uz
Feedback
SecAtor

SecAtor

Kanalga Telegram’da o‘tish

Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com

Ko'proq ko'rsatish

📈 Telegram kanali SecAtor analitikasi

SecAtor (@true_secator) Rus til segmentidagi kanali faol ishtirokchi. Hozirda hamjamiyat 41 315 obunachidan iborat bo'lib, Texnologiyalar & Aralashmalar toifasida 3 270-o'rinni va Rossiya mintaqasida 15 459-o'rinni egallagan.

📊 Auditoriya ko‘rsatkichlari va dinamika

невідомо sanasidan buyon loyiha tez o‘sib, 41 315 obunachiga ega bo‘ldi.

30 Iyun, 2026 dagi oxirgi ma’lumotlarga ko‘ra kanal barqaror faollikka ega. Oxirgi 30 kunda obunachilar soni 126 ga, so‘nggi 24 soatda esa 13 ga o‘zgardi va umumiy qamrov yuqori darajada qolmoqda.

  • Tasdiqlash holati: Tasdiqlanmagan
  • Jalb etish (ER): Auditoriya o‘rtacha 15.57% darajada jalb etiladi. Nashrdan keyingi dastlabki 24 soatda kontent odatda umumiy obunachilar sonining 12.66% ini tashkil etuvchi reaksiyalarni to‘playdi.
  • Post qamrovi: Har bir post o‘rtacha 6 433 marta ko‘riladi; birinchi sutkada odatda 5 230 ta ko‘rish yig‘iladi.
  • Reaksiyalar va o‘zaro ta’sir: Auditoriya faol: har bir postga o‘rtacha 0 ta reaksiya keladi.
  • Tematik yo‘nalishlar: Kontent cve-2026, github, trivy, кража, обнаружение kabi asosiy mavzularga jamlangan.

📝 Tavsif va kontent siyosati

Muallif resursni shaxsiy fikrni ifoda etish maydoni sifatida ta’riflaydi:
Руки-ножницы российского инфосека. Для связи - mschniperson@mailfence.com

Yuqori yangilanish chastotasi (oxirgi ma’lumot 01 Iyul, 2026 da olingan) sababli kanal doimo dolzarb va katta qamrovli bo‘lib qoladi. Analitika auditoriya kontent bilan faol hamkorlik qilishini, uni Texnologiyalar & Aralashmalar toifasidagi muhim ta’sir nuqtasiga aylantirishini ko‘rsatadi.

41 315
Obunachilar
+1324 soatlar
+407 kunlar
+12630 kunlar
Postlar arxiv
SecAtor
41 315
Исследователи BI.ZONE сообщают об атаках Clubfoot Wolf, которая массово компрометирует российские компании, используя для получения первоначального доступа фишинговые рассылки и доставляя NetSupport Manager. Бизоны выяснили, что в мае и июне 2026 года кластер Clubfoot Wolf провернул масштабную кампанию, нацеленную на российские организации в сфере обрабатывающей промышленности, розничной торговли, электронной коммерции, сельского хозяйства, IT, логистики, медицины и науки. Основной мишенью стали российские компании, занимающиеся оптовой продажей химической продукции. Злоумышленники также атаковали несколько организаций из Республики Беларусь. Для получения первоначального доступа Clubfoot Wolf рассылала фишинговые письма, доставляя в целевые системы легитимное ПО для удаленного администрирования NetSupport Manager, которое затем использовал для нанесения ущерба. В письмах злоумышленники представлялись сотрудниками компании, заинтересованной в закупке продукции у целевой организации. Как и в ранее зафиксированных кампаниях, Clubfoot Wolf распространяет архивы с фейковыми документами, имитируя деятельность российских организаций. Отвлекающие файлы используются, чтобы войти в доверие к жертве и убедить ее запустить вредоносное вложение. К письмам был приложен ZIP‑архив, содержащий набор отвлекающих файлов различных форматов (PDF, JPG, PNG, DOC и DOCX) и вредоносный LNK‑файл. Для рассылки фишинга Clubfoot Wolf использовала почтовый сервис Яндекс Почта. При запуске пользователем вредоносного LNK‑файла выполняется закодированная Base64‑команда в интерпретаторе PowerShell. Данная команда выполняет HTTPS GET - запрос к удаленному ресурсу hxxps://crop[.]sh/6zUo8Ok (исходная ссылка: hxxps://sunlightfriends[.]tech/weather/news), получает содержимое ответа и передает его на исполнение через Invoke‑Expression. Таким образом реализуется бесфайловая (fileless) загрузка и выполнение следующей стадии непосредственно в памяти процесса PowerShell. Группа использует сервисы сокращения ссылок urlcrop.com, чтобы скрыть инфраструктуру доставки последующих стадий атаки, а также затруднить анализ и выявление конечных URL-адресов средствами защиты. Загруженный в память PowerShell‑скрипт представляет собой загрузчик (loader), содержащий PowerShell‑код, закодированный Base64 и зашифрованный AES‑128‑CBC с использованием PKCS7 Padding. После декодирования и расшифровки полученный PowerShell‑скрипт преобразуется в строку UTF‑8 и выполняется в памяти. Данный PowerShell‑скрипт приводит к загрузке ZIP‑архива, в котором содержатся файлы ПО удаленного администрирования NetSupport Manager. Кроме того, декодирует и расшифровывает PowerShell‑код, отвечающий за закрепление NetSupport Manager в реестре ОС. Помимо основных компонентов ПО, загружаемый ZIP содержал набор файлов, заполненных автоматически сгенерированным бессмысленным текстом. Вероятно, они были добавлены для изменения хеш‑суммы архива, а также придания ему вида легитимного программного дистрибутива. При этом злоумышленники экспериментируют со способами доставки ПО в целевые системы: модифицируют используемые цепочки заражения и методы маскировки вредоносной активности. Техническое подробности - в отчете.

SecAtor
41 315
Недавно обнаруженная уязвимость в ПО для удаленного мониторинга и управления (RMM) SimpleHelp была использована для распространения вредоносного ПО с целью обхода аутентификации. Уязвимость отслеживается как CVE-2026-48558 (CVSS 10) и затрагивает процесс аутентификации OpenID Connect (OIDC) в SimpleHelp, позволяя удаленному злоумышленнику получить доступ к полностью аутентифицированной сессии технического специалиста. Проблема заключается в том, что при настройке аутентификации OIDC приложение не проверяет криптографическую подпись токенов идентификации, что позволяет неавторизованному злоумышленнику отправить поддельный токен при входе в систему. Получив доступ к серверу SimpleHelp, расположенному в интернете, злоумышленник может передавать файлы и выполнять команды на всех системах, управляемых через этот сервер. В ходе атаки, замеченной исследователями Blackpoint, злоумышленник злоупотребил этим доступом для развертывания двух семейств вредоносных ПО: TaskWeaver, загрузчика Node.js, и Djinn Stealer, кроссплатформенного стилера. TaskWeaver использовался для идентификации системы и развертывания JavaScript-кода, который выполнялся с полным доступом к Node.js. По данным Blackpoint, загрузчик имеет простую структуру и может использоваться для развертывания любого зашифрованного кода. Djinn был специально разработан для кражи секретов с компьютеров разработчиков, включая учетные данные облачных сервисов, SSH-ключи, конфигурации инфраструктуры, токены системы контроля версий, аутентификацию в реестре пакетов, инструменты разработки, криптокошельки и данные браузеров. В первую очередь, это позволяет получить доступ к учетным данным инструментов разработки ИИ, предоставляя злоумышленнику возможность вмешиваться в работу самих конвейеров, на которых строятся проекты. Уязвимость была устранена в конце мая в версиях SimpleHelp 5.5.16 и 6.0 RC2. Организациям рекомендуется обновить свои развертывания и проверить журналы приложений на наличие незнакомых имен и адресов электронной почты для выявления потенциальных угроз безопасности. После публикации отчета Blackpoint, американская CISA добавило CVE-2026-48558 в свой каталог известных эксплуатируемых уязвимостей KEV.

