SecAtor

Patchstack предупреждает об RCE-уязвимости в сканере вредоносных программ ImunifyAV для серверов Linux, который используется десятками миллионов сайтов и открывает возможности для компрометации среды хостинга.

Проблема затрагивает версии компонента сканирования вредоносных программ AI-bolit до версии 32.7.4.0.

Он присутствует в пакете Imunify360, платной версии ImunifyAV+ и бесплатной версии сканера ImunifyAV.

ImunifyAV является частью пакета безопасности Imunify360, который обычно используется провайдерами хостинга или общими средами хостинга Linux.

Продукт устанавливается на уровне хостинговой платформы, а не конечными пользователями напрямую.

Он чрезвычайно распространён на тарифных планах виртуального хостинга, управляемом хостинге WordPress, серверах cPanel/WHM и Plesk.

Владельцы сайтов редко взаимодействуют с ним напрямую, но это повсеместный инструмент, незаметно работающий на 56 миллионах сайтов, если верить данным Imunify за октябрь 2024 года, где также сообщается о более чем 645 000 установок Imunify360.

По данным компании Patchstack, уязвимость стала известна с конца октября, когда поставщик ImunifyAV, CloudLinux, выпустил исправления. В настоящее время идентификатор уязвимости не присвоен.

10 ноября поставщик перенёс исправление на более старые версии антивируса Imunify360.

Кроме того, CloudLinux предупредила пользователей о критической проблеме в отдельном информационном бюллетене, порекомендовав как можно скорее обновиться до 32.7.4.0.

Первопричиной уязвимости является логика деобфускации AI-bolit, которая выполняет контролируемые злоумышленником имена функций и данные, извлеченные из обфусцированных PHP-файлов, при попытке распаковать вредоносное ПО для его сканирования.

Это происходит в виду того, что инструмент использует call_user_func_array без проверки имен функций, что позволяет выполнять опасные функции PHP, такие как system, exec, shell_exec, passthru, eval и другие.

Patchstack отмечает, что для эксплуатации необходимо, чтобы Imunify360 AV выполнял активную деобфускацию на этапе анализа, что отключено в конфигурации по умолчанию автономного AI-Bolit CLI.

Однако интеграция компонента сканера Imunify360 принудительно переводит сканирование в фоне, по требованию, инициированное пользователем или быстрое сканирование в состояние «всегда включено», что соответствует условиям эксплуатации.

Исследователи также поделились PoC, который создает PHP-файл в каталоге tmp, который запускает удаленное выполнение кода при сканировании антивирусом, что может привести к полной компрометации сайта, а если сканер работает с повышенными привилегиями в системах общего хостинга, последствия могут распространиться на весь сервер.

Исправление CloudLinux добавляет механизм белого списка, который позволяет выполнять только безопасные, детерминированные функции во время деобфускации, что блокирует выполнение произвольных функций.

Несмотря на отсутствие четких предупреждений от поставщика или CVE-ID, которые помогли бы распознать проблему и отследить ее, системным администраторам следует выполнить обновление до версии v32.7.4.0 или более новой.

В настоящее время нет никаких официальных инструкций о том, как проверять уязвимость, равно как и руководства по ее обнаружению или подтверждения ее активной эксплуатации в реальных условиях.

Поставщик также ничего не комментирует.

Исследователи предупреждают, что уязвимость обхода пути Fortinet FortiWeb с общедоступным PoC активно эксплуатируется для создания новых административных пользователей на уязвимых устройствах без необходимости аутентификации.

Эксплуатация была впервые обнаружена компанией Defused 6 октября, которая сообщила о «неизвестном эксплойте Fortinet», используемом в отношении уязвимых устройств для создания учетных записей администраторов.

С тех пор число атак возросло, и злоумышленники теперь реализуют эту уязвимость по всему миру.

Согласно новому исследованию PwnDefend и Defused, уязвимость представляет собой проблему обхода пути, затрагивающую следующую конечную точку Fortinet: /api/v2.0/cmdb/system/admin%3f/../../../../../cgi-bin/fwbcgi.

Злоумышленники отправляют по этому пути HTTP-запросы POST, содержащие полезную нагрузку, которая создает локальные учетные записи уровня администратора на целевом устройстве.

Эксплуатация, обнаруженная исследователями, включает в себя несколько наборов созданных комбинаций имён пользователей и паролей, в том числе: Testpoint, trader1 и trader.

Пароли, назначенные учётным записям, включают 3eMIXX43, AFT3$tH4ck и AFT3$tH4ckmet0d4yaga!n.

Атаки осуществлялись с широкого спектра IP-адресов: 107.152.41.19, 144.31.1.63, адреса в диапазоне 185.192.70.0/24 и 64.95.13.8 (из оригинального октябрьского отчета).

Исследователи из watchTowr Labs подтвердили наличие эксплойта, опубликовав на X видео с демонстрацией его работы и успешного входа в систему в качестве вновь созданного пользователя-администратора.

watchTowr также представила инструмент под названием FortiWeb Authentication Bypass Artifact Generator, укоторый призван помочь админам обнаружить уязвимые устройства.

Он пытается проэксплуатировать уязвимость, создавая пользователя-администратора с 8-символьным случайным именем пользователя, полученным из UUID.

По данным Rapid7, протестировавшей эксплойт в нескольких версиях, уязвимость затрагивает FortiWeb версии 8.0.1 и более ранние.

Уязвимость была исправлена в 8.0.2, которая, предположительно, вышла в конце октября.

Самое интересное, что не удалось найти никаких сведений об уязвимости FortiWeb на сайте PSIRT Fortinet, которые соответствовали бы той, которая эксплуатируется. В компании пока вообще не комментируют ситуацию.

