Киберподполье взяло на вооружение уязвимость максимальной степени серьезности в плагине Modular DS для WordPress с более чем 40 000 установок, которая позволяет удаленно обходить аутентификацию и получать доступ к уязвимым сайтам с правами администратора.

Плагин позволяет владельцам, разработчикам или хостинг-провайдерам удаленно отслеживать сайты, выполнять обновления, управлять пользователями, получать доступ к информации о сервере, запускать задачи по техническому обслуживанию и входить в систему.

Уязвимость отслеживается как CVE-2026-23550 и затрагивает версии 2.5.1 и более ранние версии Modular DS, плагина управления, позволяющего фактически управлять несколькими сайтами WordPress из единого интерфейса.

По данным исследователей Patchstack, CVE-2026-23550 в настоящее время активно используется злоумышленниками, первые атаки были зафиксированы 13 января около 02:00 UTC.

Patchstack подтвердила наличие уязвимости и связалась с поставщиком на следующий день.

В свою очередь, Modular DS выпустила исправление в рамках версии 2.5.2 всего через несколько часов.

Уязвимость вызвана рядом недостатков в проектировании и реализации, включая принятие запросов как доверенных при активации режима «прямого запроса» без криптографической проверки их происхождения.

Такое поведение раскрывает доступ к нескольким конфиденциальным маршрутам и активирует механизм автоматического резервного входа в систему администратора.

Если в теле запроса не указан конкретный идентификатор пользователя, плагин получает данные существующего администратора или суперадминистратора, а затем автоматически входит в систему под этой учетной записью.

Как поясняет Patchstack, в методе getLogin(SiteRequest $modularRequest) контроллера src/app/Http/Controllers/AuthController.php предпринимается попытка прочитать идентификатор пользователя из тела запроса $modularRequest. 

Поскольку этот код может быть доступен неавторизованным пользователям из-за ранее описанной уязвимости, это позволяет быстро повысить привилегии.

В версии Modular DS 2.5.2 реализован патч, удаляющий сопоставление маршрутов на основе URL-адресов.

Теперь полностью внедрена проверенная логика фильтрации, добавлен маршрут 404 по умолчанию, распознаются только значения type для привязки маршрута, и включен безопасный режим обработки нераспознанных запросов.

Пользователям Modular DS рекомендуется как можно скорее обновиться до версии 2.5.2 или более поздней.

В бюллетене поставщик рекомендует проверять журналы доступа к серверу на наличие подозрительных запросов, а также администраторов на наличие несанкционированных дополнений.

Также следует перегенерировать все «соли» WordPress после обновления до последней версии.

Исследователи Лёвенского университета обнаружили критическую уязвимость в протоколе Google Fast Pair, которая позволяет злоумышленникам захватывать Bluetooth-аудиоустройства, отслеживать пользователей и прослушивать их разговоры.

CVE-2025-36911 получила название WhisperPair и затрагивает сотни миллионов беспроводных аудиоустройств от разных производителей, поддерживающих функцию Fast Pair от Google.

Она влияет независимо от операционной системы смартфона, поскольку уязвимость находится в самих аксессуарах, а это значит, что пользователи iPhone с уязвимыми устройствами Bluetooth находятся в равной степени под угрозой.

Исследователи, обнаружившие эту уязвимость, объясняют, что она вызвана некорректной реализацией протокола Fast Pair во многих флагманских аудиоаксессуарах.

В соответствии со спецификацией Fast Pair, что устройства Bluetooth должны игнорировать запросы на сопряжение, когда они не находятся в режиме сопряжения, многие производители не внедрили такую проверку.

Для запуска процедуры быстрого сопряжения устройство Seeker (телефон) отправляет сообщение устройству Provider (аксессуару), указывая на выполнение сопряжения.

И если устройство не находится в режиме сопряжения, оно должно игнорировать такие сообщения.

Однако на практике многие устройства не обеспечивают эту проверку, что позволяет неавторизованным устройствам начать процесс сопряжения без согласия или ведома пользователя.

После получения ответа от уязвимого устройства злоумышленник может завершить процедуру быстрого сопряжения, установив обычное Bluetooth-сопряжение.

Злоумышленники могут реализовать WhisperPair, применяя любое устройство с поддержкой Bluetooth (например, ноутбук, Raspberry Pi или даже телефон), чтобы принудительно подключиться к уязвимым аксессуарам от Google, Jabra, JBL, Logitech, Marshall, Nothing, OnePlus, Sony, Soundcore и Xiaomi на расстоянии до 14 метров за считанные секунды и без участия пользователя или физического доступа.

После сопряжения они могут получить полный контроль над аудиоустройством, что позволяет им воспроизводить звук на высокой громкости или подслушивать разговоры пользователей через микрофон устройства.

