Новый метод обфускации JavaScript с невидимыми символами Unicode для представления двоичных значений активно используется в фишинговых атаках, нацеленных на филиалы Американского комитета политических действий (PAC).

Атаку задетектили исследователи Juniper Threat Labs в начале января 2025 года, отмечая ее особую изощренность.

При этом метод обфускации был впервые раскрыт еще в октябре 2024 года разработчиком JavaScript Мартином Клеппе.

Новый метод обфускации задействует невидимые символы Unicode, в частности, Hangul half-width (U+FFA0) и Hangul full-width (U+3164).

Каждый символ ASCII в полезной нагрузке JavaScript преобразуется в 8-битное двоичное представление, а двоичные значения (единицы и нули) в нем заменяются невидимыми символами Hangul.

Запутанный код хранится как свойство в объекте JavaScript, и поскольку символы-заполнители Hangul отображаются как пустое пространство, полезная нагрузка в скрипте выглядит пустой.

Краткий скрипт начальной загрузки извлекает скрытую полезную нагрузку с помощью JavaScript Proxy 'get()'.

При доступе к скрытому свойству Proxy преобразует невидимые символы-заполнители Hangul обратно в двоичные и восстанавливает исходный код JavaScript.

Аналитики Juniper сообщают, что злоумышленники используют дополнительные меры маскировки в дополнение к вышеперечисленным, например, кодируют скрипт с помощью base64 и используют антиотладочные проверки, чтобы избежать анализа.

Атаки были узко таргетированными и включали в себя использование закрытой информации, а исходный JavaScript пытался вызвать точку останова отладчика, если он анализировался, обнаруживал задержку, а затем прерывал атаку, перенаправляя ее на безопасный веб-сайт.

Такие атаки сложно обнаружить, поскольку пустое пространство снижает вероятность того, что даже сканеры безопасности пометят их как вредоносные.

Поскольку полезная нагрузка - это всего лишь свойство объекта, ее можно внедрить в легитимные скрипты, не вызывая подозрений; кроме того, весь процесс кодирования прост в реализации и не требует дополнительных знаний.

Juniper утверждает, что два домена, использованных в этой кампании, ранее были связаны с фишинговым набором Tycoon 2FA, а значит в скором времени этот метод обфускации будет принят на вооружение более широким кругом злоумышленников.

Citrix выпустила обновления безопасности для устранения серьезной уязвимости безопасности, влияющей на NetScaler Console (ранее NetScaler ADM) и NetScaler Agent, которая может привести к повышению привилегий при определенных условиях.

Уязвимость отслеживается как CVE-2024-12284 и имеет CVSS v4 8,8 из максимальных 10,0. Она может привести к аутентифицированному EoP, если развернут NetScaler Console Agent, позволяющий злоумышленнику выполнять действия после компрометации.

Проблема обусловлена неадекватным управления привилегиями и может быть использована аутентифицированным злоумышленником для выполнения команд без дополнительной авторизации.

Однако воспользоваться этой уязвимостью могут только аутентифицированные пользователи, имеющие доступ к консоли NetScaler, тем самым ограничивая область угрозы.

Недостаток затрагивает: NetScaler Console 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, NetScaler Agent 14.1 до 14.1-38.53 и 13.1 до 13.1-56.18, исправлен в версиях 14.1-38.53, 13.1-56.18 и более поздних версиях, а также 14.1-38.53 и 13.1-56.18 и более поздних версиях (соответственно).

Cloud Software Group настоятельно рекомендует пользователям NetScaler Console и NetScaler Agent как можно скорее установить соответствующие обновленные версии, добавляя, что обходных путей устранения уязвимости не существует.

При этом клиентам, использующим службу консоли NetScaler под управлением Citrix, не нужно предпринимать никаких действий.

Исследователи из Лаборатории Касперского анонсировали ежегодный аналитический отчет MDR, проливая свет на на наиболее распространенные TTPs и особенности инцидентов, обнаруженных командой командой SOC.

В 2024 году в среднем ежедневно выявлялось более двух инцидентов высокой степени серьезности.

Наибольшее количество инцидентов в промышленном (25,7%), финансовом (14,1%) и государственном (11,7%) секторах.

В случае с инцидентами высокой степени серьезности, то распределение выглядит следующим образом: 22,8% в ИТ, 18,3% в государственном, 17,8% в промышленном и 11,9% в финансовом секторе.

По результатам аналитики за 2024 год в ЛК выделили следующие тенденции:

1. Инцидентов высокой степени серьезности стало меньше (сократилось на 34% по сравнению с 2023), но их сложность возросла.

Среднее время расследования и сообщения об этих инцидентах увеличилось на 48%, что указывает на рост средней сложности атак.

Подавляющее большинство сработавших правил обнаружения и IoA были получены от специализированных инструментов XDR.

Это знаменует собой сдвиг по сравнению с предыдущими годами, когда обнаружение на основе журналов ОС играло более значимую роль.

2. Число целевых атак, совершаемых человеком, возрастает и составило 43% инцидентов высокой степени серьезности - на 74% больше, чем в 2023 , и на 43% больше, чем в 2022.

Несмотря на достижения в области автоматизированных средств обнаружения, мотивированные злоумышленники продолжают находить способы их обхода.

Для противодействия таким угрозам решающее значение приобретают такие решения, как MDR.

3. Статистика указывает на то, что атакующие часто возвращаются после успешной атаки. Это особенно заметно в госсекторе, где акторы стремятся оставаться в системе в течение длительного времени в целях шпионажа.

В таких случаях сочетание внутреннего SOC, оснащенного XDR, или аутсорсингового MDR с регулярными оценками компрометации является эффективным способом обнаружения и расследования инцидентов.

