Available now! Telegram Research 2025 — the year's key insights 
SecAtor
Open in Telegram
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Show more📈 Analytical overview of Telegram channel SecAtor
Channel SecAtor (@true_secator) in the Russian language segment is an active participant. Currently, the community unites 41 266 subscribers, ranking 3 287 in the Technologies & Applications category and 15 514 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 41 266 subscribers.
According to the latest data from 22 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 105 over the last 30 days and by 5 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 15.98%. Within the first 24 hours after publication, content typically collects 12.36% reactions from the total number of subscribers.
- Post reach: On average, each post receives 6 592 views. Within the first day, a publication typically gains 5 101 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 0.
- Thematic interests: Content is focused on key topics such as cve-2026, github, trivy, кража, обнаружение.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com”
Thanks to the high frequency of updates (latest data received on 23 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
41 266
Subscribers
+524 hours
+197 days
+10530 days
Data loading in progress...
Similar Channels
Tags Cloud
Incoming and Outgoing Mentions
---
---
---
---
---
---
Attracting Subscribers
June '26
June '26
+242
in 12 channels
May '26
+386
in 7 channels
Get PRO
April '26
+350
in 10 channels
Get PRO
March '26
+309
in 10 channels
Get PRO
February '26
+433
in 14 channels
Get PRO
January '26
+389
in 13 channels
Get PRO
December '25
+443
in 14 channels
Get PRO
November '25
+414
in 11 channels
Get PRO
October '25
+304
in 10 channels
Get PRO
September '25
+306
in 15 channels
Get PRO
August '25
+429
in 11 channels
Get PRO
July '25
+451
in 25 channels
Get PRO
June '25
+255
in 12 channels
Get PRO
May '25
+402
in 17 channels
Get PRO
April '25
+351
in 13 channels
Get PRO
March '25
+579
in 39 channels
Get PRO
February '25
+377
in 12 channels
Get PRO
January '25
+261
in 16 channels
Get PRO
December '24
+667
in 21 channels
Get PRO
November '24
+565
in 19 channels
Get PRO
October '24
+652
in 26 channels
Get PRO
September '24
+914
in 26 channels
Get PRO
August '24
+600
in 19 channels
Get PRO
July '24
+496
in 14 channels
Get PRO
June '24
+485
in 18 channels
Get PRO
May '24
+504
in 15 channels
Get PRO
April '24
+604
in 20 channels
Get PRO
March '24
+722
in 18 channels
Get PRO
February '24
+769
in 30 channels
Get PRO
January '24
+661
in 13 channels
Get PRO
December '23
+1 145
in 20 channels
Get PRO
November '23
+817
in 35 channels
Get PRO
October '23
+571
in 26 channels
Get PRO
September '23
+458
in 0 channels
Get PRO
August '23
+1 137
in 0 channels
Get PRO
July '23
+789
in 0 channels
Get PRO
June '23
+618
in 0 channels
Get PRO
May '23
+682
in 0 channels
Get PRO
April '23
+442
in 0 channels
Get PRO
March '23
+953
in 0 channels
Get PRO
February '23
+554
in 0 channels
Get PRO
January '23
+775
in 0 channels
Get PRO
December '22
+700
in 0 channels
Get PRO
November '22
+600
in 0 channels
Get PRO
October '22
+705
in 0 channels
Get PRO
September '22
+553
in 0 channels
Get PRO
August '22
+359
in 0 channels
Get PRO
July '22
+1 512
in 0 channels
Get PRO
June '22
+440
in 0 channels
Get PRO
May '22
+1 277
in 0 channels
Get PRO
April '22
+1 378
in 0 channels
Get PRO
March '22
+1 618
in 0 channels
Get PRO
February '22
+423
in 0 channels
Get PRO
January '22
+1 212
in 0 channels
Get PRO
December '21
+1 356
in 0 channels
Get PRO
November '21
+608
in 0 channels
Get PRO
October '21
+863
in 0 channels
Get PRO
September '21
+2 094
in 0 channels
Get PRO
August '21
+1 022
in 0 channels
Get PRO
July '21
+485
in 0 channels
Get PRO
June '21
+336
in 0 channels
Get PRO
May '21
+879
in 0 channels
Get PRO
April '21
+1 034
in 0 channels
Get PRO
March '21
+680
in 0 channels
Get PRO
February '21
+1 450
in 0 channels
Get PRO
January '21
+627
in 0 channels
Get PRO
December '20
+12 266
in 0 channels
| Date | Subscriber Growth | Mentions | Channels | |
| 23 June | +10 | |||
| 22 June | +8 | |||
| 21 June | +1 | |||
| 20 June | +13 | |||
| 19 June | +12 | |||
| 18 June | +8 | |||
| 17 June | +10 | |||
| 16 June | +11 | |||
| 15 June | +8 | |||
| 14 June | +6 | |||
| 13 June | +1 | |||
| 12 June | +6 | |||
| 11 June | +11 | |||
| 10 June | +27 | |||
| 09 June | +8 | |||
| 08 June | +14 | |||
| 07 June | +2 | |||
| 06 June | +7 | |||
| 05 June | +8 | |||
| 04 June | +14 | |||
| 03 June | +17 | |||
| 02 June | +17 | |||
| 01 June | +23 |
Channel Posts
Восьмилетняя use-after-free уязвимость высокой степени серьезности в системе безопасности KNOX от Samsung сделала миллионы устройств Galaxy на базе Android, начиная с S9 и заканчивая S25, уязвимыми для атак на ядро.
CVE‑2026‑20971 (CVSS 7.8) может быть использована через взаимодействие между PROCA и FIVE.
PROCA, система аутентификации процессов, является проприетарной подсистемой в ядре устройств Samsung, предназначенной для предотвращения выполнения несанкционированных процессов.
Она проверяет подлинность процессов с помощью FIVE, подсистемы проверки целостности на стороне ядра, основанной на модели измерения целостности Linux и расширенной Samsung.
FIVE отслеживает уровень доверия в каждом запущенном процессе, используя объект task_integrity, который записывает его состояние безопасности.
Если процесс изменяется, например, создает дочерний процесс, дочерний процесс вызывает execve(), который запускает новую проверку целостности и отбрасывает старую.
Это должно происходить мгновенно, но тут в дело вступает вытесняющее ядро Android, внутри которого все это работает. В результате образуется крошечное окно, которое, если оно достижимо, является классической целью для состояния гонки с использованием освобожденной памяти.
Из-за вытесняющего ядра поток может быть приостановлен между чтением указателя и его использованием. Целевая задача выполняет execve(), а именно task_integrity_put(old_tint), освобождая исходную структуру. proc_integrity_value_read() возобновляет выполнение и вызывает task_integrity_user_read() с указателем на освобожденную память.
Исследователи LucidBit Labs полагают, что эксплуатация этой уязвимости достаточно сложная, но возможная. Встроенная в ядро целостность потока управления (KCFI) сделала это практически невозможным, но не совсем.
Она не устранила уязвимость, но закрыла произвольные вызовы функций, которые являются наиболее опасным путем эксплуатации.
LucidBit Labs заявляет, что уязвимость может быть активирована из ненадежного приложения и может привести к повреждению памяти ядра, потенциально предоставляя злоумышленнику путь к более глубокому контролю над устройством.
Исследователи сообщили о своих выводах Samsung, которая исправила проблему в обновлении от января 2026 года.
