Исследователи из Positive Technologies выкатили отчет о новых кампаниях Dark Caraca, связанных с использованием Poco RAT для атак по всей Латинской Америке, включая Венесуэлу, Доминиканскую Республику, Колумбию, Мексику, Эквадор, Панаму, Перу и Чили.

Все началось с обнаружения исследователями в первом квартале 2024 вредоносного семпла, который назвали Poco RAT - по наименованию используемых библиотек POCO для C++.

Анализ TTPs, цепочки атак и виктимологии позволил связать активность с Dark Caracal, группировкой кибернаемников, действующей с 2012.

Она специализируется на взломах по заказу, нацеливаясь на госучреждения, военные структуры, активистов, журналистов и коммерческие организации. Основной инструмент атак - троян удаленного доступа Bandook.

Целевой аудиторией замеченных атак стали испаноговорящие пользователи, что понятно по содержимому вредоносных вложений и по языку фишинговых писем, используемых для доставки вредоносного ПО.

Во вложении содержится документ-приманка, который в большинстве случаев представлен в формате PDF (реже — HTML) и мимикрирует под документ от организации в банковском секторе, здравоохранении, в области производства, логистики и др.

Причем в метаданных файлов обнаружены имена авторов и пользователей (PDF:Author): trabajo, Rene Perez, Keneddy Cedeño, Mr. Pickles, которые позволяют легко находить связанные с группировкой документы-приманки.

При нажатии на файл происходит переход по ссылке - и .rev-архив автоматически скачивается с легитимных файлообменников (Google Drive, Dropbox и др.) или CDN-хранилищ, что затрудняет обнаружение и блокировку источников.

Файлы с расширением .rev создаются архиватором WinRAR и изначально предназначены для воссоздания отсутствующих и поврежденных томов в многотомном архиве, а задействование их в качестве контейнеров для полезной нагрузки снижает вероятность обнаружения средствами защиты.

Внутри .rev-архивов содержится дроппер, название которого совпадает с названием документа-приманки: это укрепляет доверие жертвы и играет ключевую роль в начальной фазе атаки.

Его основная задача - подготовить и запустить вредоносный компонент (Poco RAT), не оставив следов на диске. Дроппер реализован на Delphi, его функциональность не изменялась с момента создания.

Действия дроппера сводятся к рефлективной загрузке и внедрению в легитимный процесс (iexplore.exe или cttune.exe) PE-модуля, находящегося в секции ресурсов в зашифрованном виде.

При этом также была выявлена схожесть дропперов Poco RAT и Bandook.

Poco RAT представляет собой бэкдор, позволяющий оператору работать с файловой системой, выполнять команды ОС, запускать исполняемые файлы, делать снимки экрана. Все проанализированные сборки упакованы с помощью UPX.

После успешного подключения к С2 Poco RAT собирает данные о системе, используя стандартный набор функций из WinAPI.

После сбора данных и установления соединения с C2-сервером проверяется наличие виртуальной среды.

Механизма для закрепления в системе в ВПО нет.

Можно предположить, что после первоначальной разведки сервер присылает команду для закрепления либо же атакующие применяют Poco RAT как промежуточный инструмент, который доставляет основную нагрузку.

Рассматриваемая кампания является продолжением деятельности группировки Dark Caracal, отражает переход к массовым рассылкам с использованием нового инструмента, а также попытки злоумышленников адаптироваться к современным методам защиты.

Технические подробности и IoC - в отчете.

Исследователи из Лаборатории Касперского выкатили отчет со статистикой по мобильной вирусологии за 2024 год.

По данным Kaspersky Security Network, в 2024 году предотвращено 33 265 112 атак на мобильные устройства с использованием вредоносного, рекламного или нежелательного мобильного ПО (или около 2,8 миллиона ежемесячно).

Самой распространенной угрозой для мобильных устройств стало рекламное ПО - 35% от всех выявленных угроз.

Кроме того, обнаружено 1,1 млн. вредоносных и потенциально нежелательных установочных пакетов, из которых почти 69 тысяч относились к мобильным банковским троянцам.

Из наиболее трендовых угроз в ЛК отметили следующие.

В конце 2024 года в ЛК выявили новую схему распространения банковского троянца Mamont, нацеленную на пользователей Android в России с использованием приманок с предложение различных товаров по заниженным ценам.

После оформления заказа под видом трекера отправлений пользователям засылалось вредоносная ПО.