4. Методы Living off the Land по-прежнему остаются распространенными. 

Злоумышленники часто используют их в инфраструктурах, где отсутствуют надлежащие средства управления конфигурацией системы.

Значительное количество инцидентов связано с несанкционированными изменениями, такими как добавление учетных записей в привилегированные группы или ослабление защищенных конфигураций.

Для минимизации ложных срабатываний в этих сценариях решающее значение имеют эффективное управление конфигурацией и формальные процедуры внедрения изменений и управления доступом.

4. User Execution и фишинг остаются главными угрозами и снова вошли в тройку главных угроз, почти 5% инцидентов высокой степени серьезности связаны с успешной социнженерией.

Пользователи по-прежнему являются самым слабым звеном, что делает обучение важным направлением для планирования корпоративной ИБ.

Полный аналитический отчет по реагированию - в PDF.

И вновь черная (коричневая) полоса в жизни клиентов Palo Alto Networks и Ivanti.

У первых продолжаются проблемы с PAN-OS’ом, теперь уязвимость чтения файлов (CVE-2025-0111) объединена хакерами в цепочке атак с двумя другими CVE-2025-0108 и CVE-2024-9474 для взлома межсетевых экранов в активных атаках.

Поставщик впервые раскрыл уязвимость обхода аутентификации CVE-2025-0108 12 февраля, выпустив исправления.

В тот же день исследователи Assetnote опубликовали PoC, демонстрирующий, как CVE-2025-0108 и CVE-2024-9474 могут быть объединены для получения привилегий root на неисправленных брандмауэрах PAN-OS.

CVE-2024-9474 связана с повышением привилегий в PAN-OS, исправлена в ноябре 2024 и позволяет администратору PAN-OS выполнять команды на брандмауэрах с привилегиями root. Уже использовалась в качестве 0-day на момент раскрытия.

Днем позже компания GreyNoise начала фиксировать, как злоумышленники приступили к активной эксплуатации уязвимости, причем попытки осуществлялись с двух IP-адресов.

Затем масштаб не только расширился, но и, согласно сообщениям GreyNoise, активность эксплуатации также возросла.

GreyNoise сообщает, что теперь обнаружено 25 IP-адресов, нацеленных на CVE-2025-0108, тогда как в первоначальном отчете от 13 февраля было зарегистрировано только два. Основными источниками атак являются США, Германия и Нидерланды.

В свою очередь, исследователь Macnica Ютака Сэдзияма выявил тысячи устройств PAN-OS, которые раскрывают свой веб-интерфейс управления через Интернет.

При этом относительно недавно исправленных уязвимостей CVE-2025-0108 и CVE-2025-0111, то большинство серверов, которые публично раскрывают свой веб-интерфейс управления, по-прежнему не имеют исправлений. Из 3490 серверов только несколько десятков обновились.

Из этих уязвимых устройств 1168 не имеют исправлений CVE-2025-0108 и CVE-2025-0111, но имеют исправления CVE-2024-9474.

Исследователь сообщил, что при анализе в призме всех трех уязвимостей, связанных с атаками, 65% (2262 устройства) остаются уязвимыми для всех из них.

По Ivanti все как обычно: исправленные в январе CVE-2024-10811, CVE-2024-13161, CVE-2024-13160 и CVE-2024-13159 (CVSS 9,8) в Ivanti Endpoint Manager (EPM) благодаря исследователям Horizon3.ai обзавелись PoC.

Это при том, что четыре уязвимости могут быть использованы неавторизованным злоумышленником для принудительного использования учетных данных учетной записи машины Ivanti EPM в ретрансляционных атаках, что может привести к компрометации сервера и затем клиентов EPM.

Компания F.A.C.C.T. переименовывается в F6

ExploitWhispers, по всей видимости, слил архив логи чатов Matrix банды вымогателей Black Basta, одной из самых активных группировок программ-вымогателей в прошлом году.

В ходе мониторинга исследователи PRODAFT заметили, что банда стала неактивной с начала года в виду нарастающих внутренних конфликтов. Некоторые из его операторов обманывали жертв, получая выкупы и не предоставляя при этом функциональных дешифраторов.

По итогу 11 февраля случилась крупная утечка переписки группы BLACKBASTA (Vengeful Mantis).

В PRODAFT предположили, что утечка могла быть прямым результатом намерений одного из операторов атаковать российские банки, что очень похоже на ее прошлые истории.

Как полагают исследователи, утечка является частью гораздо более масштабного внутреннего конфликта, а сама банда фактически прекратила почти всю свою деятельность в начале года.

При этом большинство операторов переключились на другие группы, такие как Cactus ransomware.

Слив включает почти 200 000 сообщений чатов Black Basta за период с 18 сентября 2023 года по 28 сентября 2024 года.

Анализ сообщений показывает, что они содержат широкий спектр информации, включая шаблоны фишинговых сообщений и электронные письма для их отправки, адреса криптовалюты, утечки данных, учетные данные жертв и обсуждения тактических особенностей работы группы.

Кроме того, в ней 367 уникальных ссылок ZoomInfo, которые указывают на вероятное количество жертв, поскольку обычно он задействуется для обмена информацией по целевой компании.

ExploitWhispers также поделился информацией о некоторых участниках Black Basta, включая Lapa (одного из админов RaaS), Cortes (связанного с группой Qakbot), YY (главного админа Black Basta) и Trump (он же GG и AA), который, как полагают, является боссом группировки.

Напомним, что BlackBasta была запущена в начале 2022 года и была создана выходцами из более крупной группы Conti ransomware. Это было одно из многих ее ответвлений, которые отделились от банды после аналогичной утечки, приведшей к распаду.