При этом она существовала на нескольких поколениях устройств Samsung, включая Galaxy S9–S25, устройства серии A, а также модели на базе процессоров Exynos и Qualcomm. В своем уведомлении Samsung отметила затронутые версии Android 13, 14, 15 и 16.
| 2 | Исследователи Лаборатории Касперского обнаружили продолжающуюся кампанию по распространению вредоносного ПО, использующего взломанные учетные записи WhatsApp для распространения вредоносных VBScript-вложений.
Вложенные файлы устанавливают ManageEngine Endpoint Central, легитимный инструмент удаленного управления, который предоставляет злоумышленникам удаленный доступ к зараженным системам.
Кампания затронула пользователей Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом на Малайзию приходится примерно 80% выявленных случаев заражения.
При этом вредоносные вложения распространялись через взломанные аккаунты WhatsApp их контактам, что указывает на использование злоумышленниками доверительных отношений для реализации атаки. Метод взлома аккаунтов остается неизвестным.
Вредоносные файлы замаскированы под деловые и финансовые документы с использованием таких названий, как «Financial Reports.vbs», «Account Statement.vbs» и «Outstanding Payment List.vbs».
В ЛК также обнаружили локализованные варианты на португальском, французском, немецком и малайском языках, что указывает на широкомасштабную международную атаку.
Основная цель кампании - пользователи WhatsApp Desktop и WhatsApp Web. Для заражения требуется взаимодействие с пользователем: получатели должны загрузить вложение, а затем открыть его.
После выполнения скрипт VBScript запускается через Windows Script Host (WScript.exe), создает скрытые каталоги в C:\Users\Public\Documents\ и загружает дополнительные полезные нагрузки с контролируемой злоумышленником инфраструктуры.
По данным ЛК, задействовались различные методы обфускации, включая закодированные скрипты, случайные имена переменных, мусорный код и восстановление строк.
Некоторые варианты также используют легитимные утилиты Windows, такие как curl.exe, bitsadmin.exe, certutil.exe и PowerShell, для получения дополнительных полезных нагрузок.
Второй этап включает два файла VBScript. Один из них многократно пытается изменить параметр контроля учетных записей пользователей Windows (UAC) ConsentPromptBehaviorAdmin, что может уменьшить количество запросов на административные действия, если пользователь предоставит повышенные привилегии. Другой загружает и распаковывает ZIP-архив, содержащий полезную нагрузку следующего этапа.
В итоге устанавливается ManageEngine Endpoint Central, используемая для развертывания ПО, удаленной поддержки и системного администрирования.
Архив содержит установщик агента Endpoint Central (UEMSAgent.msi), сертификаты, файлы конфигурации и вредоносный скрипт запуска (setup1.vbs), который незаметно устанавливает агент с помощью msiexec.exe.
Анализ встроенного файла DCAgentServerInfo.json выявил несколько серверов С2, включая один IP, ранее связанный с инфраструктурой ValleyRAT и Gh0st.
Однако, по мнению ЛК, имеющихся артефактов недостаточно, чтобы приписать эту активность к известному злоумышленнику. Несмотря на обнаружение ряда образцов VBScript с комментариями и заметками на китайском языке, китайское происхождение актора маловероятно.
Технические подробности - в отчете. | 1 835 |
| 3 | Исследователи SOCRadar сообщают, что в ходе масштабной кампании FortiBleed использовались специальные анализаторы трафика для сбора секретных данных аутентификации из скомпрометированных межсетевых экранов и кражи учетных данных.
Операция была нацелена на более чем 430 000 межсетевых экранов FortiGate по всему миру и стартовала как минимум с февраля 2026 года.
Исследователи полагают, что злоумышленник выступает в роли посредника первоначального доступа (IAB), используя подбор учетных данных, атаки методом перебора, сбор учетных данных и взлом паролей в автономном режиме для получения доступа к корпоративным сетям.
По их мнению, задействовался инструмент на основе Golang под названием FortigateSniffer, который злоупотребляет встроенной в FortiOS функцией диагностики и анализа пакетов для перехвата трафика аутентификации, проходящего через скомпрометированные устройства FortiGate.
Злоумышленники использовали эту легитимную функцию на скомпрометированных устройствах для кражи учетных данных из сетевого трафика, проходящего через межсетевой экран.
Упомянутый нструмент предназначен для мониторинга трафика на предмет учетных данных, хэшей паролей и секретных ключей аутентификации, передаваемых по различным протоколам (по 24), включая RADIUS, NTLM, Kerberos и LDAP.
Примечательно, что на прошлой неделе Fortinet заявляла, что этот инцидент представляет собой совокупность ранее скомпрометированных учетных данных, а не новую уязвимость или инцидент, но отчет SocRadar указывает на активную кампанию по компрометации VPN-устройств.
Злоумышленник развернул на скомпрометированных устройствах FortiGate фреймворк для сбора учетных данных под названием FortigateSniffer, предварительно получив административный доступ путем подбора учетных данных и атак методом перебора.
По имеющимся данным, этот инструмент подключается к устройствам FortiGate по SSH и запускает команду анализа пакетов FortiOS diagnose sniffer.
Команда diagnose sniffer packet - это встроенный диагностический инструмент FortiOS, который администраторы используют для устранения неполадок с подключением, аутентификацией и производительностью сети.
Команда позволяет администраторам в режиме реального времени проверять сетевой трафик, проходящий через межсетевой экран FortiGate, что полезно для выявления сбоев подключения, проблем с маршрутизацией и ошибок аутентификации.
Данные пакетов, собранные с устройств FortiGate, обрабатывались компонентом под названием SNIFTRAN, который восстанавливал захваченный трафик в файлы PCAP.
Затем полученные данные были обработаны с помощью инструментария глубокого анализа PCAP на основе Python, который извлекал из сетевого трафика учетные данные в открытом виде, хэши паролей, билеты Kerberos, материалы аутентификации NTLM, учетные данные электронной почты, учетные данные баз данных и другие артефакты аутентификации.
Затем инструментарий генерировал файлы, готовые для использования с Hashcat, содержащие хеши NTLM и Kerberos, и извлекал учетные данные в открытом виде из таких протоколов, как SMTP, IMAP, POP3, MySQL и RADIUS, если таковые имелись.
В свою очередь, Кевин Бомонт предположил, что злоумышленники также получили хешированные учетные данные, загрузив файлы конфигурации FortiGate с скомпрометированных устройств.
Затем злоумышленники извлекли хешированные учетные данные и взломали их с помощью Hashcat и 36 графических процессоров корпоративного класса. Взлом паролей осуществлялся на платформе компании GenAI, которая сдает в аренду вычислительные ресурсы GPU.
Причем оба варианта анализа кампании подтверждают наличие специализированных платформ для взлома на базе графических процессоров, обнаруженных на серверах злоумышленника.
Пользователям устройств Fortinet доступен список IP, на которые нацелена кампания дабы свериться и выяснить, не были ли какие-либо из их систем атакованы или скомпрометированы. | 2 616 |
| 4 | • Вышел 8-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute.
• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!
S.E. ▪️ infosec.work ▪️ VT | 3 526 |
| 5 | Злоумышленники приступили к задействованию уязвимости, позволяющей получить конфиденциальную информацию, в плагине WordPress Gravity SMTP, активно используемом на 100 000 сайтах.
