Microsoft обнаружила новый вариант известного вредоносного ПО для macOS от Apple под названием XCSSET в ходе целевых атак.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
Это первый известный вариант с 2022 года, новейшее вредоносное ПО XCSSET отличается улучшенными методами обфускации, обновленными механизмами сохранения и новыми стратегиями заражения.
Улучшенные функции дополняют ранее известные возможности этого семейства вредоносных ПО, такие как нацеливание на цифровые кошельки, сбор данных из приложения Notes и кража системной информации и файлов.
XCSSET - это сложная модульная вредоносная ПО для macOS, которая, как известно, атакует пользователей, заражая Apple Xcode.
Впервые она была задокументирована исследователями Trend Micro в августе 2020 года.
Было обнаружено, что последующие версии вредоносного ПО адаптируются для компрометации новых версий macOS, а также чипсетов Apple M1.
В середине 2021 года XCSSET был обновлен и реализовал функционал извлечения данных из различных приложений, включая Google Chrome, Telegram, Evernote, Opera, Skype, WeChat и других приложений Apple, таких как «Контакты» и «Заметки».
В отчете Jamf говорилось о способности вредоносного ПО использовать CVE-2021-30713, ошибку фреймворка Transparency, Consent, and Control (TCC), в качестве 0-day для создания скринов экрана рабочего стола жертвы без необходимости получения дополнительных разрешений.
Затем, год спустя, был обновлен, добавляя поддержку macOS Monterey.
На момент обнаружения происхождение вредоносного ПО оставалось неизвестным.
Последние результаты исследований Microsoft знаменуют собой первый серьезный пересмотр с 2022 года, в котором используются улучшенные методы обфускации и механизмы сохранения.
Другой новый способ настройки сохранения с помощью XCSSET заключается в загрузке подписанной утилиты dockutil с С2.
Новый вариант программы создает поддельное приложение Launchpad и заменяет легитимную запись пути Launchpad в доке поддельной.
Это гарантирует, что каждый раз, когда Launchpad запускается из дока, выполняются как легитимный Launchpad, так и вредоносная полезная нагрузка.
The Hacker News
Apple Issues Patches to Combat Ongoing 0-Day Attacks on macOS, tvOS
Apple has released security updates for iOS, macOS, tvOS, watchOS, and Safari web browser to fix multiple vulnerabilities.
Новая вредоносная ПО под названием FinalDraft задействовала черновики писем в Outlook для передачи команд и управления в ходе атак на министерство в одной из стран Южной Америки.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
Задетектить угрозу смогли исследователи Elastic Security Labs, раскрывая полный набор инструментов, включающий помимо бэкдора FinalDraft также специальный загрузчик вредоносного ПО PathLoader и несколько утилит на этапе постэксплуатации.
При этом скрытность связи реализовано благодаря злоупотреблению Outlook, что позволяет злоумышленникам осуществлять кражу данных, проксирование, внедрение процессов и горизонтальное перемещение, оставляя при этом минимально возможные следы.
Цепочка заражения начинается с того, что злоумышленник взламывает систему жертвы с помощью PathLoader - небольшого исполняемого файла, который запускает шелл-код, включающий вредоносную ПО FinalDraft, извлекаемую из инфраструктуры злоумышленника.
PathLoader обеспечивает защиту от статического анализа путем выполнения хеширования API и использования шифрования строк.
FinalDraft используется для эксфильтрации данных и внедрения процесса.
После загрузки конфигурации и генерации идентификатора сеанса вредоносная ПО устанавливает связь через API Microsoft Graph, отправляя и получая команды через черновики в электронной почте Outlook.
FinalDraft извлекает токен OAuth Microsoft, используя токен обновления, встроенный в его конфигурацию, и сохраняет его в реестре Windows для постоянного доступа.
Использование черновиков Outlook вместо отправки писем позволяет избежать обнаружения, смешиваясь с обычным трафиком Microsoft 365.
Команды от злоумышленника скрываются в черновиках (r_<session-id>), а ответы сохраняются в новых черновиках (p_<session-id>). После выполнения черновики команд удаляются, что затрудняет криминалистический анализ и делает обнаружение менее вероятным.
FinalDraft поддерживает в общей сложности 37 команд, в числе которых: кража данных, внедрение процесса (запуск полезных нагрузок в легитимных процессах, таких как mspaint.exe), атаки Pass-the-Hash, проксирование, операции с файлами и выполнение PowerShell (без запуска powershell.exe).
Elastic Security Labs также обнаружила версию FinalDraft для Linux, которая также может использовать Outlook через REST API и Graph API, а также HTTP/HTTPS, UDP и ICMP, TCP и обмен C2 на основе DNS.
Исследователи проанализировали кампанию, получившую название REF7707, в отдельном отчете, в котором описываются ряд ошибок opsec, которые по итогу привели к раскрытию злоумышленника.
REF7707 реализуется с целью кибершпионажа и направлена на структуры МИД в стране Южной Америки, однако анализ инфраструктуры выявил связи с жертвами из Юго-Восточной Азии, что позволяет предположить более масштабные контуры кампании.
В ходе расследования также был обнаружен еще один ранее недокументированный использовавшийся в атаках загрузчик вредоносного ПО, названный GuidLoader, который способен расшифровывать и выполнять полезные нагрузки в памяти.
Дальнейший анализ показал, что злоумышленник неоднократно атаковал крупные организации через скомпрометированные конечные точки операторов связи в Юго-Восточной Азии.
Кроме того, общедоступная система хранения данных университета Юго-Восточной Азии использовалась для размещения вредоносного ПО, что свидетельствует о предварительной компрометации или наличии плацдарма в цепочке поставок.
Правила YARA для Guidloader, PathLoader и FinalDraft, доступны в отчетах - 1 и 2.
www.elastic.co
You've Got Malware: FINALDRAFT Hides in Your Drafts — Elastic Security Labs
During a recent investigation (REF7707), Elastic Security Labs discovered new malware targeting a foreign ministry. The malware includes a custom loader and backdoor with many features including using Microsoft’s Graph API for C2 communications.
Malware analysis. Практический курс по анализу вредоносного ПО
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
👉 Для команд SOC, TI, DFIR
На курсе ты освоишь инструменты и техники, необходимые для анализа вредоносных ПО.
