Endi mavjud! Telegram Tadqiqoti 2025 — yilning asosiy insaytlari 
SecAtor
Kanalga Telegram’da o‘tish
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com
Ko'proq ko'rsatish📈 Telegram kanali SecAtor analitikasi
SecAtor (@true_secator) Rus til segmentidagi kanali faol ishtirokchi. Hozirda hamjamiyat 41 243 obunachidan iborat bo'lib, Texnologiyalar & Aralashmalar toifasida 3 299-o'rinni va Rossiya mintaqasida 15 543-o'rinni egallagan.
📊 Auditoriya ko‘rsatkichlari va dinamika
невідомо sanasidan buyon loyiha tez o‘sib, 41 243 obunachiga ega bo‘ldi.
17 Iyun, 2026 dagi oxirgi ma’lumotlarga ko‘ra kanal barqaror faollikka ega. Oxirgi 30 kunda obunachilar soni 136 ga, so‘nggi 24 soatda esa 2 ga o‘zgardi va umumiy qamrov yuqori darajada qolmoqda.
- Tasdiqlash holati: Tasdiqlanmagan
- Jalb etish (ER): Auditoriya o‘rtacha 15.69% darajada jalb etiladi. Nashrdan keyingi dastlabki 24 soatda kontent odatda umumiy obunachilar sonining 12.04% ini tashkil etuvchi reaksiyalarni to‘playdi.
- Post qamrovi: Har bir post o‘rtacha 6 473 marta ko‘riladi; birinchi sutkada odatda 4 965 ta ko‘rish yig‘iladi.
- Reaksiyalar va o‘zaro ta’sir: Auditoriya faol: har bir postga o‘rtacha 0 ta reaksiya keladi.
- Tematik yo‘nalishlar: Kontent cve-2026, github, trivy, кража, обнаружение kabi asosiy mavzularga jamlangan.
📝 Tavsif va kontent siyosati
Muallif resursni shaxsiy fikrni ifoda etish maydoni sifatida ta’riflaydi:
“Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com”
Yuqori yangilanish chastotasi (oxirgi ma’lumot 18 Iyun, 2026 da olingan) sababli kanal doimo dolzarb va katta qamrovli bo‘lib qoladi. Analitika auditoriya kontent bilan faol hamkorlik qilishini, uni Texnologiyalar & Aralashmalar toifasidagi muhim ta’sir nuqtasiga aylantirishini ko‘rsatadi.
41 243
Obunachilar
+224 soatlar
-47 kunlar
+13630 kunlar
Ma'lumot yuklanmoqda...
O'xshash kanallar
Taglar buluti
Kirish va chiqish esdaliklari
---
---
---
---
---
---
Obunachilarni jalb qilish
Iyun '26
Iyun '26
+197
9 kanalda
May '26
+386
7 kanalda
Get PRO
Aprel '26
+350
10 kanalda
Get PRO
Mart '26
+309
10 kanalda
Get PRO
Fevral '26
+433
14 kanalda
Get PRO
Yanvar '26
+389
13 kanalda
Get PRO
Dekabr '25
+443
14 kanalda
Get PRO
Noyabr '25
+414
11 kanalda
Get PRO
Oktabr '25
+304
10 kanalda
Get PRO
Sentabr '25
+306
15 kanalda
Get PRO
Avgust '25
+429
11 kanalda
Get PRO
Iyul '25
+451
25 kanalda
Get PRO
Iyun '25
+255
12 kanalda
Get PRO
May '25
+402
17 kanalda
Get PRO
Aprel '25
+351
13 kanalda
Get PRO
Mart '25
+579
39 kanalda
Get PRO
Fevral '25
+377
12 kanalda
Get PRO
Yanvar '25
+261
16 kanalda
Get PRO
Dekabr '24
+667
21 kanalda
Get PRO
Noyabr '24
+565
19 kanalda
Get PRO
Oktabr '24
+652
26 kanalda
Get PRO
Sentabr '24
+914
26 kanalda
Get PRO
Avgust '24
+600
19 kanalda
Get PRO
Iyul '24
+496
14 kanalda
Get PRO
Iyun '24
+485
18 kanalda
Get PRO
May '24
+504
15 kanalda
Get PRO
Aprel '24
+604
20 kanalda
Get PRO
Mart '24
+722
18 kanalda
Get PRO
Fevral '24
+769
30 kanalda
Get PRO
Yanvar '24
+661
13 kanalda
Get PRO
Dekabr '23
+1 145
20 kanalda
Get PRO
Noyabr '23
+817
35 kanalda
Get PRO
Oktabr '23
+571
26 kanalda
Get PRO
Sentabr '23
+458
0 kanalda
Get PRO
Avgust '23
+1 137
0 kanalda
Get PRO
Iyul '23
+789
0 kanalda
Get PRO
Iyun '23
+618
0 kanalda
Get PRO
May '23
+682
0 kanalda
Get PRO
Aprel '23
+442
0 kanalda
Get PRO
Mart '23
+953
0 kanalda
Get PRO
Fevral '23
+554
0 kanalda
Get PRO
Yanvar '23
+775
0 kanalda
Get PRO
Dekabr '22
+700
0 kanalda
Get PRO
Noyabr '22
+600
0 kanalda
Get PRO
Oktabr '22
+705
0 kanalda
Get PRO
Sentabr '22
+553
0 kanalda
Get PRO
Avgust '22
+359
0 kanalda
Get PRO
Iyul '22
+1 512
0 kanalda
Get PRO
Iyun '22
+440
0 kanalda
Get PRO
May '22
+1 277
0 kanalda
Get PRO
Aprel '22
+1 378
0 kanalda
Get PRO
Mart '22
+1 618
0 kanalda
Get PRO
Fevral '22
+423
0 kanalda
Get PRO
Yanvar '22
+1 212
0 kanalda
Get PRO
Dekabr '21
+1 356
0 kanalda
Get PRO
Noyabr '21
+608
0 kanalda
Get PRO
Oktabr '21
+863
0 kanalda
Get PRO
Sentabr '21
+2 094
0 kanalda
Get PRO
Avgust '21
+1 022
0 kanalda
Get PRO
Iyul '21
+485
0 kanalda
Get PRO
Iyun '21
+336
0 kanalda
Get PRO
May '21
+879
0 kanalda
Get PRO
Aprel '21
+1 034
0 kanalda
Get PRO
Mart '21
+680
0 kanalda
Get PRO
Fevral '21
+1 450
0 kanalda
Get PRO
Yanvar '21
+627
0 kanalda
Get PRO
Dekabr '20
+12 266
0 kanalda
| Sana | Obunachilarni jalb qilish | Esdaliklar | Kanallar | |
| 18 Iyun | +7 | |||
| 17 Iyun | +10 | |||
| 16 Iyun | +11 | |||
| 15 Iyun | +8 | |||
| 14 Iyun | +6 | |||
| 13 Iyun | +1 | |||
| 12 Iyun | +6 | |||
| 11 Iyun | +11 | |||
| 10 Iyun | +27 | |||
| 09 Iyun | +8 | |||
| 08 Iyun | +14 | |||
| 07 Iyun | +2 | |||
| 06 Iyun | +7 | |||
| 05 Iyun | +8 | |||
| 04 Iyun | +14 | |||
| 03 Iyun | +17 | |||
| 02 Iyun | +17 | |||
| 01 Iyun | +23 |
Kanal postlari
В продолжение предыдущего материала в отношении масштабной утечки FortiBleed:
Исследователь Кевин Бомонт независимо проверил часть скомпрометированных данных и сообщил также, что некоторые учетные данные являются подлинными.
После дальнейшего анализа данных, Бомонт опубликовал дополнительные результаты, указывающие на то, что набор данных содержит учетные данные примерно для 75 000 устройств Fortinet, большинство из которых остаются подключенными к сети.