Поскольку уязвимость, по всей видимости, активно эксплуатируется в реальных условиях, администраторам следует проверить свои устройства на наличие необычных административных учетных записей, проверить журналы на наличие запросов к пути fwbcgi и расследовать любую активность с выявленных подозрительных IP-адресов.

Администраторы также должны убедиться, что эти интерфейсы управления недоступны из Интернета, а подключение к ним разрешено только из доверенных сетей или через VPN.

Amazon сообщает об обнаружении более 150 000 вредоносных пакетов в реестре NPM, опубликованных в рамках недавно раскрытой скоординированной автоматизированной кампании использованием червя IndonesianFoods, нацеленной на токены tea.xyz.

Самораспространяющийся пакет в npm фактически массово «засоряет» реестр, порождая новые пакеты каждые семь секунд, создавая большие объемы «спама».

Червь получил название в виду своей отличительной схемы наименования пакетов, которая выбирает случайные индонезийские названия и названия продуктов питания.

При этом сами пакеты не содержат вредоносных компонентов для разработчиков (например, кражи данных, бэкдоринга хостов), но это может измениться с обновлением, которое может реализовать опасную полезную нагрузку.

Уровень автоматизации и растущий охват атаки создают потенциальную возможность масштабного нарушения цепочки поставок.

Исследователь Пол Маккарти первым сообщил об этой спам-кампании и расшарил страницу для отслеживания издателей npm-нарушителей и количества пакетов, выпущенных ими на платформе.

В свою гореть, Sonatype сообщает, что те же злоумышленники предприняли ещё одну попытку 10 сентября с пакетом под названием fajar-donat9-breki. Причем пакет содержал ту же логику репликации, но не имел функционала самираспространения.

Как отмечают исследователи Sonatype, новая атака затронула сразу несколько систем безопасности данных, продемонстрировав беспрецедентные масштабы.

Amazon отмечает эти пакеты в рекомендациях OSV, что вызывает массовую волну сообщений об уязвимостях. Только в базе данных Sonatype за один день появилось 72 000 новых рекомендаций.

Исследователь отметил, что IndonesianFoods, судя по всему, не фокусируется на проникновении в компьютеры разработчиков, а скорее на том, чтобы нагрузить экосистему и порушить крупнейшую в мире цепочку поставок ПО.

В отчете Endor Labs по IndonesianFoods упоминается, что некоторые пакеты, по всей видимости, злоупотребляют блокчейн-протоколом TEA, нацеливаясь на учетные записи и адреса кошельков.

Публикуя тысячи взаимосвязанных пакетов, злоумышленники завышали свои показатели воздействия, чтобы заполучить больше токенов, что указывает все же на наличие финансового мотива атаки.

Кроме того, Endor Labs сообщает, что спам-кампания фактически началась два года назад: в 2023 году было добавлено 43 000 пакетов, в 2024 году была реализована монетизация TEA, а в 2025 году был представлен червеобразный цикл репликации.

Новая масштабная кампания IndonesianFoods реализуется в контексте ряда схожих атак на цепочки поставок, основанных на автоматизации, на экосистемы с открытым исходным кодом, включая атаку GlassWorm на OpenVSX и червя Shai-Hulud.

По отдельности все эти инциденты нанесли ограниченный ущерб, но вместе подчеркивают новую тенденцию, в которой злоумышленники все чаще используют автоматизацию и масштабирование, воздействуя на экосистемы с открытым исходным кодом.

Sonatype также предупредила, что такие простые, но эффективные операции создают идеальные условия для злоумышленников, желающих внедрить более серьезное вредоносное ПО в экосистемы с открытым исходным кодом.

Поскольку атака продолжает развиваться, разработчикам ПО рекомендуется заблокировать все версии зависимостей, отслеживать аномальные шаблоны публикации и внедрять строгие политики проверки цифровых подписей.

Как и ожидалось, Европол и силовой блок более чем 30 стран нейтрализовали серверы, домены и Telegram-каналы трех вредоносных сервисов - инфокрада Rhadamanthys, VenomRAT и ботнета Elysium.

Силовики сообщают, что три вида вредоносного ПО заразили сотни тысяч пользователей и похитили миллионы учётных данных, которые впоследствии использовались для развертывания ransomware или кражи криптовалюты.

Новая волна атак на киберподполье стала частью операции Endgame - проекта Европола, который стартовал в 2023 году и нацелен на криминальную инфраструктуру, используемую для осуществления атак с целью вымогательства.

В общей сложности власти конфисковали 1025 серверов, 20 доменов и провели 11 обысков. Администратор VenomRAT также был арестован после рейда в Греции в начале этого месяца.

Новости о активности силовиков начали распространяться еще во вторник, когда ряд отраслевых специалистов заметили, что администратор Rhadamanthys уведомил всех своих клиентов о необходимости сворачивать все свои кампании в связи с утратой доступа к главной панели управления.

Из трех попавших под удар правоохранителей вредоносных операций Rhadamanthys оказалась, безусловно, самой серьезной реализацией.

Как уже отмечалось, сервис был запущен в декабре 2022 года как небольшой проект, но быстро превратился в масштабную MaaS, в рамках которой другие хакеры могли взять в аренду доступ к вредоносному ПО за довольно высокую плату в размере 300 долларов США в месяц и более.

Вредоносная ПО представляла собой сложный, эффективный и широко задействуемый киберподпольем код. Европол полагает, что её админ собрал достаточно большой объем данных, получив доступ к более чем 100 000 криптокошельков.

