MAX пугает разрешениями, но скрывает другой сюрприз: что выяснилось о новом мессенджере
27 августа. / MoneyTimes /. О новом мессенджере MAX в последние недели ходит больше слухов, чем реальных фактов. Его обвиняли во всём: от самопроизвольной установки на смартфон до таинственного запуска камеры каждые пять минут. На деле, как выяснилось, многие из этих страшилок оказались мифами. Камера сама не оживает, данные не текут за границу, а истории про "самостоятельную установку" объясняются системными обновлениями и формальными требованиями закона.
🔹Разрешения, цифры и контекст
Самая частая претензия к MAX звучит знакомо: слишком уж много разрешений требует. Но цифры ломают впечатление. У Telegram их 71, у WhatsApp — 85, а у MAX — всего 63. Да, список широкий, но он даже короче, чем у привычных мессенджеров. К тому же за июль команда разработчиков успела заблокировать свыше десяти тысяч мошеннических номеров и удалить более тридцати двух тысяч вредоносных документов — явно не просто ради галочки.
🔹Что говорят разработчики
VK, стоящая за проектом, уверяет, что сделала ставку на безопасность. Все серверы расположены в России, используется собственный протокол шифрования, а для любителей "охоты за ошибками" работает программа Bug Bounty с вознаграждением до пяти миллионов рублей. Официальный релиз запланирован на осень, а пока приложение продолжает обрастать функциями и отзывами.
🔹Реакция пользователей
Кто-то радуется тишине без спама, а кто-то ворчит на непривычный интерфейс. Но оценки в RuStore говорят сами за себя: рейтинг 4,4 балла при более чем 61 тысяче отзывов выше среднего по рынку. MAX уже успел стать инструментом для тысяч пользователей, и, похоже, намерен задержаться.
27 августа. / MoneyTimes /. О новом мессенджере MAX в последние недели ходит больше слухов, чем реальных фактов. Его обвиняли во всём: от самопроизвольной установки на смартфон до таинственного запуска камеры каждые пять минут. На деле, как выяснилось, многие из этих страшилок оказались мифами. Камера сама не оживает, данные не текут за границу, а истории про "самостоятельную установку" объясняются системными обновлениями и формальными требованиями закона.
🔹Разрешения, цифры и контекст
Самая частая претензия к MAX звучит знакомо: слишком уж много разрешений требует. Но цифры ломают впечатление. У Telegram их 71, у WhatsApp — 85, а у MAX — всего 63. Да, список широкий, но он даже короче, чем у привычных мессенджеров. К тому же за июль команда разработчиков успела заблокировать свыше десяти тысяч мошеннических номеров и удалить более тридцати двух тысяч вредоносных документов — явно не просто ради галочки.
🔹Что говорят разработчики
VK, стоящая за проектом, уверяет, что сделала ставку на безопасность. Все серверы расположены в России, используется собственный протокол шифрования, а для любителей "охоты за ошибками" работает программа Bug Bounty с вознаграждением до пяти миллионов рублей. Официальный релиз запланирован на осень, а пока приложение продолжает обрастать функциями и отзывами.
🔹Реакция пользователей
Кто-то радуется тишине без спама, а кто-то ворчит на непривычный интерфейс. Но оценки в RuStore говорят сами за себя: рейтинг 4,4 балла при более чем 61 тысяче отзывов выше среднего по рынку. MAX уже успел стать инструментом для тысяч пользователей, и, похоже, намерен задержаться.
Moneytimes
MAX пугает разрешениями, но скрывает другой сюрприз: что выяснилось о новом мессенджере
Новый российский мессенджер MAX опроверг мифы о себе и набирает популярность среди пользователей.
Android-троян HOOK превратился в вымогателя: смартфоны под новой угрозой
28 августа. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали тревожное обновление мобильного зловреда HOOK, известного как наследника банковского трояна ERMAC. В его последней версии появилась функция, характерная для классических программ-вымогателей: устройство жертвы может быть заблокировано полноэкранным окном с требованием перевода криптовалюты. Сообщение накладывается поверх всех приложений, а убрать его можно только по команде операторов или после оплаты.