Ты научишься:
📎 проводить предварительный анализ образцов
📎 искать релевантную информацию о файлах через открытые сервисы и источники, а также в песочницах
📎 работать с дизассемблированным кодом в рамках статического анализа
📎 использовать отладчик для динамического анализа исполняемых файлов
📎 обходить техники, затрудняющие анализ вредоносного кода
📎 анализировать вредоносные документы
📎 писать YARA-правила
Авторы курса:
🔹Дмитрий Купин — руководитель отдела исследования киберугроз и вредоносного кода BI.ZОNE
🔹Семён Рогачев — руководитель отдела реагирования на инциденты в компании Бастион
🔹Даниил Григорян (rayhunt454) — автор канала "Threat Hunt", эксперт в DFIR и вирусном анализе, автор статей на Хакере
✅ Обмен опытом с коллегами и экспертами курса
Старт курса: 1 марта
👽 Смотри программу и записывайся
Исследователи BI.ZONE продолжают отслеживать активность группы Bloody Wolf, которая в ходе последней замеченной кампании успешно скомпрометировала более 400 систем на территории Казахстана и России.
Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты.
Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года.
Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком.
Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает.
По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку.
Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы.
При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения.
Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок.
IoC и примеры фишинговых писем - отчете.
Причем если ранее злоумышленники использовали преимущественно вредоносное ПО STRRAT, то теперь перешли на легитимное средство удаленного администрирования NetSupport, стремясь минимизировать возможности обнаружения традиционными средствами защиты.
Кроме того, легитимные средства удаленного управления зачастую позволяют атакующим получить полный доступ к скомпрометированной системе, что дает им возможность осуществлять с ней любые манипуляции.
Напасть на след Bloody Wolf исследователям удалось в декабре 2024 года.
Как и прежде, злоумышленники распространяли в адрес компаний в Казахстане документы PDF, замаскированные под предупреждения об устранении нарушений, через фишинговые электронные письма.
Документы содержали фишинговые ссылки, по которым жертва должна была загрузить вредоносный файл - NCALayerUpdatedRU.jar, который выступал загрузчиком.
Он проверяет наличие папки %APPDATA%\NCALayerUpdated, при необходимости создает.
По ссылке hxxps://pastebin[.]com/raw/pruy96p1 получает список ссылок для загрузки компонентов ПО NetSupport, которые грузит в указанную папку.
Затем запускает загруженные update.bat и run.bat, отправляя в телеграм-чат имя скомпрометированной системы.
При этом первый файл осуществляет запуск клиента NetSupport в версии 11.42, а второй обеспечивает его персистентность в системе.
Ретроспективный анализ активности Bloody Wolf позволил также обнаружить кампанию, нацеленную на российские организации.
Как в случае с Казахстаном, злоумышленники задействовали фишинговые письма для распространения PDF-документов
В данной кампании документ PDF, содержащий фишинговые ссылки, был замаскирован под вынесенное решение о привлечении к ответственности за совершение налогового правонарушения.
Цепочка заражения аналогична за исключением наименований файлов, папок и ссылок.
IoC и примеры фишинговых писем - отчете.
BI.ZONE
Эволюция Bloody Wolf: новые цели, новые средства атаки
Уже известный кластер сменил инструментарий: вместо вредоносного ПО злоумышленники стали применять легитимное средство удаленного администрирования
Cybernews раскрывает подробности масштабной утечки, в результате которой в сети оказались миллионы записей из латвийской системы Lietvaris, которая задействована правительством в работе по управлению документами граждан.
Традиционно огромные объемы общедоступных данных были обнаружены в ноябре прошлого года в незащищенном кластере Elasticsearch, который после анализа и обработки был приписан платформе Lietvaris.
Раскрытый экземпляр содержал ошеломляющие 25 миллионов записей, если учитывать, что население Латвии составляет не более двух миллионов человек.
Так что можно полагать, одной утечкой всю страну слили на 13 раз.
Утечка включала полные установочные данные на лиц, номера национальных удостоверений личности и адреса регистрации.
Исследователи связались с разработчиками Lietvaris из латвийской компании ZZ Dats, после чего обнаруженный сегмент был закрыт и начато внутреннее расследование для выяснения всех обстоятельств инцидента.
Конечно, пока нет никаких признаков того, что кто-либо из злоумышленников успел сдампить данные Lietvaris, но вероятность этого достаточно велика, ведь киберподполье не хуже исследователей шерстит глобальную сеть в поисках таких уязвимых серверов и конфиденциальных данных.
Но будем посмотреть.
Традиционно огромные объемы общедоступных данных были обнаружены в ноябре прошлого года в незащищенном кластере Elasticsearch, который после анализа и обработки был приписан платформе Lietvaris.
Раскрытый экземпляр содержал ошеломляющие 25 миллионов записей, если учитывать, что население Латвии составляет не более двух миллионов человек.
Так что можно полагать, одной утечкой всю страну слили на 13 раз.
Утечка включала полные установочные данные на лиц, номера национальных удостоверений личности и адреса регистрации.
Исследователи связались с разработчиками Lietvaris из латвийской компании ZZ Dats, после чего обнаруженный сегмент был закрыт и начато внутреннее расследование для выяснения всех обстоятельств инцидента.
Конечно, пока нет никаких признаков того, что кто-либо из злоумышленников успел сдампить данные Lietvaris, но вероятность этого достаточно велика, ведь киберподполье не хуже исследователей шерстит глобальную сеть в поисках таких уязвимых серверов и конфиденциальных данных.
Но будем посмотреть.
Cybernews
Document management system leak exposed 25M records
Document management platform leaked millions of records, exposing Latvian citizens' personal details.
Израильская Hudson Rock в новом отчете приводит неутешительную статистику для американских военных, сообщая о сотнях активных заражений инфостилерами ВС и ВМС США, а также их крупных подрядчиков, включая Lockheed Martin, Boeing и Honeywell.
Миллиарды инвестиций в разведсистемы и раздутые бюджеты на передовые решения в сфере ИБ, как выяснили исследователи, в конечном счете не оказывают никакого влияния на прайс, который предлагает киберподполье за краденные креды, реализуемые по итогу за десятки долларов.
Hudson Rock обнаружила 398 хостов, зараженных инфокрадами в Honeywell, а также в Boeing (66), Lockheed Martin (55), Leidos (55) и др. оборонных подрядчиках, которые принимают непосредственное участие в передовых разработках, от истребителей F-35 до атомных подводных лодок.
Что же касается самого военного ведомства: 71 активное заражение было выявлено в ВС США, 30 - в ВМС США и 24 - в ФБР.
Помимо этого были раскрыты более 470 корпоративных учетных данных третьих лиц, включая интеграции Microsoft, Cisco и SAP.
Как полагают исследователи, краденные у военнослужащих армии и флота США данные для входа в систему потенциально раскрывают доступ к VPN, системам электронной почты и секретным порталам закупок, а также внутренним коммуникациям, грифованным проектам и документации.
Попадя в даркнет, собранные с зараженных хостов логи, как правило, уходят заинтересованным покупателям по крайне низкой цене. В качестве примера, Hudson Rock указывает на реальный лот в 10 долл., согласно которому продавался хост с учетными данными army.mil.