Силовики все эти собранные Rhadamanthys слили в politie.nl/checkyourhack и haveibeenpwned.com, где пользователи могут ознакомиться и понять, были ли их данные украдены в ходе атак с использованием инфокрада.

Обеспечившие техническую поддержку Endgame 3.0 ИБ-компании также выкатили собственные отчеты по результатам исследований в рамках отслеживания вредоносного ПО: Proofpoint по VenomRAT и Rhadamanthys, а также Shadowserver Foundation по Rhadamanthys (1, 2, 3 соответственно).

Исследователи CyberProof обнаружили сходство между банковским вредоносным ПО Coyote и недавно замеченным Maverick, которые активно распространяется через WhatsApp.

Согласно отчёту, оба вида вредоносного ПО написаны на .NET, нацелены на бразильских пользователей банковских услуг и обладают идентичными функционалом. Что ещё важнее, оба могут распространяться через WhatsApp Web.

В свою очередь, Trend Micro задокументировала Maverick в начале прошлого месяца, приписав его группировке Water Saci.

Кампания включает в себя два компонента: самораспространяющееся вредоносное ПО SORVEPOTEL, которое распространяется через десктопную веб-версию WhatsApp и используется для доставки ZIP-архива, содержащего полезную нагрузку Maverick.

Вредоносное ПО предназначено для мониторинга активных вкладок браузера на предмет URL-адресов, соответствующих жёстко заданному списку финансовых организаций Латинской Америки.

В случае совпадения вредоносная ПО устанавливает связь с удалённым сервером для получения последующих команд, которые реализуют сбор системной информации и фишинговые страницы для кражи учётных данных.

Исследователи Sophos в последующем отчёте высказала предположение о том, что возможно эта активность может быть связана с ранее известными кампаниями Coyote, нацеленными на пользователей в Бразилии, и является ли Maverick развитием Coyote.

Ответы на эти вопросы нашлись в исследовании Лаборатории Касперского, который позволил установить, что Maverick действительно содержит много совпадений кода с Coyote, но все же является совершенно новой угрозой, массово нацеленной на Бразилию.

Согласно последним данные CyberProof, ZIP-файл содержит ярлык Windows (LNK), который при запуске пользователем запускает cmd.exe или PowerShell для подключения к внешнему серверу (zapgrande[.]com) и загрузки полезной нагрузки первого этапа.

Скрипт PowerShell способен запускать промежуточные инструменты, предназначенные для отключения антивируса Microsoft Defender и UAC, а также для получения загрузчика .NET.

Загрузчик, в свою очередь, использует методы антианализа для проверки наличия инструментов реверс-инжиниринга и самоуничтожается при их обнаружении. Затем загрузчик приступает к загрузке основных модулей атаки: SORVEPOTEL и Maverick.

Стоит отметить, что Maverick устанавливается только после установления факта причастности жертвы к бразильскому сегменту на основе проверки часового пояса, языка, региона и формата даты, а также точного времени, заданного на зараженном компьютере.

CyberProof также обнаружила доказательства использования вредоносного ПО для атаки на гостиничный сегмент в Бразилии, что указывает на возможное расширение сферы атак.

Продолжаем отслеживать.

В ИБ как и в других сферах сильно влияет окружение, если вы талантливый, но вас никто не знает, намного сложнее достигать успеха.

Но как знакомиться с интересными и полезными людьми и при этом не нарушать личных границ. Команда из @CyberJobsRussia сделали некоммерческий проект HIVE - сервис, в котором вы можете удобно знакомиться с единомышленниками.

Как это работает:
• заходишь в HIVE;
• заполняешь короткий профиль: кто ты и кого ищешь;
• получаешь мэтчи.

Сейчас внутри инженеры по ИБ, разработчики, ресёрчеры и сильные ребята из других сфер, которые ищут единомышленников.

Ищете вы единомышленника, работу, партнёров - с этой задачей справится HIVE!

Ребята проводят закрытый релиз для пользователей SecAtor, поэтому формируйте окружение осознанно и безопасно в HIVE

Пока одни возвращаются после «силовых» ударов, другие отхватывают.

На этот раз прилетело разработчикам Rhadamanthys, которые, по всей видимости, лишились доступа к своей корневой инфраструктуре, впрочем как и их клиентам-операторам.

Rhadamanthys представляет собой вредоносную ПО для кражи информации, нацеленную на учётные данные и cookie аутентификации из браузеров, почтовых клиентов и других приложений.

Она традиционно реализуется в формате MaaS через кампании, продвигаемые под видом взлома ПО, видеороликов на YouTube или вредоносной поисковой выдачи.

По данным исследователей g0njxa и Gi7w0rm, ответственные за Rhadamanthys хакеры анонсировали на просторах киберподполья заявление, согласно которому утверждается, что правоохранительные органы якобы получили доступ к их веб-панелям.

Некоторые из клиентов посетовали на утрату обычного SSH-доступа к своим веб-панелям Rhadamanthys, которые теперь требуют сертификат для входа в систему вместо обычного пароля.

Кроме того, им прилетело предупреждение от разработчиков, что если пароль не позволяет войти в систему, а метод авторизации требует сертификата, то немедленно следует «сматывать» удочки и чистить следы в виду риска стать объектом преследования немецкой полиции.

Один из клиентов подтвердил, что на его сервер «гости заходили, и пароль был удалён», так что ему пришлось немедленно удалить всё и выключить сервер.

Как заявили разработчики Rhadamanthys, по их мнению, за сбоями стоят правоохранительные органы Германии, поскольку в веб-панелях, размещенных в ЦОДах ЕС, отметились немецкие IP для входа до того, как киберпреступники утратили доступ.