SecAtor
41 315
Apple выпустила обновления для iOS, macOS и Safari, устраняющие более трех десятков уязвимостей, включая четыре уязвимости в WebKit, обнаруженные с помощью инструментов ИИ, таких как Anthropic Claude и OpenAI Codex Security. Среди уязвимостей WebKit: - CVE-2026-43707: уязвимость, связанная с повреждением памяти, которая могла привести к неожиданному сбою процесса при обработке специально созданного вредоносного веб-контента. Устранена путем улучшения обработки памяти. - CVE-2026-43716: неуказанная уязвимость, которая могла привести к неожиданному сбою Safari при обработке специально созданного вредоносного веб-контента. Она была устранена за счет улучшения обработки памяти. - CVE-2026-43745: уязвимость, связанная с записью за пределы допустимого диапазона, которая могла привести к неожиданному сбою Safari при обработке специально созданного вредоносного веб-контента. Она была устранена путем улучшения проверки входных данных. - CVE-2026-43715: уязвимость, связанная с использованием памяти после её освобождения, которая могла привести к повреждению памяти при обработке специально созданного вредоносного веб-контента. Она была устранена за счет улучшения управления памятью. Первые три уязвимости безопасности, по данным Apple, были обнаружены благодаря OpenAI Codex Security, а исследователи из Anthropics Милад Наср и Николас Карлини, а также Claude, были отмечены как ответственные за CVE-2026-43715. Эти четыре уязвимости входят в число почти 30 уязвимостей, исправленных в WebKit, веб-браузере с открытым исходным кодом, разработанном Apple. К другим относятся проблема использования освобожденной памяти в WebKit Canvas (CVE-2026-43720) и уязвимость, которую вредоносный веб-сайт мог использовать для обработки ограниченного веб-контента вне песочницы (CVE-2026-43725). Apple также устранила три ошибки, которые могли быть использованы вредоносным приложением для утечки конфиденциального состояния ядра (CVE-2026-43722), неожиданного завершения работы системы или записи в память ядра (CVE-2026-43724), а также для повреждения памяти ядра (CVE-2026-39868). Исследователь Хёнву Ким, обнаруживший Dirty Frag, считается первооткрывателем и автором сообщений о CVE-2026-43724 и CVE-2026-43722. Обновления доступны для iOS 26.5.2, iPadOS 26.5.2macOS Tahoe 26.5.2 и Safari 26.5.2. Ни одна из исправленных уязвимостей не была обнаружена как активно используемая в реальных условиях. В заявлении агентству Reuters, Apple сообщила, что выпускает обновления гораздо раньше, чем раньше, в ответ на опасения, что инструменты ИИ могут ускорить разработку эксплойтов и стать инструментом кибервойны, сокращая промежуток между обнаружением и использованием уязвимостей до нескольких часов. Компания заявила, что «адаптируется к реальности, в которой, учитывая способность ИИ ускорять разработку вредоносных хакерских инструментов, ей необходимо сократить время между публикацией обновлений и их предоставлением клиентам». Ну, поглядим.

SecAtor
41 315
Repost from Social Engineering
• Интересный факт: абсолютно все суперкомпьютеры из топ-500 самых мощных систем мира работают под управлением Linux! Ни одной
• Интересный факт: абсолютно все суперкомпьютеры из топ-500 самых мощных систем мира работают под управлением Linux! Ни одной другой ОС в этом списке нет. Linux безраздельно господствует в мире высокопроизводительных вычислений. Суперкомпьютеры используются для решения самых сложных научных и инженерных задач – от моделирования климата и биологических процессов до проектирования новых материалов и лекарств. Эти системы состоят из тысяч серверов, объединенных высокоскоростными сетями, и способны выполнять квадриллионы операций в секунду. Linux легко адаптируется под конкретные вычислительные задачи, поддерживает параллельные вычисления на тысячах узлов и эффективно управляет огромными объемами данных. Самые известные суперкомпьютеры мира (до бума ИИ), такие как Summit в национальной лаборатории Ок-Ридж (США), Sunway TaihuLight в Национальном суперкомпьютерном центре в Уси (Китай), Fugaku в Научно-техническом компьютерном центре RIKEN (Япония) используют специализированные дистрибутивы Linux, оптимизированные под конкретную аппаратную архитектуру и вычислительные задачи. Многие коммерческие ЦОДы, облачные платформы и дата-центры также строятся преимущественно на базе Linux. Где нужна предельная вычислительная мощность и надежность – там Linux чувствует себя как дома. Такой вот интересный факт. Кстати, если смотреть на распределение суперкомпьютеров из списка Top500 по странам мира, то Россия занимает 20 место и насчитывает 5 суперкомпьютеров. А вот на первом месте США (171 суперкомпьютер), далее идет Япония (43), Германия (40) и Китай (40). Полный список можно глянуть вот тут. S.E. ▪️ infosec.work ▪️ VT

SecAtor
41 315
Новая версия вредоносной ПО Millenium RAT заразила 62 000 систем Windows в более чем 160 странах, продолжая при этом использовать ботов Telegram для C2. Тенденцию заметили исследователи сингапурской Group-IB, представив соответствующее исследование Millenium RAT версии 4.*, которая, по их словам, представляет собой значительный архитектурный сдвиг по сравнению с предыдущими версиями на основе .NET. Исследователи связывают активные кампании вредоносного ПО с кластером угроз, который они отслеживают как операторов Y2K, и идентифицируют разработчика вредоносного ПО как ShinyEnigma. Согласно данным Group-IB, было выявлено 62 289 инфицированных точек, при этом 39 730 случаев заражения произошли только в первом квартале 2026 года, что свидетельствует о кратном увеличении активности. Вредоносная ПО реализуется как сервис» (MaaS). ShinyEnigma продвигает Millenium RAT через даркнет форумы, специальный веб-сайт и платформы для разработчиков, включая GitHub, GitLab и Gitea, хотя несколько репозиториев впоследствии были удалены. Стоимость услуги составляет 50 долл. за первый месяц, 10 долл. за каждый последующий, или 90 долл. за пожизненную лицензию, что делает вредоносное ПО доступным для широкого круга злоумышленников. В отличие от более ранних версий, Millenium RAT 4 написан на нативном C++, что исключает зависимость от платформы .NET. Вредоносная ПО также продолжает использовать API бота Telegram для связи с С2, что позволяет операторам избегать необходимости содержать выделенные серверы. После установки RAT может красть данные браузера, собирать системную информацию, записывать нажатия клавиш, делать снимки экрана и записывать звук с микрофона, получать доступ к данным Telegram и Discord, загружать и запускать дополнительные полезные нагрузки, а также выполнять произвольные команды Windows или PowerShell. Он обеспечивает постоянное присутствие, копируя себя в %APPDATA% и создавая запись автозапуска в реестре по адресу HKCU\Software\Microsoft\Windows\CurrentVersion\Run. Несмотря на свои обширные возможности, как отмечают в Group-IB, Millenium RAT не полагается сложные эксплойты. Вместо этого применяет стандартные функции API Windows, включая отображение легитимных запросов контроля учетных записей пользователей (UAC) при попытке получения повышенных привилегий. Исследователи обнаружили, что вредоносное ПО распространяется через широкий спектр приманок, связанных с социнженерией, включая взломанное ПО, утилиты для работы с криптой, наборы инструментов для взлома, инструменты OSINT, конструкторы эксплойтов и читы для Roblox. В некоторых кампаниях операторы даже троянизировали конструкторы вредоносного ПО и инструменты наступательной безопасности, заражая киберпреступников, пытавшихся их загрузить. В одной из кампаний использовались приманки в виде PDF-файлов, в которых вредоносный ярлык Windows запускал PowerShell для загрузки как фейкового PDF-файла, так и полезной нагрузки Millenium RAT. Легитимный документ открывался нормально, в то время как вредоносное ПО незаметно выполнялось в фоновом режиме, прежде чем удалить скрипт загрузки. Для внедрения в зараженные системы вредоносные программы обычно использовали имена файлов, связанные с компонентами Windows или программами безопасности, включая svchost.exe, MsEdgeUpdate.exe, Microsoft Antivirus.exe и setup.exe. Технические подробности - в отчете.