Другой печальный пример - инженер Honeywell, который проработал в компании 30 лет и заразился инфокрадом в сентябре 2024 года, благодаря чему раскрыл 56 корпоративных учетных данных для инфраструктуры компании, а также 45 дополнительных учетных данных третьих лиц.
Аналогичным образом, у военнослужащих ВМС были украдены их учетные данные, история просмотров и cookie с 30 компьютеров, включая данные аутентификации для доступа к Outlook, Confluence, Citrix и FTP, что открывает злоумышленникам возможности горизонтального перемещения внутри военных систем.
В целом, Hudson Rock называет инфокрады общей угрозой и предупреждает, что за последние несколько лет более 30 000 000 компьютеров были заражены ими, при этом у каждого пятого инфицированного пользователя на компьютере хранились корпоративные учетные данные.
Резюмируя отчет, исследователи задаются вопросом, а что если бы потенциальный противник заполучил эти креды, сколько времени ему потребовалось для более глубокого проникновения в секретную инфраструктуру США.
И если инфокрады уже в ВПК, то что там может быть еще.
Миллиарды инвестиций в разведсистемы и раздутые бюджеты на передовые решения в сфере ИБ, как выяснили исследователи, в конечном счете не оказывают никакого влияния на прайс, который предлагает киберподполье за краденные креды, реализуемые по итогу за десятки долларов.
Hudson Rock обнаружила 398 хостов, зараженных инфокрадами в Honeywell, а также в Boeing (66), Lockheed Martin (55), Leidos (55) и др. оборонных подрядчиках, которые принимают непосредственное участие в передовых разработках, от истребителей F-35 до атомных подводных лодок.
Что же касается самого военного ведомства: 71 активное заражение было выявлено в ВС США, 30 - в ВМС США и 24 - в ФБР.
Помимо этого были раскрыты более 470 корпоративных учетных данных третьих лиц, включая интеграции Microsoft, Cisco и SAP.
Как полагают исследователи, краденные у военнослужащих армии и флота США данные для входа в систему потенциально раскрывают доступ к VPN, системам электронной почты и секретным порталам закупок, а также внутренним коммуникациям, грифованным проектам и документации.
Попадя в даркнет, собранные с зараженных хостов логи, как правило, уходят заинтересованным покупателям по крайне низкой цене. В качестве примера, Hudson Rock указывает на реальный лот в 10 долл., согласно которому продавался хост с учетными данными army.mil.
Другой печальный пример - инженер Honeywell, который проработал в компании 30 лет и заразился инфокрадом в сентябре 2024 года, благодаря чему раскрыл 56 корпоративных учетных данных для инфраструктуры компании, а также 45 дополнительных учетных данных третьих лиц.
Аналогичным образом, у военнослужащих ВМС были украдены их учетные данные, история просмотров и cookie с 30 компьютеров, включая данные аутентификации для доступа к Outlook, Confluence, Citrix и FTP, что открывает злоумышленникам возможности горизонтального перемещения внутри военных систем.
В целом, Hudson Rock называет инфокрады общей угрозой и предупреждает, что за последние несколько лет более 30 000 000 компьютеров были заражены ими, при этом у каждого пятого инфицированного пользователя на компьютере хранились корпоративные учетные данные.
Резюмируя отчет, исследователи задаются вопросом, а что если бы потенциальный противник заполучил эти креды, сколько времени ему потребовалось для более глубокого проникновения в секретную инфраструктуру США.
И если инфокрады уже в ВПК, то что там может быть еще.
InfoStealers
Infostealing Malware Infections in the U.S. Military & Defense Sector: A Cybersecurity Disaster in the Making
At some point, these employees downloaded malware on a device they used for work, exposing not just their credentials, but potentially their entire digital footprint: browsing history, autofill data, internal documents, and session cookies for sensitive applications.
Разработчики OpenSSH выпустили обновления с исправлениями двух уязвимостей MitM и DoS, причем одна из них появилась еще более десяти лет назад.
MiTM-уязвимость отслеживается как CVE-2025-26465 и появилась еще в декабре 2014 года с выпуском OpenSSH 6.8p1, оставаясь незамеченной более десятилетия.
Уязвимость затрагивает клиенты OpenSSH, если включена опция VerifyHostKeyDNS.
Причем независимо от того, установлена ли опция в значение «да» или «спросить» (по умолчанию — «нет»), не требует взаимодействия с пользователем и не зависит от наличия записи ресурса SSHFP в DNS.
При включении этой функции из-за неправильной обработки ошибок злоумышленник может обмануть клиента, заставив его принять ключ подставного сервера, принудительно вызвав ошибку нехватки памяти во время проверки.
Перехватив SSH-соединение и предоставив большой SSH-ключ с избыточными расширениями сертификатов, злоумышленник может исчерпать память клиента, обойти проверку хоста и перехватить сеанс, чтобы украсть учетные данные, внедрить команды и извлечь данные.
Несмотря на то, что VerifyHostKeyDNS по умолчанию отключена в OpenSSH, в FreeBSD с 2013 по 2023 год она была по умолчанию включена, что сделало многие системы уязвимыми для таких атак.
Вторая CVE-2025-26466 описывается как отказ в обслуживании до аутентификации и появилась в OpenSSH 9.5p1, выпущенной в августе 2023 года.
Проблема возникает из-за неограниченного выделения памяти во время обмена ключами, что приводит к неконтролируемому потреблению ресурсов.
Злоумышленник может многократно отправлять небольшие 16-байтовые ping-сообщения, что заставляет OpenSSH буферизировать 256-байтовые ответы без каких-либо ограничений.
Во время обмена ключами эти ответы хранятся неограниченное время, что приводит к чрезмерному потреблению памяти и перегрузке ЦП, что может привести к сбоям в работе системы.
Последствия эксплуатации уязвимости CVE-2025-26466 могут быть не такими серьезными, как у первой уязвимости, но тот факт, что ее можно эксплуатировать до аутентификации, несет высокий риск сбоя.
Команда OpenSSH выкатила 9.9p2, которая устраняет обе уязвимости, рекомендуя перейти на нее как можно скорее, а также отключать VerifyHostKeyDNS, если в этом нет крайней необходимости.
Что касается проблемы DoS, администраторам рекомендуется ввести строгие ограничения на скорость подключения и отслеживать трафик SSH на предмет аномалий.
Более подробная техническая информация по двум недостаткам от Qualys - здесь.
MiTM-уязвимость отслеживается как CVE-2025-26465 и появилась еще в декабре 2014 года с выпуском OpenSSH 6.8p1, оставаясь незамеченной более десятилетия.
Уязвимость затрагивает клиенты OpenSSH, если включена опция VerifyHostKeyDNS.