Уязвимость отслеживается как CVE-2026-4020 и получила средний уровень серьезности, затрагивает все версии плагина, начиная с 2.1.4 и старше, и была устранена в версии 2.1.5, выпущенной 17 марта.
Defiant предупреждает, что хакеры активно используют эту уязвимость. Межсетевой экран Wordfence от Defiant заблокировал более 17 млн. попыток взлома сайтов.
Проблема связана с открытым REST API-интерфейсом в Gravity SMTP, чей параметр permission_callback всегда возвращает true, что позволяет неаутентифицированным GET-запросам получать исчерпывающий JSON-отчет о состоянии системы, сгенерированный плагином.
При этом открытая информация может содержать:
- ключи API, секреты и токены OAuth для настроенной интеграции с электронной почтой;
- учетные данные для сторонних почтовых сервисов, включая Amazon SES, Google, Mailjet, Resend и Zoho;
- подробная информация о конфигурации WordPress, включая установленные плагины, темы и версии ПО;
- данные о сервере и среде PHP;
- конфигурации базы данных, включая версию сервера и имена таблиц.
Несмотря на средний уровень опасности, CVE-2026-4020 может быть использована без аутентификации, а полученная информация может быть использована для кражи учетных данных почтового сервиса.
Это позволяет злоумышленнику выдавать себя за жертву перед третьими лицами, а также получать подробную информацию о ПО сайта и потенциальных уязвимостях.
Раскрытие учетных данных сторонних API в режиме реального времени означает, что злоумышленник может злоупотреблять подключенными к сайту почтовыми сервисами, а системный отчет значительно снижает усилия, необходимые для планирования дальнейших атак на сайт.
По данным Wordfence, активность злоумышленников резко возросла 7 июня, в тот день было заблокировано 4 млн. запросов. Аналогичная активность наблюдалась в течение нескольких последующих дней.
Wordfence составила список наиболее распространенных IP-адресов, с которых поступают запросы на использование уязвимостей, и администраторам веб-сайтов следует добавить эти адреса в свои списки блокировки.
Ключевым признаком компрометации являются запросы к /wp-json/gravitysmtp/v1/tests/mock-data, обнаруженные в журналах доступа веб-сервера, особенно те, которые содержат параметр запроса ?page=gravitysmtp-settings.
Вчера Wordfence также выпустила отдельное предупреждение о критической уязвимости, приводящей к произвольному удалению файлов без аутентификации, в плагине Avada Builder для WordPress, используемом на миллионе сайтов.
Данная уязвимость отслеживается как CVE-2026-8713 и позволяет злоумышленникам удалять произвольные файлы на сервере посредством обхода путей, при условии, что опубликованная форма Avada настроена на сохранение данных, отправленных в базу данных.
Удаление критически важных файлов, таких как wp-config.php, может вернуть сайт в исходное состояние, что потенциально может привести к полному захвату сайта и удаленному выполнению кода.
Проблема была исправлена в версии 3.15.4, которая является рекомендуемой целевой версией для обновления администраторов сайта. Активной эксплуатации CVE-2026-8713 пока не обнаружено, но это пока, так что настоятельно рекомендуется принять оперативные меры. | 5 036 |
| 6 | Уже по меньшей мере пять компаний в сфере ИБ стали жертвами кражи учетных записей Salesforce Business в рамках серии хакерских атак, источник которых был отслежен до платформы бизнес-аналитики Klue.
Компания призналась в блоге, что утечка данных в Klue произошла на прошлой неделе.
Хакеры получили доступ к платформе через «скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции», а затем украли токены OAuth, которые клиенты использовали для подключения Klue к другим сторонним сервисам, таким как Salesforce.
После кражи токенов хакеры начали подключаться к учетным записям клиентов в Salesforce и красть их данные, что вызвало оповещения в Huntress и ReliaQuest, которые начали расследование и позже уведомили Klue о результатах.
На данный момент восемь компаний подтвердили утечки данных, связанные с Klue. Среди известных: Huntress, ReliaQuest, Recorded Future (признана нежелательной), Jamf, Tanium, Sprout Social, Gong и Insurity.
В свою очередь, Klue заявляет, что в настоящее время сотрудничает с CrowdStrike в рамках расследования инцидента. На данный момент точно известно, что список пострадавших, вероятно, пополнится в ближайшие недели, поскольку Klue начнет уведомлять других клиентов.
Компания приняла меры по локализации злоумышленников и блокировке их доступа путем аннулирования учетных данных, токенов и активных интеграций.
Помимо Salesforce, Klue имеет интеграции с Hubspot, Zoom, Google Drive и другими сервисами, но конфиденциальные финансовые данные и персональная информация хранятся в Salesforce, поэтому неудивительно, почему они выбрали именно эту интеграцию в первую очередь.
Новая хакерская группа, называющая себя Icarus, взяла на себя ответственность за взлом, опубликовав в выходные запись на своем сайте утечек в даркнете. О группе пока мало что известно.
Сейчас Icarus пытается шантажировать Klue и также предупреждает компании, что если платформа не хочет платить, им следует связаться с ней, чтобы избежать утечки украденных данных.
Инцидент имеет все признаки классической кампании ShinyHunters, как и их первоначальные нападки на Salesforce, Salesloft Drift и Gainsight, отсюда и. Продолжаем следить. | 5 287 |
| 7 | Fortinet отреагировала на кампанию FortiBleed, в рамках которой злоумышленники собрали базу данных, содержащую более 86 000 подтвержденных рабочих учетных данных для устройств Fortinet в 194 странах.
Поставщик заявляет, что масштабная кампания по сбору учетных данных, направленная в настоящее время на межсетевые экраны и VPN-сети ее клиентов, не включает новые уязвимости.
На основании собственного анализа в Fortinet считают, что в ходе этой деятельности злоумышленники повторно используют учетные данные из предыдущих инцидентов и применяют методы перебора паролей к устройствам со слабыми паролями и без MFA.
В предыдущих инцидентах, о которых упоминает Fortinet, речь шла об использовании трех уязвимостей, позволяющих обойти аутентификацию при входе в FortiCloud SSO: CVE-2026-24858, исправленная в январе, и CVE-2025-59718 на пару с CVE-2025-59719, устраненные в декабре.
Fortinet предоставила подробные инструкции в публикации прошлых предупреждений, и по-прежнему настоятельно рекомендует всем клиентам убедиться в том, что эти меры по устранению проблем были в полном объеме реализованы..
В марте компания предупреждала об использовании злоумышленниками ИИ для автоматизации идентификации целей и подбора паролей в широкомасштабных атаках, направленных на плохо защищенные периферийные устройства.
В сообщении отмечается, что FortiBleed использует те же методы, а не новую уязвимость Fortinet. Компания выявила потенциально скомпрометированные системы, начала уведомлять пострадавших клиентов и подключив также правоохранительные органы.
Клиентам, у которых были взломаны FortiGate, рекомендуется завершить административные и VPN-сессии, сменить учетные данные, внедрить MFA для всех учетных записей администраторов и пользователей VPN, а также обновить ПО до версий, поддерживающих хеширование учетных данных администратора с помощью PBKDF2.
Кроме того, следует проверить учетные записи и конфигурации пользователей брандмауэра и VPN на предмет несанкционированных изменений, проверить журналы на предмет неожиданного доступа администратора и ограничить внешнее управление доверенными хостами. | 5 383 |
| 8 | Новая уязвимость позволяет обходить защиту загрузки Apple, не подлежит исправлению, а исследователи даже выпустили PoC.
