18 июня 2025 года в Соединенные Штаты был экстрадирован участник киберпреступной группировки Ryuk. 33-летний мужчина, арестованный в Киеве в апреле 2025 года по запросу ФБР, специализировался на получении первоначального доступа к корпоративным сетям.
Данная экстрадиция стала результатом расследования, начатого в 2023 году. Тогда правоохранительные органы семи стран, включая Украину, США, Францию, Норвегию, Нидерланды, Германию и Швейцарию, при поддержке Европола и Евроюста провели масштабную операцию против международной хакерской группы. Утверждается, что группа стояла за атаками на компании в 71 стране с использованием программ-вымогателей LockerGoga, MegaCortex, HIVE и Dharma. Именно анализ данных, полученных в ходе тех следственных действий, позволил идентифицировать подозреваемого.
Роль подозреваемого заключалась в «поиске уязвимостей в корпоративных сетях». Полученные им данные передавались сообщникам для планирования и осуществления последующих кибератак. Для проникновения в сети злоумышленники использовали различные техники, включая атаки методом перебора (брутфорс), SQL-инъекции и фишинговые рассылки. После получения доступа применялись такие инструменты, как TrickBot, Cobalt Strike и PowerShell Empire, для закрепления в системе перед развертыванием программы-вымогателя.
Группировка Ryuk действовала в период с 2018 по середину 2020 года и, по разным оценкам, заработала на выкупах около 150 миллионов долларов.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Появились разговоры [1,2] о том, что Mozilla начала экспериментировать с добавлением системы
Примечательно, что анонс был сделан на площадке Mozilla Connect, а не в официальном блоге компании, указывая на осторожный подход к внедрению потенциально спорной технологии.
Финансовая подоплека интеграции стала центральной темой обсуждения в тредах. Участники дискуссии уверены, что партнерство носит чисто коммерческий характер и является для Mozilla, к сожалению, важным источником финансирования на фоне неопределенности с контрактом от
Несмотря на критику, часть сообщества относится к нововведению прагматично. Некоторые пользователи посчитали, что Perplexity вполне полезный инструмент, и заявили о поддержке любых действий Mozilla, которые помогут финансово поддержать разработку браузера.
В качестве интересного примера приводится ситуация, когда Mozilla проигнорировала запрос сообщества на добавление StartPage, набравший более ⭐️1000 голосов, но интегрировала Ecosia всего с ⭐️35 голосами.
Позже конкурирующий браузер Vivaldi открыто заявил, что добавил Ecosia на основе соглашения о разделении доходов от поиска из-за финансовой выгоды. Данный факт подкрепляет теорию о том, что выбор партнёров Mozilla диктуется на данный момент коммерческой выгодой, а не популярностью среди пользователей.
--------------------------
Чтобы понять суть, стоит заглянуть в
В отчёте сказано, что основной источник дохода является роялти. В 2023 году Mozilla получили $495 миллионов по этой статье (из $653 млн общей выручки). Mozilla заключает сделки с поисковыми системами (в первую очередь, с Google) на то, чтобы сделать их поиском по умолчанию в браузере Firefox. За каждый поисковый запрос, который идет через их браузер, они получают долю дохода. Проще говоря, Google платит Mozilla огромные деньги за трафик и статус "поисковика №1" в Firefox.
В финансовом отчете (примечание "Concentrations of Risk", стр. 17) есть ключевая фраза:
85% (в 2023 году) и 81% (в 2022 году) всей выручки Mozilla по контрактам с клиентами приходилось наРуководство Mozilla прекрасно понимает риски своей зависимости, поэтому и пытается диверсифицировать доходы. С одной стороны, они позиционируют себя как борцы за открытый и независимый интернет, защищая пользователей от монополий вроде Google, а с другой стороны, их существование и вся их деятельность (зарплаты на $328 млн, разработка софта на $260 млн) практически полностью финансируются этой самой монополией.🌐 одного клиента.
Зачем Mozilla интеграция Perplexity? Из-за антимонопольного дела против Google суд может в любой момент признать сделку с Mozilla незаконной. Ждать с моря погоды — такое себе, поэтому компания целенаправленно занимается поиском альтернативных источников дохода.
