Available now! Telegram Research 2025 — the year's key insights 
SecAtor
Open in Telegram
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Show more📈 Analytical overview of Telegram channel SecAtor
Channel SecAtor (@true_secator) in the Russian language segment is an active participant. Currently, the community unites 41 281 subscribers, ranking 3 282 in the Technologies & Applications category and 15 496 in the Russia region.
📊 Audience metrics and dynamics
Since its creation on невідомо, the project has demonstrated rapid growth, gathering an audience of 41 281 subscribers.
According to the latest data from 23 June, 2026, the channel demonstrates stable activity. Although there has been a change in the number of participants by 109 over the last 30 days and by 15 over the last 24 hours, overall reach remains high.
- Verification status: Not verified
- Engagement rate (ER): The average audience engagement rate is 15.84%. Within the first 24 hours after publication, content typically collects 12.36% reactions from the total number of subscribers.
- Post reach: On average, each post receives 6 539 views. Within the first day, a publication typically gains 5 101 views.
- Reactions and interaction: The audience actively supports content: the average number of reactions per post is 0.
- Thematic interests: Content is focused on key topics such as cve-2026, github, trivy, кража, обнаружение.
📝 Description and content policy
The author describes the resource as a platform for expressing subjective opinions:
“Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com”
Thanks to the high frequency of updates (latest data received on 24 June, 2026), the channel maintains relevance and a high level of publication reach. Analytics show that the audience actively interacts with content, making it an important point of influence in the Technologies & Applications category.
41 281
Subscribers
+1524 hours
+337 days
+10930 days
Data loading in progress...
Similar Channels
Tags Cloud
Incoming and Outgoing Mentions
---
---
---
---
---
---
Attracting Subscribers
June '26
June '26
+261
in 13 channels
May '26
+386
in 7 channels
Get PRO
April '26
+350
in 10 channels
Get PRO
March '26
+309
in 10 channels
Get PRO
February '26
+433
in 14 channels
Get PRO
January '26
+389
in 13 channels
Get PRO
December '25
+443
in 14 channels
Get PRO
November '25
+414
in 11 channels
Get PRO
October '25
+304
in 10 channels
Get PRO
September '25
+306
in 15 channels
Get PRO
August '25
+429
in 11 channels
Get PRO
July '25
+451
in 25 channels
Get PRO
June '25
+255
in 12 channels
Get PRO
May '25
+402
in 17 channels
Get PRO
April '25
+351
in 13 channels
Get PRO
March '25
+579
in 39 channels
Get PRO
February '25
+377
in 12 channels
Get PRO
January '25
+261
in 16 channels
Get PRO
December '24
+667
in 21 channels
Get PRO
November '24
+565
in 19 channels
Get PRO
October '24
+652
in 26 channels
Get PRO
September '24
+914
in 26 channels
Get PRO
August '24
+600
in 19 channels
Get PRO
July '24
+496
in 14 channels
Get PRO
June '24
+485
in 18 channels
Get PRO
May '24
+504
in 15 channels
Get PRO
April '24
+604
in 20 channels
Get PRO
March '24
+722
in 18 channels
Get PRO
February '24
+769
in 30 channels
Get PRO
January '24
+661
in 13 channels
Get PRO
December '23
+1 145
in 20 channels
Get PRO
November '23
+817
in 35 channels
Get PRO
October '23
+571
in 26 channels
Get PRO
September '23
+458
in 0 channels
Get PRO
August '23
+1 137
in 0 channels
Get PRO
July '23
+789
in 0 channels
Get PRO
June '23
+618
in 0 channels
Get PRO
May '23
+682
in 0 channels
Get PRO
April '23
+442
in 0 channels
Get PRO
March '23
+953
in 0 channels
Get PRO
February '23
+554
in 0 channels
Get PRO
January '23
+775
in 0 channels
Get PRO
December '22
+700
in 0 channels
Get PRO
November '22
+600
in 0 channels
Get PRO
October '22
+705
in 0 channels
Get PRO
September '22
+553
in 0 channels
Get PRO
August '22
+359
in 0 channels
Get PRO
July '22
+1 512
in 0 channels
Get PRO
June '22
+440
in 0 channels
Get PRO
May '22
+1 277
in 0 channels
Get PRO
April '22
+1 378
in 0 channels
Get PRO
March '22
+1 618
in 0 channels
Get PRO
February '22
+423
in 0 channels
Get PRO
January '22
+1 212
in 0 channels
Get PRO
December '21
+1 356
in 0 channels
Get PRO
November '21
+608
in 0 channels
Get PRO
October '21
+863
in 0 channels
Get PRO
September '21
+2 094
in 0 channels
Get PRO
August '21
+1 022
in 0 channels
Get PRO
July '21
+485
in 0 channels
Get PRO
June '21
+336
in 0 channels
Get PRO
May '21
+879
in 0 channels
Get PRO
April '21
+1 034
in 0 channels
Get PRO
March '21
+680
in 0 channels
Get PRO
February '21
+1 450
in 0 channels
Get PRO
January '21
+627
in 0 channels
Get PRO
December '20
+12 266
in 0 channels
| Date | Subscriber Growth | Mentions | Channels | |
| 24 June | +11 | |||
| 23 June | +18 | |||
| 22 June | +8 | |||
| 21 June | +1 | |||
| 20 June | +13 | |||
| 19 June | +12 | |||
| 18 June | +8 | |||
| 17 June | +10 | |||
| 16 June | +11 | |||
| 15 June | +8 | |||
| 14 June | +6 | |||
| 13 June | +1 | |||
| 12 June | +6 | |||
| 11 June | +11 | |||
| 10 June | +27 | |||
| 09 June | +8 | |||
| 08 June | +14 | |||
| 07 June | +2 | |||
| 06 June | +7 | |||
| 05 June | +8 | |||
| 04 June | +14 | |||
| 03 June | +17 | |||
| 02 June | +17 | |||
| 01 June | +23 |
Channel Posts
JFrog предупреждает об уязвимости в фреймворке обработки мультимедиа FFmpeg, которая позволяет злоумышленникам вызывать сбои в работе приложений и удаленно выполнять произвольный код.
Уязвимость отслеживается как CVE-2026-8461 (CVSS 8,8) и представляет собой запись за пределы допустимого диапазона в куче внутри библиотеки libavcodec в декодере MagicYUV FFmpeg.
Недостаток связан с обработкой фрагментов в декодере MagicYUV и обусловлен несоответствием между тем, как распределитель кадров и декодер вычисляют высоту цветовой плоскости.
Уязвимость получила условное название PixelSmash и может привести к сбою любого приложения, использующего FFmpeg. Выполнение кода может быть достигнуто путем обращения к структуре AVBuffer FFmpeg - объекту управления буфером с подсчетом ссылок, выделяемому сразу после данных пикселей каждой плоскости.
Для выполнения кода злоумышленнику необходимо атаковать структуру AVBuffer в FFmpeg - объект управления буфером с подсчетом ссылок, выделяемый сразу после данных пикселей каждой плоскости.
По данным JFrog, разместив команду оболочки с нулевым завершением в определенном месте за пределами допустимого диапазона, злоумышленник может получить доступ к выполнению оболочки до того, как процесс FFmpeg завершится с ошибкой при последующем повреждении кучи.
Вредоносная ПО PixelSmash может быть использована для RCE через специально созданные медиафайлы, передаваемые любому приложению, использующему библиотеку libavcodec из FFmpeg для декодирования видео.
