крупных производителей, как ASRock, Asus, Gigabyte и MSI подвержены уязвимости, которая позволяет злоумышленнику проводить атаки с использованием DMA на этапе ранней загрузки системы.

Согласно сообщению, CERT/CC Университета Карнеги-Меллона, злоумышленник может использовать эту уязвимость для доступа к данным в памяти или влияния на начальное состояние системы.

Несмотря на всю критичность проблемы, подрывающей казалось бы целостность процесса загрузки и позволяющей проводить атаки до загрузки средств защиты ОС, для ее эксплуатации необходим физический доступ к целевому устройству.

В частности, локальному злоумышленнику необходимо иметь возможность подключить вредоносное устройство PCI Express (PCIe) к компьютеру с уязвимой материнской платой.

Уязвимость, описываемая как сбой механизма защиты, связана с реализациями UEFI и блоком управления памятью ввода-вывода (IOMMU), который предназначен для предотвращения несанкционированного доступа к памяти со стороны периферийных устройств.

Проблема заключается в том, что во время загрузки микропрограмма указывает на включение защиты от прямого доступа к памяти (DMA), тогда как в действительности IOMMU не настраивается и не активируется должным образом до момента, непосредственно предшествующего передаче управления операционной системе.

А это позволяет злоумышленнику, имеющему физический доступ к целевой системе, использовать вредоносное устройство PCIe для проведения атаки с прямым доступом к памяти (DMA).

Проблема отслеживается как: CVE-2025-11901, CVE-2025‑14302, CVE-2025-14303 и CVE-2025-14304.

В свою очередь, ASRock, Asus, Gigabyte и MSI подтвердили (1, 2, 3, 4 соответственно), что некоторые из их материнских плат затронуты этой проблемой. Каждая выпустила собственное уведомление, информирующее клиентов об уязвимости и доступности обновлений прошивки.

Согласно рекомендациям CERT/CC, продукция AMD, AMI, Insyde, Intel, Phoenix Technologies и Supermicro не затронута. Более десятка производителей в настоящее время имеют статус «неизвестный».

Позитивы продолжают подводить итоги 2025 года и делиться прогнозами относительно ландшафта угроз, на этот раз основной фокус - на ближайшее будущее.

Заглядывая в 2026, исследователи прогнозируют, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, в котором их число достигло практически 500, а в 2026-м может увеличиться еще на 30-35%.

При этом, отмечая, что на протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников.

По данным Positive Technologies, в период с июля 2024-го по сентябрь 2025 года на нашу страну пришлось от 14% до 16% всех успешных кибератак в мире.

Рост количества нападений касается не только крупных предприятий и организаций, но и малого и среднего бизнеса, которые все чаще становятся жертвами.

Ожидается рост числа атак на цепочки поставок, приводящих к к наиболее масштабным последствиям.

Основное влияние на ландшафт киберугроз для российских организаций в 2026 году с большой вероятностью будут оказывать два драйвера - темпы цифровизации и геополитическая обстановка.

Импортозамещение также усиливает риски: переход на отечественные IT-решения часто реализуется в сжатые сроки, без должного внимания к их защищенности, что упрощает задачу злоумышленникам - особенно при наличии 0-day или утечек исходного кода.

На данный момент процент применения зарубежного ПО в России остается высоким; помимо этого, пока что страна зависит от импорта аппаратных средств.

Геополитика уже играет и будет играть не менее важную роль. В случае ее усугубления возрастет число целевых хактивистских атак на КИИ.

Несмотря на то что организации в отдельных регионах и отраслях России продолжают регулярно сталкиваться с DDoS-атаками, они перестали преобладать в хактивистских кампаниях.

На первый план вышли деструктивные атаки с использованием шифровальщиков и вайперов.

Большинство хактивистов используют общедоступные инструменты и вредоносное ПО по модели MaaS.

Однако в арсенале некоторых группировок все чаще стали появляться собственные разработки, что ранее в атаках хактивистов отмечалось крайне редко.

Промышленность и госучреждения лидируют по количеству атак, и в 2026 году ситуация не изменится.

В ближайшие годы в целом активная цифровизация, внедрение IoT и ИИ, а также переход на российские решения будут расширять поверхность атак на промышленность и госсектор.

Российские IT- и телеком-компании остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак в виду особой опасности инцидентов, связанных с цепочками поставок и доверительными отношениями.

Важно отметить, что злоумышленники будут реже использовать этот доступ для немедленного разрушения IT-инфраструктуры.

Вместо этого они смогут затаиться и готовить почву для будущих взломов, закладывая бэкдоры на случай обострения ситуации.

DDoS-атаки в 2026 году полностью не исчезнут, оставаясь эффективным инструментом давления. При росте напряженности стоит ожидать как увеличения числа атак, так и их большей агрессивности.

Если говорить про методы, то социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными.

Уже сегодня наблюдаются многоступенчатые фишинговые кампании, а в будущем злоумышленники все чаще будут использовать ИИ для создания персонализированных дипфейков.

При этом кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных и нарушениям бизнес-процессов.

Отдельно Позитивы рассматривают рынок киберпреступности, который оказывает непосредственное влияние на ландшафт киберугроз для российских организаций. Данные из дарквеба показывают, что успешные операции многократно окупаются.

Кроме того, дарквеб превратился в полноценный рынок киберуслуг, где сервисная модель и утечки инструментов резко снижают порог входа и затрудняют атрибуцию инцидентов.

Исследователи сорвали приличный куш на хакерском конкурсе Zeroday Cloud в Лондоне в размере 320 000 долларов за демонстрацию критических RCE-уязвимостей в компонентах, используемых в облачной инфраструктуре.

Первое подобное в своем роде мероприятие в сфере облачных систем проводит Wiz Research в партнерстве с Amazon Web Services, Microsoft и Google Cloud.

В ходе 13 хакерских сессий исследователям удалось успешно реализовать 85% попыток взлома, выявив 11 0-day.

В первый день вручены призы в размере 200 000 долларов за успешное использование уязвимостей в Redis, PostgreSQL, Grafana и ядре Linux.

На второй день исследователи заработали еще 120 000 долларов, продемонстрировав уязвимости в Redis, PostgreSQL и MariaDB - самых популярных базах данных, используемых облачными системами для хранения важной информации.

Ядро Linux было скомпрометировано из-за уязвимости, позволяющей злоумышленникам выходить из контейнеров, что дало возможность нарушить изоляцию между облачными арендаторами и подорвать ключевую гарантию безопасности облачных сервисов.

Исследователи из Zellic и DEVCORE получили грант в размере 40 000 долларов за свои достижения.

Также затрагивалась проблематика ИИ, включая попытки взлома моделей vLLM и Ollama, которые могли привести к утечке данных из закрытых моделей, наборов данных и подсказок, но обе попытки провалились из-за нехватки времени.

По итогам первого этапа соревнований Zeroday Cloud команда Xint Code стала победителем за успешную эксплуатацию уязвимостей Redis, MariaDB и PostgreSQL.

За три успешно осуществленные атаки команда Xint Code получила 90 000 долларов.

Несмотря на положительный результат, присужденная сумма составляет лишь небольшую часть от общего призового фонда в размере 4,5 млн. долл., доступного исследователям, продемонстрировавшим эффективность в борьбе с различными целевыми объектами.

В число категорий и продуктов, в которых не было обнаружено уязвимостей в ходе конкурса, вошли: ИИ (Ollama, vLLM, Nvidia Container Toolkit), Kubernetes, Docker, веб-серверы (ngnix, Apache Tomcat, Envoy, Caddy), Apache Airflow, Jenkins и GitLab CE.

Исследователи из Лаборатории Касперского продолжают отслеживать серию сложных кибератак с использованием уязвимости CVE-2025-2783 в браузере Google Chrome, которая впервые была раскрыта в марте 2025 года и получила название Форумный тролль.

Ранее в ЛК подробно описали вредоносные импланты, которые использовались в этой операции: бэкдор LeetAgent, а также сложное шпионское ПО Dante, разработанное компанией Memento Labs (Hacking Team).

Однако злоумышленники, стоящие за этой кампанией, не остановились на весенних атаках и продолжили заражать цели, находящиеся в России, несмотря на все последовавшие после разоблачения оправдания от руководства Memento Labs.

В октябре 2025 года, всего за несколько дней до того, как ЛК представила доклад про атаки APT-группы ForumTroll на конференции Security Analyst Summit, была выявлена новая таргетированная фишинговая кампания этой же группы.

Осенняя кампания была уже нацелена на конкретных лиц: ученых в области политологии, международных отношений и мировой экономики из крупнейших российских университетов и научных учреждений.

Письма отправлялись с support@e-library[.]wiki, а сама рассылка велась якобы от имени научной электронной библиотеки eLibrary, реальный веб-сайт которой - elibrary.ru.

В фишинговых отправлениях содержалась вредоносная ссылка https://e-library[.]wiki/elib/wiki.php?id=<8 псевдослучайных букв и цифр> - по ней получателям предлагалось скачать отчет о проверке на плагиат в формате архива с указанием ФИО жертвы.

Стоит отметить, что атакующие довольно тщательно подготовились к отправке фишинговых писем.