CVE-2025-36911 также позволяет злоумышленникам отслеживать местоположение своих жертв с помощью сети Google Find Hub, если устройство никогда не было сопряжено с устройством Android, добавив его в свою учетную запись Google.

Жертва может увидеть нежелательное уведомление о слежке через несколько часов или дней, но это уведомление будет отображать данные с её собственного устройства. Так что скорее всего проигнорируют предупреждение как ошибку.

Google выплатила исследователям максимально возможное вознаграждение в размере 15 000 долларов и совместно с производителями выпустила обновления безопасности в течение 150-дневного периода раскрытия информации.

Однако они отметили, что обновления безопасности, устраняющие эту уязвимость, могут быть еще недоступны для всех уязвимых устройств.

Единственная защита от злоумышленников, пытающихся взломать уязвимые Bluetooth-устройства с поддержкой Fast Pair, заключается в установке обновлений прошивки от производителей устройств.

При этом отключение Fast Pair на телефонах Android не предотвращает атаку, поскольку эту функцию нельзя отключить на самих устройствах.

Недавно упоминали про критическую CVE-2025-64155 в Fortinet FortiSIEM с общедоступным PoC, который в совокупности с техническим описанием выкатили исследователи Horizon3.

И на днях Defused сообщила, что злоумышленники приступили к активной целенаправленной эксплуатации уязвимости в реальных условиях, которую им удалось задетектить в своих ловушках.

Напомним, что CVE-2025-64155 - это комбинация двух проблем, позволяющих произвольно записывать данные с правами администратора и повышать привилегии до уровня root посредством специально сформированных TCP-запросов.

Horizon3 также выкатила IoC, которые могут помочь в выявлении уже скомпрометированных систем.

Администраторы также могут найти артефакты злонамеренных действий, проверив журналы сообщений phMonitor по адресу /opt/phoenix/log/phoenix.logs на наличие URL-адресов полезной нагрузки в строках, содержащих записи PHL_ERROR.

В свою очередь, Fortinet еще не обновила свой бюллетень по безопасности и не указала об использовании CVE-2025-64155 в атаках, и вообще пока никак не комментирует ситуацию.

Так что, будем следить.

Исследователи немецкого Центра информационной безопасности им. Гельмгольца CISPA выкатили технические подробности новой атаки на процессоры AMD, которая позволяет удаленно выполнять код внутри виртуальных машин.

Выявленная проблема, получившая название StackWarp, затрагивает процессоры AMD Zen 1–Zen 5 и позволяет злоумышленнику взламывать виртуальные машины CVM.

Исследователи описали StackWarp как программную архитектурную атаку, в основе которой используется сбой синхронизации в механизме стека, управляющем обновлениями указателей стека на стороне ЦП.

Реализация этой CVE-2025-29943 позволяет злонамеренному хосту виртуальной машины манипулировать указателем стека гостевой виртуальной машины для перехвата потоков управления и данных, что обеспечивает RCE и EoP внутри виртуальных машин.

Исследователи CISPA продемонстрировали влияние атаки в нескольких сценариях, включая восстановление закрытого ключа RSA-2048, обход аутентификации по паролю OpenSSH, обход запроса пароля Sudo и выполнение кода в режиме ядра в виртуальной машине.

Для проведения подобных атак обычно требуется привилегированный контроль над хост-сервером, на котором работают CVM.

Вместе с тем, атаки могут быть инициированы недобросовестными сотрудниками облачного провайдера или опытными злоумышленниками, получившими доступ к системам провайдера.

Правда, вероятность проведения подобной атаки в реальных условиях невелика, но StackWarp показывает, что алгоритм шифрования памяти виртуальных машин AMD SEV-SNP, предназначенный для защиты CVM даже от облачного провайдера, может быть взломан.

Конфиденциальные ключи и пароли могут быть украдены, злоумышленники могут выдавать себя за законных пользователей или получать постоянный контроль над системой, а изоляция между гостевыми виртуальными машинами и хостом или другими виртуальными машинами больше не может быть гарантирована.

AMD была проинформирована об уязвимости и опубликовала свое уведомление, присвоив этой уязвимости низкий уровень серьезности.

Исправления для затронутых серверных продуктов EPYC будут доступны с июля 2025 года. 

В свою очередь, исследователи разработали специализированный сайт для StackWarp, а также опубликовали отчет с полными техническими подробностями. Доступны также и видеоролики с демонстрацией атаки в действии.

Исследователям CyberArk удалось расчехлить достаточно популярный в киберподполье MaaS-сервис StealC благодаря обнаруженной XSS-уязвимости в веб-панели управления, которая позволила им отследить активные сессии и собрать техническую информацию о злоумышленниках.

StealC появился в начале 2023 года и активно продвигался в среде киберпреступников в даркнете.