В свою очередь, G0njxa сообщил, что задействованные в кампании Rhadamanthys сайты в Tor также были отключены, но баннера с предупреждением о конфискации полицией до сих пор нету, поэтому неясно, кто именно стоит за сбоями.

Многие исследователи полагают, что этот сбой, вероятно, связан с Operation Endgame, о чем в будущем должны будут отрапортовать правоохранительные органы после обкатки всех запланированных мероприятий новой волны силовой операции.

Что определенно вписывается в парадигму операции, в списке целей которой наряду с бандами вымогателей, также отметились SmokeLoader, DanaBot, IcedID, Pikabot, Trickbot, Bumblebee, Smokeloader и SystemBC.

Тем временем на официальном сайте Operation Endgame в настоящее время тикает таймер обратного отсчета, указывая на выход очередного обновления в самое ближайшее время.

DanaBot возвращается с обновленной версией, которая теперь задействуется в новых атаках спустя полугода после того, как инфраструктуру вредоносного ПО вынесли западные силовики в ходе операции Endgame.

По данным Zscaler ThreatLabz, новая версия 669 DanaBot обзавелась инфраструктурой C2 с использованием доменов Tor (.onion) и узлов «бэкконекта».

Исследователям Zscaler также удалось идентифицировать перечень ряда кроптоадресов, которые злоумышленники используют для реализации украденных средств в BTC, ETH, LTC и TRX.

Как известно, DanaBot был впервые обнаружен исследователями Proofpoint и предстоял собой банковский троян на базе Delphi, работающий в формате MaaS, который распространялся через электронную почту и вредоносную рекламу.

Впоследствии вредоносная ПО превратилась в модульный стилер и загрузчик, целями которого стали учетные данные и данные криптокошельков в браузерах.

Вредоносное ПО использовалось в многочисленных кампаниях, некоторые из которых были достаточно масштабными, периодически отсвечивая в атаках с 2021 года, но оставаясь при этом постоянной отлеживаемой угрозой.

В мае этого года в рамках международной операции правоохранителей под кодовым названием Endgame инфраструктура Danabot была нейтрализована, в результате чего деятельность ее операторов оказалась фактически парализована.

Однако, как мы и предполагали, Danabot вновь активизировался фазу с переработанной инфраструктурой. Правда, за время простоя, многие брокеры первоначального доступа (IAB) успели переключиться на другие вредоносные ПО.

Повторное появление DanaBot четко демонстрирует общую стратегию его операторов, нацеленных на финансовую прибыль и дальнейшее развитие, которое лишь не небольшой период силовикам удалось притормозить.

Типичные методы первоначального доступа, наблюдаемые при заражении DanaBot, остаются прежними: вредоносные электронные письма (через ссылки или вложения), SEO-заражение и кампании вредоносной рекламы. Некоторые из них привели к запуску ransomware.

Технические подробности и IoCs - в здесь.

Amazon сообщает об обнаружении кампании, нацеленной на критические уязвимости Citrix Bleed 2 (CVE-2025-5777) в NetScaler ADC и Gateway, а также CVE-2025-20337 в Cisco Identity Service Engine (ISE) в качестве 0-day для развертывания специализированного вредоносного ПО.

Посредством MadPot Honeypot группе по анализу угроз удалось попытки эксплуатации еще до того, как они были раскрыты публично и вышли исправления.

В ходе дальнейшего расследования этого кластера угроз, попавшего на уязвимости Citrix, Amazon Threat Intelligence выявила и передала в Cisco аномальную полезную нагрузку, нацеленную на ранее незадокументированную конечную точку в Cisco ISE с уязвимой логикой десериализации.

Напомним, что Citrix Bleed 2 представляет собой проблему чтения за пределами выделенной памяти NetScaler ADC и Gateway, исправления которой поставщик опубликовал в конце июня.

Поставщику потребовалось больше времени для подтверждения использования узявимости в реальных атаках, несмотря на многочисленные отчеты третьих сторон. При этом эксплойты стали доступны в начале июля, а CISA пометила ее как эксплуатируемую.

Уязвимость в ISE (CVE-2025-20337) с максимальной оценкой серьезности была раскрыта 17 июля.

Тогда Cisco предупредила, что она может быть использована неаутентифицированным злоумышленником для реализации вредоносных файлов, RCE или EoP до root на уязвимых устройствах.

Менее чем через пять дней поставщик повторно опубликовал предупреждение об активной эксплуатации CVE-2025-20337, а 28 июля исследователь Бобби Гулд выкатил технические подробности в отчете, включающем также цепочку эксплойтов.

В свою очередь, в своем отчете Amazon утверждает, что обе уязвимости использовались в APT-атаках до того, как Cisco и Citrix опубликовали свои первые бюллетени.

Хакеры использовали уязвимость CVE-2025-20337 для получения предварительного административного доступа к конечным точкам Cisco ISE и развернули пользовательскую веб-оболочку под названием IdentityAuditAction, замаскированную под легитимный компонент ISE.

Веб-оболочка регистрировалась как HTTP-прослушиватель для перехвата всех запросов и использовала Java-рефлексию для внедрения в потоки сервера Tomcat.

Использовалось шифрование DES с нестандартным кодированием base64 для обеспечения скрытности и минимального криминалистического следа.

Использование множества скрытых 0-day, а также глубокое знание внутренних компонентов Java/Tomcat архитектуры Cisco ISE указывают на участие в кампании высококвалифицированного и достаточно продвинутого актора.

Однако Amazon в конечном счете атрибутировать угрозу не удалось.

Тем не менее, нацеливание носит неизбирательный характер, что не соответствует типичному таргету узкоцеленаправленных операций, проводимых такими субъектами угроз.