По словам Бомонта, данные, по всей видимости, получены из экспортированных конфигураций Fortinet, поскольку содержат информацию, включая адреса электронной почты, которая обычно доступна только через конфигурационные файлы.
Он также заявил, что затронутые IP-адреса отличаются от адресов, фигурировавших в утечке данных Fortinet о Belsen Group в 2025 году, что еще раз указывает на то, что это более недавняя и масштабная группа скомпрометированных устройств.
Основываясь на телеметрии Shodan, утечка затронула примерно половину всех доступных через интернет межсетевых экранов Fortinet, и большинство затронутых устройств предоставляют доступ к своим интерфейсам управления FortiGate напрямую из интернета.
Источник данных конфигурации остается неизвестным, неясно, были ли они украдены через ранее выявленные уязвимости Fortinet, через недавно обнаруженную ошибку или другим способом.
Hudson Rock разработала инструмент для проверки того, затронула ли уязвимость FortiBleed вашу организацию.
В Fortinet полагают, что, по результатам ее расследования, учетные данные были получены в результате предыдущих инцидентов и атак методом перебора паролей, и не связаны с какими-либо недавно выявленными уязвимостями, утечками данных или уведомлениями о безопасности.
| 2 | Недавно обнаруженная масштабная утечка данных FortiBleed раскрывает учетные данные VPN-серверов Fortinet и FortiGate для 73 932 URL-адресов межсетевых экранов в организациях по всему миру.
Утекшие данные были впервые обнаружены исследователем Бобом Дьяченко, который утверждает, что обнаружил сервер, содержащий, по всей видимости, валидные учетные данные для VPN Fortinet, включая имена пользователей, адреса электронной почты и пароли в открытом виде.
При этом база данных содержит записи о компаниях Chevron, Samsung, Foxconn, Comcast, AT&T, Mercedes-Benz, Toyota, Sinopec, State Grid и многих других.
В найденных файлах указаны тысячи экземпляров оборудования ведущих поставщиков. Только один из экземпляров содержит 21 634 доменных имени - от Chevron до самой Fortinet. И все они - с потенциально рабочими паролями к устройствам FortiGate, полученными различными способами.
В раскрытые данные также вошли комментарии, содержащие информацию об отрасли, доходах и количестве сотрудников каждой организации, предположительно, для планирования атак.
Согласно расследованию, злоумышленники предположительно совершили около 1,16 млрд. попыток взлома учетных данных 320 777 целевых устройств FortiGate и еще 2,1 млрд. попыток в отношении 163 650 систем Microsoft SQL Server.
Дьяченко также отметил, что злоумышленники перехватили хеши аутентификации SSL VPN, взломали их с помощью кластера из 45 графических процессоров, управляемого через Hashtopolis, и использовали полученные учетные данные для проникновения во внутренние среды Active Directory.
Диаченко рассказал, что хакеры случайно оставили в сети открытую директорию с артефактами, строками подключения, инструментами, скриптами и данными. Аналитические данные были полученные через их задания cron, историю команд bash, журналы и т.д.
Исследователь также заявил, что различные организации в Японии, Тайване, Вьетнаме, Ираке и Турции были полностью скомпрометированы, включая турецкого подрядчика НАТО по оборонным закупкам, у которого, предположительно, были украдены секретные документы.
В свою очередь, Hudson Rock представила собственный анализ скомпрометированных данных, охарактеризовав эту коллекцию как один из крупнейших известных массивов скомпрометированных учетных данных, связанных с Fortinet.
По данным Hudson Rock, набор данных содержит 73 932 уникальных URL-адреса межсетевых экранов в 194 странах и затрагивает 21 632 уникальных домена.
Злоумышленники вели подробные журналы успешных взломов и создали базу данных, содержащую проверенные учетные данные организаций практически во всех основных отраслях экономики.
В них вошили данные такие организации, как Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture, Oracle, а также многочисленные правительственные учреждения и операторы критической инфраструктуры.
Компания также опубликовала статистику, показывающую, что наибольшее количество затронутых устройств было зафиксировано в Индии, США, Тайване, Мексике, Турции, Таиланде, Колумбии, Малайзии, Чили и ОАЭ.
Одна из странных особенностей утечки заключается в том, что многие из раскрытых учетных данных представляли собой длинные, сложные пароли, которые обычно считаются трудновзламываемыми. | 1 796 |
| 3 | DragonForce задействовала специально разработанное вредоносное ПО под названием Backdoor.Turn для сокрытия управляющего трафика внутри инфраструктуры ретрансляции Microsoft Teams.
Бэкдор использует протокол TURN (Traversal Using Relays around NAT), применяемый Microsoft Teams для передачи сообщений, когда прямое соединение с клиентом недоступно (например, для клиентов в частной сети).
DragonForce - это банда вымогателей, действующая как минимум с 2023 года, которая использует организационную структуру, подобную картелю, и связана с известной группировкой Scattered Spider.
По данным Symantec, хакеры использовали специально разработанное вредоносное ПО на языке Go для атаки на крупную американскую сервисную компанию.
Backdoor.Turn полагается на уязвимость в инфраструктуре TURN Teams, получая анонимный токен посетителя Teams, используя легитимный ретранслятор Microsoft TURN во время установления соединения, а затем подключаясь к серверу C2 злоумышленника.
В результате ИБ-специалисты видят трафик, связанный с инфраструктурой Microsoft Teams, что позволяет вредоносному ПО скрывать свои коммуникации в доверенной сети.
В прошлом году Praetorian представила технику под названием Ghost Calls, продемонстрировав, как временные учетные данные TURN для Teams и Zoom могут быть использованы для создания скрытых каналов связи через доверенную инфраструктуру конференц-связи.
Ghost Calls была продемонстрирована в 2025 году, а Backdoor.Turn стало первым известным в реальных условиях вредоносным ПО, использующим ретрансляторы TURN Microsoft Teams для маскировки трафика управления и контроля.
Исследователи также обращают внимание на использование уязвимости драйвера HWAuidoOs2Ec.sys компании Huawei, который применяется для обхода тактики BYOVD.
Как отмечает Symantec, атака, зафиксированная в декабре 2025 года, скорее всего, началась с использования неизвестной уязвимости в сервере SQL или MSSQL.
Получив доступ к системе, злоумышленник скачивал ZIP, содержащий легитимный исполняемый файл VirtualBox/DbgView и вредоносный DLL-файл, используемый для установки вредоносного ПО из сторонних источников.
На этом этапе злоумышленник усилил свое присутствие в системе, создал поддельных пользователей, злоупотребил политикой безопасности LimitBlankPassword в Windows для облегчения доступа и изменил правила брандмауэра.
Далее они использовали методы BYOVD с несколькими драйверами, включая HWAuidoOs2Ec.sys от Huawei, Topaz Antifraud wsftprm.sys (CVE-2023-52271), Tower of Fantasy GameDriverx64.sys (CVE-2025-61155) и K7 Security K7RKScan.sys (CVE-2025-1055), дабы получить привилегии на уровне ядра и завершить работу средств защиты на хосте.
Хакер также использовал ABYSSWORKER, специально созданный вредоносный драйвер, маскирующийся под легитимный драйвер Palo Alto.
Backdoor.Turn была внедрена в файл DbgView64.exe после развертывания ransomware, что позволяет предположить, что она, возможно, предназначена для постоянного присутствия в системе или для последующего доступа.
Вредоносная ПО получает анонимный токен посетителя Teams, используя легитимный ретрансляционный сервер Microsoft TURN во время установления соединения, и устанавливает связь с C2.
Его возможности включают выполнение команд, создание процессов, сканирование сети, захват TLS-сертификатов, поиск в LDAP/Active Directory, сбор заголовков веб-сайтов и кражу учетных данных браузера.
