📄 У ГК «Солар» вышел отчет "Ключевые уязвимости информационных систем российских компаний" за 2024.

▶️Внешний периметр 91% компаний оказался уязвим к атакам, успешная реализация которых может привести к проникновению во внутреннюю сеть, компрометации узлов внешнего периметра или получению доступа к чувствительным данным и критичным внешним системам и приложениям.

▶️Одними из самых распространенных проблем внешних периметров российских компаний остаются слабые пароли (38%) и устаревшие версии программного обеспечения, подверженные различным уязвимостям (32%);

▶️Самым распространенным недостатком веб-приложений оказалось раскрытие отладочной и конфигурационной информации (70%).

▶️Самые распространенные недостатки серверной части мобильных приложений связаны с раскрытием отладочной и конфигурационной информации (53%) и некорректной реализацией контроля доступа (40%). А основной проблемой клиентской части в 2024 году стало отсутствие обфускации исходного кода мобильного приложения (40%).

👉 Источник: https://rt-solar.ru/upload/iblock/167/nwp1jck6a3smiv3v8jc0uyv33araze5p/PDF_Analiticheskiy-otchet-po-pentestu-2024.pdf

✋ @Russian_OSINT

🇰🇵Северная Корея делает ставку на ИИ и наступательный киберпотенциал

По данным южнокорейских СМИ Daily NK из 🇰🇷Сеула, КНДР якобы запустила в работу новый исследовательский центр «227» под управлением Генерального разведывательного бюро (ГРБ), пытаясь сосредоточить усилия на разработке наступательных кибертехнологий, включая разработку ИИ-инструментов и ПО для кражи данных/ взлома. По словам источника Daily NK, создание Центра якобы началось 9 марта по прямому указанию Ким Чен Ына. Он будет расположен в районе Мангёндэ, отдельно от основной штаб-квартиры ГРБ в Пхеньяне.

Утверждается, что ключевой задачей центра является разработка технологий для нейтрализации западных систем кибербезопасности, а также создание автоматизированных программ для сбора и анализа информации. Основной упор делается именно на наступательные возможности, а не только сбор разведданных.

Центр будет функционировать круглосуточно 24/7, оперативно реагируя на запросы от хакерских подразделений, действующих за рубежом. Если верить информации источника Daily NK, то КНДР постепенно переходит к более централизованной стратегии ведения информационной войны. В перспективе ожидается полная автоматизация атакующих инструментов с использованием ИИ.

Новому центру для решения своих задач понадобится около 90 высококвалифицированных специалистов, окончивших высшие образовательные учреждения с углублённой подготовкой в области программирования и ИБ. Элитные кадры не будут участвовать в кибероперациях, но сосредоточатся на разработке инструментов для ведения высокотехнологичной кибервойны.

По данным источников, КНДР сделала качественный скачок в киберпространстве за последнее время. Основная ставка делается на ИИ, масштабируемость киберопераций и оперативное реагирование в реальном времени.

✋ @Russian_OSINT

😎xAI, Nvidia, Microsoft, MGX и 👹 BlackRock строят будущее ИИ

🦆Компания Илона Маска xAI и 🖥Nvidia стали полноправными участниками крупнейшего инвестиционного проекта в области искусственного интеллекта, в рамках которого объединяются усилия совместно с 💸 BlackRock, Microsoft и инвестиционным фондом 🇦🇪MGX [1,2]. Совместный фонд 🤯 AI Infrastructure Partnership намерен привлечь $30 млрд инвестиций на начальном этапе с перспективой увеличения до $100 млрд за счёт долгового финансирования.

Речь идёт о попытке решить острую проблему дефицита ⚠️ мощностей, который неизбежно возникнет в ближайшие годы по мере расширения применения ИИ в различных сферах. Уже сегодня генеративные модели требуют колоссальных объёмов вычислений и затрат по электроэнергии, значительно превышающих потребности предыдущих технологических поколений.

До настоящего времени Nvidia оказывала проекту техническую поддержку, однако теперь становится его полноправным партнёром в совместном проекте, как и компания Маска xAI. Последняя позиционирует себя как альтернатива лидерам рынка вроде OpenAI и уже использует кластер из более чем 🖥 100 000 графических процессоров Nvidia, планируя нарастить "ИИ-парк" до более чем 1 млн GPU.