На настольных компьютерах уязвимость срабатывает, когда пользователь открывает вредоносный файл в видеоплеере или когда он переходит в папку, содержащую этот файл, если генератор миниатюр файлового менеджера использует уязвимую библиотеку.
Выполнение кода на сервере происходит, когда медиафайл загружается на медиасервер, платформу чата или облачный сервис транскодирования, который автоматически его обрабатывает.
Уязвимость также может быть использована на сетевых хранилищах (NAS), медиаустройствах и смарт-телевизорах, которые генерируют миниатюры или предварительные просмотры видео.
Для доступа к целевой системе не требуется никакой аутентификации, специальных привилегий или предварительного доступа, кроме возможности доставки медиафайла - стандартной поверхности атаки для любого приложения обработки мультимедиа.
Полезная нагрузка эксплойта может быть доставлена в виде файла AVI, MKV или MOV размером 50 КБ. Она может использоваться в Zero-Click атаках через торренты, если у жертвы в торрент-клиенте настроена загрузка медиафайлов непосредственно в контролируемую папку медиатеки.
Как только загрузка торрента завершится, автоматическое сканирование библиотеки запустит полезную нагрузку.
В платформе облачного хранения Nextcloud, использующей независимую сборку FFmpeg, уязвимость может быть активирована через дополнительный поставщик предварительного просмотра фильмов, который вызывает системный исполняемый файл FFmpeg для генерации миниатюр.
Злоумышленнику не требуется никакого взаимодействия, кроме проверки видимости файла в списке папок, обработка на стороне сервера делает все остальное, что делает этот способ атаки практически безошибочным.
JFrog подтвердила возможность успешной эксплуатации уязвимости в Kodi, mpv, ffmpegthumbnailer (используемом GNOME, KDE, XFCE), Jellyfin, Emby, Nextcloud, Immich, PhotoPrism и OBS Studio.
Кроме того, также продемонстрировала успешное выполнение удаленного выполнения кода (RCE) в Jellyfin. Исправления включены FFmpeg 8.1.2, пользователям рекомендуется обновить программу как можно скорее.
| 2 | В рамках новой кампании ClickFix для macOS используются команды Терминала для скрытой загрузки, монтирования и запуска вредоносного ПО, похищающего информацию из вредоносных DMG.
В рамках этой кампании злоумышленники заражают устройства Mac вредоносной ПО Atomic macOS Stealer (AMOS), которая нацелена на учетные данные браузера, данные криптокошельков, Keychain, данные из мессенджеров и пользовательские документы.
Исследователи Palo Alto Networks первыми заметили эту кампанию и утверждают, что она начинается с поддельной страницы CAPTCHA, которая предлагает пользователям открыть Терминал и вставить вредоносную команду для подтверждения своей личности.
После выполнения команда загружает DMG-файл с сервера злоумышленника, незаметно монтирует его с помощью встроенной в macOS утилиты hdiutil, находит содержащийся в нем пакет приложения и автоматически запускает его.
ClickFix - это метод социнженерии, который отображает поддельные CAPTCHA, ошибки браузера или системные предупреждения, обманом заставляя посетителей скопировать и выполнить предоставленные злоумышленником «инструкции по исправлению».
За последний год этот метод приобрел популярность среди злоумышленников и используется как киберпреступниками, так и APT-группами для распространения вредоносного ПО.
Атаки ClickFix с использованием DMG-файлов не являются чем-то новым, но в предыдущих кампаниях обычно пользователи вручную открывали загруженные DMG-файлы для запуска вредоносных приложений или выполнения скриптов с серверов злоумышленниками.
Обнаруженная компанией Palo Alto кампания сочетает в себе оба подхода, используя команду в терминале для незаметной загрузки DMG-файла и запуска содержащегося в нем вредоносного ПО.
После выполнения команды в Терминале злоумышленник загружает вредоносный DMG-файл из svs-verificationdate[.]beer с помощью curl с -fsSL флагом quiet и сохраняет его в папку /tmp под случайным именем файла.
Затем команда выполняет команду hdiutil attach -nobrowse для монтирования загруженного образа диска без его отображения в Finder или на рабочем столе.
Затем скрипт выполняет поиск первого доступного установщика с расширением .app или .pkg на глубине до трех каталогов, и если он найден, запускает его с помощью команды открытия macOS.
Исследователи заметили, что вредоносное ПО распространялось в виде образа диска с именем s.01M0td.dmg, который монтировал том, содержащий самоподписанный пакет приложения с именем NNApp.app.
Вредоносная ПО отображает фейковое окно аутентификации в системных настройках, в котором пользователю будет предложено ввести пароль, что позволит его украсть.
Вредоносная ПО нацелена на восемь браузеров на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc и Yandex.
Она крадет файлы cookie, базы данных авторизации, информацию для автозаполнения, сохраненные данные платежных карт и данные профиля браузера.
Вредоносный код также нацелен на браузеры на основе Firefox, включая LibreWolf, SeaMonkey, Tor Browser, Waterfox и Zen Browser, похищая ту же информацию.
Согласно Palo Alto, вредоносная ПО ищет и крадет данные криптокошельков, включая Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet и TonKeeper.
Похищает и данные Telegram Desktop и Discord, базы данных Apple Notes, cookie-файлы Safari, файлы баз данных Apple Keychain и пользовательские документы с расширениями PDF, TXT или RTF.
Все собранные данные затем сохраняются в ZIP-архиве и загружаются на сервер злоумышленника.
Особый интерес вызвало то, что вредоносное ПО заменяет легитимные установки Ledger Live и Trezor Suite вредоносными версиями, вероятно, для совершения кражи криптовалюты. | 3 398 |
| 3 | Zafran Security предупреждает об обнаружении четырех уязвимостей в платформе ИИ с открытым исходным кодом Dify, которые могут быть использованы для кражи данных других пользователей в многопользовательских облачных конфигурациях.
Dify - это мегапопулярная платформа LLMOps для создания, развертывания, обслуживания и мониторинга приложений ИИ, которая задействуется в более чем 1 млн. приложений почти в 50 отраслях.
Выявленные уязвимости в системе безопасности платформы получили условные наименование DifyTap и позволяют злоумышленникам читать личные чаты из приложений других клиентов, инициировать внутренние API-запросы между арендаторами, просматривать документы, загруженные другими арендаторами, а также получать доступ к файлам других пользователей в рамках одного и того же арендатора.
Уязвимость отслеживается как CVE-2026-41947 (CVSS 9.1) и впервые обнаружилась в функции трассировки Dify, которая поддерживает профилирование и мониторинг приложений искусственного интеллекта.
Поскольку конечные точки, необходимые для настройки трассировки, не проверяли учетную запись отправителя, злоумышленники могли отправлять запросы к любому приложению, размещенному на этом экземпляре.
Для эксплуатации уязвимости требуется пользователь консоли Dify, доступный любому пользователю, зарегистрировавшемуся на платформе.
Злоумышленник может настроить собственную трассировку для любого приложения, к которому он имеет доступ как клиент, включая все общедоступные приложения. Это позволяет злоумышленнику создать постоянный канал для утечки всех сообщений и ответов, отправляемых в приложении.
Вторая уязвимость, CVE-2026-41948 (CVSS 9.4), затрагивает демон плагинов, отвечающий за управление и запуск плагинов Dify.
Два примитива в демоне предоставляют доступ к произвольным конечным точкам API через запросы GET и POST и могут быть использованы для осуществления атак с обходом пути, получения значков плагинов других арендаторов или воздействия на среды других арендаторов.