Вредоносный домен регистрировался за полгода до рассылки дабы избежать попадания в спам и упрочить доверие.

Кроме того, на странице https://e-library[.]wiki атакующие разместили копию главной страницы библиотеки eLibrary. Также атакующие ограничили повторную загрузку архива, что усложнило анализ.

Вредоносные архивы включали: вредоносный lnk с ФИО жертвы и директорию .Thumbs, в которой содержалось около ста изображений с именами на русском языке.

Они не использовались для заражения и, вероятно, делали архивы менее подозрительными для защитных решений.

При нажатии на ярлык выполнялся PowerShell-скрипт, основная цель которого - загрузка полезной нагрузки на PowerShell с вредоносного сервера и ее запуск.

Скачиваемая полезная нагрузка обращалась по ссылке для получения финальной полезной загрузки - DLL-файла, который сохранялся в %localappdata%\Microsoft\Windows\Explorer\iconcache_<4 псевдослучайные цифры>.dll.

Затем полезная нагрузка закреплялась в системе при помощи техники COM Hijacking, записывая путь к DLL-файлу в ключ реестра HKCR\CLSID\{1f486a52-3cb1-48fd-8f50-b8dc300d9f9d}\InProcServer32.

И, наконец, загружалась PDF-приманка, в которой не содержалось какой-либо полезной информации помимо размытого отчета, сгенерированного одной из российских систем проверки документов на плагиат.

DLL-файлом, загружаемым на зараженные устройства, оказался обфусцированный при помощи OLLVM загрузчик, а финальная полезная нагрузка - коммерческий фреймворк для редтиминга Tuoni, позволяющий получить удаленный доступ к устройству под управлением Windows.

Как и ранее, в качестве C2-серверов злоумышленники использовали сервис fastly.net.

Как заключили в ЛК, осенью APT-группа ForumTroll вместо нулей полностью положились на социальную инженерию и менее редкое вредоносное ПО - фреймворк Tuoni.

Учитывая продолжительный срок активности, эта APT-группа, вероятно, продолжит атаковать интересующие ее цели на территории России и Беларуси, что позволит исследователям пролить свет на находящиеся в тени вредоносные импланты, как это случилось с Dante spyware.

Эти выводы также подтверждают исследователи BI.ZОNE TDR.

В декабре 2025 года они также зафиксировали серию атак на российские организации в сферах страхования, e-commerce и IT.

В основу кампании легла эксплуатация React2Shell.

В большинстве случаев злоумышленники внедряли майнер XMRig.

Также были зафиксированы инциденты с использованием импланта Sliver, ботнетов Kaiji и RustoBot.

Аналитики обнаружили и другие эпизоды эксплуатации React2Shell, не направленные на Россию.

Они связаны с распространением CrossC2 для Cobalt Strike, Tactical RMM, VShell и EtherRAT.

Все технические детали изложили - в отчете, подробно останавливаться не будем.

Продолжаем отслеживать кейс React2Shell, которым уже помимо замеченных акторов заинтересовались банды вымогателей, использующих CVE-2025-55182 для получения первоначального доступа к корпоративным сетям и развертывания ransomware в считанные минуты.

React2Shell - это уязвимость небезопасной десериализации в протоколе Flight компонентов сервера React (RSC), используемом библиотекой React и фреймворком Next.js.

Её можно использовать удалённо без аутентификации для выполнения кода JavaScript в контексте сервера.

Спустя несколько часов после опубличивания APT-субъекты взяли на вооружение React2Shell для проведени кибершпионажа и развертывания нового вредоносного ПО, включая EtherRAT.

Киберпреступники также быстро применили его в атаках с майнингом криптовалюты.

Теперь же исследователи из S-RM обнаружили, что 5 декабря злоумышленник использовал React2Shell в атаке, запустив штамм программы-вымогателя Weaxor.

Weaxor появился в конце 2024 года и, как полагают, является ребрендингом Mallox/FARGO (TargetCompany), которая специализировалась на взломе серверов MS-SQL.

Подобно Mallox, Weaxor - это менее изощрённая операция, которая нацелена на общедоступные серверы в ходе оппортунистических атак, требуя относительно небольшой выкуп.

Weaxor не практикует DLS-портал для целью двойного вымогательства, и вообще нет никаких признаков того, что реализуется эксфильтрация до этапа шифрования.

Исследователи S-RM утверждают, что злоумышленник развернул шифратор вскоре после получения первоначального доступа через React2Shell.

Однако вероятность автоматизации атаки не нашла своих доказательств.

Сразу после взлома хакеры выполнили зашифрованную команду PowerShell, которая развернула маяк Cobalt Strike для связи с инфраструктурой C2.

На следующем этапе злоумышленник отключил защиту в реальном времени в Windows Defender и запустил программу-вымогатель.

Все это произошло менее чем за минуту с момента первоначального доступа.

По словам исследователей, атака ограничивалась конечной точкой, уязвимой для React2Shell, никакой активности по перемещению внутри сети не наблюдалось.

После шифрования файлы получили расширение WEAX и в каждой затронутой директории обнаружился файл с запиской о выкупе под названием RECOVERY INFORMATION.txt.

При этом Weaxor также стер теневые копии томов, чтобы затруднить их восстановление, и очистил журналы событий, чтобы усложнить криминалистический анализ.

Причем впоследствии тот же хост был скомпрометирован другими злоумышленниками, использовавшими различные вредоносные ПО, что свидетельствует о весьма высоком уровне вредоносной активности вокруг React2Shell.

GreyNoise отслеживает кампанию, нацеленную на порталы Palo Alto GlobalProtect с попытками входа в систему и запуском сканирования конечных точек API SonicWall SonicOS.

Активность началась 2 декабря и исходила с более чем 7000 IP-адресов из инфраструктуры, которой управляет немецкая IT-компания 3xK GmbH, которая управляет собственной сетью BGP (AS200373) и выступает в качестве хостинг-провайдера.

Изначально злоумышленник атаковал порталы GlobalProtect, используя методы подбора и попытки входа в систему, а затем переключился на сканирование конечных точек API SonicWall.

По данным GreyNoise, попытки входа в систему GlobalProtect были направлены на два профиля в сенсорной сети компании для пассивного захвата сканирования и эксплуатации.

Исследователи утверждают, что для всплеска использовались фингерпринты трех клиентов, ранее зафиксированные при попытках сканирования в период с конца сентября по середину октября.

В прошлом эта активность исходила от четырех ASN, не имевших истории вредоносной активности, и генерировала более 9 млн. не поддающихся подмене HTTP-сеансов, в основном направленных на порталы GlobalProtect.

В середине ноября GreyNoise также фиксировала активность инфраструктуры 3xK Tech GmbH, сканирующей VPN-порталы GlobalProtect c 2,3 млн. сеансов сканирования.

Большинство атакующих IP (62%) находились в Германии и использовали те же самые отпечатки TCP/JA4t.

На основании проанализированных показателей компания уверенно приписывает оба вида деятельности одному и тому же субъекту.

Затем 3 декабря те же три фингерпринта детектировались при сканировании активности, нацеленной уже на SonicWall SonicOS API.

Вредоносное сканирование этих конечных точек обычно проводится для выявления уязвимостей и ошибок конфигурации.

GreyNoise ранее отмечала, что такое сканирование также позволяет обнаружить уязвимую инфраструктуру для подготовки к потенциальной эксплуатации будущих уязвимостей.

По этой причине защитникам рекомендуется отслеживать IP-адреса, связанные с этим типом деятельности, и блокировать их.

Также рекомендуется отслеживать аутентификации на предмет аномальной скорости/повторяющихся сбоев, отслеживать повторяющиеся клиентские фингерпринты и использовать динамическую, контекстно-зависимую блокировку вместо статических списков репутации.

В свою очередь, Palo Alto Networks заявила, что обнаружила усиление сканирования, нацеленного на интерфейсы GlobalProtect, и подтвердила, что это «атаки на основе учетных данных, а не эксплуатация уязвимости ПО».

Так или иначе, Palo Alto Networks рекомендовала клиентам использовать MFA для защиты от несанкционированного использования учетных данных.

Исследователи продолжают оценивать влияние React2Shell.

Согласно опросу разработчиков Stack Overflow за 2025 год, более половины современных веб-разработок так или иначе используют React.

В Palo Alto Networks утверждают, что только согласно ее внутренней телеметрии выявлено более 968 000 экземпляров React и Next.js.

Censys отмечает 293 000 более открытых веб-сервисов, использующих компоненты React Server или уязвимые фреймворки и, как сообшают GreyNoise и VulnCheck, сканирование на наличие уязвимых конечных точек уже ведется.

При этом, по данным Shadowserver Foundation, более 77 000 IP-адресов, доступных в Интернете, уязвимы к критической React2Shell (CVE-2025-55182).

GreyNoise также зафиксировала 181 IP-адрес, с которых производились попытки эксплуатации уязвимости за последние 24 часа, причём большая часть трафика, по-видимому, была автоматизированной.

Исследователи отмечают, что сканирование в основном осуществляется из Нидерландов, Китая, США, Гонконга и небольшого числа других стран.