SecAtor
41 315
А исследователи из Лаборатории Касперского сообщают о расследовании вредоносной активности, затронувшей дипломатическую организацию в Индонезии, в ходе которого им удалось задетектить ранее не описанное семейство вредоносных ПО SharkLoader. На первый взгляд единичный инцидент оказался масштабной кампанией, поскольку в ЛК выявили дополнительные заражения SharkLoader в разных странах и секторах. В ходе расследования было установлено, что SharkLoader представляет собой загрузчик, предназначенный для развертывания Cobalt Strike Beacon на скомпрометированных системах. Злоумышленник развертывает SharkLoader, используя уязвимости в приложениях, доступных из интернета, включая Microsoft Exchange, Microsoft SharePoint и Openfire Server, а также развертывая пользовательские дропперы, некоторые из которых были замаскированы под легитимное ПО, такие как Google Update и Cisco AnyConnect. Однако точный механизм распространения этих дропперов остается неизвестным. Помимо приманок, имитирующих установщик, некоторые дропперы SharkLoader используют поддельные PDF-документы, чтобы убедить жертв открыть вредоносный файл.  В инциденте, затронувшем индонезийское дипломатическое представительство, злоумышленник использовал уязвимости Microsoft Exchange, включая CVE-2021-26855 (ProxyLogon), для получения доступа к целевой среде. После взлома злоумышленник обеспечил себе постоянное присутствие на скомпрометированных серверах путем развертывания веб-оболочек.  Помимо диппредставительства в Индонезии, Касперы выявили аналогичную деятельность, направленную против правительственных организаций на Тайване, компаний-разработчиков ПО в разных странах, а также организаций из других секторов в Гонконге, Ливане, Сирии, Колумбии, Северной Македонии, Непале, Сербии и др. SharkLoader состоит из множества компонентов, работающих вместе для загрузки и выполнения финального имплантата - Cobalt Strike Beacon. Большинство проанализированных образцов SharkLoader используют установку DLL-файлов через сторонние источники SystemSettings.dll, другие варианты - альтернативные цели для установки DLL-файлов, включая msedge.dll, PrintDialog.dll, и miracastview.dll, каждая из которых использует соответствующее легитимное приложение. При использовании вредоносных программ, запускаемых через дропперы, после развертывания всех необходимых компонентов SharkLoader, дроппер создает две запланированные задачи через COM-интерфейсы планировщика задач Windows. После загрузки вредоносной DLL-библиотеки SharkLoader использует метод, обычно называемый «идеальным перехватом DLL», первоначально описанный исследователем Эллиотом Килликом в своем блоге. Злоумышленник использует несколько методов для сохранения доступа к скомпрометированным системам. После первоначального взлома и настойчивых действий злоумышленник проводит масштабную разведку и кражу учетных данных. Наблюдаемая картина показывает, что кампания имела широкий географический охват и разнообразный набор целей, а не была узконаправленной и сосредоточена на конкретной отрасли или регионе. В ЛК отслеживают эту активность под названием StrikeShark. Несмотря на то, что операторы используют несколько опенсорсных инструментов для анализа последствий взлома, разработанных китайскоязычными разработчиками, в ЛК не выявили прямого повторного использования кода, пересечения инфраструктуры или сходства в TTPs, позволяющих с уверенностью отнести эту активность к какой-либо известной APT или киберпреступной группе. В результате, установление авторства остается предварительным, а конечные цели кампании все еще изучаются. В целом, StrikeShark представляет собой сложную угрозу вредоносного ПО. Использование SharkLoader для развертывания Cobalt Strike в сочетании с установкой API-перехватчиков для обхода обнаружения демонстрирует значительный уровень технической экспертизы. Широкий охват кампаний по секторам и географическим регионам предполагает потенциальную направленность на шпионаж или сбор информации, хотя точные цели остаются предметом продолжающегося расследования.

SecAtor
41 315
Исследователи Positive Technologies продолжают отслеживать NetMedved, группу злоумышленников, атакующих российские компании с помощью различных программ для кражи информации. Компания впервые обнаружила эту группу еще в октябре прошлого года. Новая активность NetMedved была связана с фишинговой кампанией нацеленной на российские организации. Как и в более ранних атаках, операторы используют деловую тематику, документы-приманки и легитимный инструмент удаленного администрирования NetSupport Manager, разворачиваемый в системе жертвы. В предыдущих кампаниях NetMedved уже применялись архивы с документами-приманками, вредоносные LNK-файлы, PowerShell-загрузчики, сценарии с использованием finger, а также HTA-варианты с декодированием приманки и NetSupportRAT из тела файла. В новой кампании операторы сохранили основную модель атаки, но расширили набор начальных стадий и инфраструктурных приемов. Установлено два основных направления развития кампании: - LNK-файлы запускают PowerShell-цепочку через сервис-redirector, получают AES-зашифрованный PowerShell-stage и разворачивают NetSupport Client из ZIP-архива; - ZIP/JScript-вариант, в котором полезная нагрузка встроена непосредственно в .js-файл и декодируется локально через Windows Script Host. В целом, Позитивы заметили следующие изменения в рамках новых активностей: - Собственный redirect-сервис. Группировка использует контролируемый домен crop[.]sh в качестве промежуточного redirector-слоя, что позволяет менять конечную инфраструктуру доставки без модификации первичного LNK-файла: то есть уже разосланные вредоносные файлы продолжают работать после ротации серверов. - Многоуровневое AES-шифрование с помощью полезной нагрузки. Сервер доставки возвращает PowerShell-код с AES-128-CBC зашифрованным blob внутри. - ZIP/JScript-вариант. Новый вектор не обращается к внешней инфраструктуре: все компоненты зашиты в тело скрипта. Это делает JS-вариант невидимым для сетевой детекции при первичном заражении и снижает зависимость от доступности серверов в момент выполнения. - Инфраструктурная кластеризация. Все домены C2 зарегистрированы в один день – 27.04.2026. Это на месяц раньше начала кампании (конец мая – начало июня), но такая подготовка инфраструктуры обычная практика. Домены imhfamily[.]com и stillpaving[.]com принадлежат одному ASN (58329), домены sunlightfriends[.]tech и fleepsterones[.]fun разрешаются в один IP-адрес (144.172.116.63). Такая кластеризация позволяет атрибутировать новые домены по инфраструктурным пересечениям даже при отсутствии совпадений по коду. Все технические подробности, включая свежие IOCs - в отчете.