Исследователи рекомендуют применять доступные обновления для CVE-2025-5777 и CVE-2025-20337, а также ограничить доступ к пограничным сетевым устройствам с помощью брандмауэров и многоуровневой сегментации.

Более 12 тысяч конфиденциальных документов китайской KnownSec слиты на прошлой неделе на GitHub неизвестным лицом, а затем удалены еще до широкой огласки.

Тем не менее, некоторым (Mrxn и NetAskari) удалось задетектить утечку и частично ознакомиться с ней.

Как сообщается, самые последние документы датированы 2023 годом, но, по всей видимости, более свежие файлы не были опубличены.

К настоящему времени неясно, является ли это намеренным сливом со стороны инсайдера или же результатом скоординированной деятельности с участием продвинутого актора, включая хактивистские группы или APT.

Но из увиденного стало понятно, что утечка KnownSec представляет собой настоящий Клондайк кибершпионажа.

Сама KnownSec широко известна среди западных исследователей благодаря своей поисковой системе ZoomEye для IoT, однако также является крупным киберподрядчиком для китайских военных и разведывательных служб.

Утечка, предположительно, включает подробные сведения о контрактах KnownSec с китайским правительством, разработанных хакерских инструментах и список целей, в отношении которых проводились разведывательные мероприятия.

Как отмечает NetAskari, так называемое «кибероружие», как его описывают в утечке, по всей видимости, представляет собой традиционные RAT, инструменты извлечения и анализа данных, которые правоохранительные органы, как правило, приобретают по всему миру.

Самая интересная часть утечки - это упомянутый «список целей», представляет собой электронную таблицу с названиями 80 организаций.

По данным NetAskari, утечка предполагает, что KnownSec также участвовала в картографировании цифровой инфраструктуры других стран, что обусловлено реализацией проекта ZoomEye, аналогично многим другим подобным системам: Shodan, Censys или BinaryEdge.

По данным StealthMole, KnownSec участвовала в картографировании интернет-инфраструктуры 28 стран.

Примечательно, что KnownSec, судя по всему, также собрала данные с наиболее «интересных» уязвимых серверов, которые он обнаружил в некоторых странах.

Как утруждается, сюда вошли 95 ГБ миграционных данных из Индии, 3 ТБ записей соединений южнокорейского оператора связи LG U-Plus, 459 ГБ данных в отношении дорожной сети Тайваня, пароли к тайваньским аккаунтам Yahoo, данные бразильских аккаунтов LinkedIn и всевозможные другие массивы с уязвимых серверов.

Как мы и предполагали, отработанный инструмент контролируемого «слива» продолжает работать, в данном случае, больше в политической плоскости, нежели в инфосеке, а усеченный формат и кратковременная подача с последующей интерпретацией только усиливает наметившуюся тенденцию.

Очевидно, что продолжение после предварительного прогрева определенно последует.

Google CTF.

• Как известно, без практики любое обучение имеет мало смысла. Если говорить про различные аспекты ИБ, то здесь может быть два варианта: искать стажировку в компаниях, либо практиковаться на различных CTF-платформах - ресурсах, где есть тренировки по поиску уязвимостей, взлому и другим задачам.

• По ссылке ниже вы сможете найти все таски Google CTF с 2017 по 2025 год вместе с решениями. Добавляйте в избранное и практикуйтесь:

https://github.com/google/google-ctf

• Напоминаю, что в канале опубликована очень объемная подборка различных CTF площадок, которые помогут прокачать скилл в различных аспектах информационной безопасности.

S.E. infosec.work VT

Подкатил ноябрьский PatchTuesday от Microsoft с исправлениями для 63 уязвимостей, включая одну активно эксплуатируемую 0-day, а также первое расширенное обновление безопасности (ESU) для Windows 10.

В PatchTuesday также исправлены пять критических уязвимостей, две из которых связаны с RCE, одна - с EoP, а четвертая - с раскрытием информации.

Общее распределение ошибок в каждой категории представлено следующим образом: 29 связаны с EoP, 2 - обходом функций безопасности, 16 - RCE, 11 - раскрытием информации, 3 - DoS и 2 - спуфингом.

Кроме того, также вышло внеочередное исправление для ошибки, которая вызывала сбои в процессе регистрации в программе ESU с расширенными обновлениями для Windows 10. Впрочем, удивляться не стоит, микромягкие традиционно в своем стиле.

Анонсированная активно эксплуатируемая 0-day затрагивает компонент ядра Windows и отслеживается как CVE-2025-62215 (CVSS 7.8), которая приводит к повышению привилегий.

Microsoft отмечает, что локальный злоумышленник, прошедший аутентификацию, может воспользоваться этой уязвимостью, реализовав состояние гонки, получая системные привилегии.

Корпорация приписала обнаружение этой уязвимости Microsoft MSTIC и MSRC, но не раскрыла, как именно она эксплуатировалась.

Исправленные критические уязвимости пометок об эксплуатации не имеют и включает в себя следующие:

- CVE-2025-60724 (CVSS 9,8): уязвимость связана с переполнением буфера кучи в компоненте Microsoft Graphics, что позволяет неавторизованному злоумышленнику выполнить код по сети. Она может быть активирована посредством специально созданного метафайла без взаимодействия с пользователем. Успешная эксплуатация этой уязвимости может привести к RCE или раскрытию информации.

- CVE‑2025‑30398 (CVSS 8,1 ): уязвимость раскрытия информации в Nuance PowerScribe 360, связанная с отсутствием авторизации, которая позволяет неавторизованному злоумышленнику раскрыть информацию по сети, выполнив API-вызов к конечной точке.