Mozilla десятилетиями строила бренд
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
3
🇮🇷 Иран уже 36 часов отключен от глобального Интернета; по данным оперативной статистики, национальное соединение остается на уровне нескольких %, и лишь немногие пользователи могут подключаться через VPN.
— cообщает NetBlocks.
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи Qualys представили детальный анализ цепочки из двух уязвимостей (техника "chaining"), позволяющей осуществить локальную эскалацию привилегий (LPE или local privilege escalation) до уровня root на большинстве современных дистрибутивов Linux. Вектор атаки состоит из последовательной эксплуатации
Первая уязвимость представляет собой небезопасную конфигурацию стека Pluggable Authentication Modules (PAM) в дистрибутивах openSUSE Leap 15 и SUSE Linux Enterprise 15. Проблема заключается в том, что модуль pam_env считывает пользовательский файл ~/.pam_environment до инициализации сессии модулем pam_systemd. Это позволяет локальному пользователю, аутентифицированному, например, через SSH, инжектировать переменные окружения XDG_SEAT=seat0 и XDG_VTNR=1 в процесс своей сессии. В результате systemd-logind и, следовательно, фреймворк polkit ошибочно идентифицируют удаленную сессию как физическую консольную сессию. Таким образом, злоумышленник повышает свои привилегии до уровня allow_active, получая права, которые polkit предоставляет только пользователям, физически находящимся за машиной.
Вторая уязвимость обнаружена в библиотеке libblockdev и эксплуатируется через стандартную системную службу udisks2. Имея статус allow_active, атакующий может через udisks2 инициировать операцию изменения размера (Resize) для специально подготовленного им файлового образа в формате XFS. В ходе этого процесса libblockdev для выполнения операции xfs_growfs временно монтирует этот образ в директорию /tmp. Критическая ошибка заключается в том, что монтирование производится без флагов nosuid и nodev. Это открывает окно для атаки, позволяя злоумышленнику исполнить любой SUID-root бинарный файл, предварительно размещенный в образе, и немедленно эскалировать привилегии до euid=0(root).
Анализ показывает, что повсеместное использование компонентов udisks2, polkit и systemd в современных Linux-системах формирует чрезвычайно широкую поверхность атаки.
Цепочка CVE-2025-6018 и CVE-2025-6019 позволяет любому пользователю SUSE 15/Leap 15 SSH превратиться из «обычного» в root с установленными по умолчанию PAM + udisks. Одна уязвимость предоставляет allow_active, а другая превращает этот статус в полноценный root, и все это с помощью встроенных пакетов. Root-доступ позволяет взламывать агентов, сохранять их и перемещаться в разные стороны, поэтому один непропатченный сервер ставит под угрозу весь парк. Повсеместно исправьте PAM и libblockdev/udisks, чтобы исключить этот путь.
Please open Telegram to view this post
VIEW IN TELEGRAM
Корпорация Microsoft готовит очередную волну увольнений, которая затронет тысячи рабочих мест преимущественно в сегменте продаж. Ожидается, что об увольнениях объявят в начале июля, после завершения финансового года компании. "Забота" о людям последует сразу за майским сокращением 6000 позиций, коснувшимся в основном инженеров, программистов и разработчиков.
В статье говорится о «тысячах рабочих мест» (thousands of jobs), но конкретная цифра не называется.
👆Реструктуризация напрямую коррелирует с многомиллиардными инвестициями корпорации в серверную инфраструктуру для развития искусственного интеллекта.
В Amazon также ожидаются сокращения в пользу ИИ. Генеральный директор Amazon Энди Джесси заявил, что внедрение генеративного искусственного интеллекта фундаментально изменит кадровую структуру компании. Согласно служебной записке, по мере развертывания большего числа ИИ-агентов Amazon ожидает снижения потребности в корпоративных сотрудниках на определённых должностях. Джесси сформулировал это следующим образом: «Нам потребуется меньше людей для выполнения некоторых задач, которые выполняются сегодня, и больше людей для выполнения других видов работ».
Недавний опрос Всемирного экономического форума показал, что 40% работодателей планируют сокращать персонал на позициях, функционал которых поддаётся автоматизации с помощью искусственного интеллекта.