SecAtor
41 315
Исследователи Mysk сообщают о неисправленной уязвимости в macOS, которая, по их словам, позволяет веб-приложениям незаметно изменять исполняемые файлы других приложений, потенциально обходя ключевые средства защиты macOS. Проблема затрагивает macOS 26 и 27, позволяя «любой команде» изменять бинарные файлы других приложений в фоновом режиме без отображения запросов пароля или других видимых предупреждений. По словам исследователей, они обнаружили ошибку случайно и сообщили о ней Apple примерно две недели назад, но пока не получили ответа. В Mysk утверждают, что она затрагивает приложения, распространяемые вне Mac App Store, включая широко используемые программы, такие как Signal, Brave, Google Chrome и даже среду разработки Xcode от Apple. После модификации исполняемого файла приложения оно может сохранить доступ к записям Keychain и защищенным контейнерам исходного приложения, что потенциально может привести к несанкционированному доступу к конфиденциальным данным. Исследователи подчеркнули, что приложения, загруженные через Mac App Store, не затронуты этой проблемой. Работоспособность уязвимости продемонстрирована в видеоролике, но исследователи не спешат раскрывать технические подробности или скрипт для эксплуатации, пока она не будет исправлена. Исследователи также решили не обращаться к программе вознаграждений за обнаружение уязвимостей от Apple, но все же уведомить о ней из-за ее потенциального влияния на безопасность. На момент написания статьи Apple публично не подтвердила наличие проблемы и не выпустила обновлений, устраняющих её.

SecAtor
41 315
Список жертв взлома Klue Breach стремительно растет: число компаний, затронутых утечкой данных в Klue, значительно увеличилось за последнюю неделю и теперь приближается к 20. Примерно два десятка клиентов Klue подтвердили, что их экземпляры Salesforce были скомпрометированы в результате атаки на цепочку поставок в начале этого месяца. Атака произошла 11-12 июня, хакеры, используя скомпрометированные устаревшие учетные данные, получили доступ к платформе анализа рынка Klue, завладели токенами OAuth для интеграций клиентов с Klue и выкрали данные в больших объемах. Salesforce отключила интеграцию с Klue 17 июня. В список пострадавших организаций вошли AlertMediaBlackbaud, Camunda, Cresta, Deel, Lucanet, Link11 и Tines. Наряду с Huntress, Recorded Future, Snyk, Jamf, Tanium, Sprout Social, Gong и Insurity. Учитывая, что у Klue сотни клиентов, и масштабы последствий могут быть шире, но пока никаких других уведомлений об инциденте не упоминается. Следует также отметить, что некоторые клиенты Klue, например Autodesk, могли не использовать интеграцию Salesforce с Klue и не были затронуты этой проблемой. Ответственность за атаку взяла на себя некая группа Icarus, которая добавила Klue и нескольких его клиентов на сайт DLS в сети Tor, угрожая опубликовать украденную информацию - в основном, контактные данные и данные службы поддержки - если не будет выплачен выкуп. В понедельник Klue подтвердила факт утечки, заявляя о начале расследования, но пока не представила обновленную информацию о результатах. Однако, как сообщает TechCrunch, компания уведомила своих клиентов в частном порядке о том, что она связалась с злоумышленником, который начал удалять украденные данные. Сейчас страница Icarus с утечками недоступна уже несколько дней, вероятно, в результате переговоров с Klue, что позволяет предположить уплату компанией выкупных. Кроме того, Klue, как сообщается, заявил клиентам, что компания Icarus сама была взломана, а украденные данные теперь находятся в руках другого злоумышленника, который ведет собственную кампанию по вымогательству. По имеющимся данным, инцидент затронул 195 клиентов Klue, но вторая группа, предположительно, украла у Icarus только образцы данных. Но на текущий момент ни одна известная группа вымогателей, кроме Icarus, публично не заявляла о владении данными, украденными во время инцидента с Klue. Будем следить.

SecAtor
41 315
Продолжаем следить и знакомить с наиболее трендовыми уязвимостями и угрозами: 1. Злоумышленники успешно использовали уязвимость в PTC Windchill, что стало первым подтвержденным случаем злоупотребления популярной платформой управления жизненным циклом продукта (PLM) в реальных условиях. CVE-2026-12569 затрагивает продукты Windchill и FlexPLM компании PTC. Некорректная проверка входных данных может быть использована удаленным неаутентифицированным злоумышленником для выполнения произвольного кода с помощью специально сформированных запросов. Это первая в истории уязвимость продукта PTC, добавленная в каталог KEV CISA, и, судя по всему, нет никаких публичных сообщений об использовании других уязвимостей. В марте немецкая полиция физически предупреждала компании об опасности, создаваемой другой уязвимостью PTC Windchill, CVE-2026-4681. Для CVE-2026-12569 PTC начала выпускать исправления и меры по ее устранению 17 июня. На следующий день производитель опубликовал (IoC, предупредив, что злоумышленники используют ее для развертывания постоянных веб-оболочек JSP, позволяющих удаленно выполнять команды и осуществлять утечку данных. Незадолго до подтверждения факта эксплуатации уязвимости, сообщалось, что немецкая полиция начала оповещать организации о последней уязвимости PTC после того, как узнала о готовящихся атаках.  2. Хакеры используют уязвимость в критически важном оборудовании, установленном в промышленных сетях. Активная кампания нацелена на преобразователи последовательного интерфейса в Ethernet от Lantronix. Эти устройства обычно используются для передачи команд на оборудование ICS по сетевому соединению. 3. В последних обновлениях GitLab CE/EE устранено 13 уязвимостей, в том числе три серьезных дефекта. Наиболее серьёзной является CVE-2026-10086, представляющая собой XSS в панели аналитики GitLab EE, обусловленную некорректной проверкой входных данных. Уязвимость могла позволить авторизованному пользователю с правами разработчика выполнять произвольный клиентский код в контексте сессий других пользователей. Следующая CVE-2026-10712 - XSS в обработчике ресурсов среды разработки Web IDE, которая могла позволить неавторизованным злоумышленникам выполнять код JavaScript в браузерных сессиях пользователей. Третья CVE-2026-12053 описывается как недостаточная фильтрация выходных данных в Duo Workflows, которая могла позволить пользователям получить доступ к конфиденциальной информации, уже внесенной в проект. 4. Киберподполье нацелилось на три уязвимости в устройствах Ubiquiti, работающих под управлением ОС UniFi. Ошибки позволяют злоумышленникам вносить несанкционированные изменения и захватывать контроль над устройствами. UniFi используется в маршрутизаторах, коммутаторах, расширителях Wi-Fi, сетевых хранилищах (NAS) и других сетевых устройствах Ubiquiti. Удивительно, но эти три ошибки являются первыми уязвимостями UniFi OS, добавленными в базу данных KEV CISA. 5. Microsoft предоставит пользователям Windows 10 дополнительный год бесплатных обновлений безопасности. Программа Windows 10 ESU продлена до 12 октября 2027 года. Изначально она должна была завершиться в октябре этого года. 6. Исследователь Итон Звеаре обнаружил уязвимости в двух разных веб-приложениях Johnson&Johnson, которые привели к утечке данных о сотрудниках и стажерах. 7. Исследователи анонсировали новые атаки на цепочки поставок: Aikido Security, Microsoft, SafeDep, Socket Security, Step Security, Step Security. 8. Trend Micro сообщает о масштабной кампании по эксплуатации уязвимостей, направленную на серверы Langflow AI с использованием криптомайнера. 9. Злоумышленники начали взламывать сайты Ghost CMS в мае, используя CVE-2026-26980, но в этом месяце была обнаружена новая кампания, которая теперь использует приманки ClickFix на взломанных сайтах. 10. Breached[.]hn, один из нескольких клонов оригинального BreachForums, запущенных в этом году, внезапно закрылся на этой неделе, заявив, что «ShinyHunters, вероятно, убьют нас даже после этого».