До недавнего времени HOOK использовался в основном для атак на финансовые приложения: он подменял страницы входа в банки и финсервисы, собирал пароли и номера карт. Теперь же его арсенал расширился до 107 удалённых команд. Среди новых — имитация PIN-кодов, поддельные экраны NFC-оплаты и возможность выдавать себя за Google Pay. Вирус также научился фиксировать жесты через прозрачные оверлеи и красть данные криптовалютных кошельков.
Отдельная опасность заключается в универсальности. HOOK не ограничивается финансовыми махинациями: он способен включать камеру, передавать экран в реальном времени, отправлять СМС и похищать cookies. По сути, это уже не просто троян, а многофункциональный инструмент, который объединяет черты банковских зловредов, spyware и ransomware. Распространяется он через поддельные сайты, фишинговые рассылки и даже маскируется под легитимные приложения в Google Play.
Эксперты отмечают, что подобная эволюция мобильных угроз становится трендом. Границы между разными типами зловредов стираются, а киберпреступники создают универсальные платформы для заработка на жертвах. Одновременно растёт активность других троянов, например Anatsa, атакующего сотни банков и криптосервисов по всему миру. В итоге пользователи Android сталкиваются с ситуацией, когда даже привычное приложение может оказаться капканом. Специалисты настоятельно советуют внимательно проверять разрешения программ и не устанавливать софт из сомнительных источников.
28 августа. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали тревожное обновление мобильного зловреда HOOK, известного как наследника банковского трояна ERMAC. В его последней версии появилась функция, характерная для классических программ-вымогателей: устройство жертвы может быть заблокировано полноэкранным окном с требованием перевода криптовалюты. Сообщение накладывается поверх всех приложений, а убрать его можно только по команде операторов или после оплаты.
До недавнего времени HOOK использовался в основном для атак на финансовые приложения: он подменял страницы входа в банки и финсервисы, собирал пароли и номера карт. Теперь же его арсенал расширился до 107 удалённых команд. Среди новых — имитация PIN-кодов, поддельные экраны NFC-оплаты и возможность выдавать себя за Google Pay. Вирус также научился фиксировать жесты через прозрачные оверлеи и красть данные криптовалютных кошельков.
Отдельная опасность заключается в универсальности. HOOK не ограничивается финансовыми махинациями: он способен включать камеру, передавать экран в реальном времени, отправлять СМС и похищать cookies. По сути, это уже не просто троян, а многофункциональный инструмент, который объединяет черты банковских зловредов, spyware и ransomware. Распространяется он через поддельные сайты, фишинговые рассылки и даже маскируется под легитимные приложения в Google Play.
Эксперты отмечают, что подобная эволюция мобильных угроз становится трендом. Границы между разными типами зловредов стираются, а киберпреступники создают универсальные платформы для заработка на жертвах. Одновременно растёт активность других троянов, например Anatsa, атакующего сотни банков и криптосервисов по всему миру. В итоге пользователи Android сталкиваются с ситуацией, когда даже привычное приложение может оказаться капканом. Специалисты настоятельно советуют внимательно проверять разрешения программ и не устанавливать софт из сомнительных источников.
Экосистема Security Vision получила сертификат ФСТЭК по 4-му уровню доверия
28 августа. / Anti-Malware /. Платформа Security Vision и модули, созданные на её основе, прошли сертификацию ФСТЭК России. Сертификат соответствия № 4964 от 19 августа 2025 года подтверждает, что решение отвечает требованиям по 4-му уровню доверия, включая контроль отсутствия недекларированных возможностей.
Сертификация распространяется на саму Low-code / No-code платформу с конструкторами контента, а также на все модули, которые на ней разработаны.
В их числе — SOAR и NG SOAR для управления инцидентами, модули инвентаризации и управления активами, система управления уязвимостями и сканер, SIEM, компоненты для взаимодействия с ГосСОПКА и ФинЦЕРТ, решения для управления соответствием, рисками и непрерывностью бизнеса, а также инструменты для поведенческого анализа и Service Desk.