Оставшиеся две уязвимости отслеживаются как CVE-2026-41949 и CVE-2026-41950, представляют собой серьезные дефекты, связанные с обработкой идентификации файлов и прав доступа в Dify, позволяющие просматривать файлы, загруженные другими пользователями, или получать доступ к файлам, загруженным другими пользователями в той же учетной записи.
Zafran также обнаружила, что примерно полтора года, до 21 декабря 2025 года, библиотека для анализа PDF-файлов, используемая в предварительной версии приложения, применяла двоичный файл Chromium PDFium версии 126.0.6462.0, который был уязвим к CVE-2024-5846, ошибке использования памяти после освобождения, о которой стало известно в июне 2024 года.
Все исправления встроены в версия Dify 1.14.2. Пользователям рекомендуется как можно скорее обновиться и внедрить правила WAF, специально разработанные для защиты от CVE-2026-41948. | 3 549 |
| 4 | SSRF-уязвимость в Cisco Unified Communications Manager Server, CVE-2026-20230, теперь активно используется в реальных атаках.
Уязвимость в Cisco Unified Communications Manager (Unified CM) и Cisco Unified Communications Manager Session Management Edition (Unified CM SME) может позволить неавторизованному удаленному злоумышленнику проводить атаки типа SSRF через уязвимое устройство.
Обновления безопасности для CVE-2026-20230 вышли 3 июня, а Cisco предупреждала, что ее использование может предоставить злоумышленникам права root на устройстве.
Она обусловлена некорректной проверкой входных данных для определенных HTTP-запросов. Злоумышленник может реализовать ее, отправив специально сформированный HTTP-запрос на уязвимое устройство.
Успешная эксплуатация может позволить злоумышленнику записывать файлы в базовую операционную систему, которые впоследствии могут быть использованы для получения прав root.
Об уязвимости сообщила SSD Secure, однако на тот момент никаких технических подробностей предоставлено не было. В настоящее время, по данным Defused, эта уязвимость активно используется в атаках.
В выходные исследователи задетектили эксплуатацию CVE-2026-20230, при этом до этого момента попыток эксплуатации не наблюдалось, а сама она еще не внесена в список CISA KEV.
По данным Defused, атаки осуществляются с одного IP и используют правильно сформированные полезные нагрузки типа file:// для создания файлов на устройстве.
Хотя эта уязвимость может быть использована в атаках для запуска веб-оболочек и получения прав root, обнаруженный Defused прототип, по всей видимости, предназначен для выявления уязвимых устройств путем попытки записи на них текстового файла с именем /tmp/cve-2026-20230-test.txt.
После того, как стало известно об уязвимости, SSD Secure опубликовала техническое описание с пояснением принципа её работы и демонстрацией работоспособности эксплойта.
Исследователи обнаружили, что неавторизованный злоумышленник может использовать уязвимость в обработке предоставленных пользователем URL-адресов компонентом Webdialer, заставляя приложение записывать произвольные файлы в ОС, используя URI типа file://.
Контролируя путь к файлу и содержимое, записываемое на диск, злоумышленник может использовать уязвимость для удаленного выполнения кода и, в конечном итоге, получения прав root на уязвимых устройствах.
SSD Secure отметила, что для эксплуатации злоумышленнику сначала необходимо получить имя хоста целевой системы, прежде чем осуществлять атаку. Однако исследователи продемонстрировали, как эту информацию можно получить с устройства еще до начала эксплуатации.
Нынешняя эксплуатация, по всей видимости, носит разведывательный характер, тем не менее, можно констатировать, что проблема полностью раскрыта, и, вероятно, в ближайшее время следует ожидать, что число нацеленных на нее акторов будет увеличиваться. | 4 176 |
| 5 | Обнаруженная с Claude Mythos Preview 29-летняя ошибка в прокси-сервере Squid, известная как Squidbleed, потенциально может приводить к утечке HTTP-запросов в открытом виде.
Squid - это широко используемый веб-прокси с открытым исходным кодом, который позволяет сократить потребление полосы пропускания и улучшить время отклика за счет кэширования. Squid поддерживает HTTP, HTTPS, FTP и другие протоколы.
Исследователи Calif обнаружили, что Squid подвержен уязвимости, аналогичной печально известной уязвимости OpenSSL, известной как Heartbleed, поэтому назвали её Squidbleed.
Уязвимость отслеживается как CVE-2026-47729 и приводит к тому, что FTP-парсер Squid считывает данные за пределы буфера памяти, в область, которая может содержать незакрытые данные HTTP-запросов предыдущего пользователя.
Для эксплуатации уязвимости злоумышленнику необходимо контролировать FTP-сервер, доступный через прокси-сервер.
Squidbleed представляет наибольшую опасность в средах с общим доступом к прокси-серверам, таких как корпоративные сети, школы и общедоступные точки доступа Wi-Fi, где несколько пользователей могут направлять трафик через один и тот же экземпляр Squid.
Злоумышленник, имеющий доступ к такой сети, может незаметно перехватывать данные HTTP-запросов, принадлежащие другим пользователям, потенциально получая учетные данные для аутентификации, токены сессий и ключи API.
Уязвимость ограничивается HTTP-трафиком в открытом виде и развертываниями, где Squid завершает TLS-соединение. Стандартные HTTPS-соединения, передаваемые через непрозрачные туннели Connect, не затрагиваются.
Хотя это и уменьшает общую поверхность атаки, конфиденциальные учетные данные все еще могут передаваться в открытом виде по HTTP-трафику во многих корпоративных и устаревших средах.
Патч был включен в версию Squid 8 в апреле 2026 года и выпущен в версии 7.6 в июне 2026 года. Риск эксплуатации можно снизить, полностью отключив поддержку FTP, если она не требуется. | 6 789 |
| 6 | Восьмилетняя use-after-free уязвимость высокой степени серьезности в системе безопасности KNOX от Samsung сделала миллионы устройств Galaxy на базе Android, начиная с S9 и заканчивая S25, уязвимыми для атак на ядро.
CVE‑2026‑20971 (CVSS 7.8) может быть использована через взаимодействие между PROCA и FIVE.
PROCA, система аутентификации процессов, является проприетарной подсистемой в ядре устройств Samsung, предназначенной для предотвращения выполнения несанкционированных процессов.
Она проверяет подлинность процессов с помощью FIVE, подсистемы проверки целостности на стороне ядра, основанной на модели измерения целостности Linux и расширенной Samsung.
FIVE отслеживает уровень доверия в каждом запущенном процессе, используя объект task_integrity, который записывает его состояние безопасности.
Если процесс изменяется, например, создает дочерний процесс, дочерний процесс вызывает execve(), который запускает новую проверку целостности и отбрасывает старую.
Это должно происходить мгновенно, но тут в дело вступает вытесняющее ядро Android, внутри которого все это работает. В результате образуется крошечное окно, которое, если оно достижимо, является классической целью для состояния гонки с использованием освобожденной памяти.
Из-за вытесняющего ядра поток может быть приостановлен между чтением указателя и его использованием. Целевая задача выполняет execve(), а именно task_integrity_put(old_tint), освобождая исходную структуру. proc_integrity_value_read() возобновляет выполнение и вызывает task_integrity_user_read() с указателем на освобожденную память.
Исследователи LucidBit Labs полагают, что эксплуатация этой уязвимости достаточно сложная, но возможная. Встроенная в ядро целостность потока управления (KCFI) сделала это практически невозможным, но не совсем.