В августе 2024 года исследователи из ESET описали новую схему банковского мошенничества в Чехии с использованием технологии NFC. Позже похожая схема была замечена в России.

Зловреды мимикрировали под приложения банков и госсервисов, а для установки вредоносной ПО и включения NFC на устройстве в некоторых случаях использовался RAT SpyNote.

Также в 2024 году фиксировалось достаточно много новых предустановленных вредоносных приложений, которые решения ЛК детектируют как Trojan.AndroidOS.Adinstall.

В июле в поле зрения попал бэкдор LinkDoor, также известный как Vo1d, на TV-приставках под управлением Android: он располагался в зараженном системном приложении com.google.android.services и мог запускать произвольные исполняемые файлы, а также скачивать и устанавливать APK.

Ряд приложений в Google Play содержали вредоносный SDK-имплант под названием SparkCat, который начал распространяться в марте 2024 года.

Троянец был нацелен на кражу фраз для восстановления доступа к криптокошелькам у пользователей Android как минимум в ОАЭ, Европе и Азии.

Зараженные приложения удалили из магазина в феврале 2025-го, однако, по данным телеметрии ЛК, существуют и другие приложения со SparkCat, которые распространяются через неофициальные источники.

Аналогичный имплант для iOS также был обнаружен в App Store. Это первый случай появления подобного вредоносного ПО в официальном магазине Apple. Компания удалила зараженные приложения в феврале 2025 года.

Подробные статпоказатели и инфографика по мобильным угрозам - в отчете.

Второй день подряд поправляем ТГ-каналы по поводу хакерских группировок - вчера были государственные (APT), а сегодня речь пойдет про коммерческие.

Один небезызвестный компроматный канал написал (ссылку давать не будем, иноагент таки) про банду вымогателей RansomHub, что, мол, взломали они более 600 жертв за прошлый год.

Данная сентенция в очередной раз демонстрирует, что авторы каналов в Телеграме не совсем понимают как функционирует то или иное явление из области инфосека. И, хотя наша постоянная аудитория прекрасно знает что такое ransomware и с чем его едят, лишний раз подчеркнем особенности рансома и иерархию его исполнителей.

Без учета некоторых вариаций стандартная схема выглядит следующим образом. Головная банда вымогателей aka ransomware gang создает саму вредоносную программу, а также предоставляет услуги по размещению украденной информации на Data Leak Site (DLS), ведению переговоров и получению платежа.

Непосредственно взломом и распространением в сети атакованной организации ransomware занимается оператор - хакер или хакерская группировка, которая сотрудничает с ransomware gang на основании последующего разделения полученного выкупа.

В зависимости от набора услуг и конкретной банды вымогателей процент выкупа, получаемого оператором, может разниться.

При этом никто не запрещает ransomware gang самой осуществлять взломы (кроме законодательства, само собой).

Так что про 600 успешных атак, осуществленных непосредственно RansomHub речи не идет. Это совокупная работа всего пула ее операторов.

Закрывают, кстати, как мы регулярно видим, как раз таки операторов. Задержания и посадки членов банды вымогателей единичны по всему миру.

Ваш инфосек-КО.

Исследователи Proofpoint раскрывают новую узкотаргетированную фишинговую кампанию, нацеленную на не менее пяти организации ОАЭ в области авиации, спутниковой связи и критической инфраструктуры с использованием ранее недокументированного бэкдора Sosano.

Выявить вредоносную активность удалось в конце октября 2024 года и с тех пор отслеживается как новый кластер с условным наименованием UNK_CraftyCamel.

Примечательным аспектом цепочки атак является задействование злоумышленником доступа к скомпрометированному почтовому аккаунту индийской компании INDIC Electronics для отправки фишинговых сообщений и доставки Sosano.

Индийская компания по производству электроники имела доверительные деловые связи со всеми целями кампании, а приманки были персонально адаптированы под каждую из них.

В электронных письмах содержались URL-адреса, указывающие на домен, мимикрирующий под индийскую компанию («indicelectronics[.]net»), на котором размещался ZIP-архив, включающий файл XLS и два файла PDF.

Но на самом деле XLS был ярлыком Windows (LNK), использующим двойное расширение, выдавая себя за документ Microsoft Excel.

Два PDF являлись полиглотами: один был дополнен файлом HTA, а другой — прикрепленным к нему архивом ZIP.