SecAtor
41 315
Исследователи Лаборатории Касперского в своем новом отчете рассказывают, как одна уязвимость в софте Schneider Electric может стать угрозой для промышленного предприятия, как обнаружить ее на рабочих станциях и минимизировать риски. CVE-2024-2658 была обнаружена в 2024 году в компоненте FlexNet Publisher, используемом в Schneider Electric Floating License Manager. FlexNet Publisher - это сторонний продукт от компании Flexera Software. Разработчики платформы Schneider Electric FLM и многих других решений встраивают FlexNet Publisher в виде библиотеки для управления лицензированием своих продуктов. Программное обеспечение применяется для управления лицензиями в продуктах Schneider Electric, которые служат для комплексной автоматизации производства: от программирования промышленных логических контроллеров до создания единых диспетчерских пультов. Проблема относится к классу CWE-427: Uncontrolled Search Path Element и возникает из-за того, что системное приложение обращается к конфигурационному файлу OpenSSL по жестко заданному в коде пути, не накладывая на него ограничения доступа. Эта особенность позволяет локальному пользователю без прав администратора подготовить собственный конфигурационный файл OpenSSL и добиться загрузки сторонней DLL в системный процесс lmadmin.exe - службы, отвечающей за работу лицензирования. В результате код злоумышленника может быть выполнен уже в контексте службы, а не обычного пользователя. При определенных условиях это открывает путь к дальнейшему повышению привилегий до уровня NT AUTHORITY\SYSTEM. В таком случае злоумышленник может получить полный доступ к локальным конфигурационным файлам, служебным данным и секретам, доступным на данном хосте. Возможность дальнейшего перемещения на другие узлы промышленной сети, например на рабочие станции инженеров, зависит от сетевой связности, наличия сохраненных учетных данных и сетевой архитектуры. Кроме того, атакующий может нарушить работу сервера лицензий, что напрямую влияет на доступность инженерного ПО и операций сопровождения. Технические подробности того, почему жестко заданный путь к openssl.cnf внутри приложения оказался опасным, как выглядит цепочка эксплуатации уязвимости и какие меры необходимо предпринять - в отчете.

SecAtor
41 315
Исследователи F6 подвели итоги первого исследования актуальных схем мошенничества в цифровых каналах - совокупный ущерб от него за последние полтора года составил более 600 млрд рублей. В исследователи использовались данные 10 ведущих российских банков за 2025-2026 гг., а также статистику ЦБ и МВД России, Доля инцидентов, связанных с использованием социнженерии для хищения денег клиентов финансовых организаций, на протяжении последних полутора лет остаётся примерно на одном уровне и составляет более 94%. Ещё 4% инцидентов приходится на фишинговые атаки, когда злоумышленники, используя мошеннические сайты либо вредоносные приложения, похищают у пользователей данные банковских карт, а затем пользуются ими для кражи денег с банковских счетов. Доля атак с использованием вредоносного ПО за 2025 год увеличилась вдвое (с 0,1% до 0,2%) и продолжает расти. Около 1,5 млн Android-устройств российских пользователей скомпрометированы различными вредоносными приложениями, причём 85% заражений приходится на трояны Mamont, SpyNote и его различные версии. Анализ показывает, что пока что атакам подвергается малая часть заражённых устройств, однако каждая такая потенциальная угроза может стать реальной в любой момент. По итогам исследования аналитики выкатили топ самых актуальных схем финансового мошенничества, куда вошли чаще всего детектируюмые решениями F6 и/или наносящие пользователям наибольший финансовый ущерб: - «Прямой» NFCGate. При установке такого приложения под видом легитимного программа просит пользователя приложить банковскую карту к NFC-модулю и ввести ПИН-код, данные сразу же передаются на устройство преступников и позволяют обналичить деньги со счёта в банкомате. - «Обратный» NFCGate. При использовании «прямого» NFCGate сообщники преступников, дропы, приходят к банкомату, чтобы снять деньги жертвы. «Обратная» версия позволяет пропустить этот шаг: мошенники под разными предлогами направляют пользователя к банкомату, чтобы зачислить деньги якобы самому себе, но на самом деле - преступникам. В мае 2026 года на обе схемы с использованием вредоносных версий легитимного приложения NFCGate пришлось 5% от всех впервые выявленных скомпрометированных Android-устройств. - Mamont. Этот троян удалённого доступа - одна из главных угроз для клиентов ведущих российских банков. В мае 2026 года доля впервые скомпрометированных Mamont Android-устройств составила около 40%. Функционал Mamont позволяет злоумышленникам получить доступ к информации, которая позволяет им выполнять от имени пользователя незаконные финансовые операции - входить в личные кабинеты банков, кредитных и микрофинансовых организаций, получать кредиты и займы, совершать незаконные денежные переводы. - Falcon. Android-троян образца 2026 года действует как универсальная отмычка, с помощью которой злоумышленники могут получить доступ к учётным записям пользователей для работы в более чем 30 популярных сервисах, включая банковские и другие приложения. Отличительная особенность - может удалять антивирусы с устройства сразу после собственной установки. В мае 2026 года на долю Falcon пришлось более 2% впервые выявленных скомпрометированных Android-устройств. - LunaSpy. Шпионское вредоносное ПО для Android, выполняет перехват камер и микрофонов устройства, запись экрана и сбор чувствительных данных. Может маскироваться под антивирусные ПО. Доля такого ВПО на скомпрометированных Android-устройствах составила около 2%. - Ещё 45% среди впервые выявленных в мае 2026 года скомпрометированных Android-устройств приходится на долю шпионского ПО SpyNote и его разновидностей. Он проникает на мобильные устройства под видом легитимных приложений и позволяет злоумышленникам похищать конфиденциальные данные пользователя, включая платёжную информацию. Кроме того, в число самых опасных F6 включила схему финансового мошенничества с использованием DarkWatchman, которую используют в атаках на бухгалтеров компаний в России, Беларуси, Казахстане и Узбекистане. С полной версией исследования можно ознакомиться здесь.