Его популярность возросла благодаря поддерживаемым возможностям обхода защиты и масштабному функционалу для кражи данных.

С того времени разработчики StealC внесли множество улучшений в работу сервиса.

С выпуском версии 2.0 в апреле прошлого года авторы добавили поддержку Telegram-ботов для оповещений в режиме реального времени и обновленный конструктор, который позволял генерировать сборки StealC на основе шаблонов и пользовательских правил кражи данных.

Примерно в это же время случилась утечка исходного кода административной панели вредоносной ПО, открыв для исследователей возможности его анализа.

Собственно, это позволило CyberArk задетектить XSS-ошибку, которая позволяла им собрать данные в отношении браузеров и железа операторов StealC, отслеживать активные сессии, красть сессионные cookie и удаленно перехватывать сессии панели.

Используя эту уязвимость, исследователи смогли определить характеристики машины злоумышленника, включая общие индикаторы местоположения и сведения об аппаратном обеспечении компьютера.

В отчете CyberArk также описывает одну ситуацию, когда один из клиентов StealC, известный как YouTubeTA, захватил старые легитимные каналы на YouTube, предположительно используя скомпрометированные учетные данные, и разместил вредоносные ссылки.

В течение 2025 года киберпреступник проводил кампании по распространению вредоносного ПО, собрав данные более чем 5000 жертв, украв около 390 000 паролей и 30 миллионов файлов cookie (большинство из которых, правда, не содержат конфиденциальной информации).

Скриншоты с панели управления злоумышленника указывают на то, что большинство заражений происходило, когда жертвы натыкались на троянизированные версии Adobe Photoshop и Adobe After Effects.

Используя выявленную XSS, исследователи смогли установить, что злоумышленник использовал систему на базе Apple M3 с английским и русским языками, восточноевропейским часовым поясом и выходил в интернет через Украину.

При этом однажды, злоумышленник забыл авторизоваться в панеле StealC через VPN и раскрыл свой реальный IP, который принадлежал украинскому интернет-провайдеру TRK Cable TV.

CyberArk пока не раскрывает публично конкретные детали уязвимости XSS, дабы не позволить подсказки операторам StealC быстро выявить и устранить ошибку.

Кроме того, они полагают, что уже на этом этапе репетиционный удар по MaaS-сервису приведет к его широкой дискредитации и в конченом счете - закрытию, особенно на фоне кейса с Lumma Stealer.

Но, как обычно, будем посмотреть.

Исследователи сообщают об обнаружении еще одного набора из 17 вредоносных расширений для Chrome, Firefox и Edge, связанных с кампанией GhostPoster, которые в общей сложности были установлены 840 000 раз.

Впервые задетектить GhostPoster удалось Koi Security в декабре. Тогда расширения со скрытым вредоносным JavaScript-кодом в изображениях своих логотипов отслеживали активность браузера и внедряли бэкдор.

Он загружал сильно обфусцированную полезную нагрузку из внешнего ресурса, которая следила за активностью жертвы в интернете, перехватывая партнерские ссылки на крупных платформах электронной коммерции и внедряя невидимые iframe для мошенничества с рекламой и кликами.

В свою очередь, исследователи LayerX в новом отчете указывают на то, что кампания продолжается несмотря на раскрытие и включает следующие популярные расширения:

- Google Translate in Right Click (522 398 установок),
- Translate Selected Text with Google (159 645),
- Ads Block Ultimate (48 078),
- Floating Player – PiP Mode (40 824),
- Convert Everything (17 171),
- Youtube Download (11 458),
- One Key Translate (10 785),
- AdBlocker (10 155),
- Save Image to Pinterest on Right Click (6517),
- Instagram Downloader (3807) и другие.

По словам исследователей, кампания изначально охватывала Microsoft Edge, а затем уже распространилась на Firefox и Chrome.

Причем, согласно наблюдениям LayerX, некоторые из вышеупомянутых присутствуют в магазинах расширений для браузеров еще с 2020 года, что свидетельствует об их успешной и долгосрочной работе.

Несмотря на то, что возможности обхода защиты и алгоритм действий после активации в основном остались такими же, как и ранее описанные компанией Koi, LayerX выявила более продвинутый вариант в расширении Instagram Downloader.

Разница заключается в перемещении логики подготовки вредоносного кода в фоновый скрипт расширения и использовании в качестве скрытого контейнера для полезной нагрузки файла изображения, а не только значка.

Во время выполнения фоновый скрипт сканирует исходные байты изображения на наличие определенного разделителя (>>>>), извлекает и сохраняет скрытые данные в локальном хранилище расширения, а затем декодирует их в Base64 и выполняет как JavaScript.

Анализируя новейший вариант GhostPoster, LayerX констатирует: этот поэтапный процесс выполнения демонстрирует явную эволюцию в сторону более длительного периода бездействия, модульности и устойчивости как к статическим, так и к поведенческим механизмам обнаружения.