- CVE‑2025‑62199 (CVSS 7,8): уязвимость в приложениях Microsoft Office, связанная с использованием памяти после освобождения. Она позволяет неаутентифицированному злоумышленнику выполнить код локально на уязвимой рабочей станции посредством открытия вредоносного файла.

- CVE‑2025‑60716 (CVSS 7): уязвимость графического ядра DirectX, приводящая к EoP. Ошибка использования памяти после освобождения в позволяет авторизованному злоумышленнику локально повысить привилегии.

- CVE‑2025‑62214 (CVSS 6,7): уязвимость RCE в Visual Studio. Внедрение команд ИИ в Visual Studio позволяет авторизованному злоумышленнику локально выполнить код. Эксплуатация нетривиальна, требует нескольких этапов: внедрение подсказки, взаимодействие с Copilot Agent и запуск сборки.

Полное описание каждой уязвимости и затрагиваемых ею систем - здесь.

Тем временем, кейс израильской (и уже с американской пропиской) NSO Group обретает завершающие очертания после того, как новым председателем совета директоров с функциями генерального директора стал Дэвид Фридман.

Тот самый Фридман, который в прошлом представлял интересы Дональда Трампа в качестве адвоката, который также получил должность посла в Израиле в период его первого президентского срока.

Назначение состоялось сразу выкупа компании консорциумом американских инвесторов в главе с известным кинопродюссером.

Для заключения «сделки» основному владельцу и основателю компании сделали предложение, от которого он не смог отказаться.

Напомним, что в тот момент NSO Group по судебному иску должна выплатить экстремистской Meta компенсацию в размере 167 миллионов долларов за взлом 1400 аккаунтов в WhatsApp.

Правда, после передачи активов - эта сумма «неожиданным» образом сократилась до 4 млн.

В рамках вступления в новую должность Фридман пообещал посодействовать снятию санкций и возвращению компании на американский рынок.

Собственно, все как мы предполагали: дальнейший передел рынка spyware будет реализован по «наработанной схеме».

Будем следить.

Исследователи Mandiant сообщают об обнаружении злоумышленников, которые использовали уже исправленную уязвимость в платформе обмена файлами и удаленного доступа Triofox компании Gladinet.

Критическая уязвимость отслеживается как CVE-2025-12480 (CVSS: 9,1), позволяет злоумышленнику обойти аутентификацию и получить доступ к страницам конфигурации, что приводит к загрузке и выполнению произвольных полезных нагрузок.

Mandiant установила, что кластер угроз UNC6485 нацелился на уязвимость ещё 24 августа 2025 года, почти через месяц после того, как поставщик выпустил исправления для нее версии 16.7.10368.56560.

Стоит отметить, что CVE-2025-12480 - это уже третья уязвимость Triofox, которая подверглась активной эксплуатации только в этом году, после CVE-2025-30406 и CVE-2025-11371.

По данным Mandiant, злоумышленник воспользовался уязвимостью неаутентифицированного доступа для получения доступа к страницам конфигурации, а затем использовал их для создания новой учётной записи администратора Cluster Admin, запустив процесс настройки.

Для выполнения кода злоумышленник вошёл в систему, используя недавно созданную учётную запись администратора.

Затем загрузил вредоносные файлы и выполнил их, используя встроенную функцию антивируса.

Для настройки антивирусной функции пользователь может указать произвольный путь к выбранному антивирусу.

Настроенный таким образом файл наследует привилегии учётной записи родительского процесса Triofox и запускается в контексте учётной записи SYSTEM.

Как отмечает Mandiant, злоумышленники запустили вредоносный пакетный скрипт (centre_report.bat), указав путь к нему в антивирусном движке.

Скрипт предназначен для загрузки установщика Zoho Unified Endpoint Management System (UEMS) с адреса 84.200.80[.]252 и развертывания на хосте программ удалённого доступа, таких как Zoho Assist и AnyDesk.

Удаленный доступ, реализуемый Zoho Assist, использовался для проведения разведки, после чего предпринимались попытки смены паролей существующих учетных записей и добавления их в локальные администраторы и группу администраторов домена для повышения привилегий.

Обход обнаружения осуществлялся через загрузку таких инструментов, как Plink и PuTTY, позволяющих настроить зашифрованный туннель к C2 через порт 433 по протоколу SSH с конечной целью разрешения входящего трафика RDP.

Пока конечная цель кампании остается неизвестной, но пользователям Triofox рекомендуется обновиться до последней версии, провести аудит учетных записей администраторов и убедиться, чтобы антивирусный движок не был настроен на выполнение несанкционированных скриптов или двоичных файлов.

Анонсированная китайскими исследователями новая пассивная атака названием U-Print идентифицирует пользователей смартфонов с точностью 98% посредством перехвата и анализа зашифрованного трафика Wi-Fi.

U-Print работает исключительно на уровне беспроводного MAC и может определить не только, какие приложения используются, но и конкретные действия в приложении, а также личность пользователя, без необходимости расшифровывать трафик или отменять рандомизацию MAC-адресов.

Методология атаки предполагает, что злоумышленник размещает пассивный сниффер в зоне действия беспроводной сети целевой среды (например, офиса или дома).

При этом пароль или доступ к сети не требуются, достаточно лишь близости к сигналу Wi-Fi.

После чего система составляет поведенческие профили пользователей на основе их моделей взаимодействия с приложениями, что потенциально позволяет делать выводы о таких личных характеристиках, как возраст, пол и даже психическое здоровье.

Предыдущие атаки позволяли обнаружить использование приложения, но не обеспечивали надежной идентификации пользователя, генерирующего трафик, особенно в условиях рандомизации MAC-адресов - защиты, которая теперь широко применяется в смартфонах.

