Velociraptor в руках хакеров: инструмент защиты превратился в оружие атаки
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
2 сентября. / CYBER MEDIA /. Обычно Velociraptor ассоциируется у специалистов с цифровой криминалистикой и мониторингом конечных точек. Но теперь этот открытый инструмент оказался на службе у киберпреступников. Эксперты Sophos фиксируют тревожный тренд: злоумышленники всё чаще переходят к тактике Living-off-the-Land, когда для атаки используются легитимные программы, а не самописные трояны.
В последнем инциденте хакеры установили Velociraptor в корпоративной сети жертвы с помощью утилиты msiexec, загрузив инсталлятор с домена, размещённого на платформе Cloudflare Workers. После этого был запущен PowerShell с зашифрованной командой, который подгрузил Visual Studio Code в режиме туннелирования. По версии исследователей, это позволяло операторам незаметно подключаться к удалённому серверу управления.
Для закрепления в инфраструктуре применялись и другие утилиты: от Cloudflare Tunnel до классического Radmin. Повторные вызовы msiexec использовались для установки дополнительных модулей с ресурсов в зоне workers[.]dev. Подобная схема, по мнению Sophos, может быть подготовительным этапом перед более разрушительными действиями — от вывода данных до запуска шифровальщиков.
Специалисты подчёркивают: тот факт, что в атаках применяются легальные инструменты, сильно усложняет задачу защиты. Лог Velociraptor или PowerShell-команда выглядят рутинно, а не как подозрительная активность. Поэтому компаниям рекомендуется усиливать мониторинг, отслеживать нетипичное использование админских утилит и ограничивать доступ к инструментам, которые в теории могут обернуться против самой инфраструктуры.
Огромная дыра зияет в безопасности многих стран. Россия не исключение
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
2 сентября. / C.NEWS /. Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через иностранные сети и даже не шифруется – во многих странах администраторы таких сайтов не используют протокол HTTPS. Россия в этом плане исключением не стала – HTTPS внедрен в менее чем в половину отечественных госсайтов.
Какая такая безопасность?
В госсекторах десятков стран мира выявлена огромная прореха в стене кибербезопасности, потенциально открывающая перед хакерами широкие возможности по взлому. The Register со ссылкой на исследование, проведенное Северо-Западным университетом США (Northwestern University), пишет, что трафик до таких сайтов очень часто идет через зарубежные сети.
Исследователи выявили три недостатка в безопасности – пересечение трафиком иностранных границ; игнорирование зашифрованного протокола HTTPS, который существует с 2000 г.; привязка почти всего трафика к единственному внутреннему провайдеру.
Первая проблема – трафик пересекает границы других государств, притом в ряде случаев несколько раз. Иногда используются зарубежные точки обмена трафиком. Вторая проблема – как оказалось, этот трафик очень часто вообще не шифруется.
Все очень плохо
В рамках исследования была составлена карта мира, на которой авторы пометили страны по уровню внедрения в их госсайты протокола HTTPS. От обычного и давно устаревшего HTTP от отличается функцией шифрования. Исследование затронуло госсайты 58 стран мира, в том числе и России.
Отметим, что Россия оказалась в антилидерах по числу госсайтов, не использующих HTTPS. Их в стране насчитывается 50,23%.
Другими словами, лишь 49,77% сайтов российских госструктур используют HTTPS. Для сравнения, в США таковых набралось 62,94%, в Канаде – 68,37%.
Чем все это грозит
Перенаправление трафика через зарубежные сети вкупе с отсутствием шифрования – это настоящий подарок киберпреступникам, находящимся за пределами границ страны, чьи госсайты они хотят атаковать. Они могут провести множество атак, в том числе «человек посередине» (Man in the Middle, MITM) и банально перехватить трафик.
А если этот трафик еще и не будет зашифрован, киберпреступники сразу получат полный доступ к передаваемой информации .
Что касается зависимости от сети одного провайдера, то это тоже не сулит ничего хорошего, отмечают исследователи. В таких условиях единичный сбой, неправильная настройка или преднамеренное нарушение работы провайдера (взлом или саботаж) могут повлиять на все государственные услуги.
CNews.ru
Огромная дыра зияет в безопасности многих стран. Россия не исключение - CNews
Государственные сайты многих стран оказались не приспособлены к миру, кишащему хакерами. Трафик до них идет через...
NVIDIA спешно закрыла бреши: под угрозой данные и сервисы
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
4 сентября. / CYBER MEDIA /. Компания NVIDIA выпустила срочные обновления безопасности для линейки ключевых продуктов: BlueField, ConnectX, DOCA, Mellanox DPDK, Cumulus Linux и NVOS. Патчи устраняют критические уязвимости, которые могли привести к отказу в обслуживании, повышению привилегий и раскрытию конфиденциальной информации.
В бюллетене партнёров указывается сразу несколько CVE с высоким уровнем опасности. Например, CVE-2025-23256 получил оценку 8.7 по шкале CVSS и позволяет злоумышленнику не только вызвать сбой работы системы, но и изменить данные или получить доступ к закрытой информации. Другие уязвимости также затрагивают механизмы повышения прав и могут использоваться для дальнейших атак на корпоративные сети.
Исправления уже доступны для загрузки через портал безопасности NVIDIA. Владельцам продуктов рекомендуется немедленно обновить прошивки и программное обеспечение: BlueField и ConnectX обновлены до версии 45.1020 и соответствующих LTS-сборок, Mellanox DPDK — до 25.07, а Cumulus Linux — до релизов 5.13 и выше. Обновления для ConnectX-4 обещают выпустить до конца сентября.