Что вовсе неудивительно, ведь на следующий день после раскрытия уязвимости 3 декабря, исследователь Maple3142 опубликовал работающую версию PoC, демонстрирующую RCE на необновлённых серверах.

Вскоре после этого поиск уязвимости быстро активизировался, поскольку злоумышленники и исследователи начали использовать общедоступный эксплойт в автоматизированных инструментах.

По данным Palo Alto Networks, более 30 организаций уже подверглись атаке из-за уязвимости React2Shell, при этом злоумышленники использовали ее для запуска команд, проведения разведки и попыток кражи файлов конфигурации и учетных данных AWS.

Активность приписали китайской STA-1015 (UNC5174), которая осуществляла развертывание вредоносных ПО Snowlight и Vshell.

AWS сообщила, что по крайней мере две известные группы, связанные с Китаем, Earth Lamia и Jackpot Panda, использовали её в своих атаках с 3 декабря.

Wiz также уведомила о выявлении «множества жертв» с 5 декабря, в основном приложений Next.js и контейнеров Kubernetes.

Компания зафиксировала попытки кражи учётных данных AWS, развертывания Sliver и доставки майнеров криптовалюты. 

Ellio сталкивалась с атаками React2Shell, и только 2% из них ограничивались разведывательными целями.

Примерно в 65% атак была предпринята попытка внедрить вредоносное ПО Mirai, которое обычно используется для создания ботнетов, а также для майнинга крипты.

Исправления были выпущены на прошлой неделе.

Поставщики CDN, такие как AWS, Cloudflare и Fastly, также развернули собственные средства защиты. Но не все прошло гладко.

Временные исправления Cloudflare в своем WAF привели к сбою, затронувшему множество сайтов, прежде чем правила были исправлены.

Организациям, использующим компоненты React Server или созданные на их основе фреймворки, рекомендуется немедленно применить обновления, пересобрать и повторно развернуть свои приложения, а также просмотреть журналы на предмет признаков выполнения команд PowerShell или оболочки.

Ну, а мы продолжаем следить.

Инструмент для диагностики сети на базе ОС FreeBSD.

• Сразу скажу, что прочтение туториала по ссылке ниже занимает целых 2 часа времени и будет полезен в основном сетевикам, нежели ИБ специалистам. Но материал крайне интересный, поэтому рекомендую к прочтению всем без исключения.

• Автор этого материала написал инструкцию по воплощению инструмента диагностики сетевых проблем, который реализован в ОС FreeBSD и устанавливается прямо из коробки. Достаточно установить её на компактное устройство с двумя Ethernet интерфейсами и выполнить ряд манипуляций по настройке вполне стандартных вещей. Содержание лонгрида ниже, а бонусом идет ссылка на Github репозиторий содержащий готовый загрузочный образ и набор скриптов для настройки сниффера.

• Сниффер как способ решения проблем с сетью.
• Установка ОС FreeBSD и базовая настройка:
Скачиваем ISO образ;
Настройка опций BIOS;
Развертывание образа на USB Flash;
Загрузка с USB Flash и установка системы на SSD;
Установка полезных пакетов программ и утилит;
Подключение через SSH;
Настройка `sudo’.
• Исследуем аппаратную часть:
Получаем сведения об аппаратуре;
Проводим тест Coremark для вычислительного ядра;
Проводим тест STREAM для оперативной памяти;
• Настойка канала для удаленного доступа к устройству (mpd5).
• Настройка сетевого «моста» (Ethernet Bridging):
Загрузка драйверов if_bridge и bridgestp;
Создание и настройка интерфейса bridge0;
Проверка работоспособности сетевого моста;
Схемы включения сниффера.
• Анализ сетевого трафика:
Настройка прав доступа к BPF;
Правила фильтрации трафика в BPF;
Правила фильтрации трафика в BPF с использованием DPI;
Использования BPF фильтров в tcpdump’ и tshark’;
Захват SIP пакетов с помощью утилиты `tcpdump’;
Захват SIP пакетов с помощью утилиты `tshark’;
Детектирование соединений SSH с помощью утилиты `tcpdump’;
Детектирование соединений SSH с помощью утилиты `tshark’;
Анализ HTTP запросов: добываем логин и пароль с помощью утилиты `tshark’;
Анализ сетевой нагрузки с помощью утилиты `trafshow’;
SNORT Intrusion Prevention System;
Детектируем сканирование портов одно-строчным правилом для `snort’;
Детектируем сканирование портов встроенным плагином `port_scan’.
• Бонус:
Инструкция по быстрой установке сниффера на базе ОС FreeBSD;
Инструкция по созданию своего загрузочного образа ОС FreeBSD со сниффером.

• P.S. Не забывайте по мой репозиторий, в котором собрана подборка материала для изучения сетей (от курсов и книг, до шпаргалок и сообществ): https://github.com/SE-adm/Awesome-network

S.E. infosec.work VT

Apache Tika обнаружена критическая уязвимость, которая приводит к атаке с внедрением внешней сущности XML (XXE).

CVE-2025-66516 имеет рейтинг 10,0 и затрагивает модули Apache Tika tika-core (1.13-3.2.1), tika-pdf-module (2.0.0-3.2.1) и tika-parsers (1.13-1.28.5) на всех платформах, позволяя выполнить внедрение внешней сущности XML с помощью специально созданного файла XFA внутри PDF-файла.

Это влияет на следующие пакеты Maven:
- org.apache.tika:tika-core >= 1.13, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parser-pdf-module >= 2.0.0, <= 3.2.1 (исправлено в версии 3.2.2)
- org.apache.tika:tika-parsers >= 1.13, < 2.0.0 (исправлено в версии 2.0.0)

При этом CVE-2025-66516 коррелирует с другой уязвимостью CVE-2025-54988 (CVSS: 8,4).

Это еще одна XXE-уязвимость в фреймворке обнаружения и анализа контента, которая была исправлена разработчиками проекта в августе 2025 года.

По словам команды Apache Tika, новая уязвимость CVE расширяет область действия уязвимых пакетов двумя способами.

Во-первых, точкой входа для уязвимости был модуль tika-parser-pdf-module, как указано в CVE-2025-54988, уязвимость и её исправление находились в модуле tika-core.

Пользователи, обновившие модуль tika-parser-pdf-module, но не обновившие tika-core до версии 3.2.2 и выше, всё равно уязвимы.

Во-вторых, в исходном отчёте не упоминалось, что в версиях Tika 1.x PDFParser находился в модуле org.apache.tika:tika-parsers.

Учитывая критичность уязвимости, пользователям рекомендуется как можно скорее установить обновления, чтобы снизить риски потенциальных угроз.

Весьма серьезную проблематику подсветил один из наших уважаемых читателей - спец по анализу защищенности, исследователь Кумуржи Георгий.

В конце октября, выступая на Standoff Talks 2025 с докладом Я тебе LoGiN, а ты мне креды? Пошло? Или почему мы до сих пор уязвимы перед CitrixBleed2, он рассказал о личном опыте обнаружения и эксплуатации трендовой Citrix Bleed 2 (CVE‑2025‑5777), отгремевшей этим летом.

Краткий обзор обнаруженных исследователем на практике основных моментов эксплуатации Citrix Bleed 2 - здесь, полная запись доклада - здесь.

Связанная с ней проблема, по мнению исследователя, заключается в недостаточном публичном информировании по части важных особенностей эксплуатации критической баги, что повлекло за собой массовую выработку вендорами малоэффективных WAF-правил для проактивной защиты.

На практике ему удалось столкнуться с работой различных WAF и SIEM крупных отечественных компаний, - во всех случаях получилось реализовать успешную утечку памяти из Citrix Netscaler (с последующей кражей сессий).

Многие вендора не в полной мере смогли разобраться с полным спектром технических особенностей уязвимости и выкатили правила WAF/SIEM, ограничивающийся одним из нескольких вариантов эксплуатации (и как следует соответствующие рекомендации по защите).

В целом, по мнению исследователя, ситуация с CVE-2025-5777 неоднозначная и многие отечественные компании до сих пор находятся в зоне риска компрометации своих систем.

Возможным вариантом нивелирования проблемы, предлагаемый исследователем, может стать более широкое освещение наиболее важных аспектов эксплуатации трендовых уязвимостей, что позволит вендорам или их клиентам оперативно «докрутить» правила.

Собственно, с чем мы согласны, и со своей стороны - обращаем внимание нашей аудитории на затронутую проблематику в части Citrix Bleed 2.

Исследователи Лаборатории Касперского в новом отчете представили результаты своих исследований в отношении недавней громкой атаки на цепочку поставок Shai Hulud 2.0.

Впервые Shai-Hulud попал в заголовки новостей в сентябре, в которых обращалось внимание на распространение вредоносного ПО через скомпрометированные пакеты Node Package Manager (npm).

Тогда ЛК опубликовала её подробный анализ, недавно появилась новая версия.

Как отмечают в ЛК, Shai Hulud 2.0 - это тип двухэтапного червеобразного вредоносного ПО, которое распространяется путём компрометации токенов npm для повторной публикации доверенных пакетов с вредоносным содержимым.

Более 800 пакетов npm заразились этой версией червя.