Завершив разведку и обойдя систему защиты, злоумышленник похищает все данные, запуская программу-вымогатель DragonForce и шифруя системы жертвы.
Как отмечают исследователи, хакеры, стоящие за этой кампанией, используют исключительно изощренные методы киберпреступлений, а IOCs доступны в отчете. | 4 544 |
| 4 | Исследователи JFrog, SafeDep, Socket и StepSecurity сообщают об атаке на цепочку поставок программного обеспечения под кодовым названием easy-day -js, в результате которой были скомпрометированы до 144 пакетов npm, связанных с Mastra, популярным фреймворком с открытым исходным кодом на JavaScript и TypeScript для создания ИИ-приложений.
Один аккаунт npm (ehindero) за короткий промежуток времени 17 июня 2026 года массово опубликовал более 140 вредоносных пакетов в рамках сети Mastra.
Сами зараженные пакеты не содержат вредоносного кода. Вместо этого он внедряется с помощью сторонней библиотеки easy-day-js, которая добавляется в список зависимостей каждого пакета в рамках автоматизированной кампании по распространению вредоносного кода, длившейся 88 минут.
В своем анализе SafeDep описала easy-day-js как клон библиотеки для работы с датами dayjs, который загружает и запускает троян удаленного доступа, предназначенный для кражи криптовалюты.
Библиотека JavaScript была опубликована пользователем npm под ником sergey2016 16 июня 2026 года в 7:05 утра по UTC как чистая, полностью функциональная копия, а вредоносные изменения были внесены 17 июня 2026 года в 1:01 утра по UTC.
Поскольку Mastra находится на стыке разработки ИИ и облачной инфраструктуры, ее пакеты регулярно устанавливаются в средах, содержащих одни из самых конфиденциальных учетных данных в современной разработке ПО, что делает ее исключительно ценной целью.
Пакет easy-day-js запускает обфусцированную полезную нагрузку, которая срабатывает во время выполнения postinstall-хука и действует как загрузчик или дроппер для полезной нагрузки второго этапа из 23.254.164[.]92 после отключения проверки TLS-сертификатов.
Затем полезная нагрузка выполняется как отдельный фоновый процесс, после чего загрузчик предпринимает шаги для самоуничтожения, чтобы минимизировать следы, которые могли бы быть использованы для анализа.
Финальный этап - это кроссплатформенный стилер, способный собирать историю браузера, данные из более чем 160 расширений, использующих криптокошельки, устанавливать постоянное присутствие в Windows, macOS и Linux, а также передавать информацию на C2 (23.254.164[.]123).
Вредоносная ПО также способна опрашивать сервер C2 для получения команд, включая загрузку модуля по предоставленному злоумышленником URL-адресу и его выполнение в системах Windows, Linux и macOS.
Вредоносная ПО сочетала в себе знакомые методы управления цепочками поставок с практической скрытностью: чистую версию-приманку, обфусцированный загрузчик после установки, загрузку полезной нагрузки во время выполнения, отсоединенное выполнение, самоудаление, сохранение активности в стиле Node и систему удаленных модулей.
Даже если пакет первого этапа будет удален после установки, процесс второго этапа может продолжаться и, возможно, уже установил средства обеспечения постоянного доступа.
Злоумышленники, стоящие за этой кампанией, взломали аккаунт ehindero, принадлежащий законному бывшему участнику проекта Mastra, чьи права доступа не были отозваны. С тех пор Npm удалил вредоносные версии из наиболее известных пакетов и вернул им прежний тег.
Mastra распространяет свои реальные релизы из CI через механизм доверенных издателей npm, и каждый из них содержит подтверждения происхождения SLSA. Злоумышленник распространил вредоносные версии, используя личный токен, и скрыл подтверждение происхождения.
Mastra генерировала подтверждение происхождения при публикации в CI, но не требовала его, поэтому стандартный токен npm мог публиковать файлы без аттестаций. Установка с проверкой подписи (подписи npm audit или политика, требующая аттестаций) отклонила бы каждый пакет в этой волне.
Любая рабочая станция, среда непрерывной интеграции или среда сборки, на которых установлены затронутые версии, должны рассматриваться как потенциально скомпрометированные. Рекомендуется откатиться к безопасной версии, сменить учетные данные и провести аудит хостов на наличие любых артефактов, связанных с кампанией. | 4 531 |
| 5 | Новый банковский троян для Android под названием Rokarolla способен атаковать 217 банковских и криптовалютных приложений, используя обширный набор из 137 команд.
Вредоносное ПО распространяется через вредоносные веб-сайты, якобы предоставляющие приложения Google Chrome или TikTok, позволяя получить полный административный контроль над скомпрометированным устройством.
Его возможности включают кражу учетных данных экрана блокировки, списков контактов и данных SMS, а также использование кейлоггеров для непрерывной записи пользовательского ввода.
В процессе установки вредоносное приложение действует как загрузчик и имитирует Google Play Protect, встроенную в Android антивирусную систему, предлагая пользователям возможность установить Chrome или TikTok, которые содержат вредоносное ПО Rokarolla.
Как отмечают в Zimperium, при запуске на устройстве Rokarolla запрашивает разрешения на доступ к службе специальных возможностей, а также к уведомлениям, SMS и звонкам. Zimperium даже создала репозиторий на GitHub со всеми 137 командами, доступными для Rokarolla.
Основная цель вредоносной ПО, по всей видимости, - кража финансовой информации. Для этого она проверяет зараженное устройство по списку из 217 целевых приложений, а затем загружает фишинговую полезную нагрузку, соответствующую любым совпадающим приложениям.
Когда жертва открывает приложение из списка, Rokarolla отображает фейковое окно входа в систему, чтобы украсть учетные данные, информацию о кредитных картах и другие финансовые данные.
Однако использование наложений выходит за рамки кражи данных. Вредоносная ПО также использует этот метод для перехвата PIN-кода/графического ключа блокировки экрана и управления устройством даже в заблокированном состоянии.
Кроме того, наложения используются для сокрытия активности вредоносного ПО и блокировки взаимодействия с пользователем путем отображения поддельных экранов установки при необходимости.
К дополнительным методам обхода относятся отключение Google Play Protect, скрытие значка приложения из списка приложений, отключение звука и вибрации, а также постоянное включение экрана.
Сочетание всех заявленных возможностей предоставляет операторам Rokarolla практически полный административный контроль над зараженным устройством Android, что позволяет им совершать сложные финансовые махинации.
К счастью, Zimperium не обнаружила вредоносное ПО в Google Play. Так что пользователям рекомендуется избегать загрузки APK-файлов вне Google Play. Кроме того, пользователям следует проявлять осторожность при предоставлении разрешений на использование специальных возможностей. | 4 885 |
| 6 | Китайские силовики арестовали 67 подозреваемых, связанных с Silver Fox, крупнейшей и наиболее активной киберпреступной группировкой страны, нацеленной на ее внутреннюю аудиторию.
Аресты были произведены в пяти провинциях и затронули всех - от разработчиков до операторов фишинговых сайтов и различных других причастных лиц.
Властям удалось установить личность некоего Цзи Моуфэй, который был главным разработчиком и селлером вредоносного ПО группировки, получившего название трояна Silver Fox. Цзи и четверо его сообщников были арестованы в провинции Чжэцзян.
Также в провинции Цзилинь были арестованы еще 28 человек, в том числе мужчина по имени Чен, у которого, как сообщается, был обнаружен вариант троянской программы этой группировки.
Сообщается также о других арестах в провинции Шаньдун, где был задержан человек некий Ян и 15 подозреваемых за создание фишинговых сайтов, которые заманивали пользователей к загрузке файлов, зараженных трояном Silver Fox.