Полученный уровень доверия позволяет использовать Security Vision в государственных системах 1 класса защищённости, на значимых объектах КИИ, в автоматизированных системах управления технологическими процессами, а также в системах, работающих с персональными данными при необходимости 1 уровня защиты.
28 августа. / Anti-Malware /. Платформа Security Vision и модули, созданные на её основе, прошли сертификацию ФСТЭК России. Сертификат соответствия № 4964 от 19 августа 2025 года подтверждает, что решение отвечает требованиям по 4-му уровню доверия, включая контроль отсутствия недекларированных возможностей.
Сертификация распространяется на саму Low-code / No-code платформу с конструкторами контента, а также на все модули, которые на ней разработаны.
В их числе — SOAR и NG SOAR для управления инцидентами, модули инвентаризации и управления активами, система управления уязвимостями и сканер, SIEM, компоненты для взаимодействия с ГосСОПКА и ФинЦЕРТ, решения для управления соответствием, рисками и непрерывностью бизнеса, а также инструменты для поведенческого анализа и Service Desk.
Полученный уровень доверия позволяет использовать Security Vision в государственных системах 1 класса защищённости, на значимых объектах КИИ, в автоматизированных системах управления технологическими процессами, а также в системах, работающих с персональными данными при необходимости 1 уровня защиты.
«Сертификация ФСТЭК по 4-му уровню доверия – это больше, чем соответствие стандарту. Это гарантия надежности экосистемы Security Vision и подтверждение нашего комплексного подхода к защите информации, – отметил CEO Security Vision Руслан Рахметов. – Мы не просто отвечаем требованиям законодательства – мы создаем безопасное пространство для наших заказчиков и партнеров. Особую важность имеет то, что, благодаря инструментарию Low-code / No-code, реализованному в Security Vision, они могут самостоятельно создавать на платформе собственные модули/продукты – не завися от внешних исполнителей, полностью контролируя процесс создания и интеллектуальные права на свою уникальную экспертизу и обеспечивая быстрый выход на рынок, крайне необходимый в текущее время»
Один российский программист держит в руках ключевой инструмент Пентагона
29 августа. / CYBER MEDIA /.
Американская компания Hunted Labs обратила внимание на тревожный факт: в основе десятков IT-систем Министерства обороны США лежит библиотека, написанная единственным разработчиком из России. Речь идёт о популярном Node.js-пакете fast-glob, который используется для поиска файлов по шаблонам.
По данным аналитиков, библиотеку еженедельно скачивают свыше 79 миллионов раз. Она встроена в контейнеры Node.js и применяется как в открытых проектах, так и в закрытых корпоративных решениях, включая более 30 систем Пентагона. Особую озабоченность вызывает то, что поддержкой fast-glob занимается всего один человек под ником mrmlnc, которого связывают с подмосковным разработчиком Денисом Малиночкиным.
Сам пакет не имеет зарегистрированных уязвимостей, однако его функционал предполагает прямой доступ к файловым системам. Эксперты предупреждают: отсутствие внешнего контроля и независимых мейнтейнеров превращает такие проекты в удобную цель для атак или скрытых манипуляций. «Open source не нуждается в CVE, чтобы быть опасным. Достаточно доверия и отсутствия проверки», — говорится в отчёте Hunted Labs.
Малиночкин уже отреагировал на публикацию, заявив, что никаких «скрытых функций» в библиотеку не внедрял, и подчеркнул, что развитие open source строится на доверии и разнообразии. В то же время специалисты по кибербезопасности считают, что ситуация показывает хрупкость экосистемы: критическая зависимость от одного человека может поставить под угрозу целые отрасли. В Пентагоне пока не сообщили, планируют ли отказаться от использования fast-glob.
29 августа. / CYBER MEDIA /.
Американская компания Hunted Labs обратила внимание на тревожный факт: в основе десятков IT-систем Министерства обороны США лежит библиотека, написанная единственным разработчиком из России. Речь идёт о популярном Node.js-пакете fast-glob, который используется для поиска файлов по шаблонам.