По данным телеметрии, жертвами этой кампании стали отдельные лица и организации по всему миру, при этом больше всего случаев заражения зафиксировано в России, Индии, Вьетнаме, Бразилии, Китае, Турции и Франции.

Когда разработчик устанавливает зараженный пакет npm, скрипт setup_bun.js запускается на этапе предустановки, как указано в измененном файле package.json.

Причем setup_bun.js намеренно не обфусцирован и хорошо документирован, чтобы замаскироваться под безобидный инструмент для установки легитимной среды выполнения Bun JavaScript.

Он проверяет распространённые пути установки Bun и, если среда выполнения отсутствует, устанавливает её из официального источника в соответствии с платформой, реализуя подготовку среды выполнения для последующих этапов вредоносной ПО.

Затем установленная среда выполнения Bun запускает полезную нагрузку второго этапа, bun_environment.js, вредоносный скрипт размером 10 МБ, обфусцированный с помощью инструмента, похожего на obfuscate.io (фактически основная вредоносная активность).

Shai Hulud 2.0 создан для сбора секретов из различных сред.

После запуска он немедленно ищет конфиденциальные данные в нескольких источниках: секреты GitHub, учетные данные облака AWS, Azure и Google Cloud, локальные файлы (с помощью сканирования TruffleHog).

Затем все извлеченные данные отправляются по установленному каналу связи через публичный репозиторий GitHub с помощью токена доступа жертвы.

После этого вредоносная ПО создаёт репозиторий со случайно сгенерированным 18-символьным именем и маркером в описании, который затем служит хранилищем данных, куда загружаются все украденные учётные данные и системная информация.

Если токен не найден, скрипт пытается получить ранее украденный токен у другой жертвы, выполняя поиск в репозиториях GitHub на наличие тех, в описании которых содержится текст «Sha1-Hulud: The Second Coming».

Для последующей саморепликации посредством встраивания в пакеты npm скрипт сканирует файлы конфигурации npmrc в домашнем каталоге и текущем каталоге в попытке найти токен авторизации реестра npm.

Если это удается, он проверяет токен, отправляя запрос на проверку к конечной точке API npm /-/whoami, после чего скрипт извлекает список из 100 пакетов, поддерживаемых жертвой.

Для каждого пакета он внедряет вредоносные файлы setup_bun.js и bun_environment.js через bundleAssets и обновляет конфигурацию пакета, устанавливая setup_bun.js в качестве предустановочного скрипта и увеличивая версию пакета.

Изменённый пакет затем публикуется в реестре npm.

Если вредоносная ПО не может получить токен npm и GitHub, что делает кражу данных невозможной, она запускает разрушительную полезную нагрузку, которая стирает пользовательские файлы, в первую очередь те, которые находятся в домашнем каталоге.

С сентября этого года Лаборатория Касперского заблокировала более 1700 атак Shai Hulud 2.0 на компьютеры пользователей.

Из них 18,5% затронули пользователей в России, 10,7% - в Индии и 9,7% - в Бразилии.

В ЛК продолжают отслеживать вредоносную активность, предоставляя актуальную информацию через Kaspersky Open Source Software Threats Data Feed, которая включает все пакеты, затронутые Shai-Hulud, а также информацию о других опенсорс-компонентах с вредоносным поведением.

Преждевременно упоминать об утечке в ASUS не стали, пока компания сама ее не подтвердила.

Впервые о взломе сообщила банда вымогателей Everest, которая также намекает на аналогичные инциденты в ArcSoft и Qualcomm.

2 декабря 2025 года Everest добавила ASUS на свой DLS в Tor.

По сообщению хакеров, им удалось достать широкий спектр данных, включая модули двоичной сегментации, исходный код и исправления, модели ИИ, внутренние инструменты и прошивки OEM, тестовые видео, информацию по двух камерам, различные журналы и отчеты, тестовые APK и др.

В общей сложности, Everest заявила о краже базы данных объемом 1 ТБ, опубликовав образцы некоторых украденных документов в качестве доказательств взлома.

В свою очередь, ASUS утверждает, что утечка данных третьей стороной (взлом поставщика) привела к раскрытию исходного кода камеры телефона, но не затронула продукцию, внутренние системы или пользовательские данные.

Однако, как бы то ни было, не стоит недооценивать косвенное влияние инцидента, ведь риск заключается не в самой «камере», а в возможности того, что это уязвимое место может стать точкой входа для эксплойтов в драйверах, прошивках, обновлениях или сторонних интеграциях.

Но будем посмотреть.

Вышло масштабное совместное расследование на базе Intellexa Leaks от Inside Story, Haaretz и WAV Research Collective, в котором раскрываются особенности шпионского ПО Predator от Intellexa и механизм ZeroClick-заражения через вредоносную рекламу, получивший название Aladdin.

Как сообщается, Aladdin был впервые развернут в 2024 году, до сих пор функционирует и активно развивается.

Он задействует коммерческую систему мобильной рекламы для доставки вредоносного ПО.

Механизм принудительно показывает вредоносную рекламу определенным целям, идентифицированным по их публичному IP и другим идентификаторам через размещение посредством Demand Side Platform (DSP) на любом сайте, участвующем в рекламной сети.

Как отмечает Amnesty International, эта вредоносная реклама может быть размещена на любом веб-сайте, включая новостной портал или мобильное приложение, и выглядит так же, как и любая другая реклама, которую может увидеть получатель.

При этом для заражения целевого устройства достаточно простого просмотра рекламы и нет необходимости кликать по ней. Однако подробностей того, как именно реализуется заражение нет.

Очевидно, что реклама вызывает перенаправление на серверы доставки эксплойтов Intellexa.

Подобные рекламные объявления распространяются через сложную сеть маркетинговых фирм, разбросанных по разным странам, включая Ирландию, Германию, Швейцарию, Грецию, Кипр, ОАЭ и Венгрию.

Признанная желательной в России Recorded Future более подробно изучила рекламную сеть, связав воедино ключевых персон, компании и инфраструктуру, назвав некоторые из них в своем отчете.

Защититься от заражения практически невозможно, но блокировка рекламы в браузере станет хорошим подспорьем.

Еще одной потенциальной мерой защиты могла бы стать настройка браузера на сокрытие публичного IP от трекеров.

Однако просочившиеся документы показывают, что Intellexa по-прежнему может получать информацию от местных операторов мобильной связи в странах дислокации своих клиентов.

Еще одним важным открытием стало подтверждение другого вектора доставки под названием Triton, который реализует атаки на устройства Samsung Exynos с помощью эксплойтов в базовой полосе частот, вызывая понижение сети до 2G, что создает условия для заражения.

В Amnesty International не уверены в том, используется ли этот вектор до сих пор, и отмечают, что существуют два других, возможно, похожих механизма доставки под кодовыми названиями Тор и Oberon, которые, как считается, связаны с радиосвязью или физическим доступом.

исследователи Google также окрестили Intellexa одним из самых высокоуровневых поставщиков коммерческого spyware с точки зрения эксплуатации 0-day.

На него пришлось 15 из 70 случаев эксплуатации нулей, обнаруженных и задокументированных TAG с 2021 года.

Google полагает, что Intellexa разрабатывает собственные эксплойты, а также приобретает цепочки эксплойтов у сторонних организаций для большего охвата всего спектра возможных атак.

По данным Amnesty International, несмотря на санкции и продолжающиеся расследования в отношении Intellexa в Греции, оператор шпионского ПО по-прежнему активен.

Поскольку Predator становится все более агрессивным и скрытным, пользователям рекомендуется рассмотреть возможность включения дополнительной защиты на своих мобильных устройствах, например, Advanced Protection на Android и Lockdown Mode на iOS.

Как и предполагалось, затрагивающая React и Next.js React2Shell (CVE-2025-55182) максимального уровня серьезности уже начала эксплуатироваться связанными с Китаем злоумышленниками.

React2Shell - это уязвимость десериализации в протоколе Flight компонентов React Server Components (RSC).

React и Next.js выпустили обновления, но уязвимость легко эксплуатируется без аутентификации и в конфигурации по умолчанию, позволяя удалённо выполнять код JavaScript в контексте сервера.

Для фреймворка Next.js существует идентификатор CVE-2025-66478, но номер отслеживания был отклонен в списке CVE как дубликат CVE-2025-55182.

Уязвимость затрагивает несколько версий широко используемой библиотеки, потенциально подвергая риску тысячи зависимых проектов.

По данным Wiz, 39% облачных сред подвержены атакам React2Shell.

Задетектить первые попытки боевой эксплуатации React2Shell смогли в Amazon Web Services (AWS), которая связала их с Earth Lamia и Jackpot Panda.

По данным AWS, хакеры начали эксплуатировать React2Shell практически сразу после публичного раскрытия информации 3 декабря 2025 года.

Honeypot-системы AWS также зафиксировали активность, не атрибутированную ни одному из известных кластеров, но по-прежнему исходящую из инфраструктуры, расположенной в Китае.

Многие из атакующих кластеров используют одну и ту же инфраструктуру анонимизации, что еще больше усложняет индивидуальное отслеживание и конкретную атрибуцию.

Что касается двух выявленных групп угроз, Earth Lamia фокусируется на эксплуатации уязвимостей веб-приложений.