Она не устранила уязвимость, но закрыла произвольные вызовы функций, которые являются наиболее опасным путем эксплуатации.
LucidBit Labs заявляет, что уязвимость может быть активирована из ненадежного приложения и может привести к повреждению памяти ядра, потенциально предоставляя злоумышленнику путь к более глубокому контролю над устройством.
Исследователи сообщили о своих выводах Samsung, которая исправила проблему в обновлении от января 2026 года.
При этом она существовала на нескольких поколениях устройств Samsung, включая Galaxy S9–S25, устройства серии A, а также модели на базе процессоров Exynos и Qualcomm. В своем уведомлении Samsung отметила затронутые версии Android 13, 14, 15 и 16. | 5 736 |
| 7 | Исследователи Лаборатории Касперского обнаружили продолжающуюся кампанию по распространению вредоносного ПО, использующего взломанные учетные записи WhatsApp для распространения вредоносных VBScript-вложений.
Вложенные файлы устанавливают ManageEngine Endpoint Central, легитимный инструмент удаленного управления, который предоставляет злоумышленникам удаленный доступ к зараженным системам.
Кампания затронула пользователей Малайзии, Бразилии, Индии, Мексике, Сингапуре, Великобритании, Испании, Тайване, Австралии, России и Вьетнаме, при этом на Малайзию приходится примерно 80% выявленных случаев заражения.
При этом вредоносные вложения распространялись через взломанные аккаунты WhatsApp их контактам, что указывает на использование злоумышленниками доверительных отношений для реализации атаки. Метод взлома аккаунтов остается неизвестным.
Вредоносные файлы замаскированы под деловые и финансовые документы с использованием таких названий, как «Financial Reports.vbs», «Account Statement.vbs» и «Outstanding Payment List.vbs».
В ЛК также обнаружили локализованные варианты на португальском, французском, немецком и малайском языках, что указывает на широкомасштабную международную атаку.
Основная цель кампании - пользователи WhatsApp Desktop и WhatsApp Web. Для заражения требуется взаимодействие с пользователем: получатели должны загрузить вложение, а затем открыть его.
После выполнения скрипт VBScript запускается через Windows Script Host (WScript.exe), создает скрытые каталоги в C:\Users\Public\Documents\ и загружает дополнительные полезные нагрузки с контролируемой злоумышленником инфраструктуры.
По данным ЛК, задействовались различные методы обфускации, включая закодированные скрипты, случайные имена переменных, мусорный код и восстановление строк.
Некоторые варианты также используют легитимные утилиты Windows, такие как curl.exe, bitsadmin.exe, certutil.exe и PowerShell, для получения дополнительных полезных нагрузок.
Второй этап включает два файла VBScript. Один из них многократно пытается изменить параметр контроля учетных записей пользователей Windows (UAC) ConsentPromptBehaviorAdmin, что может уменьшить количество запросов на административные действия, если пользователь предоставит повышенные привилегии. Другой загружает и распаковывает ZIP-архив, содержащий полезную нагрузку следующего этапа.
В итоге устанавливается ManageEngine Endpoint Central, используемая для развертывания ПО, удаленной поддержки и системного администрирования.
Архив содержит установщик агента Endpoint Central (UEMSAgent.msi), сертификаты, файлы конфигурации и вредоносный скрипт запуска (setup1.vbs), который незаметно устанавливает агент с помощью msiexec.exe.
Анализ встроенного файла DCAgentServerInfo.json выявил несколько серверов С2, включая один IP, ранее связанный с инфраструктурой ValleyRAT и Gh0st.
Однако, по мнению ЛК, имеющихся артефактов недостаточно, чтобы приписать эту активность к известному злоумышленнику. Несмотря на обнаружение ряда образцов VBScript с комментариями и заметками на китайском языке, китайское происхождение актора маловероятно.
Технические подробности - в отчете. | 5 243 |
| 8 | Исследователи SOCRadar сообщают, что в ходе масштабной кампании FortiBleed использовались специальные анализаторы трафика для сбора секретных данных аутентификации из скомпрометированных межсетевых экранов и кражи учетных данных.
Операция была нацелена на более чем 430 000 межсетевых экранов FortiGate по всему миру и стартовала как минимум с февраля 2026 года.
Исследователи полагают, что злоумышленник выступает в роли посредника первоначального доступа (IAB), используя подбор учетных данных, атаки методом перебора, сбор учетных данных и взлом паролей в автономном режиме для получения доступа к корпоративным сетям.
По их мнению, задействовался инструмент на основе Golang под названием FortigateSniffer, который злоупотребляет встроенной в FortiOS функцией диагностики и анализа пакетов для перехвата трафика аутентификации, проходящего через скомпрометированные устройства FortiGate.
Злоумышленники использовали эту легитимную функцию на скомпрометированных устройствах для кражи учетных данных из сетевого трафика, проходящего через межсетевой экран.
Упомянутый нструмент предназначен для мониторинга трафика на предмет учетных данных, хэшей паролей и секретных ключей аутентификации, передаваемых по различным протоколам (по 24), включая RADIUS, NTLM, Kerberos и LDAP.
Примечательно, что на прошлой неделе Fortinet заявляла, что этот инцидент представляет собой совокупность ранее скомпрометированных учетных данных, а не новую уязвимость или инцидент, но отчет SocRadar указывает на активную кампанию по компрометации VPN-устройств.
Злоумышленник развернул на скомпрометированных устройствах FortiGate фреймворк для сбора учетных данных под названием FortigateSniffer, предварительно получив административный доступ путем подбора учетных данных и атак методом перебора.
По имеющимся данным, этот инструмент подключается к устройствам FortiGate по SSH и запускает команду анализа пакетов FortiOS diagnose sniffer.
Команда diagnose sniffer packet - это встроенный диагностический инструмент FortiOS, который администраторы используют для устранения неполадок с подключением, аутентификацией и производительностью сети.
Команда позволяет администраторам в режиме реального времени проверять сетевой трафик, проходящий через межсетевой экран FortiGate, что полезно для выявления сбоев подключения, проблем с маршрутизацией и ошибок аутентификации.
Данные пакетов, собранные с устройств FortiGate, обрабатывались компонентом под названием SNIFTRAN, который восстанавливал захваченный трафик в файлы PCAP.
Затем полученные данные были обработаны с помощью инструментария глубокого анализа PCAP на основе Python, который извлекал из сетевого трафика учетные данные в открытом виде, хэши паролей, билеты Kerberos, материалы аутентификации NTLM, учетные данные электронной почты, учетные данные баз данных и другие артефакты аутентификации.
Затем инструментарий генерировал файлы, готовые для использования с Hashcat, содержащие хеши NTLM и Kerberos, и извлекал учетные данные в открытом виде из таких протоколов, как SMTP, IMAP, POP3, MySQL и RADIUS, если таковые имелись.
В свою очередь, Кевин Бомонт предположил, что злоумышленники также получили хешированные учетные данные, загрузив файлы конфигурации FortiGate с скомпрометированных устройств.
Затем злоумышленники извлекли хешированные учетные данные и взломали их с помощью Hashcat и 36 графических процессоров корпоративного класса. Взлом паролей осуществлялся на платформе компании GenAI, которая сдает в аренду вычислительные ресурсы GPU.
Причем оба варианта анализа кампании подтверждают наличие специализированных платформ для взлома на базе графических процессоров, обнаруженных на серверах злоумышленника.