После своего обособления BlackBasta продолжала свою деятельность в прежней манере и вошла в десятку самых активных группировок, занимающихся вымогательством.

Только за период с апреля 2022 года по май 2024 года члены Black Basta взломали более 500 организаций, включая Rheinmetall, Hyundai, BT Group, Ascension, ABB, Capita и др.

По данным Corvus Insurance и Elliptic, к ноябрю 2023 года банда смогла заработать около 100 млн. долл. в виде выкупов от более чем 90 жертв.

Чем завершится конфликт будем, конечно, посмотреть.

OPSWAT сообщает о двух критически важных уязвимостях в библиотеке Mongoose Object Data Modeling (ODM) для MongoDB, приводящие к удаленному выполнению кода на сервере Node.js.

Mongoose, широко используемый в производственных средах, позволяет отображать объекты JavaScript в документы MongoDB, что упрощает управление данными и их проверку. Однако функция, которая улучшает работу со связями между документами, может быть использована для RCE.

Первая из уязвимостей в библиотеке отслеживается как CVE-2024-53900 и позволяет злоумышленнику использовать значение $where для потенциального достижения RCE на Node.js.

Вторая проблема, отслеживаемая как CVE-2025-23061, представляет собой обход патча CVE-2024-53900.

Как поясняет OPSWAT, $where - это оператор запроса MongoDB, который позволяет выполнять JavaScript непосредственно на сервере MongoDB, но с определенными ограничениями.

При обработке полученных данных одна из функций Mongoose передавала значение $where, импортированной из внешней библиотеки, которая обрабатывала запросы локально на сервере приложений, не выполняя проверку входных данных.

Отсутствие проверки и ограничения входных данных создает существенную уязвимость, поскольку значение «параметров», напрямую контролируемое вводом пользователя, может быть использовано злоумышленниками, что потенциально может привести к RCE-атакам.

В исправлении для CVE-2024-53900 добавлена проверка, запрещающая передачу оператора $where уязвимой функции, что предотвращает выполнение вредоносных полезных нагрузок.

Однако исправление можно обойти, встроив оператор $where в оператор $or, поддерживаемый как MongoDB, так и уязвимой функцией. В результате злоумышленник может вложить $where в $or, чтобы обойти одноуровневую проверку патча.

Поскольку Mongoose проверяет только свойства верхнего уровня каждого объекта в массиве соответствия, обходная полезная нагрузка остается незамеченной и в конечном итоге достигает библиотеки sift, что приводит к вредоносному RCE.

OPSWAT также представила прототип PoC, нацеленного на обе уязвимости, рекомендуя обновить Mongoose до версии 8.9.5 или более поздней, включающей полные исправления для двух ошибок.

По всей видимости, недавно описанная исследователями Symantec «халтурка» участника китайской APT, связанная с использованием ransomware, носит вовсе не единичный характер.

В Orange и Trend Micro независимо друг от друга также обнаружили китайское вредоносное ПО, задействованное в арсенале APT, в атаках с использованием ransomware в 15 странах, что позволяет предположить преднамеренный сговор участников групп или изменение тактики.

Замеченные в инцидентах инструменты включают в себя версии PlugX и Shadowpad, сложные бэкдоры, используемые китайскими APT уже более десяти лет исключительно для кибершпионажа.

Два штамма вредоносного ПО были развернуты во взломанных сетях, прежде чем в конце был выпущен вирус-вымогатель.

Полезные нагрузки программ-вымогателей, использованные в атаках, включали RA World и новый штамм под названием NailaoLocker, который доставлялся вместе с Shadowpad, ассоциируемым с APT41.

По данным Trend Micro, в этих инцидентах злоумышленники использовали слабые пароли и обходили многофакторную аутентификацию для проникновения в сети, используя Shadowpad не только для проведения шпионажа, но и для шифрования данных с целью получения выкупа. 

В двух случаях злоумышленник применил программу-вымогатель ранее не зарегистрированного семейства NailaoLocker. Это необычный ход для злоумышленников, использующих Shadowpad. Хотя сообщалось, что APT41 использовала Encryptor RaaS.

В отличие от типичных вредоносных APT-кампаний, последние замеченные инциденты сопровождались также активными переговорами о выкупе и подробными инструкциями, что подчеркивает финансовую мотивацию, нетипичную для китайских шпионских групп.

В поисках похожих TTP Trend Micro обнаружила, что за последние 7 месяцев 21 компания подверглась атаке с использованием схожего вредоносного инструментария.

Девять из них в Европе, восемь в Азии, три на Ближнем Востоке и одна в Южной Америке, большая часть жертв из производственного сектора. 

Эксперты видят в этом тревожную тенденцию, ведь ранее исторически китайские хакеры не преследовали явную финансовую выгоду, ориентируясь на скрытность, устойчивость и долгосрочную эксфильтрацию данных.

Вовлечение в кампании по вымогательству APT-инструментария говорит о возможном стратегическом сдвиге - или, по крайней мере, о размытии традиционных границ между кибершпионажем и киберпреступностью, но не исключается и версия с эксцессом исполнителя.

Будем следить.

Основатель Xintra и бывший консультант по реагированию на инциденты в Secureworks Лина Лау, aka inversecos, выкатила интересный отчет, в котором раскрывает подробности о том, как АНБшная Equation Group взломала китайский Сианьский Северо-Западный политех в 2022.

Глубоко осведомленная в специфике китайского инфосека она смогла четко разложить результаты, с указанием ссылок, отчетов Qihoo 360, Pangu Lab и Национального CVERC.