Ее типичными целями являются компании в сфере финансов, логистики, торговли, ИТ, образования и госсектор в Латинской Америке, на Ближнем Востоке и в Юго-Восточной Азии.

Типичные жертвы Jackpot Panda обычно располагаются в Восточной и Юго-Восточной Азии, а ее атаки направлены на сбор разноплановой разведывательной информации.

В ближайшее время к ним присоединятся и другие акторы, ведь к настоящему времени уже опубликовано несколько PoC-эксплойтов.

Несмотря на то, что Лаклан Дэвидсон, обнаруживший React2Shell, предупреждал о фейковых эксплойтах, циркулирующих в интернете, эффективность ряда эксплойтов, появившихся на GitHub, подтверждена исследователями Rapid7 и Elastic Security.

В атаках, наблюдавшихся AWS, задействовалось сочетание общедоступных эксплойтов, в том числе и неработающих, а также итеративное ручное тестирование и устранение неполадок в реальном времени в целевых средах.

Наблюдаемая активность включала в себя повторные попытки с различными полезными нагрузками, выполнение команд Linux (whoami, id), попытки создания файлов (/tmp/pwned.txt) и попытки чтения /etc/passwd/.

Так что злоумышленники не просто запускают автоматизированное сканирование, но и активно отлаживают и совершенствуют свои методы эксплуатации уязвимостей на реальных целях.

Учитывая надвигающуюся эскалацию угроз, Assetnote выпустила на GitHub сканер React2Shell, который можно использовать для определения уязвимости среды.

Однако вряд ли это существенно изменить быстро деградирующую ситуацию.

Microsoft вновь уличили в «тихом устранении» серьезной уязвимости Windows LNK, которая задействовалась в атаках продвинутых акторов в качестве 0-day.

CVE-2025-9491 позволяет скрывать вредоносные команды в LNK-файлах, которые могут использоваться для развертывания вредоносного ПО на скомпрометированных устройствах.

Однако для реализации атак требуется взаимодействие с пользователем, поскольку жертва должна открыть вредоносные файлы Windows Shell Link (.lnk), которые злоумышленники обычно распространяют в ZIP или других архивах.

Уязвимость связана с тем, как Windows обрабатывает LNK, позволяя злоумышленникам использовать способ их отображения.

Для уклонения от обнаружения и выполнения кода на уязвимых устройствах без ведома пользователя, поле «target» в файлах LNK Windows заполняется пробелами, что позволяет скрыть вредоносные аргументы командной строки.

Таким образом в свойствах поля файла будут отображаться только первые 260 символов в виду добавленных пробелов, поэтому пользователи не смогут увидеть фактическую команду, выполняемую открытии LNK.

Исследователи Trend Micro в марте 2025 года обнаружили, что CVE-2025-9491 уже широко использовалась 11 APT и такими группировками, как Evil Corp, Bitter, APT37, APT43 (Kimsuky), Mustang Panda, SideWinder, RedHotel, Konni и др.

Аналогичную эксплуатацию наблюдали и в Arctic Wolf Labs.

Правда в Microsoft, вероятно, были не в курсе и в марте заявили, что «рассмотрят возможность устранения» этой 0-day, но она «не достигла уровня немедленного устранения».

В ноябре компания также не считала CVE-2025-9491 уязвимостью «в виду взаимодействия с пользователем и того факта, что система уже предупреждает пользователей о том, что этот формат ненадежен», несмотря на возможности обхода Mark of the Web.

Но что-то пошло не так и, как заметили в ACROS Security, Microsoft все же незаметно поработала над LNK в ноябрьских обновлениях, очевидно, пытаясь смягчить уязвимость CVE-2025-9491.

После установки обновлений прошлого месяца пользователи теперь видят все символы в поле при открытии свойств LNK-файлов, а не только первые 260.

Однако это в ACROS Security полагают, что принятые меры недостаточны, ведь вредоносные аргументы, добавленные в LNK-файлы, не будут удалены, и пользователь не получит предупреждения при открытии LNK-файлов со строкой Target, превышающей 260 символов.

Так что, как обычно, спецам ACROS Security пришлось проделать всю работу самим пока микромягкие в очередной раз тормозят с адекватным исправлением.

Компания выпустила неофициальный патч через свою платформу микропатчей 0Patch, который ограничивает длину всех строк ярлыков до 260 символов и предупреждает пользователей о потенциальной опасности открытия ярлыков с необычно длинными строками.

Неофициальное исправление для CVE-2025-9491 доступно для пользователей 0patch, использующих версии Windows, поддержка которых прекращена (Windows 7 - Windows 11 22H2 и Windows Server 2008 R2 – Windows Server 2022).

Исследователи Лаборатории Касперского вновь накинули информативной отраслевой статистики, анонсировав Kaspersky Security Bulletin 2025, который охватывает период с ноября 2024 года по октябрь 2025 года.

В качестве основных исследователи выделяют следующие тренды:

- 48% пользователей Windows и 29% пользователей macOS столкнулись с киберугрозами.

- 27% всех пользователей решений Лаборатории Касперского столкнулись с веб-угрозами, а 33% пользователей пострадали от угроз на устройствах.

- Наибольшая доля пользователей, пострадавших от веб-угроз, пришлась на СНГ (34%), а локальные угрозы чаще всего обнаруживались в Африке (41%).

- Решения Лаборатории Касперского позволили предотвратить почти в 1,6 раза больше атак по краже паролей, чем в предыдущем году.

- В Азиатско-Тихоокеанском регионе количество обнаружений кражи паролей выросло на 132% по сравнению с предыдущим годом.

- Решения Лаборатории Касперского обеспечили выявление в 1,5 раза больше атак шпионского ПО, чем в предыдущем году.

Подробную годовую статистику по киберугрозам рекомендуем изучить, ознакомившись с полным отчетом.

Кроме того, не можем не отметить отчет по эксплойтам и уязвимостям в третьем квартале 2025 года, в котором исследователи ЛК рассматривают наиболее распространённые проблемы, затрагивающие Windows и Linux, а также уязвимости, используемые в APT-атаках.

Отмечается, что ежемесячное количество уязвимостей, опубликованных в третьем квартале 2025 года, остаётся выше показателей, зафиксированных в предыдущие годы.

Анализ ежемесячного распределения уязвимостей, оцененных как критические при регистрации (CVSS > 8,9), показывает, что этот показатель в третьем квартале был незначительно ниже показателя за 2024 год.

В части эксплуатации, в третьем квартале 2025 года, как и прежде, наиболее распространенными атаками были атаки на уязвимые продукты Microsoft Office (CVE-2018-0802, CVE-2017-11882 и CVE-2017-0199).

В этом квартале злоумышленники злоумышленники активно эксплуатировали уязвимости Directory Traversal, возникающие при распаковке архивов в WinRAR, адаптировав их для своих нужд (CVE-2023-38831, CVE-2025-6218 и CVE-2025-8088).

Для устройств Linux наиболее часто обнаруживались эксплойты для следующих уязвимостей ядра ОС (CVE-2022-0847, CVE-2019-13272 и CVE-2021-22555).

Примечательно, что в третьем квартале 2025 года, как и во втором, новых публичных эксплойтов для продуктов Microsoft Office не появилось.

Однако были опубликованы PoC-тесты уязвимостей в Microsoft SharePoint.

В третьем квартале 2025 года в APT-атаках преобладали 0-day, обнаруженные в ходе расследований отдельных инцидентов. После их публичного раскрытия следовали мощные волны эксплуатации. 

Metasploit, доля которого увеличилась по сравнению со вторым кварталом, возглавляет список наиболее распространённых C2-фреймворков за последний квартал. За ним следуют Sliver и Mythic.

Фреймворк Empire также вновь появился в списке после неактивности в предыдущий отчётный период.

Примечательно, что Adaptix C2, несмотря на свою относительно новую версию, практически сразу же был принят злоумышленниками в реальных сценариях.

Подробная инфографика и статданные, а также разбор наиболее трендовых уязвимостей - в отчете.

Aisuru продолжает лютовать: всего за три месяца реализовал более 1300 распределенных DDoS-атак, одна из которых обновила рекорд, достигнув пика в 29,7 терабит в секунду.

Aisuru представляет собой ботнетов-сервис, включающий целую армию маршрутизаторов и IoT-устройств, скомпрометированных с помощью известных уязвимостей и брута слабых учетных данных.

По оценкам Cloudflare, ботнет использует от одного до четырех млн. зараженных хостов по всему миру.

В третьем квартале компания отбила самую масштабную гиперобъемную атаку с устройств Aisuru.

Предыдущая рекордная DDoS-атака достигла пика в 22,2 Тбит/с, также была отражена Cloudflare и со средней степенью уверенности была приписана Aisuru.

Недавно Microsoft сообщала, что тот же ботнет атаковал её сеть Azure, организовав массированную DDoS-атаку мощностью 15 Тбит/с с 500 000 IP-адресов.

Cloudflare отмечает, что с начала года ей удалось отразить 2867 атак Aisuru, почти 45% из которых были гиперобъемными - атаки, превышающие 1 Тбит/с или 1 млрд. пакетов в секунду (Bpps).