Промедление с установкой патчей может оставить критическую инфраструктуру открытой для атак. Помимо обновлений, NVIDIA советует ограничить доступ к интерфейсам управления и проверить системные журналы на предмет возможных утечек паролей. Быстрая реакция в данном случае — вопрос не удобства, а защиты корпоративных данных.
Frostbyte10: уязвимости в контроллерах Copeland грозят удалённым взломом
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
5 сентября. / CYBERMEDIA /. Armis Labs обнаружила десять критических уязвимостей в контроллерах управления зданиями Copeland E2 и E3. Эти устройства применяются в торговле, логистике и инфраструктуре для контроля за холодильным оборудованием, вентиляцией, освещением и другими системами. Ошибки, получившие общее название Frostbyte10, позволяют удалённым злоумышленникам менять настройки, отключать оборудование и даже красть данные.
Старые контроллеры E2, снятые с поддержки ещё в октябре 2024 года, и более новые E3 подвержены одинаковым рискам. Исследователи показали, что уязвимости можно объединить в цепочку для получения неограниченного root-доступа без авторизации. Потенциальные последствия — от порчи продуктов и перебоев в цепочке поставок до отключения аварийного освещения, что напрямую угрожает безопасности людей.
В числе проблем — предсказуемые пароли по умолчанию, обход авторизации, возможность загружать специально созданные файлы для чтения любых данных, а также установка поддельной прошивки из-за отсутствия проверки подписи. Несколько багов признаны критическими и получили оценки CVSS свыше 9 баллов.
Copeland совместно с Armis выпустила обновления: для E3 доступна прошивка версии 2.31F01, для E2 — специальные пакеты исправлений. Эксперты настоятельно рекомендуют немедленно установить патчи, изолировать оборудование в сети и отказаться от использования стандартных учётных записей. В противном случае Frostbyte10 может стать удобной точкой входа для атак на критическую инфраструктуру.
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
5 сентября. / C.NEWS /. ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку собственных решений в сфере технической защиты конфиденциальной информации и персональных данных. Об этом CNews сообщили представители компании «Гигант — Компьютерные системы»
Получение лицензии ФСТЭК — это строгий аудит всех бизнес-процессов компании. Партнерство с лицензированным вендором минимизирует риски, обеспечивает соответствие требованиям 152-ФЗ и 187-ФЗ, и, как следствие, защищает бизнес от многомиллионных штрафов и репутационных потерь. «Гигант» подтвердил свой статус, получив две важные лицензии
Первая лицензия – на деятельность по технической защите конфиденциальной информации. Это означает, что «Гигант» обладает верифицированными государством компетенциями и квалифицированным персоналом для полного цикла работ с данными, составляющими коммерческую, служебную или иную тайну, а также с персональными данными. Теперь компании могут доверить «Гиганту»: полное сопровождение процессов хранения и обработки персональных данных с гарантией соблюдения всех нормативных требований, построение отказоустойчивых и безопасных облачных сред (защищенное облако), а также внедрение оборудования и программ для защиты данных. Каждый проект будет реализован с учетом последних требований регуляторов и лучших отраслевых практик, что снимает с руководства компаний-заказчиков нагрузку по обеспечению compliance.
Вторая лицензия — на разработку и производство средств защиты конфиденциальной информации. Она подтверждает, что собственные технологические решения «Гиганта» соответствуют высшим стандартам качества, эффективности и безопасности и открывает принципиально новое направление деятельности. А именно: возможность участия компании в государственных и корпоративных тендерах на поставку и внедрение СЗИ. Это не только расширяет портфель возможностей компании, но и укрепляет всю экосистему отечественных производителей, предлагая заказчикам проверенную альтернативу импортным решениям.
Сергей Семикин, генеральный директор компании «Гигант — Компьютерные системы»: «В условиях ужесточения регуляторных требований и роста киберугроз российские компании ищут надежных технологических партнеров, обладающих не только экспертизой, но и официальным правовым статусом для работы с конфиденциальной информацией. Ответом на этот запрос стало стратегическое достижение компании «Гигант – Компьютерные системы»: получение пакета лицензий ФСТЭК России. Это событие выводит компанию в узкий круг интеграторов, способных оказывать максимально полный спектр услуг в области защиты данных и участвовать в наиболее значимых государственных и коммерческих проектах».
CNews.ru
«Гигант» усиливает позиции на рынке кибербезопасности – получена двойная лицензия ФСТЭК - CNews
ИТ-компания «Гигант — Компьютерные системы» получила право на комплексное оказание услуг и разработку...
США пообещали $10 млн за информацию о хакерах ФСБ, взломавших Cisco
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
5 сентября. / CYBER MEDIA /. Правительство США объявило вознаграждение в $10 млн за сведения, которые помогут задержать трёх сотрудников ФСБ, обвиняемых в масштабных кибератаках на критическую инфраструктуру. По данным Минюста, россияне взламывали сетевое оборудование Cisco, используемое энергетическими компаниями и операторами жизнеобеспечения.
Под удар попали более 500 предприятий в 135 странах, включая США. Эксперты отмечают, что атаки затрагивали электросети, трубопроводы и коммунальные сервисы. Хакеры внедряли кастомное вредоносное ПО и бэкдоры в маршрутизаторы и коммутаторы Cisco, что позволяло перехватывать и контролировать сетевой трафик.
В розыск объявлены Марат Валерьевич Тюков, Михаил Михайлович Гаврилов и Павел Александрович Акулов. ФБР опубликовало их фотографии и запустило программу Rewards for Justice. Сообщить информацию можно анонимно через Tor; информаторам обещают защиту и возможную релокацию.