По данным аналитиков, библиотеку еженедельно скачивают свыше 79 миллионов раз. Она встроена в контейнеры Node.js и применяется как в открытых проектах, так и в закрытых корпоративных решениях, включая более 30 систем Пентагона. Особую озабоченность вызывает то, что поддержкой fast-glob занимается всего один человек под ником mrmlnc, которого связывают с подмосковным разработчиком Денисом Малиночкиным.
Сам пакет не имеет зарегистрированных уязвимостей, однако его функционал предполагает прямой доступ к файловым системам. Эксперты предупреждают: отсутствие внешнего контроля и независимых мейнтейнеров превращает такие проекты в удобную цель для атак или скрытых манипуляций. «Open source не нуждается в CVE, чтобы быть опасным. Достаточно доверия и отсутствия проверки», — говорится в отчёте Hunted Labs.
Малиночкин уже отреагировал на публикацию, заявив, что никаких «скрытых функций» в библиотеку не внедрял, и подчеркнул, что развитие open source строится на доверии и разнообразии. В то же время специалисты по кибербезопасности считают, что ситуация показывает хрупкость экосистемы: критическая зависимость от одного человека может поставить под угрозу целые отрасли. В Пентагоне пока не сообщили, планируют ли отказаться от использования fast-glob.
Взлом MathWorks: личные данные пользователей MATLAB оказались в руках хакеров
1 сентября. / CyberMedia /. Разработчик MATLAB и Simulink, компания MathWorks, столкнулась с крупным киберинцидентом. Как выяснилось в ходе внутреннего расследования, весной 2025 года неизвестные злоумышленники получили доступ к информационным системам и похитили данные более 10 тысяч клиентов.
Инцидент, произошедший в апреле, заметили далеко не сразу — лишь в середине мая специалисты MathWorks зафиксировали признаки компрометации. К этому моменту атака уже успела отразиться на ключевых сервисах: облачном центре, лицензировании, системе единого входа и многофакторной аутентификации. Пользователи сообщали о перебоях в работе магазина и затруднениях при загрузке файлов.
Согласно официальному уведомлению, в распоряжении хакеров оказались имена, даты рождения, адреса проживания и номера социальных страховок, а также другие идентификаторы. Речь идёт не только о гражданах США: часть пострадавших — клиенты компании из других стран. Эксперты предупреждают, что такой набор сведений может использоваться для кражи личности, оформления кредитов и мошеннических операций.
MathWorks пока не раскрыла, каким образом хакеры проникли в систему и кто может стоять за атакой. Ни одна из известных киберпреступных группировок ответственность на себя не взяла. Специалисты не исключают, что речь идёт о вымогателях, которые ведут переговоры с компанией, либо уже получили выкуп. Сам инцидент подчёркивает: даже крупные ИТ-разработчики с многомиллионной аудиторией остаются уязвимы для целевых атак.
1 сентября. / CyberMedia /. Разработчик MATLAB и Simulink, компания MathWorks, столкнулась с крупным киберинцидентом. Как выяснилось в ходе внутреннего расследования, весной 2025 года неизвестные злоумышленники получили доступ к информационным системам и похитили данные более 10 тысяч клиентов.
Инцидент, произошедший в апреле, заметили далеко не сразу — лишь в середине мая специалисты MathWorks зафиксировали признаки компрометации. К этому моменту атака уже успела отразиться на ключевых сервисах: облачном центре, лицензировании, системе единого входа и многофакторной аутентификации. Пользователи сообщали о перебоях в работе магазина и затруднениях при загрузке файлов.
Согласно официальному уведомлению, в распоряжении хакеров оказались имена, даты рождения, адреса проживания и номера социальных страховок, а также другие идентификаторы. Речь идёт не только о гражданах США: часть пострадавших — клиенты компании из других стран. Эксперты предупреждают, что такой набор сведений может использоваться для кражи личности, оформления кредитов и мошеннических операций.