В провинции Гуандун был задержан еще один подозреваемый по имени Ли, а также 13 других лиц, предположительно использовавших троян для доступа к системам и кражи онлайн-активов и средств жертв.
И наконец, в провинции Чжэцзян был арестован подозреваемый по имени Чжоу и двое его сообщников за разработку фейковых сайтов для скачивания приложений, содержащих троянскую ПО этой группы.
Silver Fox начала свою деятельность в середине 2024 года и ориентировалась исключительно на пользователей, говорящих на китайском языке и проживающих как в Китае, так и за рубежом.
Позже группа расширила свою деятельность, включив в нее и другие страны, однако основная часть ее работы по-прежнему была направлена в отношении Китая.
Как оказалось впоследствии, силовая операция в отношении этой группировки была ожидаема, поскольку в конце мая китайский CERT выпустил предупреждение, касающееся ее деятельности.
Основной метод работы Silver Fox включал рассылку вредоносного спама и создание поддельных сайтов для скачивания, призванных заманить жертв к установке трояна на их системы.
Группа использовала этот первоначальный троян для развертывания других, более мощных инструментов, таких как различные семейства программ для кражи информации, а также разработанные внутри компании трояны удаленного доступа под названиями AtlasRAT и ValleyRAT.
Silver Fox также известна под названиями Void Arachne, YouSnake, UTG-Q-1000 и TA4922, а его основной троян отслеживается как Winos. | 5 197 |
| 7 | • У компании WIZ недавно есть хороший мини-курс для начинающих багхантеров. Он включает в себя 4 модуля, которые содержат необходимый материал для последующего прохождения практических заданий.
• Учитывайте, что курс на английском языке и ориентирован для начинающих специалистов.
• К слову, курс содержит задания, которые принесли исследователям реальные вознаграждения (от 3 до 27 тыс. баксов) от очень крупных компаний.
➡ https://www.wiz.io/bug-bounty-masterclass
• P.S. У WIZ есть еще ряд полезных и бесплатных курсов. Вероятно вы найдете что-то полезное для себя.
S.E. ▪️ infosec.work ▪️ VT | 5 094 |
| 8 | В киберподполье сегодня жарко: одни злоумышленники затребовали от Nintendo 2 млн. долл. за утечку корпоративных данных за десятилетний период, а другие реализуют большой массив данных в отношении более 5,5 млн. граждан Швеции (примерно половину населения). Отметились также и другие известные акторы.
Называющий себя ShadowByte$ утверждает, что украл около 859 МБ корпоративных данных Nintendo и требует выкуп в размере 2 миллионов долларов, дабы предотвратить публикацию данных.
Утекшие образцы данных предположительно содержат конфиденциальную внутреннюю документацию, включая имена сотрудников, корпоративные адреса электронной почты, результаты опросов отдела кадров, отзывы сотрудников, показатели эффективности работы организации, внутренние отчеты и плановую документацию.
Исследователи, изучившие образцы, обнаружили доказательства, свидетельствующие о том, что по крайней мере часть данных может быть подлинной, включая опросы вовлеченности сотрудников, датируемые 2016 годом, и упоминания лиц, которые, судя по всему, до сих пор работают в Nintendo.
Остается неясным, была ли реально взломана сама компания Nintendo или же злоумышленники получили доступ через стороннюю HR-платформу, при этом в качестве примера приводится программное обеспечение для повышения вовлеченности сотрудников TinyPulse.
Другой злоумышленник утверждает, что данные по гражданам Швеции были получены с сайтов ilait.se и adressfakta.se, которые распространяют контактную и адресную информацию в коммерческих целях.
Согласно утверждениям, набор данных включает в себя как персональные данные, так и информацию о географическом местоположении и данные, связанные с недвижимостью.
Однако вопрос о том, насколько деликатна эта ситуация, остается без ответа. Кроме того, в наборе данных лишь 18 образцов записей четко идентифицируемы и согласуются друг с другом. Поэтому проверить весь масштаб предполагаемого нарушения невозможно.
Кроме того, подкатила новая группа жертв ShinyHunters: хакерская группа разместила на своем DLS список новых жертв. В настоящее время группа пытается шантажировать Совет Европы, модных гигантов Ralph Lauren и JCPenney, а также Nexstar, крупнейшую телекомпанию США.
Большинство компаний, перечисленных на странице утечек ShinyHunters, подтвердили факт взлома. За последние две недели группа использовала уязвимость нулевого дня в ERP-системе Oracle PeopleSoft.
А в Австралии атака банды вымогателей The Gentlemen парализовала работу заводов второго по величине производителя нерафинированного сахара Mackay Sugar.
Компания управляет тремя сахарными заводами в Квинсленде. По всей видимости, кибератака затронула двух из них, которые были вынуждены остановить работу.
Cal Water, одна из крупнейших водопроводных компаний в США, инциировала расследование после заявления связанной с Ираном группировки Handala, которая опубликовала несколько гигов данных, предположительно, украденных из систем водоснабжения и водоотведения предприятия. | 5 900 |
| 9 | Исследователи BI.ZONE озадачились вопросом анализа веб-логов, которые представляют собой важный источник данных при расследовании инцидентов, помогая выявлять атаки и подозрительную активность.
Как отмечают в BI.ZONE, в большинстве случаев компании используют не один сайт или сервер, а десятки: одни доступны в интернете, другие работают только внутри организации. Наиболее популярными веб‑ресурсами и средами выполнения являются
- nginx - веб‑сервер и обратный прокси. В современных инфраструктурах чаще всего располагается на периметре: принимает от пользователей HTTP‑ и HTTPS‑запросы, перенаправляет их на внутренние сервисы. Поэтому его логи - один из первых источников информации о внешней активности, включая сканирование и атаки.
- IIS - веб‑сервер от Microsoft, глубоко интегрированный с операционной системой Windows. Чаще всего используется, чтобы размещать приложения на платформе .NET. Логи IIS позволяют анализировать взаимодействие пользователей с приложением и выявлять аномалии на уровне бизнес‑логики.
- Apache - классический веб‑сервер, который широко применялся в предыдущих поколениях инфраструктур. Сейчас чаще встречается в legacy‑системах, однако по‑прежнему остается важным источником событий кибербезопасности из‑за своей распространенности.
- Node.js - среда выполнения JavaScript, в рамках которой разработчики самостоятельно реализуют веб‑серверную логику. В отличие от классических веб‑серверов, формат и содержание логов здесь зависят от реализации приложения, однако в них также есть ценные данные для анализа активности.
Несмотря на различие в технологиях, у всех этих решений есть общая особенность: все они содержат полезные события для аналитиков SOC.
Каждый HTTP‑запрос, который приходит на веб‑сервер, оставляет данные, например обращение к странице, попытку авторизации, ошибку или даже вредоносный запрос. Все эти события записываются в логи, которые аналитик отслеживает и использует для правил корреляции.
В своем отчете Бизоны акцентировались на самых распространенных источниках логов - nginx и IIS, подробно разбирая, где в этих системах хранятся события, как они выглядят и какую полезную информацию из них может извлечь специалист SOC.
В практической части отчета Бизоны сгенерировали подозрительную активность и продемонстрировали, как она отражается в логах.
В качестве примера были рассмотрены простые техники: фаззинг (перебор путей) и атаку типа path traversal, что позволяет не просто увидеть логи, а понять, как именно в них выглядит поведение атакующего и на что стоит обращать внимание при анализе.
Все технические подробности и практические рекомендации - в отчете. | 5 486 |
| 10 | Исследователи ESET обнаружили два ранее не описанных варианта SprySOCKS для Windows - бэкдора, ранее известного только для Linux и связанного с китайской FishMonger.