Подход U-Print основан на идее о том, что индивидуальные предпочтения, такие как выбор приложений и способ их использования, формируют различные закономерности в метаданных MAC-уровня, включая размер пакета, время передачи и направление.

Например, два пользователя могут использовать WhatsApp, но один из них может предпочесть текстовый чат, а другой - голосовые сообщения, что приводит к небольшим различиям в структуре трафика.

Исследователи апробировали U-Print в реальных офисных условиях, используя ноутбук Lenovo и сетевую карту с операционной системой Kali Linux для пассивного сбора Wi-Fi-трафика от 12 пользователей смартфонов в 40 мобильных приложениях.

Результаты впечатлили: точность классификации приложения составила 98,7%, идентификации действий - 96,8% и самого пользователя - 98,4% с показателем F1 0,983, даже при использовании случайных MAC-адресов.

Причем эффективность метода оставалась стабильной, несмотря на такие типичные проблемы в реальном мире, как утрата пакетов (до 15%), фоновый «шум» приложений (даже если несколько приложений генерируют трафик одновременно) и смена окружающей среды.

Несмотря на то, что U-Print пока что лишь теоретическая модель атаки, исследование демонстирует серьезные пробелы в современных системах безопасности беспроводных сетей.

Даже зашифрованные сети Wi-Fi, использующие современные стандарты, такие как WPA3 и рандомизация MAC-адресов, не способны предотвратить подобные атаки, нацеленные на идентификацию и поведение пользователей.

В качестве возможных защитных мер от идентификации типа U-Print исследователи предлагают рассмотреть возможность обфускации трафика, рандомизации размера и времени пакетов, рандомизации MAC-адресов и микширования поведенческих сигналов.

Критическая уязвимость в популярной библиотеке JavaScript expr-eval, имеющей более 800 000 еженедельных загрузок на NPM, может быть использована для удаленного выполнения кода с помощью вредоносных входных данных.

Ошибка была обнаружена исследователем Джангву Чо и отслеживается как CVE-2025-12735 с оценкой CVSS 9,8. Исправление доступно в expr-eval-fork версии 3.0.0.

Разработанный Мэтью Крамли expr-eval представляет собой небольшой парсер выражений JavaScript, который используется в более чем 250 проектах, требующих безопасного анализа и вычисления введенных пользователем математических выражений во время выполнения.

Примерами таких проектов являются онлайн-калькуляторы, системы моделирования, финансовые инструменты, а в последнее время - системы ИИ и обработки естественного языка (NLP), которые анализируют математические выражения из текстовых подсказок.

Уязвимость вызвана тем, что библиотека не может проверить переменные/контекстный объект, переданный в функцию Parser.evaluate(), что позволяет злоумышленнику предоставлять вредоносные объекты функций, которые анализатор вызывает во время оценки.

CVE-2025-12735 обеспечивает злоумышленнику полный контроль над поведением ПО или полное раскрытие всей информации об уязвимой системе.

При этом затрагивает как оригинальный expr-eval, стабильная версия которого была выпущена 6 лет назад, так и его активно поддерживаемый форк expr-eval-fork, имеющий более 80 000 еженедельных загрузок в реестре пакетов NPM для Node.js.

Для пользователей expr-eval доступен запрос на извлечение, реализующий исправление, однако из-за отсутствия ответа от сопровождающих проекта неизвестно, когда он будет включен в новый релиз.

Разработчикам затронутого ПО рекомендуется немедленно перейти на expr-eval-fork v3.0.0 и повторно выкатить свои библиотеки, дабы пользователи гарантированно получили исправление.

Microsoft раскрыла подробности новой атаки по побочным каналам Whisper Leak, которая позволяет потенциальному злоумышленнику выделять конфиденциальные темы запросов из зашифрованного трафика между пользователями и большими языковыми моделями (LLM).

По мнению исследователей, утечка данных, которыми обмениваются люди и языковые модели в потоковом режиме, представляет серьёзную угрозу для конфиденциальности пользовательских и корпоративных коммуникаций.

Причем основные риски Whisper Leak в Microsoft связывают со акторами, располагающими возможностью контроля за зашифрованным трафиком.

К таковым отнесли спецслужбы с их аппаратурой, провайдеров и продвинутых злоумышленников, находящихся в той же локальной сети.

Несмотря на широкое использование шифрования TLS, исследователи продемонстрировали, что закономерности в размерах пакетов и времени передачи могут раскрыть достаточно информации для классификации основных тем разговоров с поразительной точностью.

Обнаружившие Whisper Leak исследователи раскрыли технические подробности 28 крупным поставщикам LLM, чей трафик им удалось отмониторить в разрезе более 21 000 запросов на каждую модель.

Используя передовые классификаторы машинного обучения, они научили модели отличать деликатные темы, например, «отмывание денег», от безобидных тем в хаотическом наборе данных.

Примечательно, что 17 протестированных моделей достигли 100% точности при полноте 5–20% в условиях смоделированного дисбаланса в соотношении шума к цели - 10 000:1.

Атака нацелена на LLM-модули, которые передают ответы по токенам через зашифрованные HTTPS-соединения. TLS шифрует контент, но не скрывает размер и время доставки отдельных пакетов.

Whisper Leak использует эту особенность, позволяя злоумышленнику наблюдать за зашифрованным трафиком между пользователем и службой LLM, извлекать размер пакета и временные последовательности, и по итогу задействовать обученные классификаторы для определения того, соответствует ли тема разговора конфиденциальной целевой категории.

Как отмечают исследователи, это вовсе не является недостатком самого TLS, а скорее фундаментальной проблемой взаимодействия современных LLM с пользователями, где сочетание авторегрессивной генерации, потоковых API и метаданных шифрования создаёт уязвимости.