Paradigm Shift раскрыла подробности новой уязвимости BootROM, которая затрагивает миллионы iPhone и не подлежит устранению в рамках обновления ПО.
Она получила название Usbliter8 и нацелена на SecureROM от Apple. SecureROM, постоянно встроенный в SoC устройства, является первым кодом, который iPhone запускает при загрузке, и основой всей цепочки безопасной загрузки Apple.
Usbliter8 объединяет ошибку контроллера USB и уязвимость в конфигурации прошивки устройства.
Эксплойт, требующий физического доступа к целевому устройству через USB, работает в отношении iPhone с чипами A12 и A13 - включая iPhone XS, XR и 11 - и Apple Watch с чипами S4 и S5. Стоит отметить, что затронутые чипы были выпущены в 2018 и 2019 годах.
Атака Usbliter8 заключается в том, что злоумышленник подключает специальное USB-устройство (например, Raspberry Pi Pico 2 или аналогичную плату микроконтроллера) к целевому iPhone и отправляет ему специально сформированные пакеты настройки USB.
Атака инициирует запись за пределы допустимого диапазона, позволяя злоумышленнику перезаписать критически важные данные в памяти и в конечном итоге получить контроль над процессором, повысить привилегии и выполнить произвольный код с полными системными правами.
Проверки цифровой подписи Apple обходятся, что позволяет хакеру добиться полного выполнения кода на самом низком уровне устройства еще до загрузки ОС. Злоумышленник может загрузить неподписанное ПО или снизить уровень безопасности устройства.
Однако эксплойт не может быть напрямую использован для доступа к пользовательским данным. Исследователи отметили, что процессор защищенного анклава Apple (SEP), отдельный процессор безопасности, защищающий пользовательские данные, не компрометируется напрямую этим эксплойтом.
Кончено, хотя и usbliter8 сам по себе не затрагивает SEP, но открывает более широкие возможности для атаки с целью компрометации Secure Enclave.
При этом удаленно осуществить атаку невозможно, и тем не менее подобная уязвимость может быть весьма полезна для поставщиков решений в области мобильной криминалистики.
Влияние Usbliter8 аналогично Checkm8, эксплойта BootROM 2019 года, который сделал целое поколение iPhone навсегда уязвимыми для джейлбрейка.
Paradigm Shift сообщила о результатах Apple до их публикации, но там публично на них никак не отреагировали на результаты и более того - отказались от каких-либо комментариев. | 5 435 |
| 9 | 😎C удовольствием посмотрел выпуск на канале блогера Александра Соколовского, в гостях у которого был главный технологический эксперт «Лаборатории Касперского» Александр Гостев. Почти 2 часа разговоров про хакеров, ИИ, мошенников, кибербезопасность, 📲 безопасность мессенджеров...Всё, как мы любим)
👍Рекомендую найти возможность посмотреть ролик.
Как пишет сам Александр у себя на сайте, он многопрофильный эксперт по информационной безопасности. Три десятилетия находится на переднем крае индустрии как исследователь, основатель GReAT, советник и инвестор. В «Лаборатории Касперского» с 2002 года — строил систему Threat Intelligence.
В 2008 году основал Глобальный центр исследований и анализа угроз (GReAT) и был главным редактором Securelist.com. Исследования охватывают глубокий анализ вредоносного ПО, кибершпионаж, атрибуцию APT и пересечение геополитики с цифровыми войнами.
С 2020 года — главный технологический эксперт «Лаборатории Касперского»: M&A, технологический скаутинг, инвестиционный due diligence, консультации по Kaspersky OS и угрозам IoT.
📲 https://youtu.be/jlTkpLfdN78
✋ @Russian_OSINT | 5 270 |
| 10 | В киберподполье сегодня не без новостей:
1. Исследователи Google отследили TeamPCP. За хакерской группой, которая за последние девять месяцев совершила несколько атак на цепочки поставок, возможно, стоит один человек, действующий из Южной Африки.
Расследование позволило задетектить активность TeamPCP по IP-адресам в стране. В свою очередь, Palo Alto Networks считает, что подозреваемый выходит в интернет под псевдонимом ResoluteXBF, а также привлекает двух других сообщников.
2. Админы хакерского форума DarkForums засветили IP-адрес своего частного «анонимного» мессенджера XMPP.
3. Как сообщают в KELA, ни один из действующих в настоящее время клонов BreachForums больше не имеет никакого отношения к оригинальному форуму.
Все клоны были забракованы админами оригинального BreachForums и превратились в выделенные платформы киберпреступности с уникальной клиентурой.
По данным KELA, у нынешних клонов практикуются различные бизнес-модели, которые варьируются от вербовки вымогателей до продажи скомпрометированных учетных данных, утечки данных и вымогательства, а также посредничества в атаках на цепочки поставок.
Причем операторы клонов часто атакуют друг друга, раскрывая личные данные администраторов, пытаясь таким образом переманить наиболее активную клиентуру к себе.
4. Cato Networks профилировала ShinyHunters, злоумышленника, пережившего три блокировки форумов и арест пяти администраторов.
5. Банда вымогателей Gentlemen разработала собственную систему EDR-killer, которую исследователи называли GentleKiller.
У инструмента как минимум восемь вариантов. По данным ESET, каждый вариант GentleKiller использует разные уязвимые драйверы для получения привилегий на уровне ядра через BYOVD.
GentleKiller нацелен на более чем 400 процессов, связанных примерно с 48 поставщиками/продуктами в области безопасности, такими как Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix и Kaspersky.
Это одна из нескольких используемых ими систем, наряду с другими, включая HexKiller (ранее использовавшийся бандой Warlock), ThrottleBlood (связанный с атаками MesudaLocker и DragonForce) и HavocKiller.
Gentlemen выбирает цели на основе конфигурации их устройств FortiGate. Это особенно интересно, учитывая недавную утечку FortiBleed, набора из почти 74 000 учетных данных VPN для FortiGate.
6. Acronis представила подробный обзор деятельности банды вымогателей INC, которая постепенно превратилась в одну из крупнейших группировок, занимающихся вымогательством как услугой (RaaS) на рынке в наши дни, на счету которой не менее 830 жертв с августа 2023 года.
7. Исследователи Malwarebytes проанализировали Prinz Eugen, новый штамм ransomware на языке Go, который с апреля используется в очень ограниченном количестве атак. Группа также управляет сайтом DLS в даркнете, на котором в настоящее время указаны только три жертвы.
8. Хакеры через атаки на цепочку поставок похитили данные из экземпляров Salesforce клиентов Klue, включая ИБ-компании Huntress и Recorded Future, которые подтвердили инцидент.
Атака началась 11 июня и затронула системы, связанные с интеграцией программных платформ. Хакеры подключились к бэкэнд-серверам Klue и выполнили несанкционированные команды, распространив обновление кода для сбора токенов OAuth для интеграций Klue у клиентов.
Атака повторяет схему, наблюдавшуюся в предыдущих инцидентах с Salesforce, Salesloft Drift и Gainsight, которые были приписаны ShinyHunters и UNC6395, но, по всей видимости, была осуществлена новым злоумышленником.