MathWorks пока не раскрыла, каким образом хакеры проникли в систему и кто может стоять за атакой. Ни одна из известных киберпреступных группировок ответственность на себя не взяла. Специалисты не исключают, что речь идёт о вымогателях, которые ведут переговоры с компанией, либо уже получили выкуп. Сам инцидент подчёркивает: даже крупные ИТ-разработчики с многомиллионной аудиторией остаются уязвимы для целевых атак.
55% подрядчиков российских компаний уязвимы для кибератак
1 сентября. / Anti-Malware /. Компания CICADA8 проверила цифровую защиту более 60 тысяч российских организаций, которые работают как подрядчики и контрагенты. Итог печальный: больше половины из них почти не защищены от кибератак и игнорируют даже базовые меры безопасности.
Для анализа использовалась собственная платформа CICADA8 CyberRating — она без вмешательства в системы проверяет компании по трём параметрам:
🔹уязвимости на ИТ-периметре (Vulnerability Rating),
🔹репутация внешних активов (Network Rating),
🔹наличие утечек корпоративных данных в даркнете (Leaks Rating).
Ситуация тревожная. По данным RED Security SOC, ещё в 2024 году атаки через подрядчиков вошли в топ-6 самых популярных способов проникновения в ИТ-инфраструктуру. Количество таких инцидентов выросло втрое за год, а отследить их на ранних этапах очень сложно.
Исследование CICADA8 подтвердило:
🔹55% поставщиков оставляют открытыми хотя бы один управляющий порт, доступный из интернета. Это прямое приглашение для хакеров.
🔹27% компаний «засветили» свои корпоративные учётные записи в утечках. Причём многие из них до сих пор активны, а значит, могут стать удобной точкой входа для атак.
🔹У 32% организаций на внешнем периметре найдены критические уязвимости (CVE), давно закрытые патчами. Но обновления никто так и не установил.
Всё это открывает злоумышленникам широкий простор для действий: от взлома подрядчиков и хищения их данных до атак на заказчиков через сетевую связанность или фишинговые рассылки с реальных адресов компаний.
1 сентября. / Anti-Malware /. Компания CICADA8 проверила цифровую защиту более 60 тысяч российских организаций, которые работают как подрядчики и контрагенты. Итог печальный: больше половины из них почти не защищены от кибератак и игнорируют даже базовые меры безопасности.
Для анализа использовалась собственная платформа CICADA8 CyberRating — она без вмешательства в системы проверяет компании по трём параметрам:
🔹уязвимости на ИТ-периметре (Vulnerability Rating),
🔹репутация внешних активов (Network Rating),
🔹наличие утечек корпоративных данных в даркнете (Leaks Rating).
Ситуация тревожная. По данным RED Security SOC, ещё в 2024 году атаки через подрядчиков вошли в топ-6 самых популярных способов проникновения в ИТ-инфраструктуру. Количество таких инцидентов выросло втрое за год, а отследить их на ранних этапах очень сложно.
Исследование CICADA8 подтвердило:
🔹55% поставщиков оставляют открытыми хотя бы один управляющий порт, доступный из интернета. Это прямое приглашение для хакеров.
🔹27% компаний «засветили» свои корпоративные учётные записи в утечках. Причём многие из них до сих пор активны, а значит, могут стать удобной точкой входа для атак.
🔹У 32% организаций на внешнем периметре найдены критические уязвимости (CVE), давно закрытые патчами. Но обновления никто так и не установил.
Всё это открывает злоумышленникам широкий простор для действий: от взлома подрядчиков и хищения их данных до атак на заказчиков через сетевую связанность или фишинговые рассылки с реальных адресов компаний.
«Многие компании тратят огромные ресурсы на защиту собственных систем, но продолжают оставаться уязвимыми из-за халатности подрядчиков. Атаки через цепочку поставок растут, а контроля за безопасностью поставщиков почти нет», — отметил Сергей Колесников, директор продуктового портфеля и сервисов CICADA8.