SecAtor
41 315
DirtyClone - новая уязвимость, позволяющая повысить привилегии в ядре Linux из семейства DirtyFrag, для которой 25 июня JFrog представила рабочий PoC - первую публичную демонстрацию данного варианта. CVE-2026-43503 (CVSS 8.8) позволяет локальному пользователю повредить память, защищенную файлами, с помощью клонированного сетевого пакета и получить права root. Патч был включен в основную ветку 21 мая. Когда ядро копирует сетевой пакет внутри себя, две вспомогательные функции удаляют флаг безопасности, который помечает память пакета как общую с файлом на диске. Именно отсутствие флага и является уязвимостью. Злоумышленник загружает в память привилегированный исполняемый файл, например /usr/bin/su, передаёт страницы памяти в сетевой пакет и заставляет ядро клонировать его. Он проходит через туннель IPsec, контролируемый злоумышленником, а этап расшифровки перезаписывает проверки входа в систему исполняемого файла байтами, выбранными злоумышленником. При следующем запуске команды su происходит передача прав root. Файл на диске никогда не изменяется. Изменение сохраняется только в копии, хранящейся в памяти ядра, поэтому инструменты проверки целостности файлов его не обнаруживают, атака не оставляет следов аудита, а перезагрузка восстанавливает исходный бинарный файл. Для эксплуатации уязвимости требуется CAP_NET_ADMIN для настройки туннеля IPsec в локальной области. В Debian и Fedora непривилегированные пространства имен пользователей включены по умолчанию, поэтому локальный пользователь может получить эту возможность внутри нового пространства имен. В Ubuntu 24.04 и более поздних версиях создание пространств имен через AppArmor ограничено, что блокирует стандартный путь эксплойта. Кэш страниц используется совместно на уровне хоста, поэтому изменения, внесенные внутри пространства имен, влияют на каждый процесс на машине. К уязвимым системам относятся многопользовательские серверы, средства запуска CI, хосты контейнеров и кластеры Kubernetes, где недоверенные пользователи могут создавать пространства имен. JFrog подтвердила наличие уязвимости в системах Debian, Ubuntu и Fedora с конфигурациями пространств имен по умолчанию. Это уже четвёртый случай повышения привилегий за последнее время с тем же самым сбоем: данные в памяти, хранящиеся в файлах, обрабатываются как пакетные данные, а затем сетевая операция на месте выполняет запись туда, куда следовало бы скопировать. Ранее: - Copy Fail (CVE-2026-31431) впервые появилась в конце апреля, используя модуль algif_aead для записи четырехбайтового файла в кэш страниц. - DirtyFrag (CVE-2026-43284 и CVE-2026-43500) появилась 7 мая, объединяя пути IPsec ESP и RxRPC для выполнения полной операции записи. - Fragnesia (CVE-2026-46300) появилась 13 мая и обошла патч DirtyFrag благодаря ошибке сброса флага в функции skb_try_coalesce(). Каждое исправление закрывало один путь выполнения кода, оставляя другие открытыми. DirtyClone сосредоточена на функции __pskb_copy_fclone(), при этом также затронута функция skb_shift(), более широкое исправление CVE охватывает дополнительные вспомогательные функции для передачи фрагментов, где тот же флаг может быть потерян. Основная проблема заключается не в одной некорректной вспомогательной функции. Это проблема контракта: каждый участок кода, перемещающий фрагменты skb, должен каждый раз сохранять бит разделяемого фрагмента. В ядре реализована технология сетевого взаимодействия с нулевым копированием, позволяющая использовать память, хранящуюся в файлах, в качестве данных пакетов, а один-единственный потерянный флаг в любой точке цепочки превращает оптимизацию производительности в примитив записи. Каждый вариант находил путь, где контракт не соблюдался. Хёнву Ким 16 мая представил более масштабный патч, охватывающий несколько оставшихся вспомогательных функций для передачи фрагментов. Объединенное исправление было реализовано 21 мая (коммит 48f6a5356a33), 23 мая ему был присвоен CVE-2026-43503, и включен в Linux v7.1-rc5 24 мая.

SecAtor
41 315
Repost from Russian OSINT
🇺🇸🇨🇳Anthropic обвинила Alibaba Group Holding Limited в дистилляции знаний своих 🈁топовых моделей Согласно позиции америк
🇺🇸🇨🇳Anthropic обвинила Alibaba Group Holding Limited в дистилляции знаний своих 🈁топовых моделей Согласно позиции американской стороны, в период с апреля по июнь 2026 года со стороны Alibaba была зафиксирована якобы масштабная скоординированная кампания, которую в Anthropic назвали крупнейшей известной атакой методом дистилляции знаний на сегодняшний день. Для обхода региональных ограничений, поскольку сервисы Claude официально недоступны на территории КНР, специалисты Alibaba создали якобы около 25 000 фиктивных учетных записей. Через эти поддельные профили было проведено не менее 28,8 млн сессий взаимодействия с ИИ-моделью. Под промышленной дистилляцией в данном контексте понимается несанкционированное извлечение интеллектуальной собственности, когда сторонние разработчики обучают собственные менее развитые ИИ-модели на базе ответов и логических цепочек более продвинутых конкурирующих систем. Представители Anthropic подчеркнули, что эта активность была направлена на копирование наиболее ценных функций Claude, в числе которых находятся агентные рассуждения и написание программного кода. Руководство Anthropic отметило, что подобные действия позволяют конкурентам избегать затрат на исследования и разработки. При этом официальные лица США оценивают убытки лабораторий Кремниевой долины от несанкционированной дистилляции в миллиарды долларов. 👆Ситуация усугубляется общим ростом геополитической напряженности между Вашингтоном и Пекином в сфере высоких технологий. Буквально на этой же неделе представители Alibaba обратились в американский суд с требованием исключить холдинг из черного списка Пентагона, куда компания была внесена из-за предполагаемых связей с Народно-освободительной армией Китая. ✋ @Russian_OSINT

SecAtor
41 315
Исследователи из Лаборатории Касперского представили результаты анализа ландшафта угроз для малого и среднего бизнеса в 2026 году, начиная от фишинга и мошенничества до поддельных инструментов ИИ. В 2026 году малый и средний бизнес остается привлекательной мишенью для злоумышленников - как операторов массовых кампаний, так и тех, кто пытается проникнуть в крупные предприятия через доверительные отношения. При этом небольшим компаниям часто не хватает ресурсов и зрелых политик кибербезопасности для эффективного противодействия постоянно эволюционирующим угрозам. Эксперты ЛК сходятся во мнении, что информирование малых и средних предприятий о релевантных для них киберугрозах поможет им выстраивать более эффективные стратегии защиты. В преддверии Международного дня малого и среднего бизнеса, который отмечается 27 июня, исследователи ЛК выкатили анализ актуальных на 2026 год угроз для небольших компаний по всему миру с примерами реальных атак. Отметим основные выводы: - За первые четыре месяца 2026 года решения ЛК зафиксировали более 33 300 кибератак на малые и средние предприятия, замаскированных под популярные инструменты ИИ, - это почти в пять раз больше, чем в 2025 году, и на 39% превышает число атак, использующих в качестве приманки офисные приложения и сервисы для совместной работы, рассматриваемые в настоящем исследовании. - Популярные мессенджеры и коммуникационные сервисы остаются наиболее распространенной приманкой: мы зафиксировали почти 415 тысяч атак с использованием поддельных приложений для переписки и видеозвонков. - Злоумышленники следят за трендами: среди ИИ-инструментов, чаще всего используемых в качестве приманки, оказались Claude и OpenClaw (бывший ClawdBot/MoltBot), получившие широкое распространение в 2026 году. - Мошенники распространяют поддельные инструменты ИИ, похищая средства у бизнеса и перехватывая доступ к аккаунтам организаций в соцсетях. - Большинство предложений в даркнете о продаже первоначального доступа в корпоративные инфраструктуры касаются малого и среднего бизнеса. Это может объясняться тем, что небольшие компании, как правило, защищены слабее крупных корпораций, но при этом часто выступают их доверенными подрядчиками. Подробная инфографика, статистика и практические примеры - в отчете.