Пользователям устройств Fortinet доступен список IP, на которые нацелена кампания дабы свериться и выяснить, не были ли какие-либо из их систем атакованы или скомпрометированы. | 5 572 |
| 9 | • Вышел 8-й номер журнала Paged Out, который включает в себя различный материал на тему этичного хакинга и информационной безопасности. Публикуется в формате: 1 страница - 1 статья. Все выпуски можно скачать отсюда: https://pagedout.institute.
• К слову, весь материал собран энтузиастами со всего мира. Вы также можете принять участие и поделиться знаниями, которые могут опубликовать в следующем номере. Приятного чтения!
S.E. ▪️ infosec.work ▪️ VT | 5 303 |
| 10 | Злоумышленники приступили к задействованию уязвимости, позволяющей получить конфиденциальную информацию, в плагине WordPress Gravity SMTP, активно используемом на 100 000 сайтах.
Уязвимость отслеживается как CVE-2026-4020 и получила средний уровень серьезности, затрагивает все версии плагина, начиная с 2.1.4 и старше, и была устранена в версии 2.1.5, выпущенной 17 марта.
Defiant предупреждает, что хакеры активно используют эту уязвимость. Межсетевой экран Wordfence от Defiant заблокировал более 17 млн. попыток взлома сайтов.
Проблема связана с открытым REST API-интерфейсом в Gravity SMTP, чей параметр permission_callback всегда возвращает true, что позволяет неаутентифицированным GET-запросам получать исчерпывающий JSON-отчет о состоянии системы, сгенерированный плагином.
При этом открытая информация может содержать:
- ключи API, секреты и токены OAuth для настроенной интеграции с электронной почтой;
- учетные данные для сторонних почтовых сервисов, включая Amazon SES, Google, Mailjet, Resend и Zoho;
- подробная информация о конфигурации WordPress, включая установленные плагины, темы и версии ПО;
- данные о сервере и среде PHP;
- конфигурации базы данных, включая версию сервера и имена таблиц.
Несмотря на средний уровень опасности, CVE-2026-4020 может быть использована без аутентификации, а полученная информация может быть использована для кражи учетных данных почтового сервиса.
Это позволяет злоумышленнику выдавать себя за жертву перед третьими лицами, а также получать подробную информацию о ПО сайта и потенциальных уязвимостях.
Раскрытие учетных данных сторонних API в режиме реального времени означает, что злоумышленник может злоупотреблять подключенными к сайту почтовыми сервисами, а системный отчет значительно снижает усилия, необходимые для планирования дальнейших атак на сайт.
По данным Wordfence, активность злоумышленников резко возросла 7 июня, в тот день было заблокировано 4 млн. запросов. Аналогичная активность наблюдалась в течение нескольких последующих дней.
Wordfence составила список наиболее распространенных IP-адресов, с которых поступают запросы на использование уязвимостей, и администраторам веб-сайтов следует добавить эти адреса в свои списки блокировки.
Ключевым признаком компрометации являются запросы к /wp-json/gravitysmtp/v1/tests/mock-data, обнаруженные в журналах доступа веб-сервера, особенно те, которые содержат параметр запроса ?page=gravitysmtp-settings.
Вчера Wordfence также выпустила отдельное предупреждение о критической уязвимости, приводящей к произвольному удалению файлов без аутентификации, в плагине Avada Builder для WordPress, используемом на миллионе сайтов.
Данная уязвимость отслеживается как CVE-2026-8713 и позволяет злоумышленникам удалять произвольные файлы на сервере посредством обхода путей, при условии, что опубликованная форма Avada настроена на сохранение данных, отправленных в базу данных.
Удаление критически важных файлов, таких как wp-config.php, может вернуть сайт в исходное состояние, что потенциально может привести к полному захвату сайта и удаленному выполнению кода.
Проблема была исправлена в версии 3.15.4, которая является рекомендуемой целевой версией для обновления администраторов сайта. Активной эксплуатации CVE-2026-8713 пока не обнаружено, но это пока, так что настоятельно рекомендуется принять оперативные меры. | 5 585 |
| 11 | Уже по меньшей мере пять компаний в сфере ИБ стали жертвами кражи учетных записей Salesforce Business в рамках серии хакерских атак, источник которых был отслежен до платформы бизнес-аналитики Klue.
Компания призналась в блоге, что утечка данных в Klue произошла на прошлой неделе.
Хакеры получили доступ к платформе через «скомпрометированные устаревшие учетные данные, связанные с сервисом интеграции», а затем украли токены OAuth, которые клиенты использовали для подключения Klue к другим сторонним сервисам, таким как Salesforce.
После кражи токенов хакеры начали подключаться к учетным записям клиентов в Salesforce и красть их данные, что вызвало оповещения в Huntress и ReliaQuest, которые начали расследование и позже уведомили Klue о результатах.
На данный момент восемь компаний подтвердили утечки данных, связанные с Klue. Среди известных: Huntress, ReliaQuest, Recorded Future (признана нежелательной), Jamf, Tanium, Sprout Social, Gong и Insurity.
В свою очередь, Klue заявляет, что в настоящее время сотрудничает с CrowdStrike в рамках расследования инцидента. На данный момент точно известно, что список пострадавших, вероятно, пополнится в ближайшие недели, поскольку Klue начнет уведомлять других клиентов.
Компания приняла меры по локализации злоумышленников и блокировке их доступа путем аннулирования учетных данных, токенов и активных интеграций.
Помимо Salesforce, Klue имеет интеграции с Hubspot, Zoom, Google Drive и другими сервисами, но конфиденциальные финансовые данные и персональная информация хранятся в Salesforce, поэтому неудивительно, почему они выбрали именно эту интеграцию в первую очередь.
Новая хакерская группа, называющая себя Icarus, взяла на себя ответственность за взлом, опубликовав в выходные запись на своем сайте утечек в даркнете. О группе пока мало что известно.
Сейчас Icarus пытается шантажировать Klue и также предупреждает компании, что если платформа не хочет платить, им следует связаться с ней, чтобы избежать утечки украденных данных.
Инцидент имеет все признаки классической кампании ShinyHunters, как и их первоначальные нападки на Salesforce, Salesloft Drift и Gainsight, отсюда и. Продолжаем следить. | 5 586 |
| 12 | Fortinet отреагировала на кампанию FortiBleed, в рамках которой злоумышленники собрали базу данных, содержащую более 86 000 подтвержденных рабочих учетных данных для устройств Fortinet в 194 странах.
Поставщик заявляет, что масштабная кампания по сбору учетных данных, направленная в настоящее время на межсетевые экраны и VPN-сети ее клиентов, не включает новые уязвимости.
На основании собственного анализа в Fortinet считают, что в ходе этой деятельности злоумышленники повторно используют учетные данные из предыдущих инцидентов и применяют методы перебора паролей к устройствам со слабыми паролями и без MFA.
В предыдущих инцидентах, о которых упоминает Fortinet, речь шла об использовании трех уязвимостей, позволяющих обойти аутентификацию при входе в FortiCloud SSO: CVE-2026-24858, исправленная в январе, и CVE-2025-59718 на пару с CVE-2025-59719, устраненные в декабре.
Fortinet предоставила подробные инструкции в публикации прошлых предупреждений, и по-прежнему настоятельно рекомендует всем клиентам убедиться в том, что эти меры по устранению проблем были в полном объеме реализованы..
В марте компания предупреждала об использовании злоумышленниками ИИ для автоматизации идентификации целей и подбора паролей в широкомасштабных атаках, направленных на плохо защищенные периферийные устройства.