Проведенные тесты показали, что к наиболее уязвимым относятся модели OpenAI (GPT-4o-mini, GPT-4.1), Microsoft (DeepSeek), X.AI (серия Grok), Mistral и Alibaba (Qwen2.5).

Все они часто передавали ответы по одному токену за раз, что делало их более уязвимыми.

Модели Google (Gemini) и Amazon (Nova) продемонстрировали большую устойчивость, вероятно, из-за пакетирования токенов, но всё же оказались не полностью защищены от атак.

Кроме того, исследователи пришли к выводу, что ни одна из стратегий смягчения последствий (случайное заполнение, пакетирование токенов или внедрение пакетов) не позволило полностью нейтрализовать атаку.

Что ещё хуже, исследователи обнаружили, что эффективность Whisper Leak может возрастать по мере того, как злоумышленник со временем собирает больше обучающих данных.

Так что атаки по сторонним каналам на системы ИИ могут со временем становиться все более мощными.

После ответственного раскрытия информации, начиная с июня 2025 года, OpenAI, Mistral, Microsoft и xAI внедрили меры по снижению риска, другие же поставщики никак не отреагировали.

Comparitech выкатила результаты анализа паролей за 2025 год с уже традиционно неутешительными для данной проблематики выводами.

Исследователи проанализировали более 2 млрд. учётных записей из утечек, которые им удалось собрать в даркнете и из отчетов по реагированию на инциденты.

В исследование попали лишь те данные, которые реально были скомпрометированы в 2025 году.

Используя их, Comparitech представила список наиболее часто используемых паролей.

В ТОП-10 попали постоянные лидеры этого антирейтинга, как вы уже сами могли догадаться, на первом месте - 123456 с 7 618 192 упоминаний.

Далее по убыванию - 12345678 (3 676 487), 123456789 (2 866 100), admin (1 987 808), 1234 (1 771 335), Аа123456 (1 411 847), 12345 (1 301 052), password (1 082 010, а Password - 470 313), 123 (959 741) и 1234567890 (674 200).

Поразительное число паролей представляют собой легко угадываемые цифры в порядке возрастания или убывания. Четверть из 1000 самых популярных паролей состояла исключительно из цифр.

38,6% содержали последовательность цифр «123», ещё 2% - убывающие цифры «321».

Аналогично, 3,1% - последовательность букв «abc». Многие распространённые пароли состоят из одного символа. «111111» - 18-е по частоте использования, а «********» - 35-е место.

Все эти цифры и буквы часто комбинируются с такими же слабыми словами, как «password», «admin» и «qwerty».

3,9% из 1000 самых распространенных паролей содержали в себе те или иные вариации слов «pass» или «password», 2,7% - вариацию слова «admin», 1,6% - строку «qwerty» и 1% - слово «welcome».

«Minecraft» занял 100-е место по распространённости среди паролей в изученном наборе данных, встречаясь почти 70 000 раз, плюс ещё 20 000 раз с альтернативным регистром «Minecraft».

Причем пароль «India@123», занявший 53-е место, выделяется как очень распространенный, но менее универсальный пароль.

Распределение по длине выглядит следующим образом: 65,8% проанализированных паролей содержали менее 12 символов, 6,9% имели менее 8 символов и 3,2% использовали 16 или более символов.

В общем, тут и комментировать нечего.

Банда вымогателей Cl0p дорабатывает свою очередную кампанию и начинает публиковать на DLS имена жертв взлома Oracle E-Business Suite (EBS), которые, как предполагается, в конце сентября получили электронные письма с требованиями выкупа.

Хакеры перечислили около 30 пострадавших крупных компаний, включая Logitech, The Washington Post, Cox Enterprises, Pan American Silver, LKQ Corporation и Copeland.

Ранее мы уже упоминали некоторых в середине октября. Первыми засветились такие, как Гарвардский университет, Университет Витс (ЮАР) и Envoy Air. Все они подтвердили инциденты.

На прошлой неделе издание The Washington Post также подтвердило, что подверглось атаке в ходе кампании, но не предоставило никаких подробностей.

При этом большинство других предполагаемых жертв еще не подтвердили взлом или утечку данных, включая Schneider Electric и Emerson, а также всех вышеперечисленных.

Другими предполагаемыми жертвами стали компании в сфере промышленности, профессиональных услуг, ЖКХ, строительства, страхования, финансов, транспорта, технологий, автомобилестроения и энергетики. 

По всей видимости, все они ведут (или по крайней мере приступили) расследования, но делиться выводами точно не намерены. В связи с чем, Cl0p приступила к стадии слива украденных данных - на данном этапе в этом списке 18 жертв, чьи данные теперь доступны широкой публике.

Структурный анализ некоторых из утекших файлов указывает на то, что все они, вероятно, имеют непосредственное отношение к среде Oracle.

Вообще, учитывая предыдущие кампании Cl0p, связанные с Cleo, MOVEit и Fortra, сомневаться в легитимности утечек и серьезности намерений этой банды не приходится.

Но неизвестным пока остается другой момент: какие именно уязвимости Oracle EBS были использованы в ходе атаки.

Наиболее вероятными являются CVE-2025-61882 и CVE-2025-61884, поскольку обе могут быть проэксплуатированы удалённо без аутентификации или взаимодействия с пользователем для получения доступа к конфиденциальным данным.

Причем в случае CVE-2025-61882 эксплуатация в качестве 0-day, по-видимому, началась как минимум за два месяца до выпуска исправлений, что вполне соответствует почерку клопов.

Но будем посмотреть.