По данным Huntress, с высокой степенью уверенности за взлом Klue и эту атаку на цепочку поставок ответственен злоумышленник Icarus. | 6 087 |
| 11 | Исследователи Positive Technologies представили результаты анализа ландшафта общемировых киберугроз веб-приложений и инфраструктуры разработки, отметив основные тренды и прогнозы 2026-2027 гг.
Исследование достаточно объемное, остановимся на главных цифрах:
- По итогам 2025 каждая пятая успешная атака на организации была направлена на веб-ресурсы. Наибольшее число успешных атак пришлось на веб-ресурсы госучреждений (28%), ИТ-компаний (8%) и транспортных организаций (8%).
- В отдельных отраслях злоумышленники чаще нацеливаются на веб-ресурсы, чем на другие объекты. В 2025 году в успешных кибератаках на онлайн-сервисы на категорию веб-ресурсов пришлось 79% инцидентов. Более трети успешных атак против транспортных организаций (38%) и госучреждений (35%) были также направлены на веб-ресурсы. Доля веб-сервисов в успешных атаках на финансовые организации заметно снизилась и составила 15%, снизившись на 7 п.п. к 2024 году.
- Доля успешных кибератак, направленных на DoS, составила 46% - практически половину от всех инцидентов среди веб-ресурсов, что в два раза больше в сравнении с 2024 годом. Чаще всего метод DDoS-атак в 2025 году применялся против веб-сервисов телекоммуникационных организаций (79%), госучреждений (76%), а также финансовых организаций (64%) и логистических компаний (63%).
- Эксплуатация уязвимостей является одним из ключевых методов компрометации веб-приложений: в мировом ландшафте в 2025 году на него пришлось 40% успешных кибератак. Доля успешных кибератак, в которых применялись скомпрометированные учетные данные, составила 17%.
Вредосноое ПО применялось в 17% успешных атак на веб-ресурсы. Практически каждый второй атакованный с применением ВПО веб-сервис столкнулся с внедрением инфостилеров, а каждый четвертый взлом веб-приложения с применением ВПО привел к внедрению программ-вымогателей.
- Российские веб-ресурсы в 2025 году чаще всего подвергались DDoS-атакам - в 48% инцидентов. Значительная доля успешных кибератак была реализована путем эксплуатации уязвимостей (43%), а в каждом пятом инциденте (21%) применялось ВПО.
- Компрометация популярных open-source-пакетов, библиотек и инструментов активно применяется в отношении организаций, запуская каскадные серии атак через компрометацию цепочки поставок и через компрометацию доверенных поставщиков услуг. Чаще всего атаки через экосистему открытого ПО были нацелены на кражу учетных данных с использованием стилеров (49%) и получение удаленного доступа к системам разработчиков через бэкдоры и трояны удаленного доступа (36%). В 2025 году наблюдалось появление нового типа вредоносов в экосистеме открытого ПО - самораспространяющихся червей в реестре npm, которые приводили к массовым компрометациям популярных пакетов. Активно развивается тренд на создание вредоносного контента для ИИ-ассистентов разработки: поддельные MCP-серверы и вредоносные навыки размещаются на GitHub или на специализированных маркетплейсах.
- В общемировом ландшафте угроз наиболее частым последствием успешных атак на веб-приложения в 2025 году стало нарушение основной деятельности (62%). К утечке информации по итогам 2025 года привело 23% инцидентов. В результате успешных атак на веб-приложения наибольшая доля утечек пришлась на учетные данные (30%). Значимые доли утечек также традиционно составляют персональные данные (23%) и коммерческая тайна (8%).
- Наиболее частым последствием успешных атак на веб-приложения российских организаций в 2025 году стало нарушение основной деятельности (75%). Каждая третья успешная атака приводила к утечке конфиденциальной информации (34%).
- В 2025 году в общемировом ландшафте угроз киберпреступники также нередко использовали скомпрометированные веб-ресурсы для проведения дальнейших атак - доля таких инцидентов составила 17%. Чаще всего взломанные веб-приложения использовались для проведения атак на клиентов или партнеров организации (38%), размещения ВПО на ресурсе компании (35%) и для проведения фишинговых атак (23%). | 5 631 |
| 12 | На этой неделе главная разведывательная служба Канады получила судебный ордер на превентивное удаление вредоносного ПО загадочного ботнета из канадских систем, в том числе на серверах, домашних маршрутизаторах и смарт-устройствах.
Предположительно, все устройства были частью неназванной ботнет-сети, обеспечивающей прокси-серверы. Подобные ботнеты очень популярны и позволяют маскировать источник атак и анонимизацию, создавая видимость поступления вредоносного трафика из локальной домашней сети.
По данным Canadian Press, ботнет, предположительно, использовался злоумышленником для «продвижения своих финансовых, политических, идеологических и экономических интересов».
К сожалению, никаких других подробностей в отношении этой загадочной группы нет, поскольку имя злоумышленника засекречено в решении суда.
В своем запросе на ордер Канадская служба разведки и безопасности (CSIS) заявила, что реализует нейтрализацию «как можно скорее», и неясно, была ли она уже проведена.
При этом появление ордера совпало с новым витком операции Эндгейм под эгидой Европола, которая также проходила на этой неделе.
Новый этап был нацелен на ботнет SocGolish, объединяющий зараженные веб-сайты. Силовики Европола, Канады, США, Германии и Нидерландов изъяли 106 серверов и доменов, используемых для управления ботнетом.
SocGolish действовала почти десять лет и использовалась для перехвата трафика со взломанных веб-сайтов и перенаправления пользователей на вредоносные сайты, такие как мошеннические страницы, фишинговые страницы и страницы загрузки вредоносного ПО.
Интересная особенность нового этапа заключается в том, что голландская полиция также провела «дезинфекцию» 15 000 сайтов WordPress, зараженных ботнетом в Нидерландах.
Этот процесс, по всей видимости, включал в себя доступ к сайтам через их утекшие учетные данные и удаление бэкдора SocGolish, что стало первой подобной операцией для голландской полиции.
Но, честно говоря, формулировка статьи в канадских СМИ, похоже, предполагает, что CSIS могла атаковать одну из нескольких китайских ботнетов-прокси, которые становились целью аналогичных операций в США, обычно для сокрытия китайских APT-атак. | 5 344 |
| 13 | Apple выпустила обновления для устранения серьезной уязвимости в беспроводных наушниках Beats Studio Buds, которая позволяет злоумышленникам в зоне действия Bluetooth шпионить за разговорами пользователей.
Злоумышленник, находящийся в зоне действия Bluetooth, может прослушивать микрофон устройства, которое еще не сопряжено и активно запрашивает запросы на сопряжение.
Ошибка в открытом исходном коде, а Apple Software входит в число затронутых проектов. Идентификатор CVE был присвоен третьей стороной.
Apple представила обновление прошивки Beats 1B211, которое будет автоматически установлено на уязвимые наушники при их сопряжении и нахождении в зоне действия Bluetooth на iPhone, iPad или Mac пользователя.
CVE-2025-20701 была обнаружена Деннисом Хайнце и Фридером Штайнметцем из компании ERNW GmbH в системах на кристалле (SoC) Airoha.
Когда год назад на конференции по безопасности TROOPERS в Германии исследователи ERNW раскрыли информацию об этой уязвимости, они заявили, что она связана с отсутствием аутентификации в радиомодуле Bluetooth BR/EDR.
Они также разработали PoC-эксплойт, позволяющий злоумышленникам инициировать звонок и прослушивать разговоры в пределах слышимости целевого телефона.