В США обнаружили, что пользователи WhatsApp стали уязвимы из-за бреши в нем
2 сентября. /ТАСС/. Пользователи мессенджера WhatsApp оказались уязвимы и, вероятно, уже были атакованы хакерами из-за недавно выявленной бреши в нем, которая использовалась в связке с уязвимостью в системном компоненте операционных систем от Apple, следует из данных Национального репозитория уязвимостей правительства США.
Компания Meta (признана на территории РФ экстремистской и запрещена) оценила эту уязвимость в WhatsApp в 5,4 балла из 10 по шкале оценки их опасности, при этом в Агентстве по кибербезопасности и защите инфраструктуры США присвоили ей рейтинг в 8 из 10, что соответствует "высокому" уровню. Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS. Хакер с ее помощью мог бы обрабатывать содержимое URL на устройстве жертвы.
Эту дыру в безопасности WhatsApp использовали в связке с уязвимостью компонента ImageIO, доступного на iOS 4.0+, iPadOS 4.0+ и macOS 10.8+ и на других ОС от Apple. Как уточнил ТАСС ведущий эксперт PT Expert Security Center в компании Positive Technologies Александр Леонов, хакерам даже не нужно было контактировать с пользователями, чтобы эксплуатировать эти недостатки.
Уязвимость в ImageIO, о которой уже писал ТАСС, была оценена Нацрепозиторием США в 8,8 из 10 по шкале опасности, причем в банке данных угроз ФСТЭК России также приводились оценка в 10 из 10 по более ранней версии шкалы. ImageIO позволяет приложениям считывать и записывать файлы большинства форматов изображений, а недостаток в нем был связан с "выходом операции за границы буфера в памяти". Та уязвимость была устранена, и пользователям было рекомендовано обновиться.
2 сентября. /ТАСС/. Пользователи мессенджера WhatsApp оказались уязвимы и, вероятно, уже были атакованы хакерами из-за недавно выявленной бреши в нем, которая использовалась в связке с уязвимостью в системном компоненте операционных систем от Apple, следует из данных Национального репозитория уязвимостей правительства США.
Компания Meta (признана на территории РФ экстремистской и запрещена) оценила эту уязвимость в WhatsApp в 5,4 балла из 10 по шкале оценки их опасности, при этом в Агентстве по кибербезопасности и защите инфраструктуры США присвоили ей рейтинг в 8 из 10, что соответствует "высокому" уровню. Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS. Хакер с ее помощью мог бы обрабатывать содержимое URL на устройстве жертвы.
Эту дыру в безопасности WhatsApp использовали в связке с уязвимостью компонента ImageIO, доступного на iOS 4.0+, iPadOS 4.0+ и macOS 10.8+ и на других ОС от Apple. Как уточнил ТАСС ведущий эксперт PT Expert Security Center в компании Positive Technologies Александр Леонов, хакерам даже не нужно было контактировать с пользователями, чтобы эксплуатировать эти недостатки.
Уязвимость в ImageIO, о которой уже писал ТАСС, была оценена Нацрепозиторием США в 8,8 из 10 по шкале опасности, причем в банке данных угроз ФСТЭК России также приводились оценка в 10 из 10 по более ранней версии шкалы. ImageIO позволяет приложениям считывать и записывать файлы большинства форматов изображений, а недостаток в нем был связан с "выходом операции за границы буфера в памяти". Та уязвимость была устранена, и пользователям было рекомендовано обновиться.
TACC
В США обнаружили, что пользователи WhatsApp стали уязвимы из-за бреши в нем
Брешь заключается в "неполной авторизации сообщений синхронизации связанных устройств в WhatsApp и WhatsApp Business" для iOS и macOS, следует из данных Национального репозитория уязвимостей правит...
Программное обеспечение «Турбо» получило сертификат ФСТЭК России
2 сентября. / C.NEWS /. Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе «Турбо» реализованы все продукты вендора, включая флагманское решение «Турбо ERP». Получено подтверждение соответствия требованиям безопасности по четвертому уровню доверия и техническим условиям (ТУ). Это является одним из ключевых требований для использования программного обеспечения на объектах критической информационной инфраструктуры.