Финансовую поддержку ИИ-проекту существенно оказывает 🇦🇪Абу-Даби. Инициативу курирует советник по нацбезопасности шейх Тахнун бин Зайед Аль Нахайян, который недавно встречался с президентом США Дональдом Трампом в Вашингтоне. По его словам, ИИ станет основой будущего.

👆 По оценке Международного энергетического агентства, к 2026 году объём потребления электроэнергии дата-центрами может превысить 1 000 тераватт-часов, что более чем вдвое превышает уровень 2022 года.

Если попросить Grok в режиме 📖Deep Research проанализировать финансовые показатели BlackRock, то он выдаёт инфу, что активы под управлением (AUM) достигли рекордного показателя роста в 2024 году. Компания к концу 2024 управляла активами на $11,5 триллионов.

✋ @Russian_OSINT

🧬 23andMe подала заявление на банкротство

Некогда символ успеха биотехнологического сектора американская компания 23andMe подала заявление о банкротстве. Дело в том, что капитализация фирмы рухнула с $3,5 млрд в 2021 году до текущих $50 млн. Основными причинами банкротства стали снижение доходов, высокие операционные расходы и неудачные стратегические решения. Совет директоров пришёл к выводу, что только продажа через контролируемую судом процедуру в рамках Главы 11 может позволить сохранить остаточную стоимость активов.

В сентябре 2024 года семь независимых директоров совета ушли в отставку, выразив недовольство направлением развития компании под руководством CEO Энн Войцки (или Энн Воджицки). Войцки неоднократно пыталась выкупить компанию, но её предложения, включая последнюю заявку в марте 2025 года — $0,41 за акцию, были отклонены советом директоров.

Руководство 23andMe сократило штат на 40% (около 200 человек) и свернуло разработку своих продуктов в ноябре 2024.

👉 Банкротство стало кульминацией кризиса, усугублённого утечкой данных, которая затронула 🚰6,9 миллиона клиентов. В сентябре 2024 года 23andMe согласилась выплатить $30 миллионов в рамках урегулирования иска по факту утечки ПД клиентов.

Тем не менее утечка данных не cтала основным фактором банкротства 23andMe.

✋ @Russian_OSINT

🙄 Steam вновь в центре внимания из-за 🦠вредоносной демо-игры Sniper Phantom’s Resolution

Платформа Steam снова оказалась в центре скандала после того, как сообщество пользователей обнаружило, что демо-версия игры Sniper: Phantom’s Resolution является замаскированным инфостилером. 😱 После шквала сообщений от энтузиастов в адрес компании Valve — игру оперативно удалили с платформы.

Игра "Sniper: Phantom’s Resolution" была анонсирована в Steam с запланированным релизом во втором квартале 2025 года. Дабы не привлекать внимание антивирусных движков разработчик игры в самом Steam на оф.странице оставил сайт, где, как утверждалось, можно скачать демо-игру.

👋 Геймерам при переходе по внешним ссылкам (сайт + потом еще один сторонний сайт) предлагалось установить подозрительный файл SmartScreen.exe (Windows Defender), которых требовал права администратора.

⚠️Согласно сообщениям пользователей реддит, анализ в 💻 изолированной среде выявил все признаки инфостилера: утилита elevate.exe для повышения привилегий, Node.js-обёртка wincrypt для работы с Windows API шифрования [он может использоваться для дешифровки сохранённых паролей, токенов или других защищённых данных], обфусцированные скрипты и закрепление в автозагрузке под названием updater.lnk. Вредонос связывался с репозиторием на GitHub, чтобы подтянуть дополнительные вредоносные модули.

Запускался также инструмент перехвата и анализа сетевого трафика Fiddler, который может использоваться для кражи токенов аутентификации, cookies и другой информации, передаваемой в браузере. Создавалась постоянная точка запуска updater.lnk, ссылающаяся на вредоносный исполняемый файл, размещённый в папке AppData, тем самым обеспечивая устойчивость малвари при перезапуске системы.

Примечательно, что домен сайта был зарегистрирован через Porkbun всего за 11 дней до инцидента.

Сам разработчик Sierra Six Studios попытался опровергнуть свою причастность к инциденту. По его словам, кто-то другой создал поддельный сайт и разместил там вредоносный файл, выдавая себя за его студию. Он настаивает на том, что стал "жертвой подставы".