Оба PDF-файла могли быть интерпретированы как два разных допустимых формата в зависимости от того, как они анализируются с использованием таких программ, как файловые менеджеры, инструменты командной строки и браузеры.

Последовательность атаки включала в себя использование файла LNK для запуска cmd.exe, а затем - mshta.exe для запуска файла-полиглота PDF/HTA, что приводило к выполнению скрипта HTA, который, в свою очередь, содержал инструкции по распаковке содержимого архива ZIP, присутствующего во втором PDF-файле.

Один из файлов во втором PDF-файле представляет собой файл интернет-ярлыка (URL), который отвечает за загрузку двоичного файла, который реализует посредством файла изображения декодирование и запуск бэкдора DLL под названием Sosano.

Написанный на языке Golang, имплантат обладает ограниченной функциональностью, позволяющей устанавливать связь с C2 для выполнения дальнейших команд, в том числе запуска неизвестной полезной нагрузки следующего этапа.

Proofpoint отмечает при этом, что активность UNK_CraftyCamel не пересекаются с действиями других известных злоумышленников или групп, но скорее всего, связана с Ираном, учитывая целевые сектора (авиация, спутниковая связь, критически важная транспортная инфраструктура в ОАЭ).

При этом мелкий масштаб в сочетании с многочисленными методами сокрытия, а также доверенную стороннюю компрометацию для атаки, указывают на стратегическую заинтересованность APT-актора в получении разведывательной информации.

Google выпустила исправления для 43 уязвимостей в обновлении безопасности для Android за март 2025 года, включая две 0-day, которые использовались в целевых атаках.

Одна из них, уязвимость высокой степени серьезности, которая отслеживается как CVE-2024-50302 и приводит к раскрытию информации в драйвере ядра Linux, задействовалась спецслужбами Сербии для разблокировки изъятых в ходе обыска устройств.

Уязвимость была использована в составе цепочки эксплойтов для Android, разработанной израильской компанией в сфере цифровой криминалистики Cellebrite.

Цепочка эксплойтов, которая также включает 0-day (CVE-2024-53104), исправленную в прошлом месяце, была обнаружена Amnesty International в середине 2024 года в результате анализа логов, найденных на устройстве, разблокированном в Сербии.

Google отметила, что была осведомлена в отношении этих уязвимостей и рисками их эксплуатации еще до отчетов и оперативно работала над исправлениями для Android, которые были предоставлены OEM-партнерам в консультативном сообщении от 18 января.

Вторая исправленная 0-day (CVE-2024-43093) представляет собой EoP-уязвимость в Android Framework, которая позволяет локальным злоумышленникам получать доступ к конфиденциальным каталогам из-за неправильной нормализации Unicode, эксплуатируя обход фильтра пути к файлу без дополнительных привилегий выполнения или взаимодействия с пользователем.

Обновления безопасности Android также устраняют 11 уязвимостей, которые могут позволить злоумышленникам удаленно выполнять код на уязвимых устройствах.

Google традиционно выпустила два набора: уровни исправлений безопасности 2025-03-01 и 2025-03-01.

Последний содержит все исправления из первой партии, а также для закрытых сторонних компонентов и подкомпонентов ядра, которые могут применяться не ко всем устройствам Android.

На беспрецедентные требования британских спецслужб о создании бэкдора к зашифрованным пользовательским данным в компании Apple отреагировали симметрично и также беспрецедентно.

Как сообщает Financial Times со ссылкой на источники, представителями Apple была подана апелляция в специализированный судебный орган по надзору за деятельностью спецслужб для оценки соответствия закону скандального постановления.

Это первый случай, когда положения Закона о следственных полномочиях 2016 года, открывающий британским властям широкие возможности для шпионажа в технологической сфере, будут проходить проверку в суде.

Впрочем удивляться не стоит, резонансная инициатива британских властей обсуждалась президентом США Дональдом Трампом во время встречи в Белом доме с премьер-министром Великобритании Киром Стармером.

В интервью политическому журналу The Spectator, опубликованному на прошлой неделе, он заявил, что выразил премьеру несогласие с этим требованием, отметив при этом, что подобные требования обычно ассоциируются с Китаем.

Пока же британский МИД продолжает всячески игнорировать запросы на подтверждение факта выдачи подобного приказа, руководство американской разведки в лице Талси Габбард всерьез изучает возможные нарушения партнерам CLOUD Act, что может привести к аннулирвоанию соглашений в сфере взаимодействия по линии спецслужб.