В свое время, представители CVERC обвинили АНБ в десятках тысяч кибератак на национальные сети, в том числе связывая TAO (Tailored Access Operations) NSA со взломом китайского политеха.

Согласно вновь представленной аналитике, TAO задействовала не менее 41 штамма вредоносного ПО в совокупности с другими 16 специализированными инструментами, которые полностью совпадают (в 23 случаях - на 97%) с утечками Shadow Brokers.

Кроме того, специалисты Qihoo 360 и CVERC задетектили 4 IP-адреса, которые американское ведомство, предположительно, приобрело через подставные организации Jackson Smith Consultants и Mueller Diversified Systems.

Причем один из сотрудников под данными Amanda Ramirez анонимно закупил их для платформы FoxAcid, которая впоследствии была использована в атаке на политех.

На участие американских спецслужб указывали языковые и временные параметры атак. Хакеры использовали английский в ОС и приложениях, а также американскую раскладку клавиатуры.

При этом все «ручные» операции выполнялись в будние дни, причем активность прекращалась в такие национальные праздники, как день поминовения и день независимости.

Было замечено, что один из атакующих забыл изменить параметры скрипта Python при запуске и вызвал ошибку, раскрыв их рабочий каталог, который известен как каталог инструментов TAO.

Для взлома политеха АНБ полагалось на 0-day, задействовав в атаке 54 jump-сервера и 5 прокси в 17 странах, полученных благодаря применению фирменного инструмента Shaver для атак на уязвимые системы SunOS в соседних с КНР странах.

Как отмечают исследователи, американские спецы также применяли MitM-атаки и фишинг, маскируя письма под научную тематику. Эксплуатируя системы Solaris через Island, хакеры внедряли шпионский фреймворк SecondDate для перехвата трафика и перенаправления на FoxAcid.

Платформа использовалась для взлома внутренних хостов и серверов и развертывания дополнительных инструментов для получения удаленного доступа к основному сетевому оборудованию, серверам и терминалам.

Для обеспечения устойчивости и горизонтального перемещения злоумышленники использовали также такие инструменты, как NoPen, Flame Spray, Cunning Heretics и Stoic Surgeon, украденные учетные данные, получая доступ к критически важным устройствам для манипулирования трафиком.

Пароли крали с помощью утилиты Drinking tea, которая послушивала SSH, Telnet и Rlogin. Для сокрытия следов и маскировки использовали среди прочего утилиту Toast bread (UTMP, WTMP и LASTLOG).

Все это позволяли атакующим систематически красть секретные исследовательские данные, сведения об инфраструктуре сети и конфиденциальные оперативные документы посредством набора Operation behind enemy lines.

Примечательно, полагали, что западные издания проигнорят кейс, как оказалось, не стали. Тем не менее, некоторые все же на этом фоне предпочли прогонять Cisco с отчетом по Salt Typhoon.

Северокорейские хакеры выполняют и перевыполняют планы из года в год, ставя все новые рекорды по части привлечения «инвестиций».

Если в 2022 году им удалось слямзить 1,1 млрд долл., то в 2024 году - 1,34 млрд долларов в ходе 47 кибератак (по данным статистики Chainalysis).

А на 2025 год - план перевыполнен уже в первом квартале в результате крупнейшего в истории криптоограбления на сумму почти в 1,5 млрд долл.

Пострадавшая - Bybit, вторая по величине криптовалютная биржа в мире с 60 млн. пользователями и более 36 млрд. долл. ежедневного объема торгов, а после инцидента - первая в антирейтинге по грабежам (лидерство перешло от Ronin Network с украденными 625 млн. долл.).

Взлом состоялся в пятницу, 21 февраля и к настоящему времени теперь признается одним из самых сложных криптоограблений.

Злоумышленники проникли в сеть Bybit, изучили внутренние корпоративные регламенты работы, идентифицировали, а затем заразили вредоносным ПО всех сотрудников, которые обладают правом подписи транзакций и распоряжения средствами компании.

Хакеры специально нацелились на процесс пополнения активных кошельков компании, называемых горячими кошельками, где компания хранит средства, необходимые для ежедневных операций.

Как отмечают в Bybit, когда в пятницу сотрудники выполняли пополнение горячих кошельков, хакеры модифицировали пользовательский интерфейс ПО для перемещения средств с холодных кошельков, что привело к изменению логики смарт-контракта.

Причем «обновление» затронуло системы всех инженеров, которым необходимо было его подписать, в ходе так называемой транзакции с несколькими подписями.

Согласно отчету Bybit, транзакция привела к запуску вредоносного кода, который отправил средства с этого конкретного холодного кошелька на подконтрольные злоумышленникам счета.

Таким образом, более 400 000 ETH и stETH на сумму более 1,5 млрд долл. были переведены на неопознанный адрес.

Затем были распределены по 50 разным кошелькам в течение двух часов и начали выводиться через различные криптосервисы, включая такие как eXch.

Изначально не было понятно, кто осуществил атаку, но исследователи, известные как Arkham и ZachXBT, связали взлом с северокорейской Lazarus, а точнее с той же командой, которая в январе украла 70 млн. долл. у сингапурской биржи Phemex.

Что касается Bybit, у нее достаточно резервов, чтобы покрыть все убытки 1 к 1.

Компания приостановила транзакции на день для расследования инцидента и с тех пор возобновила все операции.

Также была оперативно учреждена программа вознаграждений, согласно которой компания намерена реализовать до 10% суммы украденных средств любому, кто сможет вернуть украденные токены.

Будем следить, но Белой шляпы, как в случае с Poly Network, ожидать явно не стоит.