Ранее Goldman Sachs прогнозировал, что около
Please open Telegram to view this post
VIEW IN TELEGRAM
🧬Анатомия хайпа: утечка на «16 миллиардов паролей»
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке🛡 Национального координационного центра по компьютерным инцидентам (НКЦКИ).
✋ @Russian_OSINT
Новостные ленты пестрят заголовками о «величайшей утечке» и компрометации 16 миллиардов паролей. Первоисточником выступил портал Cybernews, информацию оперативно подхватили Forbes и другие крупные медиа. Звучит как настоящий киберапокалипсис, но если отделить зерна от плевел, то картина получается совсем иной.
Начнем с первоисточника. Cybernews действительно время от времени находят уязвимости и утечки. Исследователи обнаружили масштабный набор данных, который был временно доступен через незащищенные экземпляры Elasticsearch или объектных хранилищ (object storage instances). Проблема кроется в подаче и последующей медийной интерпретации. Использование формулировок вроде «план для массовой эксплуатации» и «свежая, готовая к применению разведывательная информация» создает ложное впечатление единовременного и катастрофического взлома супер-пупер глобального хранилища. Не обладая технической экспертизой, журналисты приняли такую подачу за чистую монету. Цифра в 16 миллиардов стала триггером, а путаница в терминах, когда одни пишут про «учетные записи», а другие про «пароли», лишь усилила медийный хайп.
В чем же фундаментальная ошибка такой подачи? Как верно подметили трезвые аналитики, это не утечка, а компиляция. Данный массив является результатом многолетней работы вредоносных программ класса инфостилер. Механика процесса проста: тысячи компьютеров заражаются, а затем инфостилер похищает все сохраненные в браузерах пароли, после чего логи агрегируются в стандартизированном формате (URL:логин:пароль). То, что нашли исследователи, всего лишь гигантский «склад» таких логов. В нем огромное количество дублей, устаревших паролей и давно скомпрометированных данных.
Вместо того, чтобы подготовить сдержанный технический отчет для ИБ-сообщества с внятной детализацией (заявления серьёзные), они упаковали свою находку в сенсационную обертку для широких масс и СМИ.
Если появятся какие-то новые вводные, детали (что-то интересное) или аналитики опубликуют убедительные доказательства того, что "утечка" заслуживает внимания, то сделаю ещё один пост, а так нет смысла обсуждать.
В любом случае рекомендуется использовать сложные и уникальные пароли, подключить двухфакторную аутентификацию (2FA) и проверять периодически себя на утечки. Стоит напомнить, что в РФ у нас есть свой Have I Been Pwned — https://chk.safe-surf.ru (сайт создан при поддержке
Please open Telegram to view this post
VIEW IN TELEGRAM
20
В истории с "мегаутечкой на 16 млрд паролей" появились новые 🚰 подробности. Cтатья на сайте Сybernews обновилась.
Оказалось, что, по заявлению Cybernews, обнаружил её OSINTер 🇺🇦Боб Дьяченко (Bob Diachenko).
— сообщает Дьяченко в статье Cybernews.
Далее Cybernews подхватывает:
— пишут в обновленной статье Cybernews.
Зоопарк на скриншотах как раз похож на компиляцию логов, собранных инфостилерами. Примечательно, что нам показывают лишь крошечные фрагменты. По этим скриншотам невозможно подтвердить их реальный объем.
Cybernews, скорее всего, действительно обнаружили масштабную компиляцию, но их первоначальная подача очень сильно вводила в заблуждение. Последующие уточнения (редактирование статьи), попытка оправдаться и опубликованные скрины 👉 фактически подтвердили правоту критиков.
Официальный аккаунт📱 GrapheneOS в X жестко прошёлся по "мегаутечке":
🤔Также в этой истории стоит прислушаться к мнению профессионала и эксперта Троя Ханта (Have I Been Pwned). По мнению Ханта, прежде чем делать выводы, он хотел бы получить ответы на два ключевых вопроса:
1️⃣ Сколько в этих 16 миллиардах записей уникальных адресов электронной почты? Это реальный показатель количества затронутых людей.