При объединении CVE-2025-20701 с двумя другими CVE-2025-20700 и CVE-2025-20702, затрагивающими тот же уязвимый компонент, злоумышленники также могут использовать профиль Bluetooth Hands-Free Profile (HFP) для отправки команд телефону после перехвата соединения между телефоном и сопряженным аудиоустройством Bluetooth.
В большинстве случаев эти уязвимости позволяют злоумышленникам полностью захватить управление наушниками через Bluetooth. Аутентификация или сопряжение не требуются.
Уязвимости могут быть активированы через Bluetooth BR/EDR или Bluetooth Low Energy (BLE). Единственное условие - нахождение в зоне действия Bluetooth. Возможно чтение и запись в оперативную и флэш-память устройства.
Исследователи также смогли получить доступ к истории звонков и контактам, а также позвонить на произвольный номер, извлекая ключи Bluetooth-соединения из памяти уязвимого устройства.
При этом диапазон доступных команд зависит от мобильной ОС, но все основные платформы поддерживают как минимум инициирование и прием звонков.
Реальные атаки сложны в выполнении и, вероятно, должны быть нацелены только на особо важные цели, поскольку требуют технической сложности и физической близости. | 5 478 |
| 14 | Microsoft устранила известную проблему, из-за которой обновления безопасности за июнь 2026 года не устанавливались на системах Windows Server 2016, которые не были обновлены до последней версии.
Проблема была описана в сообщении службы административного портала, подтверждающем жалобы ИТ-администраторов об ошибках 0x80070002 или FILE_NOT_FOUND на затронутых системах.
В первую очередь, ошибка затронула пользователей, пытавшихся установить обновление KB5094122, не установив предварительно обновление безопасности KB5087537, выпущенное в прошлом месяце.
Microsoft заявляет, что проблема с установкой обновления безопасности решена, и на затронутых устройствах больше не должно возникать сбоев при развертывании обновления безопасности KB5094122 от июня 2026 года.
Опять на те же грабли по ходу, ведь в прошлом месяце Microsoft уже устраняла аналогичную проблему, вызывавшую сбои при установке и ошибки 0x800f0922 при развертывании обновления безопасности Windows 11 от мая 2026 года (KB5089549).
Как пояснила Microsoft, признав проблему, сбои были вызваны недостаточным свободным местом на системном разделе EFI (ESP), что привело к автоматическому откату обновления на затронутых устройствах.
Microsoft официально подтвердила наличие уязвимости нулевого дня в RoguePlanet Defender и сообщила о работе над выпуском патча для ее устранения.
Уязвимости присвоен идентификатор CVE-2026-50656 (CVSS: 7,8), технологический гигант описывает её как уязвимость, позволяющую повысить привилегии.
Это произошло почти через неделю после того, как анонимный исследователь Chaotic Eclipse (он же Nightmare-Eclipse) выпустил RoguePlanet, назвав эксплойт случаем состояния гонки, которое предоставляет злоумышленникам оболочку с привилегиями уровня SYSTEM.
RoguePlanet - это уже четвертая уязвимость в Defender, раскрытая Chaotic Eclipse в знак протеста против корпорации за некорректные процедуры BugBounty, после BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) и RedSun (CVE-2026-41091), все из которых впоследствии были исправлены Microsoft. | 5 608 |
| 15 | Исследователи Лаборатории Касперского обнаружили новую вредоносную кампанию, нацеленную на пользователей хентай-игр из категории контента для взрослых.
В апреле этого года в ходе планового мониторинга телеметрических данных исследовали обнаружили несколько подозрительных DLL-файлов. Дальнейший анализ показал, что различные версии этих DLL существовали как минимум с 2024 года.
Они распространялись вместе с играми, созданными на базе разных игровых движков и языков программирования, включая RenPy (Python), RPG Maker MV (JavaScript) и другие.
При этом все выявленные игры относились к категории хентай-игр. Во время поиска источников распространения нашлись веб-сайты, на которых ппубликовались скрины игр и ссылки для их скачивания, которые перенаправляли пользователей на бесплатный файлообменник PixelDrain.
Помимо этих сайтов, троянизированные игры также распространялись через различные торрент-трекеры, такие как AniRena. Как на специализированных сайтах, так и через торрент-трекеры зараженные игры распространялись в виде архива.
Внутри этого архива находились полностью функциональные легитимные файлы игры вместе с измененным ffmpeg.dll. Поскольку она требуется для корректной работы игры, библиотека загружается сразу после ее запуска.
При запуске зараженные игры устанавливают на компьютер пользователя новый, ранее неизвестный вредоносный имплант.
Выждав несколько дней, он скачивает и запускает троянец, что приводит к полной компрометации системы и дает злоумышленникам широкие возможности удаленного управления устройством жертвы. В ЛК назвали это семейство вредоносного ПО Argamal.
В более ранних версиях командным сервером по умолчанию выступает asper1[.]freeddns[.]org, а в последних версиях — Winst0[.]kozow[.]com. Оба домена указывают на IP-адрес 186[.]158.223.35.
Для закрепления в системе Argamal использует технику перехвата COM-объектов (COM hijacking), подменяя значение InprocServer32 для DLL компонента Windows Color System Calibration Loader.
Поскольку соответствующая задача запускается при входе пользователя в систему, вредоносное ПО получает возможность автоматически запускаться при старте ОС.
В зависимости от команды с С2 вредоносное ПО может выполнять произвольные команды на зараженной машине, перезагружать систему и завершать работу, управлять курсором, делать скрины, упаковывать файлы в архивы, отправлять их на указанные серверы и, по сути, полностью контролировать машину.
В ходе исследования также фиксировались альтернативные методы доставки RAT. Вместо модификации FFmpeg и скачивания вредоносной нагрузки с GitHub злоумышленники внедряли ее в виде libpython64.dat или другого файла с похожим именем в директорию игры lib\py3-windows-x86_64. Этот файл использовался одной из библиотек игры, модифицированной соответствующим образом.
В другом случае злоумышленники разместили вредоносный DLL-файл, скачивающий вредоносную нагрузку, на игровом форуме под видом чита.
Согласно данным телеметрии ЛК, зафиксированы сотни заражений на устройствах, принадлежащих частным лицам, причем большинство жертв находится в России, Бразилии, Германии и Вьетнаме.
На основании языка комментариев в коде, данных об инфраструктуре и других факторов мы с умеренной степенью уверенности предполагаем, что разработчики этой вредоносной цепочки говорят на испанском языке.
За время анализа в ЛК наблюдали поток регулярных обновлений вредоносной нагрузки - появлялись новые функции, исправлялись ошибки, изменялась инфраструктура. Так что злоумышленники, стоящие за этим вредоносным ПО, продолжат его развивать и совершенствовать.
Все технические подробности и IOCs - в отчете. | 5 852 |
| 16 | Исследователи F6 представили исследование новой волны атак финансово мотивированной группировки Hive0117 на финансовые подразделения компаний в России, Беларуси, Казахстане и Узбекистане.
Hive0117 действует с конца 2021 года, используя в своих атаках бесфайловое вредоносное ПО DarkWatchman. Она нацелена на финансовые отделы организаций из различных отраслей.
Злоумышленники маскируются под реальные организации, регистрируют инфраструктуру для рассылок и управляющих доменов, зачастую домены используют повторно. Для нее характерны всплески активности - после массовых рассылок обычно наступает затишье, порой до нескольких месяцев.