Так что судебный кейс с Apple может стать прецедентом для всей Европы, где разворачивается историческая баталия за конфиденциальность, провал в которой может обернуться для пользователей «цифровым гулагом», а для IT - глобальной сегментацией по национальным границам.

Broadcom выкатилась со срочным бюллетенем и предупреждает клиентов о трех 0-day VMware, которые были выявлены в ходе реальных атак, о чем сообщили исследователи Microsoft.

CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226 (CVSS 9.3, 8.2 и 7.1) затрагивают VMware ESX, включая VMware ESXi, vSphere, Workstation, Fusion, Cloud Foundation и Telco Cloud Platform, и в случае объединения в цепочку могут обеспечить выход из «песочницы» виртуальной машины.

Злоумышленник, которому удалось скомпрометировать гостевую ОС виртуальной машины и получить привилегированный доступ (администратор или root), может перейти в сам гипервизор.

По данным Broadcom, эксплуатация этих проблем уже активно реализуется в дикой природе.

CVE-2025-22224 представляет собой критическую уязвимость переполнения кучи VCMI, которая позволяет локальным злоумышленникам с правами администратора на целевой виртуальной машине выполнять код в качестве процесса VMX, запущенного на хосте.

Другая, CVE-2025-22225 в ESXi, позволяет процессу VMX инициировать произвольную запись ядра, что приводит к выходу из песочницы.

И, наконец, CVE-2025-22226 описывается как ошибка раскрытия информации HGFS, которая позволяет злоумышленникам с правами администратора вызывать утечку памяти из процесса VMX.

Microsoft пока не особо распространяется по поводу своих наблюдений по части эксплуатации, однако, как известно, уязвимости в VMWare фигурировали в «меню» различных злоумышленников, включая и вымогателей, и APT, и др.

Так что будем следить и информировать.

Группа ученых разработала способ удаленного превращения любого устройства с поддержкой Bluetooth в трекер AirTag.

Технология получила название nRootTag, в основе - метод индексации меток AirTags сетью FindMy компании Apple и поиска отслеживаемых или потерянных устройств.

В обычных обстоятельствах, когда пользователь подключает AirTag к своей учетной записи, Apple берет Bluetooth-сигнал AirTag и генерирует криптографическую пару закрытый-открытый ключ.

Когда пользователь производит поиск местоположения AirTag, сеть FindMy запрашивает открытый ключ, связанный с этим Bluetooth-сигналом, а затем уведомляет владельца о его местоположении.

Метод nRootTag задействует облачные вычислительные мощности для определения того, что будет закрытым ключом любого публичного сигнала Bluetooth.

Это позволяет перехватывать Bluetooth-сигнал любого устройства, вычислять возможный закрытый ключ, передавать его на серверы FindMy компании Apple, а затем получать данные о местоположении этого устройства.

Так что пока Apple пилит AirTag в части изменения адреса Bluetooth на основе криптографического ключа, злоумышленнику не удастся сделать это в других системах без прав администратора.

Поэтому вместо того, чтобы пытаться изменить адрес Bluetooth, исследователи разработали эффективные методы поиска ключей, чтобы найти ключ, совместимый с адресом Bluetooth, заставив ключ адаптироваться к адресу.

При этом вычисление ключа занимает всего лишь несколько минут, а nRootTag вообще можно использовать практически мгновенно, если злоумышленники заранее вычислят закрытые ключи в радужных хэш-таблицах.

Исследовательская группа из числа представителей Университета Джорджа Мейсона протестировала технологию, фактически превратив различные устройства в «поддельные» метки AirTags и отслеживая их местоположение, включая ноутбуки на базе Windows и Linux, смартфоны Android, устройства IoT и игровые консоли.

В свою очередь, Apple выпустила исправления безопасности в декабре для всех поддерживаемых в настоящее время устройств.

Теперь они будут игнорировать устройства, преобразованные в nRootTag, но старые устройства Apple все еще могут передавать информацию через FindMy.

Исследовательская группа утверждает, что точность nRootTag будет постепенно снижаться по мере снятия с производства старых устройств Apple, однако на данный момент атака остается актуальной.

Тем временем Cisco сообщает об устранении уязвимости Webex for BroadWorks, которая позволяет неавторизованным злоумышленникам получить удаленный доступ к учетным данным.