В сообщении отмечается, что FortiBleed использует те же методы, а не новую уязвимость Fortinet. Компания выявила потенциально скомпрометированные системы, начала уведомлять пострадавших клиентов и подключив также правоохранительные органы.
Клиентам, у которых были взломаны FortiGate, рекомендуется завершить административные и VPN-сессии, сменить учетные данные, внедрить MFA для всех учетных записей администраторов и пользователей VPN, а также обновить ПО до версий, поддерживающих хеширование учетных данных администратора с помощью PBKDF2.
Кроме того, следует проверить учетные записи и конфигурации пользователей брандмауэра и VPN на предмет несанкционированных изменений, проверить журналы на предмет неожиданного доступа администратора и ограничить внешнее управление доверенными хостами. | 5 579 |
| 13 | Новая уязвимость позволяет обходить защиту загрузки Apple, не подлежит исправлению, а исследователи даже выпустили PoC.
Paradigm Shift раскрыла подробности новой уязвимости BootROM, которая затрагивает миллионы iPhone и не подлежит устранению в рамках обновления ПО.
Она получила название Usbliter8 и нацелена на SecureROM от Apple. SecureROM, постоянно встроенный в SoC устройства, является первым кодом, который iPhone запускает при загрузке, и основой всей цепочки безопасной загрузки Apple.
Usbliter8 объединяет ошибку контроллера USB и уязвимость в конфигурации прошивки устройства.
Эксплойт, требующий физического доступа к целевому устройству через USB, работает в отношении iPhone с чипами A12 и A13 - включая iPhone XS, XR и 11 - и Apple Watch с чипами S4 и S5. Стоит отметить, что затронутые чипы были выпущены в 2018 и 2019 годах.
Атака Usbliter8 заключается в том, что злоумышленник подключает специальное USB-устройство (например, Raspberry Pi Pico 2 или аналогичную плату микроконтроллера) к целевому iPhone и отправляет ему специально сформированные пакеты настройки USB.
Атака инициирует запись за пределы допустимого диапазона, позволяя злоумышленнику перезаписать критически важные данные в памяти и в конечном итоге получить контроль над процессором, повысить привилегии и выполнить произвольный код с полными системными правами.
Проверки цифровой подписи Apple обходятся, что позволяет хакеру добиться полного выполнения кода на самом низком уровне устройства еще до загрузки ОС. Злоумышленник может загрузить неподписанное ПО или снизить уровень безопасности устройства.
Однако эксплойт не может быть напрямую использован для доступа к пользовательским данным. Исследователи отметили, что процессор защищенного анклава Apple (SEP), отдельный процессор безопасности, защищающий пользовательские данные, не компрометируется напрямую этим эксплойтом.
Кончено, хотя и usbliter8 сам по себе не затрагивает SEP, но открывает более широкие возможности для атаки с целью компрометации Secure Enclave.
При этом удаленно осуществить атаку невозможно, и тем не менее подобная уязвимость может быть весьма полезна для поставщиков решений в области мобильной криминалистики.
Влияние Usbliter8 аналогично Checkm8, эксплойта BootROM 2019 года, который сделал целое поколение iPhone навсегда уязвимыми для джейлбрейка.
Paradigm Shift сообщила о результатах Apple до их публикации, но там публично на них никак не отреагировали на результаты и более того - отказались от каких-либо комментариев. | 5 663 |
| 14 | 😎C удовольствием посмотрел выпуск на канале блогера Александра Соколовского, в гостях у которого был главный технологический эксперт «Лаборатории Касперского» Александр Гостев. Почти 2 часа разговоров про хакеров, ИИ, мошенников, кибербезопасность, 📲 безопасность мессенджеров...Всё, как мы любим)
👍Рекомендую найти возможность посмотреть ролик.
Как пишет сам Александр у себя на сайте, он многопрофильный эксперт по информационной безопасности. Три десятилетия находится на переднем крае индустрии как исследователь, основатель GReAT, советник и инвестор. В «Лаборатории Касперского» с 2002 года — строил систему Threat Intelligence.
В 2008 году основал Глобальный центр исследований и анализа угроз (GReAT) и был главным редактором Securelist.com. Исследования охватывают глубокий анализ вредоносного ПО, кибершпионаж, атрибуцию APT и пересечение геополитики с цифровыми войнами.
С 2020 года — главный технологический эксперт «Лаборатории Касперского»: M&A, технологический скаутинг, инвестиционный due diligence, консультации по Kaspersky OS и угрозам IoT.
📲 https://youtu.be/jlTkpLfdN78
✋ @Russian_OSINT | 5 452 |
| 15 | В киберподполье сегодня не без новостей:
1. Исследователи Google отследили TeamPCP. За хакерской группой, которая за последние девять месяцев совершила несколько атак на цепочки поставок, возможно, стоит один человек, действующий из Южной Африки.
Расследование позволило задетектить активность TeamPCP по IP-адресам в стране. В свою очередь, Palo Alto Networks считает, что подозреваемый выходит в интернет под псевдонимом ResoluteXBF, а также привлекает двух других сообщников.
2. Админы хакерского форума DarkForums засветили IP-адрес своего частного «анонимного» мессенджера XMPP.
3. Как сообщают в KELA, ни один из действующих в настоящее время клонов BreachForums больше не имеет никакого отношения к оригинальному форуму.
Все клоны были забракованы админами оригинального BreachForums и превратились в выделенные платформы киберпреступности с уникальной клиентурой.
По данным KELA, у нынешних клонов практикуются различные бизнес-модели, которые варьируются от вербовки вымогателей до продажи скомпрометированных учетных данных, утечки данных и вымогательства, а также посредничества в атаках на цепочки поставок.
Причем операторы клонов часто атакуют друг друга, раскрывая личные данные администраторов, пытаясь таким образом переманить наиболее активную клиентуру к себе.
4. Cato Networks профилировала ShinyHunters, злоумышленника, пережившего три блокировки форумов и арест пяти администраторов.
5. Банда вымогателей Gentlemen разработала собственную систему EDR-killer, которую исследователи называли GentleKiller.
У инструмента как минимум восемь вариантов. По данным ESET, каждый вариант GentleKiller использует разные уязвимые драйверы для получения привилегий на уровне ядра через BYOVD.
GentleKiller нацелен на более чем 400 процессов, связанных примерно с 48 поставщиками/продуктами в области безопасности, такими как Microsoft, CrowdStrike, SentinelOne, Palo Alto, Sophos, Trend Micro, ESET, Bitdefender, McAfee/Trellix и Kaspersky.
Это одна из нескольких используемых ими систем, наряду с другими, включая HexKiller (ранее использовавшийся бандой Warlock), ThrottleBlood (связанный с атаками MesudaLocker и DragonForce) и HavocKiller.
Gentlemen выбирает цели на основе конфигурации их устройств FortiGate. Это особенно интересно, учитывая недавную утечку FortiBleed, набора из почти 74 000 учетных данных VPN для FortiGate.
6. Acronis представила подробный обзор деятельности банды вымогателей INC, которая постепенно превратилась в одну из крупнейших группировок, занимающихся вымогательством как услугой (RaaS) на рынке в наши дни, на счету которой не менее 830 жертв с августа 2023 года.
7. Исследователи Malwarebytes проанализировали Prinz Eugen, новый штамм ransomware на языке Go, который с апреля используется в очень ограниченном количестве атак. Группа также управляет сайтом DLS в даркнете, на котором в настоящее время указаны только три жертвы.
8. Хакеры через атаки на цепочку поставок похитили данные из экземпляров Salesforce клиентов Klue, включая ИБ-компании Huntress и Recorded Future, которые подтвердили инцидент.