С начала 2026 года злоумышленники начали проводить вредоносные рассылки на бухгалтеров. Только в России адресатами киберпреступников стали свыше 3000 компаний из разных отраслей: с помощью вредоносных писем заражали компьютеры бухгалтеров и выводили деньги на счета дропов, в том числе под видом перечисления зарплаты.
Кроме того, среди получателей оказались организации из СНГ, включая как минимум 6 компаний в Беларуси (из сфер телекома, промышленности, торговли и других), 3 – в Казахстане (интернет-магазины и предприятие химической промышленности) и 1 – в Узбекистане (производитель напитков).
Пик активности пришёлся на февраль-март, после чего их количество пошло на спад и сократилось в десятки раз.
В ряде случаев рассылки вредоносных писем проводились от ранее скомпрометированной организации по её контрагентам, что увеличивало шансы преступников на результативность атаки.
Злоумышленники направляли вредоносные письма под видом обычной деловой почты. Преступники использовали, например, такие темы для писем, как: «Документы от <дата направления письма>», «Счет на оплату», «Накладная», «Акт сверки», «Задолженность по оплате».
Вредоносный файл скрывался в исполняемых EXE-файлах или в RAR-архивах под видом документов. Пароли к архивам были указаны в тексте письма – так киберпреступники пытаются скрыть вредоносное ПО от обнаружения фильтрами почтовых сервисов и антивирусов.
При открытии архива пользователь запускал скрытый внутри файл, который приводил к установке трояна удалённого доступа DarkWatchman.
Чтобы получить доступ к системам дистанционного банковского обслуживания, через которые бухгалтеры совершают платёжные операции, злоумышленники дополнительно устанавливали кейлоггер.
Она позволяла преступникам не только перехватывать данные с клавиатуры и из буфера обмена, но также проверять наличие криптографического токена, вставленного в USB-разъем компьютера.
Этот момент особенно важен для злоумышленников, так как наличие токена обязательно для аутентификации в кабинете дистанционного банковского обслуживания юридического лица.
Как только бухгалтер на зараженном компьютере вставляет криптографический токен в USB-разъем устройства, злоумышленники доустанавливают ещё одну программу.
Как правило, это средство удаленного администрирования или троян удалённого доступа, позволяющий управлять экраном зараженного устройства.
В итоге злоумышленникам становятся доступны сохранённые в браузере пароли, активные сессии и другие пользовательские данные. Бухгалтер, находясь за компьютером, может не замечать активности злоумышленников, которая происходит в это же время.
По оценкам F6, с начала 2026 года около 400 атак Hive0117 на российские компании оказались успешными. Средняя сумма ущерба от этих атак в марте-апреле выросла с 3 млн. до 10 млн. руб.
Технические подробности и IOCs - в отчете. | 7 049 |
| 17 | Атака на цепочку поставок затронула ShapedPlugin, разработчика плагинов для WordPress, имеющего более 400 000 активных установок своих общедоступных решениях. Внедрение плагинов с бэкдором осуществлялось через официальную инфраструктуру обновлений.
Вредоносная ПО предоставляла злоумышленникам постоянный доступ к сайтам, похищала учетные данные администратора и секреты 2FA, а также использовала множество механизмов удаленного доступа.
Атаку заметили исследователи Wordfence после получения уведомления о подозрительной активности 11 июня 2026 года.
В ходе расследования обнаружили, что злоумышленники скомпрометировали конвейер сборки и распространения ShapedPlugin, внедряя вредоносный код в пакеты платных плагинов, распространяемые через систему обновлений Easy Digital Downloads (EDD) поставщика.
ShapedPlugin незамедлительно начала расследование после получения уведомления и готовит проверенные версии плагина после проведения проверок безопасности и валидационного тестирования.
Wordfence подтвердила, что скомпрометированные копии Real Testimonials Pro версии 3.2.5 распространялись через официальную точку обновления ShapedPlugin еще 12 июня. Исследователи также связали атаку с Product Slider Pro для WooCommerce и Smart Post Pro.
Вредоносные пакеты содержали файл LicenseLoader.php, который автоматически загружался в административной панели WordPress. Загрузчик связывался с C2 по адресу 194.76.217.28:2871, загружал полезную нагрузку второго этапа, устанавливал её как фейковый плагин, сообщал злоумышленникам домен жертвы, а затем удалял себя, чтобы затруднить криминалистический анализ.
Вредоносная ПО маскировалась под плагины с названиями woocommerce-subscription или woocommerce-notification, имитируя легитимные расширения WooCommerce.
Она включала в себя несколько инструментов для злоумышленников, в том числе Tiny File Manager 2.6, Adminer 5.2.1, веб-оболочку, бэкдор для REST API, компоненты для кражи учетных данных и механизм обхода авторизации.
Вредоносная ПО перехватывала события аутентификации WordPress для сбора имен пользователей, паролей, сессионных файлов cookie, IP-адресов, сведений о браузере и прав доступа пользователей.
Также целью атаки были секретные TOTP-коды, хранящиеся в нескольких популярных плагинах двухфакторной аутентификации WordPress, включая WP 2FA, Wordfence Login Security, Really Simple SSL 2FA и Two-Factor. Украденная информация передавалась на generate.2faplugin.org.
Wordfence утверждает, что имеющиеся доказательства указывают на компрометацию конвейера сборки ShapedPlugin, а не на простое изменение пакетов.
Анализ временных меток показал, что за двухчасовой промежуток 21 мая 2026 года было изменено всего четыре файла, что указывает на автоматизированный процесс внедрения.
Исследователи также обнаружили ссылки на частные репозитории Git в метаданных плагина и заметили изменения в схемах развертывания, связанные с рабочим процессом выпуска ShapedPlugin.
По всей видимости, злоумышленники имели доступ как к бесплатным, так и к коммерческим каналам распространения, но выборочно внедряли бэкдоры в платные плагины, вероятно, чтобы избежать обнаружения и нацелиться на более ценных жертв.
Более масштабная уязвимость отслеживается как CVE-2026-10735, в то время как Product Slider Pro ранее был обозначен как CVE-2026-49777.
Wordfence рекомендует всем пользователям платных плагинов ShapedPlugin в период с апреля по июнь 2026 года, исходить из того, что их сайт мог быть взломан.
Следует выполнить сканирование на наличие вредоносных ПО, проверить наличие подозрительных плагинов, удалить несанкционированные учетные записи, обновить учетные данные WordPress, базы данных, SMTP и API, а также сгенерировать заново все секреты 2Fa. | 6 675 |
| 18 | В продолжение предыдущего материала в отношении масштабной утечки FortiBleed:
Исследователь Кевин Бомонт независимо проверил часть скомпрометированных данных и сообщил также, что некоторые учетные данные являются подлинными.
После дальнейшего анализа данных, Бомонт опубликовал дополнительные результаты, указывающие на то, что набор данных содержит учетные данные примерно для 75 000 устройств Fortinet, большинство из которых остаются подключенными к сети.
По словам Бомонта, данные, по всей видимости, получены из экспортированных конфигураций Fortinet, поскольку содержат информацию, включая адреса электронной почты, которая обычно доступна только через конфигурационные файлы.
Он также заявил, что затронутые IP-адреса отличаются от адресов, фигурировавших в утечке данных Fortinet о Belsen Group в 2025 году, что еще раз указывает на то, что это более недавняя и масштабная группа скомпрометированных устройств.