2️⃣ Сколько из этих записей уже есть в базе Have I Been Pwned? Это покажет, насколько данные «свежие» и новые.
👆Хант задаётся резонным вопросом — какова новизна этой компиляции? Составляет ли она хотя бы 50% от заявленного или, как обычно бывает, всего около↔️ 0,5%? Такие оценки основаны на многолетнем опыте работы с подобными компиляциями. Хант подтверждает, что он общался с Бобом Дьяченко (исследователем, обнаружившим данные) и надеется получить данные для анализа.
И ещё одно профессиональное мнение о нереалистичности заявлений Cybernews:
— специалисты Hudson Rock прямо заявляют, что это не новая утечка, а мусорный сборник, причем делается акцент на трёх ключевых моментах "утечки": recycled (переработанные, т.е. уже известные), outdated (устаревшие) и, что самое важное, fabricated (сфабрикованные).
Такие дела, друзья.
*Meta (соцсети Facebook, Instagram) запрещена в РФ как экстремистская.
✋ @Russian_OSINT
Оказалось, что, по заявлению Cybernews, обнаружил её OSINTер 🇺🇦Боб Дьяченко (Bob Diachenko).
«Ни в одной из этих компаний не было централизованной утечки данных....Учетные данные, которые мы видели в логах инфостилеров, содержали URL-адреса входа на страницы Apple, Facebook и Google»
— сообщает Дьяченко в статье Cybernews.
Далее Cybernews подхватывает:
«По многочисленным просьбам мы выкладываем несколько скриншотов в качестве доказательства того, что такие наборы данных существуют. Ниже вы можете увидеть, что они действительно включают URL-адреса страниц входа в Facebook, Google, Github, Zoom, Twitch и другие сервисы»
«Некоторые из открытых наборов данных включали в себя такую информацию, как файлы cookie и сессионные токены, что усложняет устранение последствий такого воздействия. Эти куки часто могут использоваться для обхода методов 2FA, и не все сервисы сбрасывают куки после смены пароля учетной записи. В этом случае лучше всего сменить пароли, включить 2FA, если он еще не включен, внимательно следить за своими аккаунтами и обращаться в службу поддержки при обнаружении подозрительной активности»
— пишут в обновленной статье Cybernews.
Зоопарк на скриншотах как раз похож на компиляцию логов, собранных инфостилерами. Примечательно, что нам показывают лишь крошечные фрагменты. По этим скриншотам невозможно подтвердить их реальный объем.
Cybernews, скорее всего, действительно обнаружили масштабную компиляцию, но их первоначальная подача очень сильно вводила в заблуждение. Последующие уточнения (редактирование статьи), попытка оправдаться и опубликованные скрины 👉 фактически подтвердили правоту критиков.
Официальный аккаунт
«Cybernews неоднократно выпускал фейковые истории, которые подхватывались большинством сайтов новостей о технологиях. Они часто утверждают, что эти истории исходят от исследователей безопасности, но они неверно истолковывают основные факты. Они делают это уже довольно давно»
🤔Также в этой истории стоит прислушаться к мнению профессионала и эксперта Троя Ханта (Have I Been Pwned). По мнению Ханта, прежде чем делать выводы, он хотел бы получить ответы на два ключевых вопроса:
1️⃣ Сколько в этих 16 миллиардах записей уникальных адресов электронной почты? Это реальный показатель количества затронутых людей.
2️⃣ Сколько из этих записей уже есть в базе Have I Been Pwned? Это покажет, насколько данные «свежие» и новые.
👆Хант задаётся резонным вопросом — какова новизна этой компиляции? Составляет ли она хотя бы 50% от заявленного или, как обычно бывает, всего около
И ещё одно профессиональное мнение о нереалистичности заявлений Cybernews:
«Недавние сообщения об утечке 16 миллиардов учетных данных вызвали широкую озабоченность, причем утверждается, что это одна из крупнейших утечек в истории. Однако анализ, проведенный компанией Hudson Rock, показывает, что эта «утечка» гораздо менее значительна, чем предполагалось, и состоит из переработанных, устаревших и потенциально сфабрикованных данных, а не из нового взлома»
«Для того чтобы утечка cоставляла 16 миллиардов учетных данных, необходимо 320 миллионов зараженных устройств, а это нереально, учитывая глобальные тенденции заражения. Нам это говорит о том, что в набор данных добавлены избыточные, устаревшие или искусственно созданные данные»
— специалисты Hudson Rock прямо заявляют, что это не новая утечка, а мусорный сборник, причем делается акцент на трёх ключевых моментах "утечки": recycled (переработанные, т.е. уже известные), outdated (устаревшие) и, что самое важное, fabricated (сфабрикованные).