В киберсообществе решение США назвали сигналом о том, что атаки на инфраструктуру воспринимаются как прямая угроза национальной безопасности. На фоне инцидента ведущие IT-компании усилили меры защиты и ускорили выпуск патчей для Cisco-оборудования.
Шпион на основе Stealerium — находка для бытового шантажиста
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
5 сентября. / ANTI-MALWARE /. В этом году в Proofpoint зафиксировали рост активности распространителей троянов на базе opensource-проекта Stealerium. Все замеченные варианты PoC-стилера проявляли особое рвение при просмотре жертвой контента 18+.
Исходники Stealerium были выложены на GitHub «в образовательных целях» в 2022 году и доступен до сих пор. Как и следовало ожидать, их стали брать за основу злоумышленники — появление Phantom Stealer тому живой пример.
Создаваемые ими модификации отличаются от других стилеров повышенным интересом к «клубничке». Кроме кражи системных данных, файлов, сохраненных в приложениях учеток, куки и финансовой информации, они умеют фиксировать заходы жертвы на порносайты, делать скриншоты и включать веб-камеру при просмотре такого контента.
Открытие целевых страниц в браузере Stealerium-подобный вредонос отслеживает по заданным словам — «porn», «sex» и т. п. Захваченные изображения отсылаются оператору по электронной почте, через Telegram или Discord и впоследствии могут быть использованы для шантажа.
Имейл-рассылки, нацеленные на распространение Stealerium-зловредов, проводятся различным тиражом, от пары сотен до десятков тысяч сообщений. Поддельные письма с аттачем имитируют послания разных организаций — благотворительных фондов, банков, судов, турагентств и даже ЗАГСов.
Прикрепленные файлы отличаются разнообразием форматов: RAR, JS, VBS, ISO, IMG, ACE. По данным экспертов, подобные вредоносные фальшивки были направлены в сотни учреждений из разных стран.
9,9 из 10 и финансовый шпионаж в SAP. Корпоративная ERP-система стала мишенью для хакеров по всему миру
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
8 сентября. / Securitylab.ru /. Уязвимость позволяет злоумышленникам с минимальными правами полностью захватить систему.
В SAP S/4HANA выявлена критическая уязвимость CVE-2025-42957 , которая получила оценку 9,9 по шкале CVSS. Ошибка позволяет пользователю с минимальными правами выполнить внедрение кода и фактически полностью захватить систему. Обнаружила её команда SecurityBridge Threat Research Labs, которая также подтвердила факты эксплуатации в реальных атаках.
Уязвимость затрагивает все версии S/4HANA, включая Private Cloud и On-Premise. Для успешного взлома злоумышленнику достаточно доступа к учётной записи с низкими привилегиями, после чего он получает возможность выполнять команды на уровне операционной системы, создавать суперпользователей SAP с полномочиями SAP_ALL, изменять данные в базе и бизнес-процессы, а также похищать хэши паролей. Таким образом, атака может привести к краже данных, финансовым махинациям, шпионажу или установке вымогательского ПО.
SAP выпустила исправления 12 августа 2025 года в рамках ежемесячного «Patch Day». Для устранения уязвимости необходимо установить обновления из заметки № 3627998, а при использовании SLT/DMIS также из № 3633838. Эксперты настоятельно рекомендуют обновиться немедленно, поскольку открытость ABAP-кода облегчает злоумышленникам создание эксплойтов на основе опубликованного патча.
Администраторам SAP советуют не только установить обновления, но и ограничить использование RFC с помощью SAP UCON, пересмотреть доступ к объекту авторизации S_DMIS, следить за подозрительными вызовами RFC и появлением новых администраторов, а также убедиться в наличии сегментации сети, резервных копий и специализированного мониторинга.
SecurityBridge отмечает, что уже фиксируются попытки эксплуатации уязвимости, поэтому оставшиеся без патча системы находятся под реальной угрозой.
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
8 сентября. / CYBER MEDIA /. Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома. В результате были скомпрометированы 2180 аккаунтов GitHub и более 7200 репозиториев.
Атака проходила в несколько этапов. Сначала хакеры встроили вредоносный код в модифицированные пакеты Nx, которые автоматически устанавливали у разработчиков бэкдоры. Затем происходил сбор токенов доступа и секретов репозиториев, а финальным шагом стало распространение украденных данных через сторонние каналы.
По оценке Wiz, масштабы утечки могут оказаться ещё больше: скомпрометированные токены дают злоумышленникам возможность выполнять произвольные операции в экосистеме GitHub, включая кражу исходного кода и заражение других проектов. Особую опасность атака представляет для компаний, которые используют Nx в корпоративной разработке.
Эксперты рекомендуют немедленно отозвать все скомпрометированные токены, обновить Nx до последних версий и тщательно проверить журналы доступа к репозиториям. Инцидент с s1ngularity стал одним из самых показательных примеров того, как вредоносное ПО на базе ИИ способно массово автоматизировать взломы и усиливать риски для всей экосистемы open source.
securitymedia.org
Атака s1ngularity взломала 2180 GitHub-аккаунтов и раскрыла тысячи секретов
Исследователи компании Wiz сообщили о масштабной атаке на цепочку поставок NPM через инструмент Nx, получившей название «s1ngularity». По их данным, злоумышленники использовали вредоносное ПО с элементами искусственного интеллекта для автоматизации взлома.…
Думали, WAF вас защищает? Исследователи обошли 17 файрволов с помощью одного трюка с запятой
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
9 сентября. / Securitylab /. Исследователи Ethiack в ходе автономного тестирования защиты нашли способ обойти даже самые строгие Web Application Firewall при помощи необычного приёма — внедрения JavaScript через загрязнение параметров HTTP. В качестве объекта проверки использовалось ASP.NET-приложение с максимально жёсткими правилами фильтрации. Любые попытки внедрить стандартные XSS-конструкции блокировались, однако благодаря особенностям обработки дублирующихся параметров исследователям удалось собрать рабочую полезную нагрузку, которую межсетевой экран даже не заметил.