SecAtor
41 315
В рамках очередного этапа Endgame, Microsoft, Европол и международные партнеры нейтрализовали инфраструктуру, используемую вредоносными ПО Amadey и StealC. По данным Европола, в результате операции были выведены из строя 326 серверов и 142 домена. Также было изъято более 41 млн. евро (47 млн. долл.) в криптовалюте и вовзвращено около 27 млн. учетных данных, украденных из более чем 385 тысяч скомпрометированных систем. В ходе скоординированных действий также удар был нанесен по SocGholish (FakeUpdates), вредоносной ПО, которая заражает посетителей через скомпрометированные веб-сайты, предлагающие поддельные обновления браузера. В Endgame участвовали силовики Канады, Дании, Германии, Нидерландов, Великобритании и США, координацию осуществляли Европол и Евроюст. Поддержку оказали Microsoft, ESET, Proofpoint, IBM X-Force, Bitsight, Infoblox, Orange Cyberdefense, Shadowserver, Have I Been Pwned, Spamhaus и др. Операция была направлена на подрыв инфраструктуры киберпреступников, которая задействовалась для получения первоначального доступа к системам, кражи учетных данных и, в конечном итоге, развертывания ransomware или совершения финансовых махинаций. Amadey и StealC реализуется в киберподполье через сервисы «вредоносное ПО как услуга», в рамках которых партнеры платят за доступ к конструкторам вредоносного ПО, панелям управления, поддержке и инфраструктуре. Преступники используют Amadey для получения первоначального доступа к устройствам жертв с целью развертывания дополнительного вредоносного ПО. StealC - для кражи учетных данных, криптовалютных кошельков и другой конфиденциальной информации, которая впоследствии может быть продана или использована в атаках с применением программ-вымогателей. Amadey фактически - это вредоносный ботнет, используемый как бандами вымогателей, так и APT-группами, для взлома сетей. В последнее время StealC широко стал применяться в атаках ClickFix, включая создание поддельных обучающих видеороликов в TikTok и FileFix. В своем гражданском иске Microsoft отметила, что выявила более 200 вредоносных доменов и IP, используемых для С2, связанных с Amadey и StealC, и совместно с партнерами отключило инфраструктуру посредством изъятия доменов, регистрации и уведомления поставщиков услуг. Согласно жалобе Microsoft, украденные учетные данные, полученные с помощью StealC, обычно продаются на подпольных торговых площадках и через брокеров первоначального доступа (IAB). Затем используются другими злоумышленниками для взлома сетей, кражи данных и развертывания программ-вымогателей. Компания заявила, что за первые две недели мая 2026 года две группы вредоносных ПО были связаны с более чем 140 000 зараженных устройств. ESET заявила, что оказала помощь в проведении операции, выявив и нарушив работу инфраструктуры, используемой обоими семействами вредоносных ПО. В результате операции захвачено около 50 доменов и почти 200 активных серверов С2. Proofpoint и IBM X-Force также внесли свой вклад в сбор развединформации и анализ вредоносного ПО, а Bitsight оказала помощь, выявив и проанализировав инфраструктуру вредоносных ПО, составив карту серверов и соответствующей инфраструктуры С2. В целом в рамках Endgame были нейтрализованы различные семейства вредоносных ПО, включая DanaBot, Bumblebee, Rhadamanthys, VenomRAT, Elysium и SmokeLoader.

SecAtor
41 315
Появились новые подробности, как хакерам удалось реализовать уязвимость Cisco Catalyst SD-WAN (CVE-2026-20245) в 0-day атаках для создания фейковых учетных записей root на целевых устройствах. CVE-2026-20245 представляет собой серьезную уязвимость внедрения команд в Cisco Catalyst SD-WAN Manager (vManage), Controller (vSmart) и Validator (vBond), позволяющую авторизованным злоумышленникам выполнять произвольные команды от имени root путем загрузки специально созданного файла. Поставщик сообщил о ней в начале этого месяца, предупредив, что CVE-2026-20245 была использована в ограниченном числе атак, но не предоставив никаких подробностей. Тогда Cisco лишь отметила, что успешная эксплуатация уязвимости позволила злоумышленникам получить права root, а некоторые инциденты были связаны с несанкционированным изменением конфигурации, передаваемой на периферийные устройства. В свою очередь, исследователи Mandiant сообщили, что CVE-2026-20245 была использована для повышения привилегий после того, как злоумышленники уже получили доступ к целевым устройствам SD-WAN. По данным исследователей, вторжение началось с несанкционированных пиринговых соединений SD-WAN, обнаруженных в инфраструктуре поставщика услуг. Начиная с марта 2026 года, злоумышленник устанавливал фейковые соединения с другими устройствами и проходил аутентификацию на затронутых устройствах SD-WAN Manager, используя свою vmanage-admin учетную запись. В Mandiant полагают, что несанкционированное соединение могло быть создано с использованием ранее обнаруженных нулей в Cisco SD-WAN, позволяющих обойти аутентификацию, CVE-2026-20127 и CVE-2026-20182, однако точный метод так и не установлен. Получив доступ, злоумышленники поменяли пароль учетной записи админа по умолчанию, вошли в веб-интерфейс SD-WAN Manager и извлекли информацию о конфигурации периферийных устройств, контроллеров и шаблонов SD-WAN. Mandiant полагает, что после завершения своих действий злоумышленники восстановили исходный пароль для учетной записи администратора, вероятно, чтобы снизить вероятность обнаружения. Затем злоумышленники использовали CVE-2026-20245 через функцию загрузки данных арендатора в интерфейсе командной строки SD-WAN, загрузив вредоносный CSV-файл evil_tenant.csv. CVE-2026-20245, о которой Mandiant сообщила Cisco, затрагивает интерфейс командной строки (CLI) контроллеров Cisco Catalyst SD-WAN и позволяет авторизованному локальному злоумышленнику выполнять произвольные команды от имени root, предоставив специально созданный файл в уязвимую систему. Вредоносная ПО сначала создала резервные копии файлов конфигурации системы, включая /etc/passwdи /etc/shadow, а затем создала новую учетную запись с именем troot с правами root. Затем злоумышленники использовали su команду Linux для переключения с скомпрометированной административной учетной записи на вновь созданную учетную запись root, получив таким образом полный контроль над устройством. По словам Mandiant, нападавшие активно использовали методы, препятствующие проведению криминалистических расследований, дабы избежать обнаружения. Что включает в себя резервное копирование конфигурационных файлов перед их изменением и последующее восстановление после эксплуатации уязвимости. Они также очистили следы эксплуатации, удалив вредоносный CSV-файл, удалив временные файлы, созданные во время атаки, и стерев следы использования мошеннической учетной записи root. Mandiant утверждает, что в марте 2026 наблюдалась некоторая активность несанкционированного пиринга в системах, которые не были уязвимы ни к одной из ранее выявленных уязвимостей обхода аутентификации. Cisco же сообщила исследователям, что взлом не связан с уязвимостью CVE-2026-20182, и предположила, что злоумышленники могли использовать сертификаты, украденные во время предыдущего взлома, чтобы восстановить доступ к устройствам. Исследователи представили IOCs, IP злоумышленников и рекомендации.

SecAtor
41 315
В Бельгии хакеры украли данные мобильных телефонов сотрудников бельгийской разведывательной службы. По данным бельгийской государственной телерадиокомпании RTBF, данные были получены от компании, управлявшей платформой управления мобильными устройствами агентства. И в данном случае, вариант один, можно даже не гадать: взлом был связан с серией атак на серверы Ivanti EPMM. Теперь украденные данные, включая имена, номера телефонов и адреса электронной почты сотрудников госбезопасности Бельгии, в руках киберподполья.