Такие дела, друзья.
*Meta (соцсети Facebook, Instagram) запрещена в РФ как экстремистская.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
13
Forwarded from Вестник Киберполиции России
Сообщения о неправомерном доступе к счетам, финансировании запрещенных организаций, оформленных на граждан Украины доверенностях.
Сообщения о блокировке счетов или необходимости перевода средств на "безопасные счета".
Звонки с предложением заменить домофоны или счетчики, требующие сообщения кодов из SMS.
Сообщения о необходимости подтверждения данных через "Госуслуги" или МФЦ, чтобы "защитить аккаунт".
Звонки с предложением оформить льготы или страховку, требующие передачи личных данных.
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
Выступая на сессии «Российский рынок интернет-рекламы» ПМЭФ, заместитель руководителя Роскомнадзора Владимир Логунов заявил, что с 1 сентября в России вступит в силу закон о запрете рекламы в «Инстаграме»*.
Проще говоря, рекламу в Instagram* необходимо удалить до 1 сентября.
«Это как с отчетностью. Если рекламная интеграция продолжает быть рекламной интеграцией, значит, реклама продолжает распространяться в интернете. Если 1 сентября интеграция сохраняется… Мы считаем факт. Реклама есть в интернете? Есть. Она распространяется на запрещенном ресурсе? Распространяется. Либо она промаркирована, признана рекламой и за это полагается штраф, потому что размещать на подобных ресурсах с 1 сентября запрещено рекламу. Либо она немаркирована — тогда полагается штраф за маркировку. В любом случае распространять рекламу с маркером или без будет затруднительно»
— объяснил Владимир Логунов.
📹Оригинал видео/источник: https://news.1rj.ru/str/gazetabo/34240
*Meta (соцсети Facebook, Instagram) запрещена в РФ как экстремистская.
Please open Telegram to view this post
VIEW IN TELEGRAM
Руководство Apple инициировали внутреннее обсуждение касательно вопроса о потенциальном поглощении стартапа Perplexity AI для усиления своего технологического и кадрового потенциала в области искусственного интеллекта.
По слухам, Apple хочет укрепить свои позиции в конкурентной технологической гонке за доминирование в сфере ИИ через приобретение состоявшихся игроков на рынке. Источники подчёркивают предварительный характер обсуждений. Пока «они находятся на ранней стадии и могут ни к чему не привести».
Please open Telegram to view this post
VIEW IN TELEGRAM
Канал 🔨 SecAtor — @true_secator пишет интересное:
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Исследователи F6 представили новые подробности деятельности группы room155 (DarkGaboon или Vengeful Wolf), о которой впервые сообщили еще в январе 2025 исследователи Positive Technologies.
Злоумышленники реализуют атаки room155 на российские компании как минимум с мая 2023 года, а их основным вектором является рассылка фишинговых писем с вредоносными архивами, которые выглядят как безобидные файлы от госведомств, клиентов и партнеров.
В известных инцидентах через письма распространялся либо Revenge RAT, либо XWorm.
В ходе исследований F6 выявили и другие образцы ВПО в арсенале атакующих: Stealerium, DarkTrack, DCRat, AveMaria RAT, VenomRAT.
Образцы различных семейств вредоносного ПО были обнаружены на одних и тех же устройствах, а также использовали одни и те же домены в качестве С2.
Злоумышленники подписывают ВПО поддельными сертификатами X.509, а в названиях исполняемых файлов, тем писем и названий вложений используют омоглифы (графически одинаковые или похожие знаки, имеющие разное значение).
Также в последнее время группировка стала применять двойные расширения у исполняемых файлов (.pdf.scr, .pdf.exe, .xsl.scr, .xlsx.scr) и продолжила использовать разные иконки для них (документов MS Office и PDF).