Ключ к обходу заключался в том, что метод ASP.NET HttpUtility.ParseQueryString() объединяет одинаковые параметры через запятую. Так, строка запроса вида q=1'&q=alert(1)&q='2 превращается в последовательность 1',alert(1),'2. При вставке в JavaScript это преобразуется в jsuserInput = '1',alert(1),'2; — то есть код становится синтаксически корректным, а оператор запятой выполняет вызов alert. Подобное поведение позволяет разнести вредоносные фрагменты на несколько параметров и уйти от классических сигнатурных проверок. В то время как ASP.NET и классический ASP объединяют значения, другие платформы вроде Golang или Python Zope работают с массивами, поэтому методика применима не везде.
Для проверки устойчивости были протестированы семнадцать конфигураций разных производителей: AWS WAF, Google Cloud Armor, Azure WAF, open-appsec, Cloudflare, Akamai, F5, FortiWeb и NGINX App Protect. Применялось четыре типа нагрузок — от простого внедрения вида q=';alert(1), до более сложных с разделителями и эвристическими обходами. Полностью блокировать все варианты смогли только Google Cloud Armor с ModSecurity, Azure WAF Default Rule Set 2.1 и все уровни чувствительности open-appsec. В то время как AWS WAF, F5 и решения Cyber Security Cloud проваливались во всех сценариях. Общий процент обходов вырос с 17,6% для базового инъекционного запроса до 70,6% для продвинутого загрязнения параметров.
Автономный хакбот, использованный исследователями, сумел найти и обход тех решений, что выдержали ручные тесты. В Azure WAF удалось использовать несогласованную обработку экранированных символов через последовательность test\';alert(1);//. В open-appsec инструмент за полминуты подобрал рабочий вариант даже для «критического» профиля, варьируя вызовы от alert до confirm и переходя к более хитрым конструкциям вроде q='+new Function('a'+'lert(1)')()+'. Для Google Cloud Armor обойти фильтрацию не получилось, однако анализ показал, что серверная логика чувствительна к регистру параметров, что может дать лазейки в будущем.
Результаты подчёркивают системные ограничения сигнатурных и даже эвристических WAF. Полноценное выявление атак, распределённых между параметрами, потребовало бы глубокого понимания логики конкретного фреймворка и анализа в контексте JavaScript , что трудно реализовать на прокси-уровне. Попытки внедрить машинное обучение также не гарантируют устойчивости, поскольку адаптивные боты быстро подстраиваются и находят безопасные для себя шаблоны.
В итоге исследователи напоминают, что межсетевые экраны не могут быть единственным барьером — необходима валидация ввода, корректное экранирование и надёжные практики разработки. Сочетание творческого подхода человека и автоматизированных средств показывает, насколько быстро могут раскрываться даже нестандартные уязвимости, и почему непрерывная проверка остаётся обязательной.
Научно-практический семинар 4 сентября 2025 г.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
RSS-лента новостей ФСТЭК России
Управлением ФСТЭК России по Сибирскому федеральному округу 4 сентября 2025 г. совместно с ТГУ, Сибирским таможенным управлением и экспертными организациями был проведен научно-практический семинар по вопросам экспортного контроля.
В работе указанного мероприятия приняли участие в очном и дистанционном формате более 120 представителей организаций-экспортеров Томской области, вузов и научных учреждений ТНЦ СО РАН, а также организации, аккредитовавшие свои ВПЭК (АО "Швабе", г. Москва, ТПУ, г. Томск, УрФУ, г. Екатеринбург).
На семинаре было уделено внимание проблемным вопросам, связанным с открытым опубликованием, применением специальных экономических и мер экспортного контроля, а также типовым ошибкам, допускаемым в ходе реализации внешнеэкономических сделок, осуществления международного научного сотрудничества, а также образовательной деятельности.
«Диасофт» получил бессрочную лицензию ФСТЭК России для проведения аттестации объектов информатизации
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
9 сентября. / C.NEWS /. Компания «Диасофт» объявляет о расширении лицензии, выданной Федеральной службой по техническому и экспортному контролю (ФСТЭК России) решению «Государственные информационные системы». Компания получила право проводить полный цикл аттестационных испытаний средств и систем информатизации, помещений и защищаемых зон в соответствии с требованиями регулятора. Об этом CNews сообщили представители компании «Диасофт».
Лицензия предоставлена бессрочно.
Теперь «Диасофт» может не только проектировать и внедрять системы защиты, но и проводить их официальное аттестационное тестирование с последующим оформлением пакета необходимой разрешительной документации.
Получение расширенной лицензии позволяет «Диасофт» предлагать государственным учреждениям, органам власти и организациям оборонно-промышленного комплекса (ОПК) услуги полного цикла аттестации ГИС: от первичного обследования до получения положительного заключения о соответствии объекта защиты требованиям регулятора. Заказчикам больше не требуется привлекать сторонние организации для проведения аттестации, весь процесс – от проектирования до ввода в эксплуатацию – обеспечивает одна компания. Все работы проводятся в строгом соответствии с требованиями ФСТЭК России, что гарантирует успешное прохождение любых проверок.