Причем независимо от того, установлена ли опция в значение «да» или «спросить» (по умолчанию — «нет»), не требует взаимодействия с пользователем и не зависит от наличия записи ресурса SSHFP в DNS.
При включении этой функции из-за неправильной обработки ошибок злоумышленник может обмануть клиента, заставив его принять ключ подставного сервера, принудительно вызвав ошибку нехватки памяти во время проверки.
Перехватив SSH-соединение и предоставив большой SSH-ключ с избыточными расширениями сертификатов, злоумышленник может исчерпать память клиента, обойти проверку хоста и перехватить сеанс, чтобы украсть учетные данные, внедрить команды и извлечь данные.
Несмотря на то, что VerifyHostKeyDNS по умолчанию отключена в OpenSSH, в FreeBSD с 2013 по 2023 год она была по умолчанию включена, что сделало многие системы уязвимыми для таких атак.
Вторая CVE-2025-26466 описывается как отказ в обслуживании до аутентификации и появилась в OpenSSH 9.5p1, выпущенной в августе 2023 года.
Проблема возникает из-за неограниченного выделения памяти во время обмена ключами, что приводит к неконтролируемому потреблению ресурсов.
Злоумышленник может многократно отправлять небольшие 16-байтовые ping-сообщения, что заставляет OpenSSH буферизировать 256-байтовые ответы без каких-либо ограничений.
Во время обмена ключами эти ответы хранятся неограниченное время, что приводит к чрезмерному потреблению памяти и перегрузке ЦП, что может привести к сбоям в работе системы.
Последствия эксплуатации уязвимости CVE-2025-26466 могут быть не такими серьезными, как у первой уязвимости, но тот факт, что ее можно эксплуатировать до аутентификации, несет высокий риск сбоя.
Команда OpenSSH выкатила 9.9p2, которая устраняет обе уязвимости, рекомендуя перейти на нее как можно скорее, а также отключать VerifyHostKeyDNS, если в этом нет крайней необходимости.
Что касается проблемы DoS, администраторам рекомендуется ввести строгие ограничения на скорость подключения и отслеживать трафик SSH на предмет аномалий.
Более подробная техническая информация по двум недостаткам от Qualys - здесь.
Openssh
OpenSSH: Release Notes
OpenSSH release notes
Juniper предупреждает об исправлении критической уязвимости в маршрутизаторах Session Smart Router (SSR), которая позволяет злоумышленникам обходить аутентификацию и получать полный контроль над устройством.
CVE-2025-21589 была обнаружена в ходе собственного тестирования безопасности продукта и также затрагивает маршрутизаторы Session Smart Conductor и WAN Assurance Managed Routers.
По данным SIRT Juniper, компания пока не нашла доказательств того, что уязвимость использовалась в реальных атаках.
Проблема устранена в SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 и последующих выпусках.
Учитывая практику атак на устройства Juniper, достаточно часто используемые в критически важных средах (в некоторых случаях это случалось менее чем через неделю после выпуска исправлений) к вопросу обновления следует отнестись с должным вниманием.
При этом некоторые устройства, подключенные к Mist Cloud, уже были исправлены, но администраторам рекомендуется обновить все затронутые системы до одной из исправленных версий ПО.
В развертывании под управлением Conductor достаточно обновить только узлы Conductor, исправление будет автоматически применено ко всем подключенным маршрутизаторам. На практике их все равно следует обновить.
CVE-2025-21589 была обнаружена в ходе собственного тестирования безопасности продукта и также затрагивает маршрутизаторы Session Smart Conductor и WAN Assurance Managed Routers.
По данным SIRT Juniper, компания пока не нашла доказательств того, что уязвимость использовалась в реальных атаках.
Проблема устранена в SSR-5.6.17, SSR-6.1.12-lts, SSR-6.2.8-lts, SSR-6.3.3-r2 и последующих выпусках.
Учитывая практику атак на устройства Juniper, достаточно часто используемые в критически важных средах (в некоторых случаях это случалось менее чем через неделю после выпуска исправлений) к вопросу обновления следует отнестись с должным вниманием.
При этом некоторые устройства, подключенные к Mist Cloud, уже были исправлены, но администраторам рекомендуется обновить все затронутые системы до одной из исправленных версий ПО.
В развертывании под управлением Conductor достаточно обновить только узлы Conductor, исправление будет автоматически применено ко всем подключенным маршрутизаторам. На практике их все равно следует обновить.
Исследователи Trend Micro сообщают о задействовании китайской APT Mustang Panda утилиты Microsoft Application Virtualization Injector в качестве LOLBIN с целью обхода антивирусного ПО ESET.
Компания отслеживает группу угроз как Earth Preta, насчитывая с 2022 года более 200 жертв ее APT-атак, в числе которых госучреждения Азиатско-Тихоокеанского региона.
Хакеры орудуют посредством фишинговых писем, используя в том числе скрытые бэкдоры и реализуя цепочки атак на основе червей.
Обнаруженные Trend Micro письма включали вредоносное вложение, содержащее файл-дроппер (IRSetup.exe) - установщик Setup Factory.
После его запуска, он размещает несколько файлов в папку C:\ProgramData\session, включая легитимные файлы, компоненты вредоносного ПО и поддельный PDF-файл, который используется в качестве отвлекающего маневра.
При обнаружении антивирусных продуктов ESET (ekrn.exe или egui.exe) на зараженном компьютере Mustang Panda применяет уникальный механизм обхода, используя инструменты, предустановленные в Windows 10 и более поздних версиях.
Злоупотребление начинается с Microsoft Application Virtualization Injector (MAVInject.exe), легального системного инструмента Windows, позволяющего операционной системе внедрять код в запущенные процессы.
Преимущественно он используется в Application Virtualization (App-V) от Microsoft для запуска виртуализированных приложений, но разработчики и администраторы также могут использовать его для выполнения DLL-библиотек внутри другого процесса в рамках тестирования или автоматизации.
В 2022 году исследователи FourCore сообщали, что MAVInject.exe может использоваться как LOLBIN, предупреждая, что исполняемый файл следует заблокировать на устройствах, не использующих APP-v.
Mustang Panda использует исполняемый файл для внедрения вредоносных данных в waitfor.exe - легальную утилиту Windows, которая предустановлена в операционных системах.
Поскольку это доверенный системный процесс, внедряемое в него вредоносное ПО фигурирует как обычный процесс Windows, поэтому ESET и, возможно, другие антивирусные инструменты не детектируют активность вредоносного ПО.
Вредоносное ПО, внедренное в waitfor.exe, представляет собой модифицированную версию бэкдора TONESHELL, которая скрывается внутри файла DLL (EACore.dll).