Недавно обнаруженные варианты вредоносного ПО значительно расширяют возможности группы, внедряя механизмы обеспечения постоянного присутствия в Windows и, в одной из версий, руткит на уровне ядра, предназначенный для сокрытия активности от средств безопасности.
По данным ESET, вредоносная ПО для Windows была первоначально обнаружена в файлах, загруженных на VirusTotal, но телеметрия показала реальную активность в период с 2023 по 2024 год.
Атаки были направлены в основном на правительственные организации в Гондурасе, Тайване, Таиланде и Пакистане. Исследователи с высокой степенью уверенности отнесли вредоносную ПО к FishMonger на основе сходства кода, операционных характеристик и пересечения инфраструктуры.
Считается, что FishMonger (Earth Lusca, TAG-22, Aquatic Panda и Red Dev 10), действует из Чэнду, Китай, под эгидой Winnti Group. Ранее группа была замечена в кибершпионских кампаниях и известна использованием ShadowPad, Spyder, FunnySwitch, BIOPASS RAT и Cobalt Strike.
Недавно обнаруженная вредоносная программа SprySOCKS для Windows существует в двух вариантах: WIN_DRV и WIN_PLUS. Оба поддерживают связь по протоколам TCP, UDP и WebSocket и поддерживают более 30 команд C2 для разведки системы, управления процессами, контроля служб, файловых операций и удаленного выполнения команд.
Наиболее сложная версия, WIN_DRV, включает в себя драйвер ядра под названием RawWNPF, который функционирует как руткит.
Драйвер может скрывать активные сетевые соединения, запущенные процессы, вредоносные файлы и ключи реестра от администраторов и средств безопасности.
Он также включает в себя скрытый пассивный механизм бэкдора, который перенаправляет специально сформированный сетевой трафик с любого открытого TCP-порта на скрытый порт прослушивания вредоносной ПО, позволяя операторам взаимодействовать с имплантатом, не раскрывая его фактическую сетевую точку.
ESET заметила, что злоумышленники используют несколько методов для обеспечения постоянного присутствия в системе и избежания обнаружения.
В цепочке WIN_DRV вредоносное ПО использует загрузку DLL-файлов через легитимное подписанное ПО, запланированные задачи, запускаемые с правами SYSTEM, зашифрованные контейнеры полезной нагрузки, подмену процессов и пользовательские драйверы ядра.
Руткит защищает файлы, хранящиеся в каталоге шрифтов Windows, и скрывает ключи реестра, связанные с механизмами обеспечения постоянного присутствия в системе.
Второй вариант, WIN_PLUS, не имеет драйвера ядра, но по-прежнему использует сложные механизмы загрузки.
Исследователи наблюдали, как он использует вредоносный обработчик печати под названием VSPMsg.dll для обеспечения постоянного присутствия в системе.
Вредоносная ПО хранит зашифрованные данные в каталогах диспетчера печати Windows и внедряет финальный бэкдор в процессы svchost.exe, используя методы двойников процессов.
Оба варианта включают дополнительные функции слежки. При включении через конфигурационный файл вредоносное ПО может регистрировать нажатия клавиш, собирать содержимое буфера обмена и записывать заголовки активных окон. Собранные данные сохраняются в зашифрованных файлах перед передачей операторам.
Одно из наиболее тревожных наблюдений ESET - некоторые вторжения SprySOCKS могли быть связаны с компонентом загрузчика UEFI, потенциально использующим уязвимость CVE-2023-24932.
Хотя исследователям не удалось полностью подтвердить развертывание загрузчика, они отметили, что эта возможность требует тщательного мониторинга, учитывая продолжающиеся наработки FishMonger в части технологии скрытности и обеспечения постоянного присутствия в сети. | 5 035 |
| 11 | Исследователи Лаборатории Касперского обнаружили в мастерской Steam обнаружены десятки вредоносных обоев для Wallpaper Engine с 100 тыс. активных пользователей в день.
С конца 2025 года в Steam Workshop (встроенной в Steam мастерской для разработки и обмена пользовательским контентом) активно распространяется вредоносное ПО.
Основной целью атакующих является кража аккаунтов игроков, преимущественно из Китая (89%) и России (5,5%). Далее Сингапур (1,4%), Гонконг (0,9%), Германия (0,9%), Вьетнам (0,9%), Индия и Канада (по 0,5%).
Для заражения злоумышленники эксплуатируют Wallpaper Engine, популярную программу анимации обоев, размещенную в Steam, а именно ее механизм обмена обоями через Steam Workshop.
Вредоносное ПО скрывается внутри пакетов обоев, которыми пользователи делятся друг с другом. Через механизм «обои в виде приложения» в ЛК зафиксировали распространение самых разных типов вредоносного ПО: от популярных стилеров до бэкдоров, криптомайнеров, ботнетов.
Значительное разнообразие используемых инструментов позволяет предположить, что за атаками стоят разрозненные хакерские группы, действующие независимо друг от друга.
Wallpaper Engine включает в себя встроенный редактор обоев для создания собственных проектов и поддерживает несколько типов обоев, включая и приложения - активные окна любого стороннего ПО, совместимого с Windows, которые Wallpaper Engine устанавливает в качестве фона рабочего стола.
Последний тип является самостоятельным программным обеспечением. Среди них могут быть игры, которые запускаются прямо на рабочем столе, планировщики и календари, системы мониторинга, утилиты для отслеживания загрузки видеокарты или процессора и т.д.
Злоумышленники воспользовались этой функцией и начали внедрять в данный тип обоев вредоносное ПО. В ЛК обнаружили в Steam Workshop десятки вредоносных обоев-приложений, каждое из которых было загружено тысячи или десятки тысяч раз.
При анализе таких обоев зафиксировано два типа распространения: через архив, внутри которого были исполняемые обои и вредоносные файлы, где в качестве вредоносной нагрузки могли использоваться, например, EXE-файлы, DLL-библиотеки и скрипты.
В других случаях атакующие дополнительно помещали вредоносный код в архив, защищенный паролем. Пароль должна была вводить жертва, или это делал скрипт.
Злоумышленники записывали пароль либо в названии самого архива, либо в файле конфигурации в формате JSON, который устанавливался вместе с исходными файлами обоев. В остальных случаях вредоносная нагрузка запускалась полностью автоматически после выбора и установки обоев пользователем.
После запуска пользователь не видел ничего подозрительного. В обои была встроена игра, которая стартовала корректно и работала без явных проблем, а кнопки управления игровым процессом на рабочем столе оставались функциональными.
Однако за кадром происходил процесс заражения, и спустя несколько минут пользователь мог обнаружить, что его учетная запись Steam украдена, а на компьютере работает вредоносное ПО: файлы шифруются «вымогателем», производительность системы падает из-за майнера.
После запуска обоев с игрой в систему жертвы устанавливался файл‑бэкдор (Synaptics.exe) из семейства DarkKomet, а также исполняемый файл _cache_GAME1.exe, который инициировал запуск игры NTRaholic.
Одновременно с этим модуль _cache_GAME1.exe устанавливал модифицированную злоумышленником библиотеку AggregatorHost.dll, которая содержала дополнительную вредоносную нагрузку.
Функциональность этого «патча» была ограничена — в первую очередь он искал приложение Steam с целью перехватить данные аккаунта. После этого модифицированная библиотека перехватывала активную сессию.
В дальнейшем библиотека AggregatorHost.dll отправляла все собранные данные на адрес hxxp://120.48.156[.]17/ey.php злоумышленников. Перехваченная сессия могла использоваться для последующего распространения вредоносных обоев в Steam Workshop.
IOCs - в отчете. | 6 009 |
| 12 | Исследователи Defused сообщают об эксплуатации ряда критических уязвимостей в платформе обнаружения киберугроз FortiSandbox от Fortinet.