«Расширение лицензии ФСТЭК – это стратегический шаг, который укрепляет наши позиции на рынке безопасности критической информационной инфраструктуры (КИИ) и государственных информационных систем (ГИС). Теперь мы можем быть единым ответственным исполнителем для наших заказчиков из государственного сектора, предлагая им законченное, юридически значимое решение. Это значительно повышает эффективность сотрудничества и снижает риски для всех участников процесса», – отметил Игорь Кетов, руководитель продуктового направления «Федеральные государственные системы» компании «Диасофт».
«Диасофт» обладает всеми необходимыми ресурсами и экспертизой для выполнения работ по аттестации объектов информатизации, включая штат сертифицированных специалистов и современное диагностическое оборудование.
Форум XSS оказался под контролем украинца и спецслужб Киева
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
9 сентября. / CYBER MEDIA /. Расследование при участии Европола и французской киберполиции BL2C показало, что администратором крупнейшего русскоязычного хакерского форума XSS был гражданин Украины Антон Медведовский, известный в даркнете под ником Toha. По данным «Известий», он более 20 лет управлял подпольной инфраструктурой и мог заработать свыше €7 млн на комиссиях с теневых сделок.
В июле 2025 года Медведовский был задержан в Киеве в рамках международной спецоперации. После этого СБУ обеспечила доступ к его ресурсам, а на главной странице XSS появилась заглушка о конфискации. Одновременно Toha исчез из всех каналов связи, что вызвало подозрения у участников сообщества.
Уже на следующий день пользователи форума заметили массовые сбои: блокировку депозитов, удаление аккаунтов и смену модераторов. Многие предположили, что новая версия XSS превратилась в honeypot — платформу для сбора информации о киберпреступниках, находящихся под прикрытием.
Эксперты отмечают, что арест администратора подрывает представление о XSS как «русском» форуме. Участие украинских и западных спецслужб открывает возможность использования ресурса для деанонимизации десятков тысяч пользователей и анализа теневых сетей. Потенциальный перехват инфраструктуры XSS может привести к масштабным утечкам данных о его аудитории.
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
10 сентября. / SecurityLab /. В сентябрьский Patch Tuesday Microsoft выпустила обширный пакет обновлений, закрыв 81 уязвимость в своих продуктах и сервисах. Среди них — 9 критических, 2 из которых уже раскрыты как zero-day. Именно они привлекли наибольшее внимание специалистов по безопасности, так как эксплуатировались или были подробно описаны до выхода исправлений.
Первая уязвимость, получившая идентификатор CVE-2025-55234 , затрагивает сервер SMB. Она позволяет злоумышленникам проводить атаки Relay Attack и добиваться повышения привилегий. Microsoft отмечает, что в самой системе уже есть механизмы защиты — SMB Server Signing и Extended Protection for Authentication, однако их включение может вызвать проблемы совместимости со старыми устройствами. Поэтому администраторы должны включать аудит и тщательно проверять конфигурации перед переходом на жёсткие политики.
Вторая проблема — CVE-2024-21907 — связана с библиотекой Newtonsoft.Json, используемой в SQL Server. При обработке специально подготовленных данных через метод JsonConvert.DeserializeObject возникает переполнение стека, что может привести к отказу в обслуживании. Ошибка была раскрыта ещё в 2024 году, но только сейчас вошла в официальный пакет исправлений Microsoft.
Помимо этих двух, в сентябрьском релизе устранены десятки других критических и важных багов. В Microsoft Office исправлены многочисленные уязвимости в Excel, PowerPoint, Visio и SharePoint, которые позволяли запускать произвольный код при открытии вредоносных документов. Для Windows закрыты дыры в графическом компоненте, подсистеме Hyper-V и в NTLM — последняя представляла особую опасность, так как могла использоваться для компрометации учётных данных в доменной инфраструктуре. Исправлены также ошибки в BitLocker и LSASS, позволявшие повышать привилегии, и баги в службах Defender Firewall, Bluetooth и Connected Devices.
В числе прочего стоит выделить уязвимость в Windows NTFS, где атака могла привести к удалённому выполнению кода, а также критические баги в драйверах DirectX и компонентах Win32K. Эти ошибки потенциально позволяют обойти защитные механизмы ядра и выполнять вредоносные инструкции на уровне системы.
Отдельно Microsoft подчёркивает, что в рамках этого цикла обновлений был расширен функционал аудита SMB-клиентов. Это нужно для того, чтобы администраторы могли заранее оценить совместимость при переходе на новые политики безопасности, которые в будущем станут обязательными.
Специалисты BleepingComputer подготовили полное описание каждой уязвимости и затрагиваемых систем на ЭТОЙ странице.
SecurityLab.ru
Сентябрьский Patch Tuesday: 81 причина обновиться немедленно, и две из них уже используются для атак
Не только Microsoft в огне, весь IT-мир встал на защиту.
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
10 сентября. / C.NEWS /. Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения, и Tera, дистрибьютор ИТ-оборудования для бизнеса, объявляют о заключении партнерского соглашения. Основным направлением сотрудничества станет коммерческое продвижение продуктов «АЛМИ Партнер»: операционной системы «АльтерОС», офисного пакета «АльтерОфис», а также платформ для совместной работы «АльтерСофт ВебПоинт Сервер» и «АльтерСофт Проджект Сервер». Об этом CNews сообщили представители Tera.