Apple свернули на узкую кривую дорожку, отключив возможность расширенной защиты данных для пользователей iCloud в Великобритании.

Как переедет BBC, функция E2EE-шифрования резервных копий iCloud на серверах Apple, впервые запущенная в ноябре 2022 года, теперь недоступна после требований британских спецслужб предоставить бэкдор-доступ к пользовательским данным, о чем мы недавно писали.

Расширенная защита данных (ADP) означает, что только владельцы учетных записей могут просматривать такие элементы, как фотографии или документы, которые они сохранили в сети с помощью сквозного шифрования.

Однако в начале этого месяца правительство Великобритании запросило право доступа к данным, к которым в настоящее время даже Apple не имеет доступа.

Apple тогда не дала никаких комментариев, но последовательно выступала против бэкдора в своем сервисе шифрования, утверждая, что если она это сделает, то это будет лишь вопросом времени, когда злоумышленники также найдут способ проникнуть в систему.

К тому же Apple рассматривала это как принципиальный вопрос - ведь если они уступили в Великобритании, то и все остальные страны потребовали бы аналогичного доступа.

Соответствующий запрос был подан Министерством внутренних дел в соответствии с Законом о следственных полномочиях (IPA), который обязывает компании предоставлять информацию правоохранительным органам.

Apple не стала публично комментировать уведомление, а МВД отказалось подтвердить или опровергнуть его существование, однако BBC и Washington Post подтвердили ситуацию через своих источников.

Скандал с бэкдором сразу вышел в международную плоскость, особо запруживали в США, где усмотрели в этом угрозу национальной безопасности и даже начали рассматривать вопрос о пересмотре своих соглашений об обмене разведданными с Великобританией.

Неясно, будут ли действия Apple в полной мере решать эти проблемы, поскольку постановление IPA действует во всем мире, а ADP продолжит работать в других странах.

Безусловно, это можно считать первыми попытками со стороны правительственных структур прощупать мировых технологических гигантов по части E2EE, вряд ли сервисами Apple все это ограничится, попытки доступа к перепискам в мессенджерах предпринимаются уже несколько лет.

Но будем посмотреть.

Хакеры MASSGRAVE обещали и сдержали свое слово, реализовав обход схем защиты лицензирования ПО Microsoft Windows и Office.

Причем, как утверждают MAS, их обход может работать без необходимости использования стороннего ПО, изменения системных данных или вмешательства в ОС, и в целом достаточно прост, обеспечивая долгосрочную активацию всех версий.

MASSGRAVE выкатила универсальный эксплойт, который способен разблокировать и активировать любую версию Windows и Microsoft Office.

Получивший название TSforge нацелен на платформу защиты программного обеспечения Microsoft (SPP), включен в набор инструментов MAS группы и доступен для загрузки.

Чем ответит Microsoft - будем посмотреть.

Cisco отчасти подтвердила задействование как минимум в одном из инцидентов Salt Typhoon для получения доступа к сетям телеком-структур в США CVE-2018-0171 наряду с CVE-2023-20198 и CVE-2023-20273, о которых ранее сообщали в Recorded Future’s Insikt Group.

Напомним кстати, что в России компанию признали нежелательной за то, что она выпускает агитгазету Вашингтонского обкома The Record.

При этом злоумышленники продемонстрировали способность сохраняться в целевых средах на оборудовании разных поставщиков в течение длительных периодов времени, обеспечивая доступ к одному экземпляру на протяжении более трех лет.

Важным аспектом кампании является использование легитимных украденных учетных данных для получения первоначального доступа, правда способ их получения пока неизвестен.

Было замечено, что злоумышленник предпринимает попытки завладеть учетными данными через конфигурации сетевых устройств и расшифровывает локальные учетные записи с помощью слабых типов паролей.

В Cisco наблюдали, как злоумышленник захватывает трафик SNMP, TACACS и RADIUS, включая секретные ключи, используемые между сетевыми устройствами и серверами TACACS/RADIUS для извлечения дополнительных данных учетных данных.

Еще одна примечательная особенность Salt Typhoon подразумевает использование методов LOTL на сетевых устройствах, злоупотребляя доверенной инфраструктурой в качестве опорных точек для перехода от одного телекоммуникационного оператора к другому.

Предполагается, что эти устройства используются в качестве промежуточных ретрансляторов для достижения намеченной конечной цели или в качестве первого транзитного пункта для операций по утечке исходящих данных, поскольку это дает злоумышленнику возможность оставаться незамеченным в течение длительного периода времени.

Кроме того, Salt Typhoon меняла сетевые конфигурации для создания локальных учетных записей, включения доступа Guest Shell и упрощения удаленного доступа через SSH.

Также задействовалась утилита JumbledPath, которая позволяет выполнять захват пакетов на удаленном устройстве Cisco через определенный актером jump-host.

Двоичный файл ELF на основе Go также способен очищать журналы и отключать журналирование для сокрытия следов вредоносной активности и противодействия криминалистическому анализу.

Использование этой утилиты помогает скрыть исходный источник и конечный пункт назначения запроса, а также позволяет его оператору перемещаться через потенциально недоступные (или маршрутизируемые) устройства или инфраструктуру.

Злоумышленник неоднократно изменял адрес интерфейса обратной связи на скомпрометированном коммутаторе и использовал этот интерфейс в качестве источника SSH-подключений к дополнительным устройствам в целевой среде, что позволяло ему эффективно обходить списки ACL, установленные на этих устройствах.

Cisco заявила, что не нашла никаких доказательств того, что хакерская команда использовала другие известные уязвимости для нацеливания, вероятно, за исключением уже фигурирующих в отчетах.