Цель рекордного инцидента не названа, но известно, что атака длилась 69 секунд и достигла пиковой скорости 29,7 Тбит/с.

В ней использовалась ковровая бомбардировка UDP для направления «мусорного» трафика в среднем на 15 000 портов назначения в секунду.

Еще одна масштабная DDoS-атака, отраженная компанией, достигала мощности 14,1 млрд пакетов в секунду.

Тем не менее Cloudflare полагает, что атаки Aisuru могут быть весьма разрушительными, а объем трафика способен вывести из строя интернет-провайдеров (ISP), даже если они не подвергаются прямым атакам.

Причем телеметрия Cloudflare четко показывает, что в этом году наблюдается устойчивый рост числа масштабных DDoS-атак со стороны ботнета Aisuru, фиксируя 1304 инцидента только за третий квартал.

По словам исследователей, Aisuru нацелен на компании из различных секторов, включая игровую индустрию, хостинг-провайдеров, телеком и финансы

Количество DDoS-атак, превышающих 100 Мбит/с, увеличилось на 189% по сравнению с предыдущим кварталом, а количество DDoS-атак, превышающих 1 Тбит/с, увеличилось более чем вдвое (на 227%) по сравнению с предыдущим кварталом.

По данным Cloudflare, большинство атак завершаются менее чем за 10 минут, практически не оставляя времени для реагирования.

Краткосрочная атака может продлиться всего несколько секунд, но ущерб может быть серьезным, а восстановление займет много времени.

По количеству DDoS-атак прошедший квартал не достиг уровня первого квартала, однако статистика 2025 года по-прежнему опережать по показателям предыдущие годы, и это без учета ноября и декабря.

В целом, Cloudflare в третьем квартале отражала в среднем 3780 DDoS-атак каждый час, большинство из которых исходили из Индонезии, Таиланда, Бангладеш и Эквадора и были направлены на Китай, Турцию, Германию, Бразилию и США.

Новая угроза нависла над инфосек-сообществом, представители которой активно обсуждают уязвимость максимальной степени серьезности, получившей условное наименование React2Shell.

Речь идет об обнаружении критической CVE-2025-55182 в React, которая может быть использована удаленным неаутентифицированным злоумышленником для удаленного выполнения кода. 

React (React.js) - это библиотека JavaScript с открытым исходным кодом, предназначенная для создания пользовательских интерфейсов приложений.

На нём работают миллионы сайтов, он используется популярными онлайн-сервисами (Airbnb, Instagram, Netflix), а его основной пакет NPM в настоящее время еженедельно имеет более 55 млн. загрузок.

В вышедшем вчера бюллетене разработчики React проинформировали пользователей об исправлении CVE-2025-55182, раскрытой 29 ноября Лакланом Дэвидсоном.

Она затрагивает версии 19.0, 19.1.0, 19.1.1 и 19.2.0 и устранена с выпуском 19.0.1, 19.1.2 и 19.2.1.

Уязвимость обусловлена тем, как React декодирует полезные данные, отправляемые на конечные точки функций сервера React.

При этом даже если приложение не реализует какие-либо конечные точки функций сервера React, оно все равно может быть уязвимым, если поддерживаются компоненты сервера React (RSC).

На текущий момент сообщений об эксплуатации уязвимости в реальных условиях не поступало.

Однако менее чем через 24 часа после публикации был разработан как минимум один PoC, а уязвимость была добавлена в сканеры. 

Стоит отметить, что фреймворк разработки на основе React Next.js также подвержен CVE-2025-55182.

Vercel, разработчик Next.js, пыталась присвоить собственный идентификатор, CVE-2025-66478, но он был отклонен как дубликат CVE-2025-55182.

По данным Wiz, такие фреймворки, как React Router RSC, плагин Vite RSC, плагин Parcel RSC, RedwoodSDK и Waku, также могут быть уязвимы.

Исследователи считают, что 39% облачных сред содержат уязвимые экземпляры React.

Исследователи полагают, что уязвимость затрагивает стандартные конфигурации, и ее можно легко проэксплуатировать с помощью специально созданных HTTP-запросов.

По единогласному мнению мнению представителей индустрии, эксплуатация React2Shell в реальных условиях неизбежна.

В Palo Alto Networks описывают уязвимость как «мастер-эксплойт, достигаемый не за счет сбоя системы, а за счет злоупотребления ее доверием к входящим структурам данных».

Система выполняет вредоносную полезную нагрузку с той же эффективностью, что и легитимный код, поскольку она работает именно так, как задумано, но при наличии вредоносных входных данных.

Исследователи заявляют о более чем 968 000 серверов с фреймворками React и Next.js и уязвимости почти 40% облачных сред.

Так что вопрос, по их мнению, даже не в том, что CVE-2025-55182 воспользуются злоумышленники, а как широко эксплуатация затронет среды.

Так или иначе Google Cloud развернула правила WAF для обнаружения и блокирования попыток эксплуатации уязвимости CVE-2025-55182. 

AWS также выпустила новые правила WAF для блокировки атак, информируя клиентов о том, что они не затронуты и не требуют никаких действий.  

Cloudflare также не осталась в стороне и выкатила средства защиты в своей сети, которые автоматически защищают всех клиентов, пока трафик их приложений React передается через Cloudflare WAF.

Netlify выпустила исправления React для предотвращения эксплуатации уязвимостей на веб-сайтах клиентов, а в F5 пока изучают потенциальное влияние на свои решения. 

Свои меры по обнаружению уязвимых экземпляров и защите от потенциальных попыток эксплуатации также приняли Akamai, Orca Security, Tenable, Aikido и Miggo.

С другой стороны, Кевин Бомонт считает, что уязвимость ограничена более новой версией 19 и затрагивает только приложения, использующие React Server, который он назвал новой функцией.

Но будем посмотреть.

Wordfence предупреждает о критической EoP-уязвимости (CVE-2025–8489) в плагине King Addons for Elementor для WordPress, которая позволяет им получить административные разрешения во время процесса регистрации и активно задействуется в реальных атаках.

Активность была замечена 31 октября, всего через день после того, как проблема была публично раскрыта.

К настоящему моменту Wordfence заблокировала более 48 400 попыток реализации эксплойта.

King Addons - это стороннее дополнение для Elementor, популярного плагина визуального конструктора страниц для сайтов на WordPress, предоставляющее дополнительные виджеты, шаблоны и функции.

CVE-2025–8489 была обнаружена исследователем Питером Талейкисом и представляет собой уязвимость в обработчике регистрации плагина, которая позволяет любому зарегистрировавшемуся пользователю указать свою роль пользователя на веб-сайте, включая администратора, без применения каких-либо ограничений.

По данным Wordfence, злоумышленники отправляют специально созданный запрос admin-ajax.php, указав user_role=administrator, для создания подконтрольных учетных записей администраторов на целевых сайтах.

Исследователи отметили пик вредоносной активности между 9 и 10 ноября, при этом наиболее активными были два IP-адреса: 45.61.157.120 (28 900 попыток) и 2602:fa59:3:424::1 (16 900 попыток).

При этом Wordfence раскрывает также полный список вредоносных IP-адресов и рекомендует администраторам сайтов осуществить их поиск в файлах журналов. Наличие новых учётных записей администраторов также является явным признаком взлома.

Безусловно, рекомендуется обновиться до версии 51.1.35 King Addons, которая устраняет уязвимость CVE-2025–8489, выпущенную 25 сентября.

Помимо CVE-2025–8489 исследователи Wordfence также предупреждают о еще одной критической уязвимости в плагине Advanced Custom Fields: Extended, активном на более чем 100 000 сайтов WordPress, которая может быть использована неавторизованным злоумышленником для RCE.

Уязвимость затрагивает версии плагина с 0.9.0.5 по 0.9.1.1 и в настоящее время отслеживается как CVE-2025-13486.

Она была обнаружена и раскрыта польским CERT.

Уязвимость обусловлена тем, что функция принимает пользовательский ввод и затем передает его через call_user_func_array(), что позволяет неаутентифицированным злоумышленникам выполнять произвольный код на сервере со всеми вытекающими последствиями.

После уведомления о проблеме 18 ноября поставщик плагина устранил ее в версии 0.9.2 Advanced Custom Fields: Extended, выпущенной через день после получения отчета об уязвимости.

Учитывая, что уязвимость может быть использована без аутентификации посредством специально созданного запроса, публичное раскрытие технических подробностей, скорее всего, приведет к вредоносной активности.

Владельцам сайтов рекомендуется как можно скорее перейти на последнюю версию или отключить плагин на своих ресурсах.

Уроки английского для начинающих ИБ-шников на канале SecAtor

Ресерчеры Лаборатории Касперского отметили новые элементы в атаках хактивистских группировок 4BID, BO Team и Red Likho, где «один за всех и все за одного».

По данным ЛК, в последние месяцы наблюдается растущая тенденция к синхронным атакам нескольких хактивистов на одни и те же организации.

Подобные кампании уже не являются чем-то необычным и значительно усложняют атрибуцию, поскольку становится сложно идентифицировать TTPs конкретных групп.

В рамках исследования ландшафта киберугроз, нацеленных на российский сегмент, в ЛК подробно изучили серию кампаний, о которых публично заявляла проукраинская группа 4BID.