SecAtor
41 315
JFrog предупреждает об уязвимости в фреймворке обработки мультимедиа FFmpeg, которая позволяет злоумышленникам вызывать сбои в работе приложений и удаленно выполнять произвольный код. Уязвимость отслеживается как CVE-2026-8461 (CVSS 8,8) и представляет собой запись за пределы допустимого диапазона в куче внутри библиотеки libavcodec в декодере MagicYUV FFmpeg. Недостаток связан с обработкой фрагментов в декодере MagicYUV и обусловлен несоответствием между тем, как распределитель кадров и декодер вычисляют высоту цветовой плоскости. Уязвимость получила условное название PixelSmash и может привести к сбою любого приложения, использующего FFmpeg. Выполнение кода может быть достигнуто путем обращения к структуре AVBuffer FFmpeg - объекту управления буфером с подсчетом ссылок, выделяемому сразу после данных пикселей каждой плоскости.  Для выполнения кода злоумышленнику необходимо атаковать структуру AVBuffer в FFmpeg - объект управления буфером с подсчетом ссылок, выделяемый сразу после данных пикселей каждой плоскости. По данным JFrog, разместив команду оболочки с нулевым завершением в определенном месте за пределами допустимого диапазона, злоумышленник может получить доступ к выполнению оболочки до того, как процесс FFmpeg завершится с ошибкой при последующем повреждении кучи. Вредоносная ПО PixelSmash может быть использована для RCE через специально созданные медиафайлы, передаваемые любому приложению, использующему библиотеку libavcodec из FFmpeg для декодирования видео. На настольных компьютерах уязвимость срабатывает, когда пользователь открывает вредоносный файл в видеоплеере или когда он переходит в папку, содержащую этот файл, если генератор миниатюр файлового менеджера использует уязвимую библиотеку. Выполнение кода на сервере происходит, когда медиафайл загружается на медиасервер, платформу чата или облачный сервис транскодирования, который автоматически его обрабатывает. Уязвимость также может быть использована на сетевых хранилищах (NAS), медиаустройствах и смарт-телевизорах, которые генерируют миниатюры или предварительные просмотры видео. Для доступа к целевой системе не требуется никакой аутентификации, специальных привилегий или предварительного доступа, кроме возможности доставки медиафайла - стандартной поверхности атаки для любого приложения обработки мультимедиа. Полезная нагрузка эксплойта может быть доставлена в виде файла AVI, MKV или MOV размером 50 КБ. Она может использоваться в Zero-Click атаках через торренты, если у жертвы в торрент-клиенте настроена загрузка медиафайлов непосредственно в контролируемую папку медиатеки. Как только загрузка торрента завершится, автоматическое сканирование библиотеки запустит полезную нагрузку. В платформе облачного хранения Nextcloud, использующей независимую сборку FFmpeg, уязвимость может быть активирована через дополнительный поставщик предварительного просмотра фильмов, который вызывает системный исполняемый файл FFmpeg для генерации миниатюр. Злоумышленнику не требуется никакого взаимодействия, кроме проверки видимости файла в списке папок, обработка на стороне сервера делает все остальное, что делает этот способ атаки практически безошибочным. JFrog подтвердила возможность успешной эксплуатации уязвимости в Kodi, mpv, ffmpegthumbnailer (используемом GNOME, KDE, XFCE), Jellyfin, Emby, Nextcloud, Immich, PhotoPrism и OBS Studio. Кроме того, также продемонстрировала успешное выполнение удаленного выполнения кода (RCE) в Jellyfin. Исправления включены FFmpeg 8.1.2, пользователям рекомендуется обновить программу как можно скорее.

SecAtor
41 315
В рамках новой кампании ClickFix для macOS используются команды Терминала для скрытой загрузки, монтирования и запуска вредоносного ПО, похищающего информацию из вредоносных DMG. В рамках этой кампании злоумышленники заражают устройства Mac вредоносной ПО Atomic macOS Stealer (AMOS), которая нацелена на учетные данные браузера, данные криптокошельков, Keychain, данные из мессенджеров и пользовательские документы. Исследователи Palo Alto Networks первыми заметили эту кампанию и утверждают, что она начинается с поддельной страницы CAPTCHA, которая предлагает пользователям открыть Терминал и вставить вредоносную команду для подтверждения своей личности. После выполнения команда загружает DMG-файл с сервера злоумышленника, незаметно монтирует его с помощью встроенной в macOS утилиты hdiutil, находит содержащийся в нем пакет приложения и автоматически запускает его. ClickFix - это метод социнженерии, который отображает поддельные CAPTCHA, ошибки браузера или системные предупреждения, обманом заставляя посетителей скопировать и выполнить предоставленные злоумышленником «инструкции по исправлению». За последний год этот метод приобрел популярность среди злоумышленников и используется как киберпреступниками, так и APT-группами для распространения вредоносного ПО. Атаки ClickFix с использованием DMG-файлов не являются чем-то новым, но в предыдущих кампаниях обычно пользователи вручную открывали загруженные DMG-файлы для запуска вредоносных приложений или выполнения скриптов с серверов злоумышленниками. Обнаруженная компанией Palo Alto кампания сочетает в себе оба подхода, используя команду в терминале для незаметной загрузки DMG-файла и запуска содержащегося в нем вредоносного ПО. После выполнения команды в Терминале злоумышленник загружает вредоносный DMG-файл из svs-verificationdate[.]beer с помощью curl с -fsSL флагом quiet и сохраняет его в папку /tmp под случайным именем файла. Затем команда выполняет команду hdiutil attach -nobrowse для монтирования загруженного образа диска без его отображения в Finder или на рабочем столе. Затем скрипт выполняет поиск первого доступного установщика с расширением .app или .pkg на глубине до трех каталогов, и если он найден, запускает его с помощью команды открытия macOS. Исследователи заметили, что вредоносное ПО распространялось в виде образа диска с именем s.01M0td.dmg, который монтировал том, содержащий самоподписанный пакет приложения с именем NNApp.app. Вредоносная ПО отображает фейковое окно аутентификации в системных настройках, в котором пользователю будет предложено ввести пароль, что позволит его украсть. Вредоносная ПО нацелена на восемь браузеров на основе Chromium, включая Google Chrome, Microsoft Edge, Brave, Opera, Arc, Vivaldi, CocCoc и Yandex. Она крадет файлы cookie, базы данных авторизации, информацию для автозаполнения, сохраненные данные платежных карт и данные профиля браузера. Вредоносный код также нацелен на браузеры на основе Firefox, включая LibreWolf, SeaMonkey, Tor Browser, Waterfox и Zen Browser, похищая ту же информацию. Согласно Palo Alto, вредоносная ПО ищет и крадет данные криптокошельков, включая Exodus, Electrum, Atomic Wallet, Wasabi Wallet, Bitcoin Core, Litecoin Core, DashCore, Guarda, Binance Wallet, Dogecoin Wallet и TonKeeper. Похищает и данные Telegram Desktop и Discord, базы данных Apple Notes, cookie-файлы Safari, файлы баз данных Apple Keychain и пользовательские документы с расширениями PDF, TXT или RTF. Все собранные данные затем сохраняются в ZIP-архиве и загружаются на сервер злоумышленника. Особый интерес вызвало то, что вредоносное ПО заменяет легитимные установки Ledger Live и Trezor Suite вредоносными версиями, вероятно, для совершения кражи криптовалюты.