Отдельно отметив, что выявила дополнительное нацеливание на устройства Cisco с открытой Smart Install (SMI), за которым последовала эксплуатация CVE-2018-0171. Причем активность якобы не связана с Salt Typhoon и не имеет общих черт с какой-либо известной группой.

Исследователи из Лаборатории Касперского поделились своими наблюдениями относительно APT Angry Likho (она же Sticky Werewolf), которую отслеживают с 2023 года.

Группа имеет много сходств с Awaken Likho, в связи с чем и была отнесена к кластеру вредоносной активности, однако атаки Angry Likho, как правило, носят целевой характер, имеют более компактную инфраструктуру, ограниченный набор имплантов.

Angry Likho нацелена на сотрудников крупных организаций, включая госучреждения и их подрядчиков, а участники, скорее всего, являются носителями русского языка и, вероятно, связаны с Украиной.

Основной таргет - Россия и Беларусь, а другие жертвы были случайными — возможно, исследователями, использующими среды-песочницы или выходные узлы сетей Tor и VPN.

В начале 2024 года ряд ИБ-поставщиков выпускали отчеты в отношении Angry Likho. Тем не менее в июне ЛК обнаружила новые атаки этой группы, а в январе 2025 года смогли задетектить вредоносные полезные нагрузки в рамках развивающейся APT-активности.

Первоначальный вектор атаки, используемый Angry Likho, традиционно включает стандартизированные фишинговые письма с различными вложениями, в том числе архивами RAR, включающими вредоносные LNK-файлы и легитимный файл-приманку.

Согласно телеметрии, злоумышленники действуют периодически, приостанавливая свою деятельность на некоторое время, прежде чем возобновить ее с помощью слегка измененных методов.

В июне 2024 года исследователи обнаружили очень интересный имплант, связанный с APT Angry Likho, который распространялся под названием FrameworkSurvivor.exe по следующему URL: hxxps://testdomain123123[.]shop/FrameworkSurvivor.exe.

Имплант был создан с использованием легитимного установщика с открытым исходным кодом Nullsoft Scriptable Install System и функционирует как самораспаковывающийся архив (SFX). Ранее эту технику исследователи наблюдали в нескольких кампаниях Awaken Likho.

Архив содержал одну папку $INTERNET_CACHE, заполненную множеством файлов без расширений. Причем последние версии 7-Zip не позволяют извлечь этот скрипт, но его можно извлечь с помощью более старых версий. 

Скрипт установки назывался [NSIS].nsi и был частично замаскирован. Он ищет папку в системе жертвы с помощью макроса $INTERNET_CACHE, извлекает в нее все файлы из архива, переименовывает файл «Helping» в «Helping.cmd» и запускает его.

Helping.cmd запускает легитимный интерпретатор AutoIt (Child.pif) с файлом i.a3x в качестве параметра.

Файл i.a3x содержит скомпилированный скрипт AU3. Учитывая это, можно предположить, что этот скрипт реализует основную логику вредоносного импланта.

Скрипт проверяет артефакты, связанные с эмуляторами и исследовательскими средами. Если совпадение найдено, он либо завершается, либо выполняется с задержкой в 10 000 мс, чтобы избежать обнаружения, аналогично имплантам Awaken Likho.

Затем скрипт устанавливает режим обработки ошибок, вызывая SetErrorMode() из kernel32.dll с флагами SEM_NOALIGNMENTFAULTEXCEPT, SEM_NOGPFAULTERRORBOX и SEM_NOOPENFILEERRORBOX, тем самым скрывая системные сообщения об ошибках и отчеты.

После этого скрипт удаляет себя с диска, вызывая FileDelete(“i”), и генерирует большой текстовый блок, который является полноценным исполняемым файлом MZ PE, фактически это инфоркад Lumma (Trojan-PSW.Win32.Lumma).

В январе 2025 года злоумышленники продемонстрировали новый всплеск активности, о чем сообщали в F6 (ранее - FACCT). Анализ IoC выявил признаки потенциальной новой волны атак, что еще раз подтверждает активность угрозы со стороны Angry Likho.

Технические подробности и еще больше артефактов, связанных с этой кампанией - в отчете.

Используете Parallels Desktop - ошибка, не зная, что все версии ПО, включая последнюю, уязвимы - фатальная ошибка.

Достаточно популярное ПО виртуализации подвержено уязвимости, а исправление в последней версии приводит к новой уязвимости.

Но более усугубляет ситуацию то, что обе имеют общедоступные PoC, а поставщик в течение нескольких месяцев просто умывает руки.

Исследователь Микки Джин на прошлой неделе выкатил PoC, продемонстрировав обход исправлений поставщика для CVE-2024-34331 - уязвимости повышения привилегий, исправленной в сентябре.

Ошибка впервые была обнаружена в мае 2024 года Николаем Грималюком и обусловлена отсутствием проверки подписи кода в Parallels Desktop для Mac.

Первоначальный патч для Parallels был нацелен на предотвращение выполнения ненадежного кода, проверяя, подписан ли инструмент createinstallmedia компанией Apple, прежде чем предоставлять ему права root.

Однако, как оказалось, реализовать проверку должным образом не удалось, что позволяет злоумышленникам обойти ее как минимум двумя способами.

Первый способ - выполнить атаку TOCTOU для использования состояния гонки между проверкой того, подписан ли createinstallmedia Apple, и его выполнением с привилегиями root.

Злоумышленник устанавливает поддельный установщик macOS, ждет, пока Parallels проверит подписанный Apple двоичный файл createinstallmedia, а затем быстро заменяет его вредоносным скриптом перед выполнением, получая привилегии root.