Основываясь на телеметрии Shodan, утечка затронула примерно половину всех доступных через интернет межсетевых экранов Fortinet, и большинство затронутых устройств предоставляют доступ к своим интерфейсам управления FortiGate напрямую из интернета.
Источник данных конфигурации остается неизвестным, неясно, были ли они украдены через ранее выявленные уязвимости Fortinet, через недавно обнаруженную ошибку или другим способом.
Hudson Rock разработала инструмент для проверки того, затронула ли уязвимость FortiBleed вашу организацию.
В Fortinet полагают, что, по результатам ее расследования, учетные данные были получены в результате предыдущих инцидентов и атак методом перебора паролей, и не связаны с какими-либо недавно выявленными уязвимостями, утечками данных или уведомлениями о безопасности. | 5 588 |
| 19 | Недавно обнаруженная масштабная утечка данных FortiBleed раскрывает учетные данные VPN-серверов Fortinet и FortiGate для 73 932 URL-адресов межсетевых экранов в организациях по всему миру.
Утекшие данные были впервые обнаружены исследователем Бобом Дьяченко, который утверждает, что обнаружил сервер, содержащий, по всей видимости, валидные учетные данные для VPN Fortinet, включая имена пользователей, адреса электронной почты и пароли в открытом виде.
При этом база данных содержит записи о компаниях Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid и многих других.
В найденных файлах указаны тысячи экземпляров оборудования ведущих поставщиков. Только один из экземпляров содержит 21 634 доменных имени - от Chevron до самой Fortinet. И все они - с потенциально рабочими паролями к устройствам FortiGate, полученными различными способами.
В раскрытые данные также вошли комментарии, содержащие информацию об отрасли, доходах и количестве сотрудников каждой организации, предположительно, для планирования атак.
Согласно расследованию, злоумышленники предположительно совершили около 1,16 млрд. попыток взлома учетных данных 320 777 целевых устройств FortiGate и еще 2,1 млрд. попыток в отношении 163 650 систем Microsoft SQL Server.
Дьяченко также отметил, что злоумышленники перехватили хеши аутентификации SSL VPN, взломали их с помощью кластера из 45 графических процессоров, управляемого через Hashtopolis, и использовали полученные учетные данные для проникновения во внутренние среды Active Directory.
Диаченко рассказал, что хакеры случайно оставили в сети открытую директорию с артефактами, строками подключения, инструментами, скриптами и данными. Аналитические данные были полученные через их задания cron, историю команд bash, журналы и т.д.
Исследователь также заявил, что различные организации в Японии, Тайване, Вьетнаме, Ираке и Турции были полностью скомпрометированы, включая турецкого подрядчика НАТО по оборонным закупкам, у которого, предположительно, были украдены секретные документы.
В свою очередь, Hudson Rock представила собственный анализ скомпрометированных данных, охарактеризовав эту коллекцию как один из крупнейших известных массивов скомпрометированных учетных данных, связанных с Fortinet.
По данным Hudson Rock, набор данных содержит 73 932 уникальных URL-адреса межсетевых экранов в 194 странах и затрагивает 21 632 уникальных домена.
Злоумышленники вели подробные журналы успешных взломов и создали базу данных, содержащую проверенные учетные данные организаций практически во всех основных отраслях экономики.
В них вошили данные такие организации, как Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, а также многочисленные правительственные учреждения и операторы критической инфраструктуры.
Компания также опубликовала статистику, показывающую, что наибольшее количество затронутых устройств было зафиксировано в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ.
Одна из странных особенностей утечки заключается в том, что многие из раскрытых учетных данных представляли собой длинные, сложные пароли, которые обычно считаются трудновзламываемыми. | 5 606 |
| 20 | DragonForce задействовала специально разработанное вредоносное ПО под названием Backdoor.Turn для сокрытия управляющего трафика внутри инфраструктуры ретрансляции Microsoft Teams.
Бэкдор использует протокол TURN (Traversal Using Relays around NAT), применяемый Microsoft Teams для передачи сообщений, когда прямое соединение с клиентом недоступно (например, для клиентов в частной сети).
DragonForce - это банда вымогателей, действующая как минимум с 2023 года, которая использует организационную структуру, подобную картелю, и связана с известной группировкой Scattered Spider.
По данным Symantec, хакеры использовали специально разработанное вредоносное ПО на языке Go для атаки на крупную американскую сервисную компанию.
Backdoor.Turn полагается на уязвимость в инфраструктуре TURN Teams, получая анонимный токен посетителя Teams, используя легитимный ретранслятор Microsoft TURN во время установления соединения, а затем подключаясь к серверу C2 злоумышленника.
В результате ИБ-специалисты видят трафик, связанный с инфраструктурой Microsoft Teams, что позволяет вредоносному ПО скрывать свои коммуникации в доверенной сети.
В прошлом году Praetorian представила технику под названием Ghost Calls, продемонстрировав, как временные учетные данные TURN для Teams и Zoom могут быть использованы для создания скрытых каналов связи через доверенную инфраструктуру конференц-связи.
Ghost Calls была продемонстрирована в 2025 году, а Backdoor.Turn стало первым известным в реальных условиях вредоносным ПО, использующим ретрансляторы TURN Microsoft Teams для маскировки трафика управления и контроля.
Исследователи также обращают внимание на использование уязвимости драйвера HWAuidoOs2Ec.sys компании Huawei, который применяется для обхода тактики BYOVD.
Как отмечает Symantec, атака, зафиксированная в декабре 2025 года, скорее всего, началась с использования неизвестной уязвимости в сервере SQL или MSSQL.
Получив доступ к системе, злоумышленник скачивал ZIP, содержащий легитимный исполняемый файл VirtualBox/DbgView и вредоносный DLL-файл, используемый для установки вредоносного ПО из сторонних источников.
На этом этапе злоумышленник усилил свое присутствие в системе, создал поддельных пользователей, злоупотребил политикой безопасности LimitBlankPassword в Windows для облегчения доступа и изменил правила брандмауэра.
Далее они использовали методы BYOVD с несколькими драйверами, включая HWAuidoOs2Ec.sys от Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) и K7 Security K7RKScan.sys (CVE-2025-1055), дабы получить привилегии на уровне ядра и завершить работу средств защиты на хосте.
Хакер также использовал ABYSSWORKER, специально созданный вредоносный драйвер, маскирующийся под легитимный драйвер Palo Alto.
Backdoor.Turn была внедрена в файл DbgView64.exe после развертывания ransomware, что позволяет предположить, что она, возможно, предназначена для постоянного присутствия в системе или для последующего доступа.
Вредоносная ПО получает анонимный токен посетителя Teams, используя легитимный ретрансляционный сервер Microsoft TURN во время установления соединения, и устанавливает связь с C2.
Его возможности включают выполнение команд, создание процессов, сканирование сети, захват TLS-сертификатов, поиск в LDAP/Active Directory, сбор заголовков веб-сайтов и кражу учетных данных браузера.
Завершив разведку и обойдя систему защиты, злоумышленник похищает все данные, запуская программу-вымогатель DragonForce и шифруя системы жертвы.
Как отмечают исследователи, хакеры, стоящие за этой кампанией, используют исключительно изощренные методы киберпреступлений, а IOCs доступны в отчете. | 5 736 |