"Мы хотим сообщить вам, что наша игра Sniper: Phantom's Resolution будет доступна исключительно в Steam. Любые другие сайты, ссылки или предложения, утверждающие, что наша игра доступна вне Steam, являются мошенническими и могут представлять угрозу безопасности.

Чтобы избежать мошенничества и потенциальных проблем, пожалуйста, убедитесь, что вы скачиваете игру только с официальной страницы Steam, и не обращайте внимания на другие источники. Мы никогда не распространяем ключи активации или установочные файлы через сторонние сайты.

— сообщает разработчик в Steam, пытаясь оправдаться.

Пользователи ясное дело не поверили в эти пустые заявления. Какие несостыковки в версии разраба увидели юзеры? Причем здесь ключи?

Домен sierrasixstudios[.]dev был зарегистрирован 10 марта 2025 года через Porkbun. Игра появилась в Steam 17 марта. Утверждение, что они не успели зарегистрировать домен, и он был куплен третьей стороной неубедительно.

У студии нет нет GitHub-истории, блога, официальных соцсетей, девлогов. Всё появляется сразу и только в момент "релиза", что характерно для фейковых проектов, созданных под заражение.

— пишут юзеры.

Особо зоркие пользователи обнаружили то, что разраб в Steam залил скриншот игры, не зная как она пишется. Некоторые скрины могли быть заимствованы из других проектов или сделаны на скорую руку.

Орфографическая ошибка — на скрине Phatnom вместо Phantom [на скрине]. 🍿Просчитался разработчик, но где?

👨‍💻 GitHub быстро снесли репозиторий разработчика. Домен потух.

📖 Действительно, а как так получилось, что сайт разраба с доп.ссылкой на вредонос случайным образом оказался официально закрепленным к проекту в Steam (веб-архив помнит)? Схема c вредоносом: переход на страницу игры в Steam — переход по ссылке на sierrasixstudios[.]dev — и там опять переход на скачивание с хостинга medifire.

👉Это уже второй громкий случай за последнее время: ранее Steam удалил игру🏴‍☠️PirateFi с 🦠 вирусом внутри и предложил геймерам переустановить ОС.

✋ @Russian_OSINT

Каналы @CyberSachok (Sachok) и @package_security («Пакет Безопасности») составили второй рейтинг лучших 📲 Telegram-каналов в ИБ-отрасли, а также расширили выборку и добавили новые категории. Главный критерий — контент.

❤️Канал @Russian_OSINT попал в топ. Спасибо коллегам, подписчикам и читателям канала! 🫶Вы лучшие!☀️

✋ @Russian_OSINT

🖥 Keenetic в связи с утечкой порекомендовал пользователям сменить пароли от Wi-Fi и не только...

Keenetic сообщает у себя на сайте:

В свете недавно обнаруженной информации Keenetic Limited информирует пользователей мобильного приложения Keenetic, зарегистрировавшихся до 16 марта 2023 г., о том, что часть данных их мобильного приложения могла быть скомпрометирована из-за несанкционированного доступа к базе данных.

Утром 15 марта 2023 г. независимый исследователь по IT-безопасности сообщил нам о возможности несанкционированного доступа к базе данных мобильного приложения Keenetic. После проверки характера и достоверности риска мы незамедлительно устранили проблему в тот же день, 15 марта 2023 года. Исследователь заверил нас, что не передавал данные кому-либо и уничтожил их. С тех пор до конца февраля 2025 года у нас не было никаких свидетельств о компрометации базы данных или о том, что какой-либо пользователь пострадал.

28 февраля 2025 г. мы узнали, что некоторая информация из базы данных была раскрыта независимому СМИ. В связи с этим мы пришли к выводу, что больше не можем гарантировать, что данные были должным образом уничтожены, и часть информации теперь может находиться вне нашего контроля.

Тем не менее, учитывая характер данных, которые потенциально могли быть раскрыты, мы считаем, что риск недобросовестных действий остается низким.

💬Компания официально рекомендует пользователям Keenetic, чьи данные могли быть скомпрометированы, сменить следующее:

💠пароли учетных записей пользователей устройств Keenetic;
💠пароли Wi-Fi;
💠логины и пароли некоторых VPN-клиентов.

👺 Отдельно провести мониторинг сетевой активности на предмет подозрительных действий.