Четвертый уровень доверия
ФСТЭК России — федеральная служба, отвечающая за безопасность в области технического и экспортного контроля, разработку и реализацию политики защиты информации, лицензирование деятельности, связанной с государственной тайной. Четвертый уровень доверия по классификации этого госоргана подтверждает, что программное обеспечение «Турбо» подходит для применения в критически важных для страны инфраструктурных системах и сетях. В частности, использование сертифицированного ПО обязательно в банках, финансовых, медицинских организациях, предприятиях ТЭК, тяжелой промышленности, химии, телекома, транспорта, государственных учреждениях и других компаниях, где обрабатываются конфиденциальные данные.
Что было сделано для сертификации
Полученный сертификат ФСТЭК России свидетельствует, что решения «Турбо» обеспечат заказчикам дополнительную гарантию защиты от несанкционированного доступа, утечек и других угроз. Также поможет соответствовать требованиям российского законодательства в области защиты персональных данных и информации ограниченного доступа.
Для подтверждения соответствия ТУ функционал платформы «Турбо Х» получил дополнительные изменения. Были усовершенствованы механизмы идентификации и аутентификации, управления доступом и регистрации событий безопасности, что позволило полностью соблюсти все требования ФСТЭК России.
2 сентября. / C.NEWS /. Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе «Турбо» реализованы все продукты вендора, включая флагманское решение «Турбо ERP». Получено подтверждение соответствия требованиям безопасности по четвертому уровню доверия и техническим условиям (ТУ). Это является одним из ключевых требований для использования программного обеспечения на объектах критической информационной инфраструктуры.
Четвертый уровень доверия
ФСТЭК России — федеральная служба, отвечающая за безопасность в области технического и экспортного контроля, разработку и реализацию политики защиты информации, лицензирование деятельности, связанной с государственной тайной. Четвертый уровень доверия по классификации этого госоргана подтверждает, что программное обеспечение «Турбо» подходит для применения в критически важных для страны инфраструктурных системах и сетях. В частности, использование сертифицированного ПО обязательно в банках, финансовых, медицинских организациях, предприятиях ТЭК, тяжелой промышленности, химии, телекома, транспорта, государственных учреждениях и других компаниях, где обрабатываются конфиденциальные данные.
Что было сделано для сертификации
Полученный сертификат ФСТЭК России свидетельствует, что решения «Турбо» обеспечат заказчикам дополнительную гарантию защиты от несанкционированного доступа, утечек и других угроз. Также поможет соответствовать требованиям российского законодательства в области защиты персональных данных и информации ограниченного доступа.
Для подтверждения соответствия ТУ функционал платформы «Турбо Х» получил дополнительные изменения. Были усовершенствованы механизмы идентификации и аутентификации, управления доступом и регистрации событий безопасности, что позволило полностью соблюсти все требования ФСТЭК России.
CNews.ru
Программное обеспечение «Турбо» получило сертификат ФСТЭК России - CNews
Программная платформа «Турбо Х» (входит в портфель ИТ-холдинга Lansoft) прошла сертификацию ФСТЭК России. На платформе...
Velociraptor в руках хакеров: инструмент защиты превратился в оружие атаки
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
Огромная дыра зияет в безопасности многих стран. Россия не исключение
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
CNews.ru
Огромная дыра зияет в безопасности многих стран. Россия не исключение - CNews
Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через...
NVIDIA спешно закрыла бреши: под угрозой данные и сервисы
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
Frostbyte10: уязвимости в контроллерах Copeland грозят удалённым взломом
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
CNews.ru
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК - CNews
ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку...
США пообещали $10 млн за информацию о хакерах ФСБ, взломавших Cisco
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
Шпион на основе Stealerium — находка для бытового шантажиста
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
securitymedia.org
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома.…
Думали, WAF вас защищает? Исследователи обошли 17 файрволов с помощью одного трюка с запятой
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
Научно-практический семинар 4 сентября 2025 г.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
«Диасофт» получил бессрочную лицензию ФСТЭК России для проведения аттестации объектов информатизации
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Лицензия предоставлена бессрочно.
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
Форум XSS оказался под контролем украинца и спецслужб Киева
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.