Второй вариант - это атака через функцию do_repack_manual, которая уязвима для произвольной перезаписи файлов пользователем root.

Манипулируя функцией do_repack_manual, злоумышленник перенаправляет привилегированную папку с помощью символических ссылок, обманывая Parallels и заставляя ее записывать контролируемые злоумышленником файлы по пути, принадлежащему пользователю root, и заменяет p7z_tool, который запускается от имени пользователя root.

Джин обнаружил потенциальные обходные пути вскоре после отчета Грималюка и сообщил о своих выводах Parallels в июне 2024 года.

Исследователь утверждает, что поставщик обещал изучить проблему, но, несмотря на три дополнительных запроса на обновление статуса (последний был 19 февраля 2025 года), Parallels так и не ответила.

Представленный исследователем первый эксплойт, включающий атаку TOCTOU, работает на последней версии Parallels, 20.2.1 (55876), а также на всех версиях, начиная с 19.4.0 и старше.

В Parallels изменили процесс перепаковки в версии 19.4.1, перейдя с do_repack_createinstallmedia на do_repack_manual, что нейтрализовало эксплойт.

Однако это изменение создало новую уязвимость, которая позволяет злоумышленнику перезаписывать произвольные файлы, принадлежащие пользователю root, что делает эффективным второй эксплойт.

В последней версии (20.2.1) изменения были отменены, а эксплойт теперь снова стал работать.

Так что все известные версии Parallels Desktop, включая последнюю, уязвимы как минимум для одной уязвимости, а в Parallels никак не комментируют ситуацию.

Исследователи Лаборатории Касперского раскрывают подробности развивающейся кампании, нацеленной на геймеров и инвесторов в криптовалюту под видом проектов с открытым исходным кодом, размещенных на GitHub.

Кампания, охватывающая сотни репозиториев, получила название GitVenom и уже привела к хищениям более $456 тыс., задействуя поддельные проекты GitHub для взлома кошельков.

Среди зараженных проектов - инструмент автоматизации взаимодействия с аккаунтами Instagram, бот Telegram, позволяющий удаленно управлять BTC-кошельками, а также инструмент для взлома игры Valorant.

При этом злоумышленники старались сделать поддельные проекты максимально правдоподобными, чтобы жертвы ничего не заподозрили.

Например, обнаруженные вредоносные репозитории содержали красиво оформленные файлы README.md, вероятно, сгенерированные с помощью ИИ, а также включали описания проектов и инструкции по компиляции кода.

Злоумышленники также использовали множество тегов и искусственно увеличивали количество коммитов.

Для этого они добавляли в репозитории файл временной метки, который обновлялся каждые несколько минут.

Только вся анонсируемая функциональность проектов оказалась фейковой, а киберпреступники смогли выкрасть личные и банковские данные, а также похитили адреса криптокошельков из буфера обмена.

Как полагают в ЛК, кампания длится не менее двух лет с тех пор, как были опубликованы некоторые из фейковых проектов.

Большая часть попыток заражений были детектированы в России, Бразилии и Турции.

Замеченные проекты написаны на разных языках программирования, включая Python, JavaScript, C, C++ и C#. Как и ожидалось, в этих проектах не было реализовано заявленных функций, а код в основном выполнял бессмысленные действия. 

Но независимо конечная цель одна и та же: запуск встроенной вредоносной полезной нагрузки, которая отвечает за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория GitHub (hxxps://github[.]com/Dipo17/battle) и их выполнение.

Среди этих модулей выделяется стилер на Node.js, который ведет сбор паролей, информации о банковских счетах, сохраненных учеток, данных криптокошельков и истории просмотра веб-страниц. Он сжимает их в архив .7z и передает злоумышленникам через Telegram.

Также через подставные проекты GitHub доставляются инструменты удаленного администрирования AsyncRAT и Quasar RAT (адрес С2: 138.68.81[.]155), которые используются для захвата зараженных хостов, а также вредоносный клипер, подменяющий адрес кошелька из буфера обмена на адрес злоумышленника.

Поскольку платформы обмена кодом, такие как GitHub, используются миллионами разработчиков по всему миру, злоумышленники наверняка продолжат использовать поддельное ПО в качестве приманки для будущих заражений с небольшими изменениями в TTPs.

По этой причине крайне важно очень внимательно относиться к обработке стороннего кода. Прежде чем пытаться запустить его или интегрировать в существующий проект, крайне важно тщательно проверить, какой функционал он реализует.

Check Point сообщает об обнаружении масштабной вредоносной кампании, в которой используется уязвимый драйвер Windows, связанный с пакетом продуктов Adlice, для обхода обнаружения и распространения Gh0st RAT.

При этом чтобы более эффективно уклоняться от обнаружения, злоумышленники намеренно создали несколько вариантов (с разными хэшами) драйвера 2.0.2, изменив определенные части PE, при этом сохранив действительную подпись.

Наблюдаемая активность включала тысячи вредоносных образцов первого этапа, которые использовались для развертывания программы, способной завершать работу EDR с помощью так называемой BYOVD-атаки.

На платформе VirusTotal было выявлено около 2500 различных вариантов устаревшей версии 2.0.2 уязвимого драйвера RogueKiller Antirootkit, truesight.sys, хотя их число, вероятно, выше.

Модуль EDR-killer был впервые обнаружен и зарегистрирован в июне 2024 года.

Проблема с драйвером Truesight, ошибка произвольного завершения процесса, затрагивает все версии ниже 3.4.0 и ранее использовалась для разработки PoC-эксплойтов, таких как Darkside и TrueSightKiller, которые общедоступны как минимум с ноября 2023 года.