Атака началась 11 июня и затронула системы, связанные с интеграцией программных платформ. Хакеры подключились к бэкэнд-серверам Klue и выполнили несанкционированные команды, распространив обновление кода для сбора токенов OAuth для интеграций Klue у клиентов.
Атака повторяет схему, наблюдавшуюся в предыдущих инцидентах с Salesforce, Salesloft Drift и Gainsight, которые были приписаны ShinyHunters и UNC6395, но, по всей видимости, была осуществлена новым злоумышленником.
По данным Huntress, с высокой степенью уверенности за взлом Klue и эту атаку на цепочку поставок ответственен злоумышленник Icarus. | 6 597 |
| 16 | Исследователи Positive Technologies представили результаты анализа ландшафта общемировых киберугроз веб-приложений и инфраструктуры разработки, отметив основные тренды и прогнозы 2026-2027 гг.
Исследование достаточно объемное, остановимся на главных цифрах:
- По итогам 2025 каждая пятая успешная атака на организации была направлена на веб-ресурсы. Наибольшее число успешных атак пришлось на веб-ресурсы госучреждений (28%), ИТ-компаний (8%) и транспортных организаций (8%).
- В отдельных отраслях злоумышленники чаще нацеливаются на веб-ресурсы, чем на другие объекты. В 2025 году в успешных кибератаках на онлайн-сервисы на категорию веб-ресурсов пришлось 79% инцидентов. Более трети успешных атак против транспортных организаций (38%) и госучреждений (35%) были также направлены на веб-ресурсы. Доля веб-сервисов в успешных атаках на финансовые организации заметно снизилась и составила 15%, снизившись на 7 п.п. к 2024 году.
- Доля успешных кибератак, направленных на DoS, составила 46% - практически половину от всех инцидентов среди веб-ресурсов, что в два раза больше в сравнении с 2024 годом. Чаще всего метод DDoS-атак в 2025 году применялся против веб-сервисов телекоммуникационных организаций (79%), госучреждений (76%), а также финансовых организаций (64%) и логистических компаний (63%).
- Эксплуатация уязвимостей является одним из ключевых методов компрометации веб-приложений: в мировом ландшафте в 2025 году на него пришлось 40% успешных кибератак. Доля успешных кибератак, в которых применялись скомпрометированные учетные данные, составила 17%.
Вредосноое ПО применялось в 17% успешных атак на веб-ресурсы. Практически каждый второй атакованный с применением ВПО веб-сервис столкнулся с внедрением инфостилеров, а каждый четвертый взлом веб-приложения с применением ВПО привел к внедрению программ-вымогателей.
- Российские веб-ресурсы в 2025 году чаще всего подвергались DDoS-атакам - в 48% инцидентов. Значительная доля успешных кибератак была реализована путем эксплуатации уязвимостей (43%), а в каждом пятом инциденте (21%) применялось ВПО.
- Компрометация популярных open-source-пакетов, библиотек и инструментов активно применяется в отношении организаций, запуская каскадные серии атак через компрометацию цепочки поставок и через компрометацию доверенных поставщиков услуг. Чаще всего атаки через экосистему открытого ПО были нацелены на кражу учетных данных с использованием стилеров (49%) и получение удаленного доступа к системам разработчиков через бэкдоры и трояны удаленного доступа (36%). В 2025 году наблюдалось появление нового типа вредоносов в экосистеме открытого ПО - самораспространяющихся червей в реестре npm, которые приводили к массовым компрометациям популярных пакетов. Активно развивается тренд на создание вредоносного контента для ИИ-ассистентов разработки: поддельные MCP-серверы и вредоносные навыки размещаются на GitHub или на специализированных маркетплейсах.
- В общемировом ландшафте угроз наиболее частым последствием успешных атак на веб-приложения в 2025 году стало нарушение основной деятельности (62%). К утечке информации по итогам 2025 года привело 23% инцидентов. В результате успешных атак на веб-приложения наибольшая доля утечек пришлась на учетные данные (30%). Значимые доли утечек также традиционно составляют персональные данные (23%) и коммерческая тайна (8%).
- Наиболее частым последствием успешных атак на веб-приложения российских организаций в 2025 году стало нарушение основной деятельности (75%). Каждая третья успешная атака приводила к утечке конфиденциальной информации (34%).
- В 2025 году в общемировом ландшафте угроз киберпреступники также нередко использовали скомпрометированные веб-ресурсы для проведения дальнейших атак - доля таких инцидентов составила 17%. Чаще всего взломанные веб-приложения использовались для проведения атак на клиентов или партнеров организации (38%), размещения ВПО на ресурсе компании (35%) и для проведения фишинговых атак (23%). | 6 119 |
| 17 | На этой неделе главная разведывательная служба Канады получила судебный ордер на превентивное удаление вредоносного ПО загадочного ботнета из канадских систем, в том числе на серверах, домашних маршрутизаторах и смарт-устройствах.
Предположительно, все устройства были частью неназванной ботнет-сети, обеспечивающей прокси-серверы. Подобные ботнеты очень популярны и позволяют маскировать источник атак и анонимизацию, создавая видимость поступления вредоносного трафика из локальной домашней сети.
По данным Canadian Press, ботнет, предположительно, использовался злоумышленником для «продвижения своих финансовых, политических, идеологических и экономических интересов».
К сожалению, никаких других подробностей в отношении этой загадочной группы нет, поскольку имя злоумышленника засекречено в решении суда.
В своем запросе на ордер Канадская служба разведки и безопасности (CSIS) заявила, что реализует нейтрализацию «как можно скорее», и неясно, была ли она уже проведена.
При этом появление ордера совпало с новым витком операции Эндгейм под эгидой Европола, которая также проходила на этой неделе.
Новый этап был нацелен на ботнет SocGolish, объединяющий зараженные веб-сайты. Силовики Европола, Канады, США, Германии и Нидерландов изъяли 106 серверов и доменов, используемых для управления ботнетом.
SocGolish действовала почти десять лет и использовалась для перехвата трафика со взломанных веб-сайтов и перенаправления пользователей на вредоносные сайты, такие как мошеннические страницы, фишинговые страницы и страницы загрузки вредоносного ПО.
Интересная особенность нового этапа заключается в том, что голландская полиция также провела «дезинфекцию» 15 000 сайтов WordPress, зараженных ботнетом в Нидерландах.
Этот процесс, по всей видимости, включал в себя доступ к сайтам через их утекшие учетные данные и удаление бэкдора SocGolish, что стало первой подобной операцией для голландской полиции.
Но, честно говоря, формулировка статьи в канадских СМИ, похоже, предполагает, что CSIS могла атаковать одну из нескольких китайских ботнетов-прокси, которые становились целью аналогичных операций в США, обычно для сокрытия китайских APT-атак. | 5 762 |
| 18 | Apple выпустила обновления для устранения серьезной уязвимости в беспроводных наушниках Beats Studio Buds, которая позволяет злоумышленникам в зоне действия Bluetooth шпионить за разговорами пользователей.
Злоумышленник, находящийся в зоне действия Bluetooth, может прослушивать микрофон устройства, которое еще не сопряжено и активно запрашивает запросы на сопряжение.
Ошибка в открытом исходном коде, а Apple Software входит в число затронутых проектов. Идентификатор CVE был присвоен третьей стороной.
Apple представила обновление прошивки Beats 1B211, которое будет автоматически установлено на уязвимые наушники при их сопряжении и нахождении в зоне действия Bluetooth на iPhone, iPad или Mac пользователя.