В системах их жертв удалось задетектить артефакты, связанные с активностью двух других известных групп хактивистов: BO Team и Red Likho.

В частности, в некоторых случаях атакованная 4BID инфраструктура также была заражена бэкдором GoRed, связанным с Red Likho, и ZeronetKit, атрибутированным к BO Team.

Обе группы известны проведением широко масштабных операций в отношении российских компаний.

Исследователи отмечают, что 4BID заявили о себе в начале 2025 года, медийно освещая свои атаки в Telegram-канале.

Злоумышленники атакуют российские организации в сфере промышленности, здравоохранения и госсекторе.

Причем изначально 4BID выбирала цели малого калибра, атакуя небольшие региональные компании, однако позже группа переключилась на более крупные предприятия.

Наличие в инфраструктуре жертв инструментария сразу нескольких групп (ransomware 4BID, бэкдоры BO Team и Red Likho, а также другие уникальные компоненты) свидетельствует об общем целеполагании и глубокой кооперации проукраинского кластера угроз.

В новом отчете исследователи ЛК раскрывают технические подробности наблюдаемой активности 4BID и ее пересечения с другими хактивистами.

Из наиболее интересных находок - пакет из нескольких файлов, каждый из которых отвечает за определенные задачи и запускает следующий.

Причем первый PowerShell-скрипт Edgeupdate.ps1 ранее не встречался в публичных репозиториях вредоносных ПО и не был замечен в других атаках, что позволяет предположить, что это специализированный инструмент, вероятно, разработанный для конкретной кампании.

Он выполнял ряд скрытых деструктивных операций для защиты от обнаружения и закрепления в системе (ведение журнала, блокировка устройств ввода, создание и добавление пользователя в группу локальных администраторов, загрузка в безопасном режиме с поддержкой сети, отключение протокола ms-contact-support и под завершение - удаление следов своей работы с перезагрузкой и фейковым экраном обновления).

В атаках 4BID также был найден образец новой программы-вымогателя, который назвали Blackout Locker.

Он написан на C/C++ и, несмотря на сходство имени, не имеет ничего общего с шифровальщиком Blackout.

В зависимости от версии, эта программа-вымогатель реализует различные схемы шифрования: некоторые варианты используют простой цикл XOR, другие - шифр AES в режиме GCM.

Кроме того, среди примечательных артфактов - кастомные скрипты (для проверки компьютеров в сети на наличие установленного AnyDesk или решений ЛК, а также непосредственно - для установки первой), пропатченные образцы Process Explorer (загружали Tuoni или Cobalt Strike).

В общем, текущая тенденция указывает на продолжающуюся эволюцию хактивизма и увеличивает вероятность проведения более частых, масштабных и технически сложных кампаний.

Все подробности - в отчете.

Microsoft наваливают на пользователей очередные проблемы по части безопасности.

На этот раз локализуемый инцидент связан со сбоем в работе портала Defender XDR, включая оповещения об обнаружении угроз.

Проблему Microsoft описывает как «резкий рост трафика, приведший к высокой загрузке центрального процессора на компонентах, обеспечивающих функциональность портала Microsoft Defender».

Причем в рамках ранжирования проблемы Microsoft отнесла его к категории инцидента - термин, который обычно используется для критических проблем с обслуживанием, оказывающих существенное влияние на пользователя.

Компания приняла меры по смягчению последствий, увеличив пропускную способность обработки.

По данным телеметрии, доступность для некоторых пострадавших клиентов, как заявляется, восстановилась.

В настоящее время Microsoft анализирует следы HTTP-архивов (HAR), предоставленные пострадавшими клиентами, и сообщает, что, помимо блокировки доступа фиксировалось отсутствие оповещений о расширенных угрозах и неотображение устройств.

Так или иначе ряд клиентов компании все еще сталкиваются с проблемой, которую микромягкие усиленно пытаются исправить, запрашивая дополнительные диагностические данные на стороне клиента.

В общем, пока микромягкие как обычно тужатся над своим Defender, разработчики Avast тоже лажали не сидели без дела.

Декабрь для решений Avast - череда критических и серьезных уязвимостей в антивирусом решении для операционных платформ MacOS, Linux и Windows.

Одни из критических ошибок, CVE-2025-3500, имеет CVSS 9 и связана с переполнением целочисленного значения в Avast Antivirus (25.1.981.6) для Windows, реализуя повышение привилегий.

Проблема затрагивает все версии от 25.1.981.6 до 25.3.

Другая уязвимость с той же оценкой, CVE-2025-8351, может привести к локальному выполнению кода или отказу в обслуживании процесса антивирусного ядра при сканировании вредоносного файла.

Она относится к проблемам с переполнением буфера на основе кучи и чтения за пределами выделенного буфера.

Ошибка затрагивает Avast Antivirus на MacOS в версиях 8.3.70.94 и 8.3.70.98.

Высокий уровень серьезности присвоен CVE-2025-10101 (CVSS 8.1) и CVE-2025-7007 (CVSS 7,5).

Последняя затрагивает Avast Antivirus на MacOS, Avast Anitvirus на Linux 16.0.0, Anitvirus: 3.0.3 и приводит к сбою антивирусного процесса при сканировании вредоносного файла.

CVE-2025-10101 в Avast Antivirus на macOS (в версиях 15.7 до 3.9.2025), в свою очередь, приводит к EoP или DoS и вызывается с помощью специально созданного Mach-O-файла.

Исследователи предупреждают о новой кампании GlassWorm, которая затронула Microsoft Visual Studio Marketplace и Open VSX с 24 расширениями, мимикрирующими под популярные инструменты и фреймворки для разработчиков Flutter, Vim, Yaml, Tailwind, Svelte, React Native и Vue.

GlassWorm впервые попал в поле зрения в октябре 2025 года и был исследован специалистами Koi Security.

Glassworm представляет собой вредоносную ПО, которая использует невидимые символы Unicode для сокрытия своего кода от проверки, а также задействует блокчейн Solana для C2.

После того, как разработчики устанавливают его в своих средах, он пытается выкрасть учетные записи GitHub, npm и OpenVSX, а также данные криптокошельков из 49 расширений.

Более того, Glassworm использует прокси-сервер SOCKS для маршрутизации вредоносного трафика через компьютер жертвы и устанавливает клиент HVNC, предоставляя операторам скрытый удаленный доступ.

Наиболее важным аспектом кампании является использование украденных учётных данных для компрометации дополнительных пакетов и расширений, что позволяет вредоносному ПО распространяться подобно червю.

Несмотря на усилия Microsoft и Open VSX по устранению из репозиториев расширений, вскоре вредоносное ПО вернулось на оба сайта с новыми расширениями и учетными записями издателей.

Последняя волна кампании GlassWorm, обнаруженная исследователями Secure Annex, включает в себя в общей сложности 24 расширения, охватывающих оба репозитория.

Среди выявленных расширений на VS Code: iconkieftwo.icon-theme-materiall, prisma-inc.prisma-studio-assistance, prettier-vsc.vsce-prettier, flutcode.flutter-extension, csvmech.csvrainbow, codevsce.codelddb-vscode, saoudrizvsce.claude-devsce, clangdcode.clangd-vsce, cweijamysq.sync-settings-vscode, bphpburnsus.iconesvscode, klustfix.kluster-code-verify, vims-vsce.vscode-vim, yamlcode.yaml-vscode-extension, solblanco.svetle-vsce, vsceue.volar-vscode, redmat.vscode-quarkus-pro и msjsdreact.react-native-vsce.

На Open VSX следующие: bphpburn.icons-vscode, tailwind-nuxt.tailwindcss-for-react, flutcode.flutter-extension, yamlcode.yaml-vscode-extension, saoudrizvsce.claude-dev, saoudrizvsce.claude-devsce и vitalik.solidity.

Исследователи отмечают, что после того как пакеты принимаются на торговых площадках, издатели выпускают обновление, которое внедряет вредоносный код, а затем увеличивают количество загрузок, чтобы создать впечатление, что они легитимны и заслуживают доверия.

Кроме того, искусственное увеличение количества загрузок может манипулировать результатами поиска, в результате чего вредоносное расширение оказывается выше в результатах, часто очень близко к легитимным проектам, за которые оно себя выдает.

Новая версия GlassWorm претерпела технические изменения, теперь используя импланты на основе Rust, упакованные в расширения. В некоторых случаях всё ещё используется и приём с Unicode.

Подкатили итоги второй атаки Shai-Hulud, раскрывшей в общей сложности более 400 000 необработанных секретов после заражения сотен пакетов в реестре NPM с публикацией украденных данных в 30 000 репозиториях GitHub.

При этом TruffleHog подтвердил подлинность лишь около 10 000 раскрытых секретов, причем, по данным Wiz, по состоянию на 1 декабря более 60% утекших токенов NPM все еще были действительны.

Shai-Hulud появилась в середине сентября, скомпрометировав 187 пакетов NPM с самораспространяющейся полезной нагрузкой, которая идентифицировала токены учетных записей, внедряла вредоносный скрипт в пакеты и автоматически публиковала их на платформе.