Приносим извинения за любые неудобства и подтверждаем, что были приняты все необходимые меры для предотвращения подобной ситуации в будущем.

— просит понять и простить.

В статье Cybernews со ссылкой на Shadowserver Foundation утверждается, что на сегодняшний день большинство обнаруживаемых роутеров Keenetic находятся в 🇷🇺России (70%), далее следует 🇺🇦Украина (14%) и 🇹🇷Турция (5%).

🚰 В результате утечки были скомпрометированы следующие объёмы данных:

💠1 034 920 записей с персональными данными пользователей — имена, e-mail-адреса, языковые настройки, идентификаторы Keycloak и Telegram Code ID.
💠929 501 запись с технической информацией об устройствах — SSID и пароли Wi-Fi в открытом виде, модели и серийные номера устройств, MAC-адреса, ключи шифрования, доменные имена для внешнего доступа.
💠558 371 конфигурационная запись маршрутизаторов — учётные данные пользователей, пароли, захешированные устаревшим алгоритмом MD5, IP-адреса и расширенные настройки устройств.
💠53 869 785 записей логов — IP-адреса, MAC-адреса, названия хостов, детали доступа, специальные флаги (например, "owner_is_pirate").

🥷 По информации анонимуса, в утекшей базе содержатся данные как минимум 943  927 русскоговорящих пользователей (согласно locales).

😕 Список того, что потенциально могли получить злоумышленники:

Данные, которые могли оказаться у злодеев:
🔻 Идентификаторы Keycloak
🔻 Email-адреса (логины)
🔻 Имена аккаунтов Keenetic
🔻 Локали (языковые настройки)
🔻 Конфигурации учётных записей устройств
🔻 MD5 и NT-хеши паролей
🔻 KeenDNS — пользовательские доменные имена
🔻 Сетевые интерфейсы — конфигурации
🔻 Wi‑Fi SSID
🔻 Wi‑Fi pre-shared keys (в т.ч. WPA)
🔻 Wi‑Fi channel settings
🔻 Roaming IDs и ключи
🔻 IP policy & traffic shaping
🔻 Удалённые peer-адреса "зашифрованных туннелей"
🔻 Логины и пароли "зашифрованных туннелей"
🔻 Назначенные IP-адреса
🔻 Имена и MAC-адреса зарегистрированных хостов
🔻 IPSec Site-to-Site
🔻 IPSec Virtual-IP server
🔻 DHCP pool settings
🔻 NTP settings
🔻 Списки доступа по IP и MAC

Данные, которые вроде бы не были затронуты:

🔻Данные RMM
🔻Данные учётной записи Keenetic
🔻Конфигурации Ope**N и Wireg***d, их данные и ключи

😕 По мнению Keenetic, риск недобросовестных действий остается низким. Спорное утверждение.

📊 По данным Shadowserver, общее количество устройств Keentic в РФ насчитывает (статистика за последние 30 дней) — 409 664 роутеров.

✋ @Russian_OSINT

🇲🇾Малайзия отвергла ультиматум хакеров заплатить им $10 миллионов после ransomware-атаки на ✈️аэропорт Куала-Лумпура

Премьер-министр Малайзии Анвар Ибрагим публично отказался выплачивать выкуп в $10 миллионов, который потребовали хакеры за прекращение масштабной кибератаки на международный аэропорт Куала-Лумпура (KLIA). Инцидент затронул важные компьютерные системы, вызвав перебои в работе аэропорта и поставив под угрозу безопасность пассажиров. Предполагается, что это была вируса-вымогателя, учитывая требование денежного выкупа.

Анвар заявил, что требования киберпреступников долго не обсуждались: «Когда мне сообщили об этом, я не колебался ни секунды. Я сразу сказал нет». Он подчеркнул, что 🇲🇾 Малайзия не пойдёт на поводу у шантажистов, независимо от того, действуют ли они внутри страны или извне. Заявление стало первым официальным подтверждением кибератаки на аэропорт.

👮Национальное агентство кибербезопасности и оператор аэропортов MAHB заявили, что часть IT-инфраструктуры действительно была выведена из строя. По данным экс-депутата Ве Чу Кеонга, сбой длился около 10 часов, в течение которых информация о рейсах обновлялась вручную — на большой белой доске.