После запуска вредоносная ПО подключается к своему командному серверу по адресу militarytc[.]com:443 и отправляет системную информацию и идентификатор жертвы.
Вредоносная ПО также предоставляет злоумышленникам обратную оболочку для удаленного выполнения команд и файловых операций.
Trend Micro со средней степенью уверенности полагает, что этот новый вариант представляет собой специализированный инструмент Mustang Panda, основываясь на его функциональных характеристиках и ранее задокументированных механизмах расшифровки пакетов.
Безусловно, новый отчет Trend Micro мягко сказать не порадовал ESET, которая напрочь его раскритиковала, заявляя полное несогласие с тем, что атака эффективно обходит антивирус компании.
По их данным, раскрытая техника не является новой, а технологии ESET защищают от нее уже много лет. При этом обнаруженный артефакт они приписывают связанной с Китаем APT-группе CeranaKeeper.
Но больше всего в ESET обиделись на коллег за то, что с ними не согласовали отчет до его публикации.
Глядя на эти дебаты, на ум напрашивается пост про ведущие мировые инфосек компании.
Компания отслеживает группу угроз как Earth Preta, насчитывая с 2022 года более 200 жертв ее APT-атак, в числе которых госучреждения Азиатско-Тихоокеанского региона.
Хакеры орудуют посредством фишинговых писем, используя в том числе скрытые бэкдоры и реализуя цепочки атак на основе червей.
Обнаруженные Trend Micro письма включали вредоносное вложение, содержащее файл-дроппер (IRSetup.exe) - установщик Setup Factory.
После его запуска, он размещает несколько файлов в папку C:\ProgramData\session, включая легитимные файлы, компоненты вредоносного ПО и поддельный PDF-файл, который используется в качестве отвлекающего маневра.
При обнаружении антивирусных продуктов ESET (ekrn.exe или egui.exe) на зараженном компьютере Mustang Panda применяет уникальный механизм обхода, используя инструменты, предустановленные в Windows 10 и более поздних версиях.
Злоупотребление начинается с Microsoft Application Virtualization Injector (MAVInject.exe), легального системного инструмента Windows, позволяющего операционной системе внедрять код в запущенные процессы.
Преимущественно он используется в Application Virtualization (App-V) от Microsoft для запуска виртуализированных приложений, но разработчики и администраторы также могут использовать его для выполнения DLL-библиотек внутри другого процесса в рамках тестирования или автоматизации.
В 2022 году исследователи FourCore сообщали, что MAVInject.exe может использоваться как LOLBIN, предупреждая, что исполняемый файл следует заблокировать на устройствах, не использующих APP-v.
Mustang Panda использует исполняемый файл для внедрения вредоносных данных в waitfor.exe - легальную утилиту Windows, которая предустановлена в операционных системах.
Поскольку это доверенный системный процесс, внедряемое в него вредоносное ПО фигурирует как обычный процесс Windows, поэтому ESET и, возможно, другие антивирусные инструменты не детектируют активность вредоносного ПО.
Вредоносное ПО, внедренное в waitfor.exe, представляет собой модифицированную версию бэкдора TONESHELL, которая скрывается внутри файла DLL (EACore.dll).
После запуска вредоносная ПО подключается к своему командному серверу по адресу militarytc[.]com:443 и отправляет системную информацию и идентификатор жертвы.
Вредоносная ПО также предоставляет злоумышленникам обратную оболочку для удаленного выполнения команд и файловых операций.
Trend Micro со средней степенью уверенности полагает, что этот новый вариант представляет собой специализированный инструмент Mustang Panda, основываясь на его функциональных характеристиках и ранее задокументированных механизмах расшифровки пакетов.
Безусловно, новый отчет Trend Micro мягко сказать не порадовал ESET, которая напрочь его раскритиковала, заявляя полное несогласие с тем, что атака эффективно обходит антивирус компании.
По их данным, раскрытая техника не является новой, а технологии ESET защищают от нее уже много лет. При этом обнаруженный артефакт они приписывают связанной с Китаем APT-группе CeranaKeeper.
Но больше всего в ESET обиделись на коллег за то, что с ними не согласовали отчет до его публикации.
Глядя на эти дебаты, на ум напрашивается пост про ведущие мировые инфосек компании.
Trend Micro
Earth Preta Mixes Legitimate and Malicious Components to Sidestep Detection
Исследователи созданного на базе F.A.C.C.T. нового инфосек-бренда F6 выкатили первый ежегодный аналитический отчет по основным актуальным для России и стран СНГ киберугрозам 2024 года с рекомендациями и прогнозами на 2025 год.
Главный неутешительный вывод - все плохо: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся ощутимее, а мошенничество переживает очередной ренессанс.
Если в 2023 году Россию и СНГ атаковали 14 прогосударственных APT, то в 2024 их стало в два раза больше - 27, причем 12 из них это новые группы: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.
Прибавилось также в полку хактивистов: в 2024 году не менее 17 атаковали российские и белорусские организации, хотя годом ранее их было как минимум 13.
В своих атаках хактивисты реализуют различные методы, включая как DDoS-атаки, так и шифрование или уничтожение данных.
Количество DDoS-атак в 2024 выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активно себя проявила IT Army of Ukraine.
По всей видимости, в текущих условиях атаки на российские цели будут только с нарастать.
На этом фоне исследователи отмечают серьезную трансформацию самого ландшафта киберугроз, привычные границы классификации преступных групп на хактивистов, APT и киберпреступников размываются, а атаки зачастую носят комбинированный характер.
Ransomware в 2025 году останется одной из главных киберугроз для российских компаний.
По итогам 2024 зафиксировано более 500 атак с использованием шифровальщиков, что в полтора раза больше по сравнению с 2023.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и др. добавились новые игроки, в том числе банды MorLock, Head Mare, Masque, Sauron.
Причем TTPs вымогателей от года к году становятся все более сложными и изощренными.
Суммы первоначального выкупа за расшифровку данных в 2024 для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1 тыс. - $50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, - от 5 млн рублей ($50 тыс.) и выше.
Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из главных целей вымогателей. Отмечается рост числа атак на крупные компании с целью компрометации их клиентов.
В целом, за прошлый год было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году - 246), а количество строк в утечках превысило 457 млн.
Масштаб кражи и публикации баз данных в 2025 году, по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам.
Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру».
Количество «лотов» в киберподполье с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023.
Ожидается, что в 2025 году продолжится рост числа фишинговых атак с использованием шпионских программ по модели MaaS. При этом вредоносные фишинговые рассылки в 2024 оставались одним из самых популярных векторов проникновения в целевую инфраструктуру.
В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок и атак типа Trusted Relationship.
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак.
Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний.
В 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10112.