Несмотря на то, что этой проблеме еще не присвоен идентификатор CVE, в своем бюллетене по безопасности Cisco отмечает, что уже внесла изменения в конфигурацию для ее устранения и рекомендовала клиентам перезапустить приложение Cisco Webex для получения исправлений.

Уязвимость в Cisco Webex для BroadWorks версии 45.2 может позволить аутентифицированному пользователю получить доступ к учетным данным в виде простого текста в журналах клиента и сервера, если для связи по протоколу SIP настроен незащищенный транспорт.

Уязвимость обусловлена конфиденциальной информацией, раскрытой в заголовках SIP, и затрагивает только экземпляры Cisco BroadWorks (локально) и Cisco Webex для BroadWorks (гибридное облако/локально), работающие в средах Windows.

Компания рекомендует администраторам настроить защищенный транспорт для связи по протоколу SIP, чтобы шифровать передаваемые данные в качестве временного решения, пока изменение конфигурации не достигнет их среды. Кроме того, проводить ротацию учетных данных.

Cisco PSIRT при этом заверяет об отсутствии доказательств вредоносного использования или публичных заявлений, содержащих дополнительную информацию об этой уязвимости.

Просто обновление по воздуху скачалось

Связанная с эксплуатацией трех исправленных на днях 0-day VMware кампания теперь отслеживается как ESXicape и затрагивает десятки тысяч экземпляров, о чем свидетельствуют результаты актуального сканирования.

4 марта Broadcom предупредила клиентов ESXi, Workstation и Fusion о выпуске срочных исправлений для CVE-2025-22224, CVE-2025-22225 и CVE-2025-22226, эксплуатация которых может привести к выполнению произвольного кода, выходу из песочницы и утечкам памяти. 

Обнаружение ошибок приписывается Microsoft Threat Intelligence Center (вероятно, Microsoft также видела атаки с использованием 0-day), но ни Broadcom, ни Microsoft не поделились какой-либо информацией о замеченной вредоносной активности. 

Исследователи Netlas сообщают об обнаружении более 7000 экземпляров VMware ESXi, подключенных к Интернету, которые, по-видимому, подвержены уязвимостям. 

В свою очередь, Shadowserver Foundation выявила более 41 000 уязвимых экземпляров ESXi, большинство из которых находятся в Китае, Франции, США, Германии, Иране, Бразилии и Южной Корее (в РФ - более 700).

Их сканирования были нацелены на CVE-2025-22224, но детектированные экземпляры, вероятно, затронуты и другими уязвимостями, поскольку все они затрагивают одни и те же версии ПО.

Технические подробности и PoC пока недоступны, что, вероятно, на текущий момент сдерживает начало широкомасштабной эксплуатации. 

Исследователь Кевин Бомонт окрестил уязвимости как ESXicape, поясняя, что в случае доступа к ESX, злоумышленник может получить доступ ко всему на сервере ESX, включая данные виртуальной машины и, что особенно важно, конфигурацию ESX и смонтированное хранилище, а в помощью них - перемещаться по среде VMware.

Так, если организации в используется vMotion, чтобы виртуальные машины могли автоматически перемещаться между хостами ESX, балансируя нагрузку и обеспечивая обслуживание, злоумышленник получает прямой доступ к хранилищу ВМ как на этом хосте, так и за его пределами по замыслу — они, по сути, свободны на бэкэнде.

По словам исследователя, злоумышленники могут использовать уязвимости, чтобы обойти решения безопасности и получить доступ к ценным активам, таким как базы данных контроллеров домена Active Directory, не вызывая оповещений.

А это достаточно часто наблюдается в инцидентах с ransomware, когда пользователи напрямую эксплуатируют сервер ESX или vCenter через сеть управления VMware, используя неисправленные уязвимости. Как только хакеры достигают ESX, они напрямую проникают в хранилище по всему кластеру.

При этом возможность доступа к гипервизору сервера ESX напрямую из виртуальной машины значительно повышает риск. Не нужно искать сведения о сервере ESX или подключаться к изолированной сети.

Бомонт отметил, что недавно в киберподполье был замечен эксплойт для побега из виртуальной машины ESXi по цене 150 000 долл., но неясно, рабочий ли он и связан ли с атаками 0-day, раскрытыми на этой неделе.

Будем следить.