CVE-2025-20701 была обнаружена Деннисом Хайнце и Фридером Штайнметцем из компании ERNW GmbH в системах на кристалле (SoC) Airoha.
Когда год назад на конференции по безопасности TROOPERS в Германии исследователи ERNW раскрыли информацию об этой уязвимости, они заявили, что она связана с отсутствием аутентификации в радиомодуле Bluetooth BR/EDR.
Они также разработали PoC-эксплойт, позволяющий злоумышленникам инициировать звонок и прослушивать разговоры в пределах слышимости целевого телефона.
При объединении CVE-2025-20701 с двумя другими CVE-2025-20700 и CVE-2025-20702, затрагивающими тот же уязвимый компонент, злоумышленники также могут использовать профиль Bluetooth Hands-Free Profile (HFP) для отправки команд телефону после перехвата соединения между телефоном и сопряженным аудиоустройством Bluetooth.
В большинстве случаев эти уязвимости позволяют злоумышленникам полностью захватить управление наушниками через Bluetooth. Аутентификация или сопряжение не требуются.
Уязвимости могут быть активированы через Bluetooth BR/EDR или Bluetooth Low Energy (BLE). Единственное условие - нахождение в зоне действия Bluetooth. Возможно чтение и запись в оперативную и флэш-память устройства.
Исследователи также смогли получить доступ к истории звонков и контактам, а также позвонить на произвольный номер, извлекая ключи Bluetooth-соединения из памяти уязвимого устройства.
При этом диапазон доступных команд зависит от мобильной ОС, но все основные платформы поддерживают как минимум инициирование и прием звонков.
Реальные атаки сложны в выполнении и, вероятно, должны быть нацелены только на особо важные цели, поскольку требуют технической сложности и физической близости. | 5 779 |
| 19 | Microsoft устранила известную проблему, из-за которой обновления безопасности за июнь 2026 года не устанавливались на системах Windows Server 2016, которые не были обновлены до последней версии.
Проблема была описана в сообщении службы административного портала, подтверждающем жалобы ИТ-администраторов об ошибках 0x80070002 или FILE_NOT_FOUND на затронутых системах.
В первую очередь, ошибка затронула пользователей, пытавшихся установить обновление KB5094122, не установив предварительно обновление безопасности KB5087537, выпущенное в прошлом месяце.
Microsoft заявляет, что проблема с установкой обновления безопасности решена, и на затронутых устройствах больше не должно возникать сбоев при развертывании обновления безопасности KB5094122 от июня 2026 года.
Опять на те же грабли по ходу, ведь в прошлом месяце Microsoft уже устраняла аналогичную проблему, вызывавшую сбои при установке и ошибки 0x800f0922 при развертывании обновления безопасности Windows 11 от мая 2026 года (KB5089549).
Как пояснила Microsoft, признав проблему, сбои были вызваны недостаточным свободным местом на системном разделе EFI (ESP), что привело к автоматическому откату обновления на затронутых устройствах.
Microsoft официально подтвердила наличие уязвимости нулевого дня в RoguePlanet Defender и сообщила о работе над выпуском патча для ее устранения.
Уязвимости присвоен идентификатор CVE-2026-50656 (CVSS: 7,8), технологический гигант описывает её как уязвимость, позволяющую повысить привилегии.
Это произошло почти через неделю после того, как анонимный исследователь Chaotic Eclipse (он же Nightmare-Eclipse) выпустил RoguePlanet, назвав эксплойт случаем состояния гонки, которое предоставляет злоумышленникам оболочку с привилегиями уровня SYSTEM.
RoguePlanet - это уже четвертая уязвимость в Defender, раскрытая Chaotic Eclipse в знак протеста против корпорации за некорректные процедуры BugBounty, после BlueHammer (CVE-2026-33825), UnDefend (CVE-2026-45498) и RedSun (CVE-2026-41091), все из которых впоследствии были исправлены Microsoft. | 5 976 |
| 20 | Исследователи Лаборатории Касперского обнаружили новую вредоносную кампанию, нацеленную на пользователей хентай-игр из категории контента для взрослых.
В апреле этого года в ходе планового мониторинга телеметрических данных исследовали обнаружили несколько подозрительных DLL-файлов. Дальнейший анализ показал, что различные версии этих DLL существовали как минимум с 2024 года.
Они распространялись вместе с играми, созданными на базе разных игровых движков и языков программирования, включая RenPy (Python), RPG Maker MV (JavaScript) и другие.
При этом все выявленные игры относились к категории хентай-игр. Во время поиска источников распространения нашлись веб-сайты, на которых ппубликовались скрины игр и ссылки для их скачивания, которые перенаправляли пользователей на бесплатный файлообменник PixelDrain.
Помимо этих сайтов, троянизированные игры также распространялись через различные торрент-трекеры, такие как AniRena. Как на специализированных сайтах, так и через торрент-трекеры зараженные игры распространялись в виде архива.
Внутри этого архива находились полностью функциональные легитимные файлы игры вместе с измененным ffmpeg.dll. Поскольку она требуется для корректной работы игры, библиотека загружается сразу после ее запуска.
При запуске зараженные игры устанавливают на компьютер пользователя новый, ранее неизвестный вредоносный имплант.
Выждав несколько дней, он скачивает и запускает троянец, что приводит к полной компрометации системы и дает злоумышленникам широкие возможности удаленного управления устройством жертвы. В ЛК назвали это семейство вредоносного ПО Argamal.
В более ранних версиях командным сервером по умолчанию выступает asper1[.]freeddns[.]org, а в последних версиях — Winst0[.]kozow[.]com. Оба домена указывают на IP-адрес 186[.]158.223.35.
Для закрепления в системе Argamal использует технику перехвата COM-объектов (COM hijacking), подменяя значение InprocServer32 для DLL компонента Windows Color System Calibration Loader.
Поскольку соответствующая задача запускается при входе пользователя в систему, вредоносное ПО получает возможность автоматически запускаться при старте ОС.
В зависимости от команды с С2 вредоносное ПО может выполнять произвольные команды на зараженной машине, перезагружать систему и завершать работу, управлять курсором, делать скрины, упаковывать файлы в архивы, отправлять их на указанные серверы и, по сути, полностью контролировать машину.
В ходе исследования также фиксировались альтернативные методы доставки RAT. Вместо модификации FFmpeg и скачивания вредоносной нагрузки с GitHub злоумышленники внедряли ее в виде libpython64.dat или другого файла с похожим именем в директорию игры lib\py3-windows-x86_64. Этот файл использовался одной из библиотек игры, модифицированной соответствующим образом.
В другом случае злоумышленники разместили вредоносный DLL-файл, скачивающий вредоносную нагрузку, на игровом форуме под видом чита.
Согласно данным телеметрии ЛК, зафиксированы сотни заражений на устройствах, принадлежащих частным лицам, причем большинство жертв находится в России, Бразилии, Германии и Вьетнаме.
На основании языка комментариев в коде, данных об инфраструктуре и других факторов мы с умеренной степенью уверенности предполагаем, что разработчики этой вредоносной цепочки говорят на испанском языке.
За время анализа в ЛК наблюдали поток регулярных обновлений вредоносной нагрузки - появлялись новые функции, исправлялись ошибки, изменялась инфраструктура. Так что злоумышленники, стоящие за этим вредоносным ПО, продолжат его развивать и совершенствовать.
Все технические подробности и IOCs - в отчете. | 6 405 |