14 апреля Fortinet выпустила обновления для трех критически важных уязвимостей: CVE-2026-39813, CVE-2026-39808 и CVE-2026-25089.
Они позволяют неавторизованным злоумышленникам повышать привилегии и удаленно выполнять несанкционированный код посредством простых атак с внедрением команд, не требующих взаимодействия с пользователем.
Для решения этих проблем и блокировки входящих атак администраторам необходимо обновить затронутые развертывания до последних выпущенных версий.
Как предупреждают в Defused, за последние 24 часа наблюдается эксплуатация множества уязвимостей Fortinet FortiSandbox, включая: CVE-2026-39813 (ранее не зафиксировано случаев эксплуатации), CVE-2026-39808, CVE-2026-25089 (эксплойт, вероятно, некорректный).
При этом рабочий эксплойт для последней еще не был публично представлен. В свою очередь, Fortinet пока никак не отреагировала на сообщения об активной эксплуатации уязвимости.
Тем не менее, уязвимости в системе безопасности Fortinet часто использовались в атаках с применением ransowmare (зачастую в виде нулей) и в кампаниях кибершпионажа для взлома сетей жертв.
В общей сложности на карандаше в CISA сейчас 26 уязвимостей Fortinet, которые были использованы в атаках в последние годы, 13 из которых были использованы группировками, занимающимися вымогательством. | 6 577 |
| 13 | Palo Alto Networks предупреждает своих клиентов об активной эксплуатации недавно обнаруженной уязвимости в PAN-OS неизвестным злоумышленником с целью получения несанкционированного доступа к порталам GlobalProtect.
Речь идёт о CVE-2026-0257 (CVSS: 7,8), представляющей собой ошибку обхода аутентификации, затрагивающую компоненты портала и шлюза программного обеспечения PAN-OS, которая может быть использована злоумышленниками для установления VPN-соединений.
По данным компании, этот недостаток безопасности может быть использован злоумышленником для обхода средств контроля безопасности и установления VPN-соединений.
Уязвимость была использована в реальных условиях в ходе ограниченных атак, при этом первоначальная активность была зафиксирована 17 мая 2026 года. В настоящее время неизвестно, кто стоит за этими попытками эксплуатации.
Как заявили в Palo Alto Networks, на данный момент не выявлено никаких изменений в поведении после доступа или перемещения по сети. Лишь небольшая часть проверенных устройств фактически установила VPN-сессии, что привело к событиям, связанным с подключением к шлюзу.
Компания представила замеченные IOCs, связанные с этой активностью:
- IP-адреса: 23.128.228[.]6, 104.207.144[.]154, 146.19.216[.]119, 146.19.216[.]120, 146.19.216[.]125, 179.43.172[.]213, 185.195.232[.]139, 198.12.106[.]60 и 202.144.192[.]47;
- Имена хостов и MAC-адреса: aa:bb:cc:dd:ee:ff, 00:11:22:33:44:55, WINDOWS-LAPTOP-001, DESKTOP-GP01 и GP-CLIENT.
Palo Alto Networks также настоятельно рекомендует клиентам искать в журналах GlobalProtect события успешного подключения к шлюзу, соответствующие следующим жестко закодированным значениям конфигурации клиента из эксплойта, демонстрирующего работоспособность системы:
- endpoint_os_version: Microsoft Windows 10 Pro 64-bit;
- source_user_info.domain : empty.
Помимо клиентов Palo Alto с PAN-OS’ом, с проблемами также столкнулись и пользователи Splunk Enterprise, связанными с критической CVE-2026-20253 (имеет рейтинг 9,8).
Ошибка может быть использована для проведения неаутентифицированных операций с файлами и даже удаленного выполнения кода.
В версиях Splunk Enterprise ниже 10.2.4 и 10.0.7 неавторизованный пользователь мог создавать или усекать произвольные файлы через конечную точку службы-посредника PostgreSQL.
Уязвимость обусловлена отсутствием средств аутентификации в конечной точке службы-контейнера PostgreSQL, что позволяет любому пользователю, доступному по сети, выполнять файловые операции без учетных данных.
Проблема была решена в следующих версиях: 10.0.0-10.0.6 (исправлено в версии 10.0.7), 10.2.0-10.2.3 (исправлено в версии 10.2.4), 10.4 (не затронуто).
Splunk, входящая в состав Cisco, заявляет, что уязвимость не затрагивает Splunk Cloud, поскольку в этом продукте не используются sidecar-контейнеры Postgres.
В пятницу watchTowr Labs также опубликовала дополнительные технические подробности об уязвимости CVE-2026-20253. Несмотря на то, что пока нет доказательств того, что эта уязвимость используется в реальных условиях, доступность подробностей об эксплойте может все изменить. | 5 535 |
| 14 | В результате атаки на цепочку поставок, нацеленной на плагины WordPress OptinMonster, TrustPulse и PushEngage, более 1,2 млн. сайтов оказались потенциально уязвимы для взлома после того, как злоумышленники внедрили вредоносный JavaScript в файлы, распространяемые через официальную инфраструктуру CDN.
Вредоносная ПО создавала скрытые учетные записи администраторов и устанавливала незаметные бэкдоры на зараженных сайтах при посещении их авторизованными администраторами WordPress.
Кампания обнаружена Sansec, сообщившей 13 июня о распространении вредоносного кода через размещенные на CDN-сетях JavaScript-файлы, используемые плагинами OptinMonster, TrustPulse и PushEngage.
Атака использовала ресурсы доверенных плагинов, а не напрямую компрометировала отдельные веб-сайты, что позволило вредоносному коду проникнуть в большое количество установок WordPress.
Awesome Motive, владеющая OptinMonster и TrustPulse, подтвердила инцидент, объяснив его компрометацией ключа API CDN.
Согласно расследованию, злоумышленники использовали известную уязвимость в стороннем плагине UpdraftPlus, работающем на сервере маркетингового сайта, получили доступ к серверу и обнаружили учетные данные для учетной записи CDN компании.
Используя эти учетные данные, они модифицировали файлы JavaScript, предоставляемые сайтам клиентов, не нарушая инфраструктуру приложения OptinMonster.
При этом серверы приложений, репозитории исходного кода и системы, хранящие данные учетных записей клиентов, размещались отдельно и не содержали признаков несанкционированного доступа.
Компания полагает, что период реализации уязвимости длился всего несколько часов 12 июня, но тем не менее продолжает проверять точную хронологию с помощью журналов CDN.
Анализ Sansec показал, что внедренный JavaScript выполнялся только тогда, когда авторизованный администратор WordPress посещал зараженный веб-сайт.
После активации вредоносное ПО собирало токены безопасности WordPress, пыталось создать учетные записи администратора и устанавливало скрытый плагин, предоставляющий злоумышленникам постоянный удаленный доступ.
Исследователи обнаружили, что вредоносная программа создавала фиксированную учетную запись администратора с именем developer_api1, связанную с customer1usx@gmail.com, а также случайные учетные записи администратора dev_xxxxxx.
Затем информация о сайте и украденные учетные данные передавались на контролируемый злоумышленником домен tidio.cc, похожий на легитимную платформу поддержки клиентов Tidio.
Установленный плагин-бэкдор был разработан для того, чтобы избежать обнаружения, скрываясь в списках плагинов WordPress, пользовательских интерфейсах, проверках обновлений и ответах API.
Sansec выявила два способа маскировки, использованных во время кампании: Content Delivery Helper и Database Optimizer. Плагин также предоставлял доступ к неаутентифицированной веб-оболочке и функциям выполнения кода, фактически предоставляя полный контроль над сайтами.