В состав версии «АльтерОфис», сертифицированной ФСТЭК, входят: текстовый редактор «АТекст»; табличный редактор «АТаблица»; редактор презентаций «АКонцепт»; редактор векторной графики «АГраф».
Продукт полностью совместим с основными сертифицированными российскими ОС, включая «АльтерОС», Astra Linux Special Edition, «Альт 8 СП» и «Ред ОС».
«Для Tera партнерство с "АЛМИ Партнер" — это стратегически важный шаг в расширении портфолио программных решений. Сертифицированный пакет "АльтерОфис" с четвертым уровнем доверия ФСТЭК России позволяет нашим партнерам предлагать клиентам надежное решение для задач импортозамещения, соответствующее строгим требованиям информационной безопасности. Мы видим большой потенциал в совместной работе и готовы обеспечить комплексную техническую поддержку и развитие продукта для наших общих клиентов», — сказала Юлиана Павлова, старший продакт-менеджер департамента программного обеспечения Tera.
«Партнерство с компанией Tera открывает новые горизонты для продвижения наших продуктов и позволяет расширить географию присутствия "АЛМИ Партнер". Для нас крайне важно выстраивать сильные партнёрские отношения, которые обеспечивают нашим клиентам доступ к решениям отечественного производства с высоким уровнем сервиса и поддержки. Совместно с Tera мы сможем ускорить внедрение наших программных продуктов в крупнейших компаниях и государственных организациях по всей стране, гарантируя качество и своевременность поставок», — сказала Светлана Спирина, коммерческий директор компании «АЛМИ Партнер».
В рамках стратегии развития «АЛМИ Партнер» нацелена на создание комплексной экосистемы решений, которая объединит операционную систему, офисный пакет и платформы для совместной работы. Компания планирует не только расширять функциональные возможности этих продуктов, но и обеспечивать максимальную совместимость с различными ИТ-инфраструктурами российских компаний и госструктур.
Особое внимание уделяется удобству пользователей, безопасности и технологическому лидерству с учетом растущих требований цифровой трансформации. Параллельно компания инвестирует в развитие партнерской сети и образовательных программ, чтобы обеспечить качественную поддержку решений и сделать переход на отечественное ПО максимально простым и эффективным для заказчиков.
CNews.ru
Импортозамещение АРМ: Tera стала дистрибьютором офисного пакета «АльтерОфис» с сертификатом ФСТЭК - CNews
Компания «АЛМИ Партнер», российский производитель общесистемного и прикладного программного обеспечения...
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
11 сентября. / ANTI - MALWARE /. В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90 тыс. рублей.
Как оказалось, похититель в поисках легких денег нашел в интернете видео, показывающее получение доступа к игровым аккаунтам с помощью фишинговых сайтов. Недолго думая, он применил приобретенные знания на практике.
Обнаружив в шутере хорошо упакованного участника, молодой человек завязал знакомство и предложил объединиться для совместной игры и с этой целью обговорить детали взаимодействия в Discord (в России заблокирован за несоблюдение требований законодательства ).
Когда намеченная жертва согласилась и перешла по предоставленной ссылке в закрытый канал, у нее появились новые «друзья». В скором времени они предложили «сыграть посерьезнее» на Faceit, присоединившись к конкретному сообществу.
В фальшивом клубе была закреплена ссылка для авторизации, которая вела на поддельную страницу Faceit с предупреждением о переходе на якобы новую версию платформы — 2.0. Когда легковерный геймер подтвердил согласие, его попросили зарегистрироваться из-под аккаунта Steam по QR-коду.
Последовав всем инструкциям, жертва обмана через несколько дней обнаружила пропажу виртуального имущества на общую сумму свыше 90 тыс. рублей. Как выяснилось, похититель его уже продал, а вырученные деньги потратил.
Уголовное дело возбуждено по факту совершения преступления, предусмотренного ч. 2 ст. 158 УК РФ (кража по сговору либо с причинением значительного ущерба, до пяти лет лишения свободы). У фигуранта взяли подписку о невыезде и проверяют его причастность к другим эпизодам подобного мошенничества.
Anti-Malware
Фишер украл у кировчанина виртуальные ценности CS:GO на 90 000 рублей
В Кирове открыли уголовное дело по факту кражи у местного жителя скинов оружия и экипировки CS:GO. Фигурант, тоже кировчанин, уже признал свою вину и возместил ущерб, который потерпевший оценил в 90
Т-Банк аттестовал биометрические сервисы на соответствие требованиям ФСТЭК
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
11 сентября. / РИА Новости /. Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора, хранения и иной обработки биометрических персональных данных в коммерческой биометрической системе, сообщает банк.
В набор биометрических сервисов Т-Банка входят биоэквайринг - технология бесконтактной оплаты покупок с помощью биометрии, доступ к сервисам банка в банкоматах с биометрической аутентификацией, система биометрического контроля доступа для прохода в офисы, выездной сбор данных для внесения в Единую биометрическую систему (ЕБС), а также биометрическая аутентификация в мобильном приложении (0+).
Как отметили в банке, биометрическая идентификация - один из самых безопасных и удобных способов подтверждения личности. Банк получает только уникальный цифровой код — биометрический вектор, а сами биометрические данные хранятся в ЕБС и не покидают периметр государственной системы. Это исключает возможность их использования третьими лицами для доступа к счетам и вкладам.