Кроме фишинговых сайтов для хищений данные банковских карт в 2024 году злоумышленники стали активно использовать RAT (как в случае с CraxsRAT) и злоупотреблять NFCGate.
Полная версия отчета с подробной аналитикой и прогнозами доступна для cкачивания по ссылке.
Главный неутешительный вывод - все плохо: растет число инцидентов и атакующих, количество утечек и атак вымогателей не снижается, DDoS-атаки становятся ощутимее, а мошенничество переживает очередной ренессанс.
Если в 2023 году Россию и СНГ атаковали 14 прогосударственных APT, то в 2024 их стало в два раза больше - 27, причем 12 из них это новые группы: Unicorn, Dante, PhantomCore, ReaverBits, Sapphire Cat, Lazy Koala, Obstinate Mogwai, TaxOff и др.
Прибавилось также в полку хактивистов: в 2024 году не менее 17 атаковали российские и белорусские организации, хотя годом ранее их было как минимум 13.
В своих атаках хактивисты реализуют различные методы, включая как DDoS-атаки, так и шифрование или уничтожение данных.
Количество DDoS-атак в 2024 выросло минимум на 50% как по количеству, так и по числу задействованных в ботнетах устройств. Наиболее активно себя проявила IT Army of Ukraine.
По всей видимости, в текущих условиях атаки на российские цели будут только с нарастать.
На этом фоне исследователи отмечают серьезную трансформацию самого ландшафта киберугроз, привычные границы классификации преступных групп на хактивистов, APT и киберпреступников размываются, а атаки зачастую носят комбинированный характер.
Ransomware в 2025 году останется одной из главных киберугроз для российских компаний.
По итогам 2024 зафиксировано более 500 атак с использованием шифровальщиков, что в полтора раза больше по сравнению с 2023.
К уже известным Shadow, Mimic, LokiLocker/BlackBit, Proxima, HsHarada и др. добавились новые игроки, в том числе банды MorLock, Head Mare, Masque, Sauron.
Причем TTPs вымогателей от года к году становятся все более сложными и изощренными.
Суммы первоначального выкупа за расшифровку данных в 2024 для малого бизнеса составляли от 100 тыс. до 5 млн рублей ($1 тыс. - $50 тыс.), а для крупных и средних компаний, на которые приходится каждая пятая атака вымогателей, - от 5 млн рублей ($50 тыс.) и выше.
Жертвами вымогателей чаще всего становились российские производственные, строительные, фармацевтические и ИТ-компании, предприятия добывающей промышленности, ВПК, организации из сферы услуг.
Примечательно, что персональные данные остаются одной из главных целей вымогателей. Отмечается рост числа атак на крупные компании с целью компрометации их клиентов.
В целом, за прошлый год было обнаружено 455 не опубликованных ранее баз данных компаний из России и Белоруссии (в 2023 году - 246), а количество строк в утечках превысило 457 млн.
Масштаб кражи и публикации баз данных в 2025 году, по прогнозам, останется на текущем высоком уровне или даже поставит новый антирекорд по сливам.
Еще один тренд последнего времени: у русскоязычных преступников исчезает правило «не работаем по Ру».
Количество «лотов» в киберподполье с предложением доступов в инфраструктуру организаций из стран СНГ в прошлом году выросло на 49% по сравнению с 2023.
Ожидается, что в 2025 году продолжится рост числа фишинговых атак с использованием шпионских программ по модели MaaS. При этом вредоносные фишинговые рассылки в 2024 оставались одним из самых популярных векторов проникновения в целевую инфраструктуру.
В 2025 году, по прогнозам экспертов, ожидается также увеличение числа атак на цепочки поставок и атак типа Trusted Relationship.
Киберпреступники продолжают наращивать объемы фишинговых и скам-атак.
Третий год подряд фиксируется рост количества создаваемых ресурсов, эксплуатирующих бренды компаний.
В 2024 году среднее число поддельных ресурсов на один бренд выросло на 28% — с 7878 до 10112.
Кроме фишинговых сайтов для хищений данные банковских карт в 2024 году злоумышленники стали активно использовать RAT (как в случае с CraxsRAT) и злоупотреблять NFCGate.
Полная версия отчета с подробной аналитикой и прогнозами доступна для cкачивания по ссылке.
Исследователи из Лаборатории Касперского раскрыли масштабную вредоносную кампанию по майнингу StaryDobry, нацеленную на геймеров по всему миру и задействовала троянизированные пиратские версии таких игр, как Garry's Mod, BeamNG.drive и Dyson Sphere Program.
Причем игры имеют самые высокие рейтинги и сотни тысяч исключительно положительных отзывов в Steam, что делает их первоклассными целями для вредоносной деятельности.
По данным ЛК, кампания началась в конце декабря 2024 года и закончилась 27 января 2025 года, затронув пользователей из Германии, России, Бразилии, Беларуси и Казахстана.
Злоумышленники распространяли зараженные установщики игр через торрент-файлы в сентябре 2024 года, за несколько месяцев до этого, и активировали полезные нагрузки в период праздничных дней, что снижало вероятность обнаружения.
StaryDobry включала многоступенчатую цепочку заражения, кульминацией которой выступал криптомайнер XMRig.
Пользователи скачивали троянизированные установщики игр с торрент-сайтов, которые выглядели вполне обычно, включая при этом как обещанную игру, так и вредоносный код.
Во время установки вредоносный файл unrar.dll распаковывается и запускается в фоновом режиме.
Перед продолжением он проверял, запущен ли он на виртуальной машине, в песочнице или в отладчике.
Вредоносная ПО демонстрирует крайне скрытное поведение и оперативно завершает работу при обнаружении каких-либо средств защиты, возможно, вероятно, чтобы не портить репутации торрента.
Затем вредоносная ПО регистрируется с помощью regsvr32.exe для сохранения и собирает подробную системную информацию, включая версию ОС, страну, ЦП, ОЗУ и сведения о графическом процессоре, отправляя ее на C2 по адресу pinokino[.]fun.
В конечном итоге дроппер расшифровывает и устанавливает загрузчик вредоносного ПО MTX64.exe в системный каталог.
Загрузчик выдает себя за системный файл Windows, реализует подмену ресурсов, обеспечивая легитимность, создает запланированную задачу, которая сохраняется между перезагрузками.
Если хост-машина имеет не менее восьми ядер ЦП, она загружает и запускает XMRig.
Майнер, используемый в StaryDobry, представляет собой модифицированную версию майнера Monero, которая создает свою внутреннюю конфигурацию перед выполнением и не имеет доступа к аргументам.
Майнер постоянно поддерживает отдельный поток, отслеживая работающие на зараженной машине инструменты безопасности, и в случае обнаружения каких-либо инструментов мониторинга процессов отключается.
Задействуемый в кампании XMRig подключается к частным серверам майнинга, что затрудняет отслеживание доходов.