Первые признаки вредоносной активности были зафиксированы 12 июня, после чего зараженный код был удален из ресурсов OptinMonster и TrustPulse. Однако некоторые узлы CDN PushEngage продолжали распространять вредоносный код до 14 июня.
Awesome Motive отозвала и заменила скомпрометированные учетные данные CDN, восстановила работоспособность и перенесла затронутый маркетинговый сервер, удалила вредоносные файлы из CDN и начала более широкую проверку безопасности.
Администраторам следует проверить наличие несанкционированных учетных записей, изучить каталог wp-content/plugins на наличие скрытых плагинов с именами content-delivery-helper или database-optimizer.
При обнаружении каких-либо признаков компрометации администраторам следует удалить бэкдор, сменить все пароли, ключи API, учетные данные базы данных и ключи безопасности WordPress, полагая, что злоумышленники получили полный административный доступ к сайту. | 6 181 |
| 15 | Исследователи Varonis сообщают о критической цепочке уязвимостей, получившей название SearchLeak, которая позволяет злоумышленникам красть конфиденциальные данные из почты, OneDrive или учетной записи SharePoint жертвы с помощью специально созданного URL-адреса.
Исследователи разработали SearchLeak, объединив три уязвимости, каждая из которых сама по себе недостаточна для осуществления эффективной атаки. Microsoft присвоила SearchLeak идентификатор CVE-2026-42824 с максимальной степенью серьезности.
Извлеченная информация может включать содержимое электронных писем (например, коды доступа, пароли), события календаря и подробности встреч, документы и другой контент, доступный через Copilot Enterprise Search.
В Varonis объединили внедрение параметров в подсказку, состояние гонки при рендеринге HTML и обход политики безопасности контента (CSP), ставший возможным благодаря подделке запросов на стороне сервера (SSRF) в Bing.
На первом этапе атака использует уязвимость внедрения параметров в подсказку (P2P), задействуя способ приема параметра URL-адреса 'q' в поисковых запросах Microsoft 365 Copilot Search.
В отличие от обычной версии Copilot, которая генерирует контент, Microsoft Copilot Enterprise Search ищет данные компании в электронных письмах, совещаниях, файлах SharePoint и OneDrive.
Для кражи данных злоумышленник создает URL-адрес, который указывает Copilot: «Найти электронные письма пользователя, извлечь заголовок и встроить его в URL-адрес изображения». Жертва ничего не вводит. Она переходит по ссылке, и Copilot делает все остальное.
Это позволило создать ссылку, содержащую инструкции для выполнения Copilot, например, поиск в почтовом ящике жертвы и форматирование результатов определенным образом.
На втором этапе злоумышленник использует состояние гонки при рендеринге HTML, при котором браузер временно отображает необработанный HTML-код, прежде чем он будет заключен в блоки <code>, которые нейтрализуются во время потоковой передачи вывода Copilot.
Это позволяет злоумышленнику выполнять HTML-код, контролируемый тегом <img>, и запускать исходящие запросы до завершения процесса проверки.
Третья часть цепочки - это SSRF в функции «Поиск по изображению» в Bing, которая используется для отправки запроса на получение изображения с конечной точки злоумышленника.
Поскольку запрос отправляет Bing, в данном случае для получения контента, который должен проанализировать Copilot, защита CSP обходится. Внедрение украденных данных в URL-адрес позволяет злоумышленнику считывать их из журналов запросов своего сервера.
При последовательном использовании уязвимостей атака начинается с того, что жертва переходит по специально созданной ссылке, которая запускает Microsoft 365 Copilot Search с инструкциями в параметре 'q' для поиска в почтовом ящике жертвы или других источниках данных.
Затем программа генерирует ответ с тегом изображения, включая украденную информацию в URL-адресе. Пока идёт потоковая передача ответа, браузер отображает изображение и отправляет запрос в Bing, который получает URL-адрес злоумышленника, включая украденные данные.
С точки зрения жертвы, всё, что она видит, - это «размышления» Copilot в течение короткого времени, но нет никаких признаков того, что данные похищаются.
Поскольку Microsoft устранила CVE-2026-42824, от пользователей не требуется никаких действий для снижения уровня этой угрозы. | 6 081 |
| 16 |  🖥❗️Масштабная атака на цепочку поставок в Arch Linux привела к ⚠️заражению более 1500 пакетов в AUR
Инфраструктура пользовательского репозитория Arch User Repository (AUR) подверглась хакерской атаке. Неизвестные злоумышленники внедрили вредоносный код в сотни пакетов. Целью хакеров стала кража конфиденциальных данных и скрытая установка руткита на базе технологии eBPF.
Правила AUR позволяют любому пользователю взять на себя поддержку пакета при долгом отсутствии активности со стороны его изначального создателя. Злоумышленники автоматизировали процесс поиска таких заброшенных программ. Они массово регистрировали новые аккаунты и подделывали профили известных мейнтейнеров для получения контроля над чужими репозиториями.
Хакеры вносили изменения в установочные скрипты файлов PKGBUILD. Вредоносный код использовал пакетные менеджеры npm или bun для тихой загрузки сторонних зависимостей во время сборки программы на компьютере конечного пользователя.
Вредоносная программа, распространяемая через зараженные npm-модули atomic-lockfile и js-digest, представляет собой написанный на Rust мощный инфостилер, дополнительно оснащенный eBPF-руткитом для скрытия своей активности в операционной системе. Автоматически запускаясь в процессе сборки пакета, зловред целенаправленно атакует рабочие станции разработчиков с целью кражи критически важных конфиденциальных данных. Он агрессивно собирает файлы cookie и данные локальных хранилищ из Chromium-браузеров, перехватывает активные сессии из популярных приложений (Slack, Discord, Microsoft Teams, Telegram) и похищает токены доступа GitHub, npm и HashiCorp Vault. Кроме того, стилер извлекает SSH-ключи, файлы known_hosts, историю командной оболочки, профили VPN, учетные данные Docker и Podman, а также материалы OpenAI/ChatGPT, после чего скрытно выгружает этот массив секретов через сеть Tor и временные текстовые сервисы для последующей компрометации корпоративной IT-инфраструктуры жертв.
В результате первой атаки удалось обнаружить около 400 зараженных пакетов. Через несколько часов это число выросло примерно до 900 пакетов. Позже в почтовой рассылке разработчики опубликовали финальное обновление статуса расследования. Разработчики Arch Linux объединили все имеющиеся данные и опубликовали итоговый перечень, в котором оказалось ровно 1579 скомпрометированных пакетов [🖥cписок обновляется]. Более того, администраторы подчеркнули, что даже этот внушительный список может быть неполным.
Стоит отметить, что большинство зараженных пакетов представляли собой устаревшие темы оформления или крайне специфические и редко используемые утилиты.
Команда безопасности Arch Linux оперативно вмешалась в ситуацию. Модераторы полностью заблокировали вредоносные учетные записи и откатили опасные коммиты до безопасных версий. Администрация временно ограничила функционал свободной передачи прав на пакеты для предотвращения аналогичных инцидентов в ближайшем будущем.
💡 Разработчики подготовили перечень рекомендаций для конечных пользователей.
🔐Необходимо проверить логи установок и просканировать систему опубликованными в сообществе bash-скриптами для поиска индикаторов компрометации.
🔐При обнаружении следов взлома требуется немедленно сменить все пароли и отозвать активные токены сессий.
🔐Полная переустановка операционной системы является единственным надежным выходом в случае заражения.
🔐Глубокое внедрение eBPF-руткита делает невозможным полное очищение и восстановление доверия к зараженной программной среде.
📖Источники: 1,2,3,4,5,6.
--------------------------
🕔Пришло обновление. Затронуто уже 1935🇺🇸⚠️ пакетов.