РИА Новости
Т-Банк получил комплексную аттестацию на свои биометрические сервисы
Биометрические сервисы Т-Банка получили аттестаты соответствия требованиям безопасности информации ФСТЭК России, подтверждающие безопасность процессов сбора,... РИА Новости, 11.09.2025
В Москве пройдет BIS Summit 2025
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
12 сентября. /ТАСС/. В Москве 18 сентября состоится одна из ключевых конференций по информационной безопасности BIS Summit 2025 (18+).
Свое участие подтвердили представители Банка России, Госдумы, Минпромторга России, Минцифры России, Минэнерго России, Московской биржи, НКЦКИ, Роскомнадзора и ФСТЭК России. Тема события - "Технологический суверенитет: новая эра ответственности".
Конференция откроется пленарной сессией "Диалог с регулятором", модератором которой выступит президент ГК InfoWatch и председатель правления АРПП "Отечественный софт" Наталья Касперская. Участники диалога дадут оценку новациям в области оборота персональных данных и требований к безопасности критической информационной инфраструктуры, а также обсудят, насколько государство должно вовлекаться в регулирование рынка ИТ-платформ и ИБ-решений.
"В России IT-рынок развивался снизу, то есть предприниматели создавали компании, далее эти компании занимались продажей чего-либо или создавали свои собственные продукты, в результате чего сформировался практически нерегулируемый рынок. Примерно с 2015 года к IT-компаниям и продуктам стали применять все больше требований, и, с одной стороны, это правильно, но при этом снижается конкуренция, так как появляется большое количество новых вводных. Возникает вопрос, как несмотря на рост регуляторики сохранить здоровую конкуренцию и здоровый баланс на рынке, чтобы продукты оставались качественными и у заказчиков был выбор. На саммите вместе с регуляторами и представителями ИТ- и ИБ- компаний мы обсудим, где должны пролегать эти границы, как пройти между Сциллой и Харибдой, чтобы избежать крайностей и вырулить на оптимальную траекторию развития отечественного IT-рынка", - поделилась Наталья Касперская.
TACC
В Москве пройдет BIS Summit 2025
Тема мероприятия - "Технологический суверенитет: новая эра ответственности"
Secure Boot пал в четвёртый раз. HybridPetya обходит главную защиту современных ПК
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
13 сентября. / SecurityLab /. Исследователи из компании ESET сообщили о появлении новой вымогательской программы, получившей название HybridPetya. Она сочетает приёмы небезызвестных Petya и NotPetya, обладая при этом возможностью обходить механизм Secure Boot в системах с UEFI. Для этого злоумышленники задействовали уязвимость CVE-2024-7344 , устранённую в январе 2025 года, которая позволяла запускать поддельное приложение EFI без проверки целостности.
Образцы вредоносного кода впервые появились на VirusTotal в феврале 2025 года. В отличие от прежних модификаций Petya, новая версия способна внедрять свой EFI-компонент в раздел EFI System Partition и использовать его для шифрования главной таблицы файлов (Master File Table, MFT), где хранится метаинформация обо всех данных на разделах NTFS. При этом HybridPetya отображает пользователю поддельное сообщение о проверке диска, скрывая процесс блокировки содержимого.
Архитектура вредоноса построена из двух основных частей — установщика и буткита. Последний отвечает за чтение конфигурации и контроль статуса шифрования. В системе используется флаг с тремя значениями: «0» — готово к шифрованию, «1» — диск уже зашифрован, «2» — выкуп внесён, начата процедура расшифровки. Если активирован первый режим, буткит с помощью алгоритма Salsa20 шифрует файл \EFI\Microsoft\Boot\verify и создаёт на EFI-разделе служебный файл counter, где ведётся учёт зашифрованных кластеров. Далее начинается блокировка всех NTFS-разделов.
Когда процесс завершён, пользователю показывается записка с требованием перевести 1000 долларов в биткоине на указанный кошелёк. С февраля по май 2025 года на этот адрес поступило всего около 183 долларов, сейчас он пуст.
После оплаты жертва получает ключ, который должен разблокировать файл verify и перевести флаг в значение «2». Для восстановления доступа буткит считывает файл counter, поочерёдно расшифровывает кластеры и возвращает из резервных копий оригинальные загрузчики bootx64.efi и bootmgfw.efi. По окончании процедуры предлагается перезагрузка Windows.
Особенность HybridPetya в том, что изменения загрузчиков, вносимые установщиком при внедрении, вызывают сбой и появление «синего экрана». Это гарантирует запуск вредоносного EFI-модуля при следующем старте устройства. В ряде вариантов используется эксплойт для CVE-2024-7344 в компоненте Howyar Reloader (reloader.efi). Этот бинарный файл, переименованный в bootmgfw.efi, при загрузке ищет на разделе cloak.dat, где хранится зашифрованный буткит, и загружает его, полностью игнорируя проверки целостности. Такой подход позволяет обходить защиту Secure Boot. Microsoft в январском обновлении отозвала уязвимую версию бинарника.
По данным ESET, заражений в реальной среде пока не зафиксировано, а найденные экземпляры могут представлять собой демонстрационный проект. Исследователи связывают появление HybridPetya с разработанным ранее прототипом UEFI-версии Petya, опубликованным независимым исследователем Александрой Донеч. Таким образом, новая находка может быть как реальной угрозой, так и экспериментом.
HybridPetya стал уже четвёртым публично известным примером загрузочного кода, умеющего обходить Secure Boot. До него подобные возможности демонстрировали BlackLotus (эксплуатация CVE-2022-21894 ), BootKitty (атака LogoFail ) и Hyper-V Backdoor PoC (эксплуатация CVE-2020-26200 ). В ESET подчёркивают, что подобные обходы становятся всё более распространёнными и интересными как для исследователей, так и для атакующих групп.