Исследователи Лаборатории Касперского не смогли связать атаки с каким-либо известным актором, но отмечает, что, скорее всего, за атаками стоит русскоязычный злоумышленник.
StaryDobry представляет собой одноразовую кампанию, внедряя майнерский имплант через сложную цепочку выполнения, ориентированную на любителей халявы с мощными игровыми машинами.
Тем не менее такой подход гарантировал злоумышленникам максимализацию прибыли.
Технические подробности и IoCs - отчете.
Причем игры имеют самые высокие рейтинги и сотни тысяч исключительно положительных отзывов в Steam, что делает их первоклассными целями для вредоносной деятельности.
По данным ЛК, кампания началась в конце декабря 2024 года и закончилась 27 января 2025 года, затронув пользователей из Германии, России, Бразилии, Беларуси и Казахстана.
Злоумышленники распространяли зараженные установщики игр через торрент-файлы в сентябре 2024 года, за несколько месяцев до этого, и активировали полезные нагрузки в период праздничных дней, что снижало вероятность обнаружения.
StaryDobry включала многоступенчатую цепочку заражения, кульминацией которой выступал криптомайнер XMRig.
Пользователи скачивали троянизированные установщики игр с торрент-сайтов, которые выглядели вполне обычно, включая при этом как обещанную игру, так и вредоносный код.
Во время установки вредоносный файл unrar.dll распаковывается и запускается в фоновом режиме.
Перед продолжением он проверял, запущен ли он на виртуальной машине, в песочнице или в отладчике.
Вредоносная ПО демонстрирует крайне скрытное поведение и оперативно завершает работу при обнаружении каких-либо средств защиты, возможно, вероятно, чтобы не портить репутации торрента.
Затем вредоносная ПО регистрируется с помощью regsvr32.exe для сохранения и собирает подробную системную информацию, включая версию ОС, страну, ЦП, ОЗУ и сведения о графическом процессоре, отправляя ее на C2 по адресу pinokino[.]fun.
В конечном итоге дроппер расшифровывает и устанавливает загрузчик вредоносного ПО MTX64.exe в системный каталог.
Загрузчик выдает себя за системный файл Windows, реализует подмену ресурсов, обеспечивая легитимность, создает запланированную задачу, которая сохраняется между перезагрузками.
Если хост-машина имеет не менее восьми ядер ЦП, она загружает и запускает XMRig.
Майнер, используемый в StaryDobry, представляет собой модифицированную версию майнера Monero, которая создает свою внутреннюю конфигурацию перед выполнением и не имеет доступа к аргументам.
Майнер постоянно поддерживает отдельный поток, отслеживая работающие на зараженной машине инструменты безопасности, и в случае обнаружения каких-либо инструментов мониторинга процессов отключается.
Задействуемый в кампании XMRig подключается к частным серверам майнинга, что затрудняет отслеживание доходов.
Исследователи Лаборатории Касперского не смогли связать атаки с каким-либо известным актором, но отмечает, что, скорее всего, за атаками стоит русскоязычный злоумышленник.
StaryDobry представляет собой одноразовую кампанию, внедряя майнерский имплант через сложную цепочку выполнения, ориентированную на любителей халявы с мощными игровыми машинами.
Тем не менее такой подход гарантировал злоумышленникам максимализацию прибыли.
Технические подробности и IoCs - отчете.
Securelist
StaryDobry campaign targets gamers with XMRig miner
Kaspersky GReAT experts have discovered a new campaign distributing the XMRig cryptominer through popular games such as BeamNG.drive and Dyson Sphere Program on torrent trackers.
Microsoft выпустила обновления безопасности для устранения двух критических уязвимостей, влияющих на Bing и Power Pages, одна из которых активно эксплуатировалась злоумышленниками.
Проблемы отслеживаются как CVE-2025-21355 (CVSS: 8,6, уязвимость Microsoft Bing, делающая возможным RCE) и CVE-2025-24989 (CVSS: 8,2, уязвимость Microsoft Power Pages, приводящая к EoP).
В бюллетене по CVE-2025-21355 компания отмечает, что отсутствие аутентификации для критической функции в Microsoft Bing позволяет неавторизованному злоумышленнику выполнить код по сети. Никаких действий со стороны клиента не требуется.
При этом исправленная Microsoft CVE-2025-24989 в Power Pages активно использовалась при атаках, о ней сообщил один из сотрудников компании.
Microsoft Power Pages - это SaaS-платформа с минимальным написанием кода, предназначенная для создания, размещения и управления бизнес-сайтами.
Уязвимость описывается как критическая проблема ненадлежащего контроля доступа, которая позволяет злоумышленнику повысить привилегии в сети, потенциально обходя контроль регистрации пользователей.
Уязвимость уже была устранена в сервисе, все затронутые клиенты были уведомлены. Им не нужно устанавливать исправления, но некоторым пользователям может потребоваться проверить свои экземпляры на наличие признаков взлома.
На данный момент Microsoft не разглашает никакой информацией об атаках с использованием CVE-2025-24989. Но будем посмотреть.
Проблемы отслеживаются как CVE-2025-21355 (CVSS: 8,6, уязвимость Microsoft Bing, делающая возможным RCE) и CVE-2025-24989 (CVSS: 8,2, уязвимость Microsoft Power Pages, приводящая к EoP).
В бюллетене по CVE-2025-21355 компания отмечает, что отсутствие аутентификации для критической функции в Microsoft Bing позволяет неавторизованному злоумышленнику выполнить код по сети. Никаких действий со стороны клиента не требуется.
При этом исправленная Microsoft CVE-2025-24989 в Power Pages активно использовалась при атаках, о ней сообщил один из сотрудников компании.
Microsoft Power Pages - это SaaS-платформа с минимальным написанием кода, предназначенная для создания, размещения и управления бизнес-сайтами.
Уязвимость описывается как критическая проблема ненадлежащего контроля доступа, которая позволяет злоумышленнику повысить привилегии в сети, потенциально обходя контроль регистрации пользователей.
Уязвимость уже была устранена в сервисе, все затронутые клиенты были уведомлены. Им не нужно устанавливать исправления, но некоторым пользователям может потребоваться проверить свои экземпляры на наличие признаков взлома.
На данный момент Microsoft не разглашает никакой информацией об атаках с использованием CVE-2025-24989. Но будем посмотреть.
Новый метод обфускации JavaScript с невидимыми символами Unicode для представления двоичных значений активно используется в фишинговых атаках, нацеленных на филиалы Американского комитета политических действий (PAC).
Атаку задетектили исследователи Juniper Threat Labs в начале января 2025 года, отмечая ее особую изощренность.