✋ @Russian_OSINT

Канал 🔨SecAtor — @true_secator пишет интересное

Исследователям из Лаборатории Касперского удалось задетектить целевую APT-атаку на представителей российских СМИ и образовательных учреждений, в которой задействовалось ранее неизвестное сложное вредоносное ПО наряду с весьма интересным 0-day в Chrome.

Изощренная вредоносная кампания теперь отслеживается как Операция «Форумный тролль», а нулю присвоен идентификатор CVE-2025-2783.

Как отмечают исследователи, жертв из числа пользователей Windows заманивают на вредоносный сайт, эксплуатирующий ранее неизвестную уязвимость Chromium.

После открытия фишинговой ссылки в браузере Google Chrome реализуется заражение вредоносном, предположительно, с целью шпионажа.

При этом никаких дополнительных действий от жертвы не требовалось.

Для обмана жертв использовался целевой фишинг с приманкой в виде приглашения на научный форум Примаковские чтения.

Несмотря на то, что все вредоносные ссылки имели очень короткий срок жизни, технологии ЛК позволили идентифицировать 0-day эксплойт, который использовался для побега из песочницы Google Chrome.

Анализ кода и логики работы эксплойта привел исследователей ЛК к обнаружению нуля (присутствующего в том числе в последней версии Chrome), о чем немедленно уведомили Google.

Представленные в отчете ЛК технические подробности позволили Google оперативно исправить проблему и выпустить к 25 марта обновлённую версию Chrome 134.0.6998.177/.178

При этом CVE-2025-2783 заставила исследователей изрядно поломать голову, поскольку позволяла легко обходить защиту песочницы Google Chrome без каких-либо очевидно вредоносных действий.

Причиной этого оказалась логическая ошибка на стыке песочницы и ОС Windows.

Исследование в рамках Операции «Форумный тролль» к настоящему времени еще продолжается и обещает много интригующих подробностей.

Обнаруженный эксплойт был разработан для запуска вместе с дополнительным эксплойтом, позволяющим удаленно выполнять код, который ЛК не удалось получить, поскольку тогда пришлось бы дожидаться новой волны атак и подвергать пользователей риску заражения.

Исправление для уязвимости побега из песочницы предотвращает использование всей цепочки для дальнейших атак.

Все проанализированные на данный момент артефакты атак указывают на весьма серьезный технический уровень злоумышленников.

Подробный отчет с данными в отношении 0-day эксплойты, задействуемого злоумышленниками вредоносного ПО и их TTPs в ЛК намерены представить в скором времени.

Будем следить.

🥷 Oracle отрицает взлом 6 миллионов пользователей, но компании и журналисты подтверждают подлинность украденных данных

BleepingComputer совместно с другими компаниями подтвердили часть утечки данных, которая связана со взломом 6 миллионов пользователей. Некто 🤦‍♂️ rose87168 на прошлой неделе заявил о взломе инфраструктуры Oracle. В распоряжении BP оказались текстовые файлы с базами данных, LDAP-информацией и перечень из 140 621 доменов, которые предположительно относятся к частным компаниям и правительственным структурам.

Ключевой уликой взлома стало обнаружение файла на сервере login.us2[.]oraclecloud[.]com, где находился адрес электронной почты злоумышленника. Факт указывает на то, что атакующий мог создавать файлы на сервере Oraclе. Хотя компания настаивает на том, что инцидент не затронул Oracle Cloud и якобы опубликованные учётные данные не имеют отношения к её сервисам, реальность демонстрирует обратное.

В частности, хакер утверждает, что использовал уязвимость CVE-2021-35587, затрагивающую Oracle Access Manager. Этот эксплойт позволяет неаутентифицированным пользователям получить контроль над системой. По данным компании Cloudsek, на момент февраля 2025 года на указанном сервере действительно работал устаревший Oracle Fusion Middleware 11g.

Злумышленник уведомил Oracle о взломе через официальный канал secalert_us@oracle[.]com. Утверждается, что в ответ он получил письмо от представителя Oracle с почты ProtonMail: "Мы получили ваши письма. Давайте вести переписку через этот email."

Тем временем Oracle продолжает утверждать, что «никакой утечки не было», и отказывается отвечать запросы журналистов. Отсутствие внятного диалога и адекватных комментариев даёт повод усомниться в правдивости утверждений Oracle.

✋ @Russian_OSINT