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
15 сентября. / SecurityLab /. Хакерская группа WhiteCobra развернула масштабную атаку против пользователей популярных редакторов кода VS Code, Cursor и Windsurf. Исследователи из компании Koi Security обнаружили 24 вредоносных расширения , размещённых в официальных репозиториях Visual Studio Marketplace и Open VSX. Несмотря на удаление части из них, злоумышленники продолжают загружать новые версии, поддерживая кампанию в активном состоянии.
Одним из пострадавших стал разработчик Ethereum Зак Коул, чей криптокошелёк оказался опустошён после установки дополнения contractshark.solidity-lang для редактора Cursor. Расширение выглядело вполне правдоподобно: у него был профессионально оформленный значок, подробное описание и десятки тысяч скачиваний.
Подобная маскировка позволила WhiteCobra привлечь внимание большого числа пользователей. При этом ранее та же группировка уже была замечена в июльском эпизоде кражи криптовалюты на сумму около полумиллиона долларов, когда они распространяли поддельное расширение для Cursor.
Атака эксплуатирует уязвимость самой экосистемы: единый формат пакетов VSIX используется сразу в нескольких редакторах, а проверка загружаемых дополнений остаётся минимальной. Это позволяет злоумышленникам быстро адаптировать и масштабировать кампанию.
Koi Security отмечает, что каждое из созданных расширений имитирует легальные проекты, копируя названия и описание. В списке выявленных фиктивных пакетов оказались ChainDevTools.solidity-pro, kilocode-ai.kilo-code, nomic-fdn.hardhat-solidity, juan-blanco.solidity, Ethereum.solidity-ethereum и многие другие. Их можно было встретить как в Open-VSX, так и в VS Code Marketplace.
Технически вредоносные дополнения устроены достаточно просто. Основной файл extension.js почти полностью повторяет шаблон «Hello World», но содержит скрытый вызов к другому скрипту — prompt.js. Он, в свою очередь, загружает полезную нагрузку с серверов Cloudflare Pages. Для Windows поставляется PowerShell-скрипт, запускающий Python-код и внедряющий шелл-код, после чего активируется LummaStealer — известный троян для кражи данных. Он нацелен на криптовалютные кошельки, браузерные расширения, сохранённые пароли и переписку в мессенджерах. На macOS используется бинарный файл Mach-O для ARM и Intel, загружающий другой, пока не классифицированный, вредонос .
В распоряжении специалистов оказался внутренний плейбук WhiteCobra, где подробно описаны финансовые цели кампаний, методы продвижения поддельных расширений и инструкции по развёртыванию инфраструктуры управления. Судя по этим данным, группировка действует организованно и может запускать новые волны атак всего за три часа после блокировки предыдущих. В документах фигурируют суммы от 10 тысяч до полумиллиона долларов, которые преступники планируют получить за одну серию операций.
Специалисты подчёркивают, что привычные ориентиры вроде количества скачиваний, положительных отзывов и рейтинга больше не являются надёжным индикатором безопасности. Эти показатели легко накручиваются, а поддельные проекты нередко копируют имена известных разработчиков или организаций. Поэтому рекомендуется внимательно проверять расширения перед установкой, обращать внимание на подозрительные совпадения в названиях и остерегаться проектов, которые за короткое время набрали десятки тысяч загрузок.
WhiteCobra наглядно продемонстрировала слабые места в экосистеме VS Code и совместимых редакторов, где отсутствие строгой модерации позволяет внедрять вредоносные дополнения, маскируя их под популярные инструменты. Для пользователей это означает необходимость дополнительной осторожности, ведь даже привычный рабочий инструмент может оказаться каналом для кражи криптовалюты и учётных данных.
SecurityLab.ru
Красивая иконка оказалась приманкой. Разработчик Ethereum потерял всё за один клик
Хакеры WhiteCobra превратили редакторы кода в орудие массового поражения.
SVG-картинки превратились в оружие - через них распространяют XWorm и Remcos RAT
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.
15 сентября. / CYBER MEDIA /. Исследователи в области кибербезопасности зафиксировали новые кампании по распространению вредоносного ПО, в которых впервые активно используются SVG-файлы как вектор атаки. Под видом изображений жертвам подсовывают заражённые файлы, внутри которых спрятан JavaScript-код. Он автоматически скачивает ZIP-архив с загрузчиком, запускающим цепочку инфицирования.
В основе схемы лежит BAT-скрипт с многоуровневой обфускацией. После запуска он активирует PowerShell-загрузчик, который выполняет внедрение вредоносного кода прямо в память, обходя антивирусы и системы обнаружения. Для закрепления троян копирует себя в автозагрузку Windows, обеспечивая повторный запуск при каждом включении компьютера.
Ключевой особенностью атак стало отключение системных механизмов безопасности Windows. Загрузчик модифицирует в памяти функции AMSI и ETW, отвечающие за сканирование и логирование, превращая их в «пустышки». После этого он расшифровывает скрытые в BAT-файле .NET-модули и запускает основные полезные нагрузки — XWorm и Remcos RAT.
Оба семейства RAT обладают широким спектром функций: от кейлоггинга и кражи файлов до удалённого управления системой и снятия скриншотов. В сочетании с нестандартной доставкой через SVG такие атаки становятся особенно опасными. Эксперты советуют компаниям усиливать проверку вложений любых форматов, отслеживать аномалии в работе PowerShell и внедрять решения, способные выявлять вредоносные процессы при выполнении в памяти.