В марте 2024 года SonicWall раскрыла сведения о загрузчике под названием DBatLoader, который, как выяснилось, использовал драйвер truesight.sys для отключения решений безопасности перед загрузкой вредоносного ПО Remcos RAT.

Есть некоторые основания полагать, что эта кампания могла быть делом рук группы, известной как Silver Fox APT, поскольку в цепочке выполнения и используемых методах есть некоторое совпадение, включая вектор заражения, цепочку выполнения, сходство образцов на начальном этапе и исторические модели нацеливания.

Последовательности атак включают распространение артефактов первого этапа, которые часто маскируются под легитимные приложения и распространяются через фейковые веб-сайты и каналы в Telegram.

Образцы действуют как загрузчик, сбрасывая устаревшую версию драйвера Truesight, а также полезную нагрузку следующего этапа, которая имитирует распространенные типы файлов, такие как PNG, JPG и GIF.

Затем вредоносная ПО второго этапа переходит к извлечению другой программы, которая, в свою очередь, загружает модуль EDR-killer и Gh0st RAT.

Причем варианты устаревшего драйвера Truesight (версии 2.0.2) обычно загружаются и устанавливаются образцами начального этапа, но их также можно развернуть напрямую с помощью модуля EDR/AV killer, если драйвер еще не присутствует в системе.

Это свидетельствует о том, что несмотря на интеграцию в кампанию модуля EDR/AV killer, он способен работать независимо от более ранних этапов.

Он задействует технику BYOVD для злоупотребления уязвимым драйвером для завершения процессов, связанных с определенным ПО безопасности, обходя список уязвимых драйверов Microsoft Windows.

Атаки завершались развертыванием варианта Gh0st RAT под названием HiddenGh0st, который предназначен для удаленного управления взломанными системами, предоставляя злоумышленникам возможность осуществлять кражу данных, контроль и манипулирование системой.

По состоянию на 17 декабря 2024 года Microsoft обновила список заблокированных драйверов, включив в него рассматриваемый драйвер, что фактически заблокировало вектор эксплуатации.

Изменяя определенные части драйвера, сохраняя при этом его цифровую подпись, злоумышленники обошли распространенные методы обнаружения, включая новейшие механизмы обнаружения Microsoft Vulnerable Driver Blocklist и LOLDrivers, что позволило скрываться в течение месяцев.

При этом задействование уязвимости произвольного завершения процесса позволило модулю EDR/AV killer атаковать и отключать процессы, обычно связанные с решениями по безопасности, еще больше повышая скрытность кампании.

Исследователи F6 продолжают отслеживать активность ReaverBits, разбирая новые цепочки заражения и задействуемое уникальное вредоносное ПО.

ReaverBits действует с конца 2023 года и специализируется на атаках в отношении российских компаний в областях биотехнологий, розничной торговли, агропромышленного комплекса, телекоммуникаций и финсектора.

Особенности группировки - таргетированные атаки исключительно на российский сегмент, активное использование методов спуфинга при проведении фишинговых атак, а также применение стилеров.

С сентября 2024 по январь 2025 года специалисты F6 зафиксировали три разные цепочки заражения с использованием обновленных инструментов - публично реализуемого Meduza Stealer и нехарактерного для группы уникального вредоноса ReaverDoor.

Распространение ВПО проходит под видом легитимных цифровых сертификатов и обновлений.

В сентябре прошлого года исследователи задетектили фишинговые рассылки от имени СК РФ с темой «СК РФ Вызов на допрос».

Они содержали вредоносное вложение в виде PDF-документа, после запуска которого жертве отображалось уведомление о необходимости обновления Adobe Font Package, и ссылка для его загрузки.

При переходе по ссылке загружался исполняемый файл с именем, мимикрирующим под легитимное обновление Adobe Font Package.

Исходный исполняемый файл был классифицирован как загрузчик и содержал код проекта с открытым исходным кодом adbGUI, в который был встроен вредоносный код для загрузки и запуска следующей стадии с финальным аккордом в виде Meduza Stealer.

В январе в поле зрения попалось письмо якобы от МВД РФ тоже с повесткой на допрос.

Внутри письма содержалась ссылка якобы для скачивания документа. Когда жертва переходила по указанной ссылке, сервер проверял язык, установленный в браузере.

Загруженный исполняемый файл основан на .NET и классифицирован как загрузчик, похожий на тот, который был в прошлых рассылках.

Файл основан на легитимном ПО с открытым исходным кодом NBTExplorer, но с добавлением вредоносного кода. Финал тот же - Meduza Stealer.

Помимо этого исследователям удалось выйти на ранее неждокументированный бэкдор, который получил название ReaverDoor.

Проведённый анализ атак показывает, что ReaverBits остаётся приверженной TTPs, применявшимся в предыдущих кампаниях.

Однако злоумышленники продолжают модернизировать методы и расширять арсенал вредоносного ПО, адаптируя его к новым условиям.

В качестве загрузчиков ReaverBits продолжают использовать модифицированные инструменты с открытым исходным кодом, загружающие вредоносные файлы с удалённых серверов.

При этом URI-адреса ресурсов содержат унифицированное обозначение res.js.

Для скрытого выполнения вредоносного кода применяются различные техники, включая Process Hollowing, а также сложные криптографические схемы шифрования, такие как комбинация AES-256 + PBKDF2 + XOR + Base64.

Эволюция инструментов группировки проявляется в задействовании Meduza Stealer и нового бэкдора ReaverDoor, что может свидетельствовать о подготовке к более масштабным атакам.

Технические подробности атак, инструментария и IoC, как обычно, - в отчете.

- Каковы Ваши действия при обнаружении ransomware в контуре?
-