Во второй атаке вредоносное ПО поразило более 800 пакетов  (включая все зараженные версии пакета) и обзавелось функционалом стирания домашних каталогов жертв при соблюдении определенных условий.

На основании анализа утечки, распространившейся на 30 000 репозиториев GitHub в результате атаки Shai-Hulud 2.0, обнаружили следующие типы секретов:

- Около 70% репозиториев имели файл content.json с именами пользователей и токенами GitHub, а также снимками файлов.

- У половины из них иелся файл truffleSecrets.json с результатами сканирования TruffleHog.

- В 80% репозиториев был найден файл environment.json с информацией об ОС, метаданными CI/CD, пакета npm и учетными данными GitHub.

- Почти 400 репозиториев разместили actionsSecrets.json с секретами рабочего процесса GitHub Actions.

Wiz отмечает, что вредоносная ПО использовала TruffleHog без флага «-only-verified», так что 400 000 раскрытых секретов соответствуют известному формату и могут больше не быть действительными или непригодными для использования.

Тем не менее, несмотря на то, что слитые данные чрезвычайно зашумлены и требуют значительных усилий по дедупликации, они по-прежнему содержат сотни действительных секретов, включая cloud, токены NPM и учетные данные VCS.

На сегодняшний день этот факт реализует серьезные риски дальнейших атак на цепочки поставок. Особенно учитывая, что более 60% украденных токенов NPM всё ещё действительны.

Анализ 24 000 файлов environment.json показал, что примерно половина из них были уникальными, причем 23% соответствовали машинам разработчиков, а остальные принадлежали исполнителям CI/CD и аналогичной инфраструктуре.

Собранные исследователями данные показывают, что большинство зараженных машин (87%) - это системы Linux, при этом большая часть заражений (76%) произошла на контейнерах.

Что касается распределения платформ CI/CD, то с большим отрывом лидирует GitHub Actions, за ним следуют Jenkins, GitLab CI и AWS CodeBuild.

Анализируя распределение заражений, Wiz обнаружила, что лидирующим был postman/tunnel-agent@0.6.7, за которым следовал asyncapi/specs@6.8.3. В совокупности эти два пакета стали причиной более 60% всех заражений.

Собственно, воздействие Shai-Hulud можно было бы значительно уменьшить, если бы несколько ключевых пакетов были нейтрализованы на ранней стадии.

Аналогично, что касается характера заражений, 99% случаев возникло в виду события предварительной установки, запускающего узел setup_bun.js.

В Wiz полагают, что акторы Shai-Hulud, вероятно, продолжат совершенствовать и развивать свои методы, прогнозируя еще больше атак в ближайшей перспективе, прежде всего, за счет использвания массива учетных данных, собранных к настоящему времени.

Исследователи Лаборатории Касперского обратили внимание на основные пробелы в безопасности NTLM в призме выявленных в 2025 году вредоносных кампаний и новых эксплуатируемых уязвимостей в старой технологии.

В качестве пролога к разбору актуальных связанных с NTLM угроз в ЛК вернулись в 2001 год, когда набирали популярность раскладушки, микромягкие анонсировали Windows XP, а Apple - iPod.

Пользователи только начали осваивать торренты, а Sir Dystic из Cult of the Dead Cow представил практическую реализацию атаки NTLM Relay в виде утилиты SMBRelay, продемонстрировав новый мощный класс эксплойтов для ретрансляции аутентификационных данных.

В общем, слабые места аутентификации через протокол NTLM были очевидны еще тогда.

В последующие годы ландшафт киберугроз пополнялся новыми уязвимостями и все более сложными методами атак.

NTLM является протоколом типа «запрос-ответ», предназначенным для проверки подлинности клиентов и серверов в средах Windows.

Он интегрирован в несколько прикладных протоколов, включая HTTP, MSSQL, SMB и SMTP. Для завершения процесса аутентификации используется трехэтапное рукопожатие между клиентом и сервером.

Microsoft пыталась справиться с проблемой, внедряя меры по снижению рисков и работая над преемником - протоколом Kerberos. И даже вовсе объявила о намерении отказаться от NTLM.

Однако на протяжении более двух десятилетий NTLM все еще остается частью современных ОС и используется в корпоративных сетях, устаревших приложениях и внутренних инфраструктурах, которые до сих пор полагаются на устаревшие механизмы аутентификации.

Учитывая, что NTLM все еще в строю, он остается удобной точкой входа для злоумышленников.

Его уязвимости хорошо изучены и задокументированы, он по-прежнему используется в системах на базе Windows и активно эксплуатируется в современных атаках.

Согласно недавним исследованиям, злоумышленники продолжают изобретать нестандартные способы эксплуатации NTLM в релейных и спуфинговых атаках, в том числе через новые уязвимости.

Более того, находят альтернативные векторы атак, специфичные для протокола.

Подробно описывать не будем, но отметим, что в отчете исследователи ЛК рассматривают эти векторы, раскрывая реальные кампании с описанием наиболее значимых CVE за год. Тут и:

- CVE-2024‑43451 с кампаниями BlindEagle по внедрению Remcos RAT и Head Mare против российских целей;

- CVE-2025-24054/CVE-2025-24071 с распространением троянца AveMaria в России;

- CVE-2025-33073 с выявленной активностью в системе одной из финансовых организаций Узбекистана.

Так что настоятельно рекомендуем ознакомиться.

Исследователи Лаборатории Касперского раскрыли неожиданные артефакты в недавней кампании GoRed (v1.1.5-34ab), обнаруженной весной 2025 года.

Впервые задокументированный еще в 2024 году GoRed, также известный как Bulldog Backdoor, представляет собой вредоносное ПО для кибершпионажа.

Функциональность подробно описана в исследовании Positive Technologies.

Бэкдор появился в 2023 году, написан на Golang и является продвинутым инструментом, который постоянно модифицируется и улучшается.

Ряд ИБ-компании приписывают его группам ExCobalt и Shedding Zmiy. В свою очередь, в ЛК отслеживают эту активность как Red Likho.

Бэкдор GoRed нацелен, в первую очередь, на российские организации из разных отраслей, включая ИТ, производство, автомобилестроение, энергетику.

GoRed обладает расширенной конфигурацией, описывающей коммуникацию с C2, и поддерживает режимы маяка, прокси-сервера и обратной оболочки для подключений операторов.

Для связи использует несколько протоколов, включая DNS, ICMP, QUIC и WebSocket Secure (WSS).

В ходе анализа новой кампании и последующих атак операторов GoRed исследователям удалось задетектить ряд новых TTPs, инструментов и объектов инфраструктуры.

В частности, выявлены ранее неописанные вектор заражения и метод доставки вредоносного ПО, а также новые C2 и версии бэкдора, профильтрованные, прежде всего, на компании в сфере разработки ПО, а значит и на цепочки поставок.

В одном из недавних инцидентов атакующие скомпрометировали публичный веб-портал и, используя ошибки конфигурации в PostgreSQL, смогли удаленно выполнить команды. Такой вектор заражения ранее не встречался в атаках с GoRed.

Сначала злоумышленники получили список запущенных на хосте процессов, после чего выполнили обфусцированную команду, которая загрузила на этот хост бэкдор GoRed, который затем запускали его вручную.

Помимо компрометации веб-портала жертвы, злоумышленники получали первоначальный доступ, эксплуатируя цепочку уязвимостей ProxyShell в Microsoft Exchange (CVE-2021-34473, CVE-2021-34523 и CVE-2021-31207).

Получив повышенные права, злоумышленники загружали вредоносный веб-шелл (.aspx) в корневой каталог сервера Exchange. С помощью него проводили первоначальную разведку, а затем через него же загружали GoRed.

После установки GoRed операторы запрашивали различные данные о системе, выполняли простые для обнаружения команды для получения учетных данных, а также использовали бэкдор для развертывания Cobalt Strike.

Большинство образцов Cobalt Strike представляли собой троянизированные версии легитимных инструментов Sysinternals, а именно Sysmon и Process Explorer.

Также ресерчерам ЛК удалось задетектить несколько троянизированных инструментов Sysinternals, которые вместо Cobalt Strike загружали агент Tuoni - продвинутого C2-фреймворка, который появился в феврале 2024 года.

Он использовался для выполнения разведывательных команд.

Бэкдор GoRed обращался к C2-доменам, зарегистрированным через NameCheap, а также серверам CloudFlare и хостинг-провайдеров, в основном расположенных в России.

На этапе постэксплуатации злоумышленники использовали Leaked Wallpaper - инструмент повышения привилегий, позволяющий извлечь NetNTLM-хэш пользователя из любого сеанса на компьютере.

Примечательно, что арсенале атакующих отыскались инструменты другой группы, действующей на российском направлении, - BO Team.

Кроме того, одна из недавних жертв Red Likho упоминалась среди жертв BO Team в их Telegram-канале.

По всей видимости, две группы кооперируются или вовсе могли проводить совместные операции.

Учитывая, что BO Team известна сотрудничеством с другими хактивистами, атакующими Россию, включая Ukrainian Cyber Alliance, вполне вероятно, что группа обменивается опытом и инструментами и с Red Likho, или же это может быть совместная скоординированная операция.

Технические подробности и IOCs - в отчете.