✋ @Russian_OSINT | 5 217 |
| 17 | Исследователь Nightmare Eclipse продолжает бомбить и теперь представил новый способ обхода BitLocker в Windows, всего через день после публикации эксплойта, нацеленного на Microsoft Defender.
Новая 0-day получила название GreatXML, позволяет пользователям обойти BitLocker и запустить командную строку с правами SYSTEM в режиме восстановления.
Представленный исследователем демонстрационный код (PoC) нацелен на уязвимость в функции автономного сканирования Microsoft Defender.
Как утверждает Nightmare Eclipse, все системы, на которых хотя бы раз было запущено автономное сканирование, автоматически становятся уязвимыми.
Эксплойт PoC включает в себя XML-файл и папку Recovery (содержащую еще один XML-файл), которые необходимо скопировать в корневой каталог раздела восстановления компьютера.
Далее необходимо перезагрузить систему в режиме восстановления, удерживая клавишу Shift и нажимая кнопку «Перезапустить». После перезагрузки система предоставит пользователю неограниченный доступ к тому, который защищен BitLocker.
Любой компьютер под управлением Windows становится уязвимым для GreatXML, как только запускается автономное сканирование Defender. Таким образом, злоумышленнику достаточно просто запустить эту функцию перед выполнением эксплойта.
Если автономное сканирование Defender так и не было запущено, то вам придется либо войти в систему и запустить его самостоятельно, либо найти способ загрузить WinRE в режиме автономного сканирования (причем, по словам Nightmare Eclipse, это вполне возможно сделать без входа в систему).
GreatXML появилась всего через день после раскрытия RoguePlanet, уязвимости нулевого дня в Microsoft Defender, которая приводит к локальному повышению привилегий (LPE) до уровня SYSTEM.
К настоящему времени для GreatXML еще не выпущено никаких исправлений. Продолжаем следить. | 7 395 |
| 18 |  В киберподполье анонсировали утечку данных 2,4 миллиарда пользователей TikTok.
Хакер опубликовал 10 образцов в подтверждение своих утверждений. Образцы содержат адреса электронной почты, номера телефонов, даты рождения, имена пользователей, а в некоторых случаях и полные имена и данные о местоположении.
Вероятнее всего, данные получены посредством стилеров, а не в результате инцидента в TikTok. Исследователи не обнаружили каких-либо конкретных признаков, связывающих образцы исключительно с TikTok, предполагая, что данные были собраны с зараженных устройств.
С другой стороны, если заявления злоумышленников подтвердятся, то утечка затронет почти всех пользователей TikTok. К настоящему времени исследователи не смогли подтвердить подлинность представленных данных.
Впрочем, это уже не первый случай появления в сети предполагаемого набора данных TikTok. Почти одновременно другой селлер также заявил о продаже данных TikTok в объеме 3000 записей, включая имена пользователей, электронные адреса и пароли. | 6 844 |
| 19 | Фреймворк Miasma, предназначенный для кражи учетных данных и недавно задействовавшийся в атаках на экосистемы с открытым исходным кодом посредством атак на цепочки поставок, был слит в открытый доступ на GitHub.
Вообще, Miasma - это эволюция более раннего червя Shai-Hulud, информация о котором также ранее просочилась на GitHub, имеет много общих черт с предыдущими версиями, методами и даже кодом.
Вредоносная ПО заражает компьютер разработчика, крадет среду сборки и учетные данные облачного сервиса, а затем использует их для компрометации легитимных репозиториев и пакетов, публикуя троянизированные версии для заражения разработчиков, работающих с другими системами, и повторяя цикл.
Этот автономный, червеобразный механизм самораспространения может быстро расширить зону своего действия, потенциально превратив единичный случай взлома в масштабную атаку на цепочку поставок.
Ранее это вредоносное ПО связывали с громкими атаками на пакеты npm от Red Hat, а совсем недавно - на 73 репозитория Microsoft на GitHub.
Вчера исследователи SafeDep обнаружили, что исходный код Miasma был слит на GitHub через многочисленные взломанные учетные записи разработчиков. В каждой из них злоумышленники опубликовали исходный код в репозитории под названием Miasma-Open-Source-Release.
Это указывает на то, что публикация исходников была осуществлена преднамеренно, а не была случайной утечкой, как это произошло ранее с кодом Shai-Hulud.
Анализ кода показал, что для работы инструментария не требуется инфраструктура C2, поскольку для этого он использует GitHub.
Платформа собирает учетные данные от облачных провайдеров, систем CI/CD, менеджеров паролей, Kubernetes и хранилищ секретов, а затем использует их для компрометации пакетов npm, PyPI и RubyGems, репозиториев GitHub, рабочих процессов Actions и экземпляров JFrog Artifactory.
Она также может распространяться по сети через SSH и AWS Systems Manager (SSM), обманывать пользователей при настройке инструментов ИИ, таких как Claude, Gemini, Cursor, Copilot, Kiro и Cline.
Одна из интересных особенностей, обнаруженных в просочившемся исходном коде Miasma, - это «аварийный выключатель», который устанавливается, когда вредоносная ПО использует украденный токен GitHub жертвы в качестве канала для утечки данных.
Компонент отслеживает действительность токена каждую минуту и, если он аннулирован, выполняет команду удаления, рекурсивно удаляя файлы и каталоги в домашней папке пользователя и папке «Документы».
Монитор запускается как пользовательская служба systemd в Linux или как LaunchAgent в macOS и остается активным до 72 часов.
Ещё один интересный аспект - пятиэтапный конвейер сборки, генерирующий уникальные полезные нагрузки для каждой сборки.
Этот процесс сочетает в себе шифрование встроенных ресурсов с помощью AES-256-GCM для каждого файла, обфускацию случайных строк, преобразование исходного кода, обфускацию JavaScript и самораспаковывающийся загрузчик, который упаковывает конечный полезный груз в три уровня шифрования.
Использование случайных ключей и рандомизированного внешнего слоя кодирования гарантирует, что каждый сгенерированный образец будет отличаться от предыдущих сборок, что затрудняет обнаружение на основе сигнатур и статический анализ.
В целом, утечка Shai Hulud привела к появлению более продвинутых вариантов, таких как Miasma, и к увеличению атак. Аналогичный эффект ожидается и после утечки Miasma, поскольку злоумышленники возьмут на вооружение код и будут вносить в него дальнейшие изменения.
Так что это может иметь серьезные последствия для безопасности экосистемы открытого исходного кода, поскольку атаки на цепочки поставок продолжают нацеливаться на нее с беспрецедентной скоростью. | 6 448 |
| 20 |  • Яндекс опубликовал новый отчет, в котором показал, как ИИ становится основой проактивной защиты пользователей:
➡На этапе проектирования собственный инструмент компании – NeuroSecReview – анализирует архитектуру сервисов. Скорость проверки выросла в 3 раза.
➡В SOC ИИ‑суммаризатор помогает команде сосредоточиться на реальных угрозах: около 74% предлагаемых им правил внедряют в работу.
➡«Антиробот» отразил 866 крупных DDoS-атак за год, 99,99% – автоматически.
• Яндекс одна из первых компаний в России, получивших ISO 42001 для ИИ‑продуктов – стандарт, который подтверждает безопасность, этичность и прозрачность нейросетей на всех этапах разработки и тестирования.
• Что касается Bug Bounty программы, то тут появилось направление по поиску уязвимостей в генеративных нейросетях для обеспечения пользовательской безопасности, а ИИ‑помощник группирует дубликаты в отчетах.
• Для ИБ специалистов это пример того, как ИИ превращается из вспомогательного инструмента в основу системной защиты на всех этапах – от архитектуры до эксплуатации – и делает сервисы безопаснее для пользователей.
➡ https://habr.com/ru/news/1046249/
S.E. ▪️ infosec.work ▪️ VT | 5 695 |