При этом метод обфускации был впервые раскрыт еще в октябре 2024 года разработчиком JavaScript Мартином Клеппе.
Новый метод обфускации задействует невидимые символы Unicode, в частности, Hangul half-width (U+FFA0) и Hangul full-width (U+3164).
Каждый символ ASCII в полезной нагрузке JavaScript преобразуется в 8-битное двоичное представление, а двоичные значения (единицы и нули) в нем заменяются невидимыми символами Hangul.
Запутанный код хранится как свойство в объекте JavaScript, и поскольку символы-заполнители Hangul отображаются как пустое пространство, полезная нагрузка в скрипте выглядит пустой.
Краткий скрипт начальной загрузки извлекает скрытую полезную нагрузку с помощью JavaScript Proxy 'get()'.
При доступе к скрытому свойству Proxy преобразует невидимые символы-заполнители Hangul обратно в двоичные и восстанавливает исходный код JavaScript.
Аналитики Juniper сообщают, что злоумышленники используют дополнительные меры маскировки в дополнение к вышеперечисленным, например, кодируют скрипт с помощью base64 и используют антиотладочные проверки, чтобы избежать анализа.
Атаки были узко таргетированными и включали в себя использование закрытой информации, а исходный JavaScript пытался вызвать точку останова отладчика, если он анализировался, обнаруживал задержку, а затем прерывал атаку, перенаправляя ее на безопасный веб-сайт.
Такие атаки сложно обнаружить, поскольку пустое пространство снижает вероятность того, что даже сканеры безопасности пометят их как вредоносные.
Поскольку полезная нагрузка - это всего лишь свойство объекта, ее можно внедрить в легитимные скрипты, не вызывая подозрений; кроме того, весь процесс кодирования прост в реализации и не требует дополнительных знаний.
Juniper утверждает, что два домена, использованных в этой кампании, ранее были связаны с фишинговым набором Tycoon 2FA, а значит в скором времени этот метод обфускации будет принят на вооружение более широким кругом злоумышленников.
Атаку задетектили исследователи Juniper Threat Labs в начале января 2025 года, отмечая ее особую изощренность.
При этом метод обфускации был впервые раскрыт еще в октябре 2024 года разработчиком JavaScript Мартином Клеппе.
Новый метод обфускации задействует невидимые символы Unicode, в частности, Hangul half-width (U+FFA0) и Hangul full-width (U+3164).
Каждый символ ASCII в полезной нагрузке JavaScript преобразуется в 8-битное двоичное представление, а двоичные значения (единицы и нули) в нем заменяются невидимыми символами Hangul.
Запутанный код хранится как свойство в объекте JavaScript, и поскольку символы-заполнители Hangul отображаются как пустое пространство, полезная нагрузка в скрипте выглядит пустой.
Краткий скрипт начальной загрузки извлекает скрытую полезную нагрузку с помощью JavaScript Proxy 'get()'.
При доступе к скрытому свойству Proxy преобразует невидимые символы-заполнители Hangul обратно в двоичные и восстанавливает исходный код JavaScript.
Аналитики Juniper сообщают, что злоумышленники используют дополнительные меры маскировки в дополнение к вышеперечисленным, например, кодируют скрипт с помощью base64 и используют антиотладочные проверки, чтобы избежать анализа.
Атаки были узко таргетированными и включали в себя использование закрытой информации, а исходный JavaScript пытался вызвать точку останова отладчика, если он анализировался, обнаруживал задержку, а затем прерывал атаку, перенаправляя ее на безопасный веб-сайт.
Такие атаки сложно обнаружить, поскольку пустое пространство снижает вероятность того, что даже сканеры безопасности пометят их как вредоносные.
Поскольку полезная нагрузка - это всего лишь свойство объекта, ее можно внедрить в легитимные скрипты, не вызывая подозрений; кроме того, весь процесс кодирования прост в реализации и не требует дополнительных знаний.
Juniper утверждает, что два домена, использованных в этой кампании, ранее были связаны с фишинговым набором Tycoon 2FA, а значит в скором времени этот метод обфускации будет принят на вооружение более широким кругом злоумышленников.
Official Juniper Networks Blogs
Invisible obfuscation technique used in PAC attack
Juniper Threat Labs discusses a new Javascript obfuscation technique that has been quickly adopted by threat actors.
Citrix выпустила обновления безопасности для устранения серьезной уязвимости безопасности, влияющей на NetScaler Console (ранее NetScaler ADM) и NetScaler Agent, которая может привести к повышению привилегий при определенных условиях.
Уязвимость отслеживается как CVE-2024-12284 и имеет CVSS v4 8,8 из максимальных 10,0. Она может привести к аутентифицированному EoP, если развернут NetScaler Console Agent, позволяющий злоумышленнику выполнять действия после компрометации.
Проблема обусловлена неадекватным управления привилегиями и может быть использована аутентифицированным злоумышленником для выполнения команд без дополнительной авторизации.
Однако воспользоваться этой уязвимостью могут только аутентифицированные пользователи, имеющие доступ к консоли NetScaler, тем самым ограничивая область угрозы.
Недостаток затрагивает: NetScaler Console 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, NetScaler Agent 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, исправлен в версиях 14.1-38.53, 13.1-56.18 и более поздних версиях, а также 14.1-38.53 и 13.1-56.18 и более поздних версиях (соответственно).
Cloud Software Group настоятельно рекомендует пользователям NetScaler Console и NetScaler Agent как можно скорее установить соответствующие обновленные версии, добавляя, что обходных путей устранения уязвимости не существует.
При этом клиентам, использующим службу консоли NetScaler под управлением Citrix, не нужно предпринимать никаких действий.
Уязвимость отслеживается как CVE-2024-12284 и имеет CVSS v4 8,8 из максимальных 10,0. Она может привести к аутентифицированному EoP, если развернут NetScaler Console Agent, позволяющий злоумышленнику выполнять действия после компрометации.
Проблема обусловлена неадекватным управления привилегиями и может быть использована аутентифицированным злоумышленником для выполнения команд без дополнительной авторизации.
Однако воспользоваться этой уязвимостью могут только аутентифицированные пользователи, имеющие доступ к консоли NetScaler, тем самым ограничивая область угрозы.
Недостаток затрагивает: NetScaler Console 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, NetScaler Agent 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, исправлен в версиях 14.1-38.53, 13.1-56.18 и более поздних версиях, а также 14.1-38.53 и 13.1-56.18 и более поздних версиях (соответственно).
Cloud Software Group настоятельно рекомендует пользователям NetScaler Console и NetScaler Agent как можно скорее установить соответствующие обновленные версии, добавляя, что обходных путей устранения уязвимости не существует.
При этом клиентам, использующим службу консоли NetScaler под управлением Citrix, не нужно предпринимать никаких действий.