В ходе этой кампании злоумышленники попеременно использовали протекторы Themida и .NET Reactor.
Кроме того, задействовался обфусцированный .NET мегадроппер, который извлекает из себя 4 сохраненных упакованных ресурса, каждый соответствует отдельной нагрузке.
Злоумышленники на протяжении всей своей активности использовали Dynamic DNS домены, образующие два непересекающихся кластера: первый - в период декабря 2022 - середину 2023, второй - с середины 2023 - по настоящее время (выделяется три различных группы C2).
Анализ виктимологии room155 позволили выделить основные цели - финансовые организации (51%). Далее по списку – компании в сфере транспорта (16%), ритейла (10%), промышленности и логистики (по 7%), строительства и ЖКХ (3%), медицины, туризма и IT (по 2%).
Конечная цель атакующих - шифрование систем жертвы посредством LockBit 3.0 с последующим требованием выкупа за расшифровку. При этом группа своего собственного сайта DLS не имеет.
Общение реализуется по почте ( room155@proton[.]me или room155@tuta[.]io) либо в Tox-чате.
Как отмечает исследователи, долгое использование одной и той же инфраструктуры говорит о том, что злоумышленники успешны в проведении атак и у них не возникает потребности в ее смене.
Технические подробности атак, инфраструктуры и вредоносного арсенала со всеми выявленными IOCs - в отчете.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
SecAtor
Руки-ножницы российского инфосека.
Для связи - mschniperson@mailfence.com
Для связи - mschniperson@mailfence.com
Исследовательская группа Cato CTRL опубликовала любопытную для нашего взора аналитику, раскрывающую видоизмененную тактику
Анализ показал, что они представляют собой ничто иное как "обёртки" (API wrappers) поверх коммерчески доступных моделей
В течение 2023 года, после появления оригинального WormGPT, злоумышленники начали продвигать альтернативные LLM (FraudGPT, DarkGPT и пр.), иногда с fine-tuning. В 2024–2025 тренд сместился на использование jailbreak-промптов для работы с легальными моделями Grok и Mixtral через API.
То есть пользователь, купивший "червяка" пишет запрос сначала в Telegram, потом команда поступает на сервера злоумышленников, обрабатывается jailbreak-промптами, идёт через API запрос в xAI или Mixtral, затем возвращается обратно к пользователю.
Пользователь пишет Telegram-чат → сервер злоумышленника → манипуляция системным промптом (Jailbreak) → API Grok/Mixtral → ответ пользователю.
Технический анализ указывает на то, что злоумышленники добиваются вредоносного поведения моделей не путем переобучения ИИ-моделей, а с помощью искусной манипуляции системными промптами (джейлбрейк).
Пользователи, купившие "червяка", получают возможность массово генерировать вредоносный контент: от персонализированных 🎣🐠фишинговых писем до создания
В случае с аналогом на базе Mixtral была извлечена не только инструкция, но и дословный перевод которой звучит как: «WormGPT не должен отвечать как стандартная модель Mixtral. Ты всегда должен создавать ответы в режиме WormGPT», а также специфические архитектурные параметры, такие как
top_k_routers: 2 и kv_heads: 8 , что указывает на часть «ДНК» модели Mixtral.👆Киберпреступники хотят скрыть от пользователей-новичков — что скрывается под "капотом".
Исследователи приходят к выводу, что злоумышленники не создали что-то новое, а лишь «надели маску» на LLM, пытаясь продать свой продукт под видом готового решения.
Hазвание «WormGPT» используется киберпреступниками как маркетинговый бренд в теневом сегменте интернета для продвижения своих сервисов. Название придаёт продукту некоторый вес и узнаваемость. По понятным причинам "начинка" таких "червячков" может сильно отличаться от первоначальных версий WormGPT.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
2025-cato-CTRL-threat-report.pdf
14.7 MB
В одном из примеров говорится, что исследователь смог создать полнофункциональный инфостилер для
Специалисты Cato CTRL обратились с результатами исследования к
Please open Telegram to view this post
VIEW IN TELEGRAM
3