К настоящему времени вредоносные расширения были удалены из магазинов расширений Mozilla и Microsoft, Google тоже из пофиксила в Chrome Web Store.

Однако пользователи, успевшие установить их в свои браузеры до этого, по-прежнему подвергаются риску компрометации.

Gootloader претерпел серьезные изменения и теперь задействует некорректно сформированный ZIP-архив для обхода обнаружения путем объединения до 1000 архивов.

При этом вредоносная ПО, представляющая собой архивированный файл JScript, приводит к сбоям при попытке ее анализа многими инструментами.

По данным исследователей, вредоносный файл успешно распаковывается с помощью стандартной утилиты Windows, но инструменты, использующие 7-Zip и WinRAR, не справляются с этой задачей.

Для достижения этой цели злоумышленник, стоящий за вредоносным ПО, объединяет от 500 до 1000 ZIP-архивов, а также использует другие уловки, дабы затруднить их анализ с помощью инструментов обнаружения.

Загрузчик активен с 2020 года и взят на вооружение различными хакерскими группировками, включая банд вымогателей.

После семимесячного перерыва Gootloader вернулся к жизни в ноябре прошлого года, о чем рапортовали исследователи из Huntress Labs и DFIR Report.

Хотя в те времена существовали и некорректно сформированные ZIP-архивы, они содержали минимальные изменения, и при попытке извлечения данных возникали несоответствия в именах файлов.

По данным исследователей Expel, в руки которых попали самые свежие образцы, для дальнейшего усиления защиты от анализа операторы Gootloader внедрили гораздо более серьезные механизмы обфускации.

В частности:

- Объединение до тысячи ZIP-архивов с учетом того, что парсеры читают с конца файла.

- Использование усеченного конца центрального каталога (EOCD), в котором отсутствуют два обязательных байта, что приводит к сбою анализа большинством инструментов.

- Случайная инициализация в полях с номерами дисков, из-за чего инструменты ожидают наличия несуществующих многодисковых архивов.

- Добавление несоответствия метаданных между заголовками локальных файлов и записями центрального каталога.

- Создание для каждого загружаемого файла уникальных ZIP-архивов и JScript-файлов для ухода от обнаружения статических объектов.

- Доставка ZIP-архива в виде закодированного с помощью XOR объекта, который декодируется и многократно добавляется на стороне клиента до достижения желаемого размера, избегая обнаружения сетевыми средствами.

После запуска на хосте скрипт JScript вредоносной ПО активируется через Windows Script Host (WScript) из временного каталога и обеспечивает постоянное присутствие в системе, добавляя в папку автозагрузки файлы ярлыков (.LNK), указывающие на второй файл JScript.

Эта полезная нагрузка выполняется при первом запуске и при каждой загрузке системы, запуская CScript с короткими именами NTFS, после чего запускается PowerShell.

Безусловно, разработчикам Gootloader удалось реализовать множество методов искажения данных для уклонения обнаружения без нарушения функциональности.

Однако исследователям Expel удалось выявить структурные аномалии, которые позволяют эффективно детектить угрозу.

По результатам выкатили правила YARA, позволяющие последовательно идентифицировать ZIP-архивы.

Обнаружение основано на выявлении определенной комбинации характеристик заголовка ZIP-архива, сотен повторяющихся заголовков локальных файлов и записей EOCD.

Кроме того, для защиты от угрозы исследователи рекомендуют изменять приложение по умолчанию для открытия файлов JScript с Windows Script Host на Блокнот, предотвращая их выполнение.

Для уменьшения поверхности атаки, Expel также советуют блокировать выполнение загруженного контента с помощью wnoscript.exe и cnoscript.exe, если файлы JScript не требуются.

Исследователи Huntress раскрыли новый вариант атаки ClickFix, в котором задействуется вредоносное расширение для Chrome, отображающее предупреждение о безопасности для побуждения жертв выполнить нежелательные команды и установить таким образом вредоносного ПО.

Атака получила название CrashFix и начинается с расширения для браузера NexShield, которое имитирует легитимный блокировщик рекламы uBlock Origin Lite.

Расширение отображает фейковые предупреждение системы безопасности, в котором жертве предлагается исправить якобы обнаруженные проблемы, открыв диалоговое окно «Выполнить» в Windows и вставив содержимое из буфера обмена.

Как и в классических атаках ClickFix, NexShield незаметно копирует вредоносные команды PowerShell в буфер обмена, маскируясь под команду восстановления, предназначенную для заражения системы жертвы вирусом ModeloRAT.

Учитывая ориентированность на хосты, подключенные к домену, злоумышленник, стоящий за этой кампанией, получивший название KongTuke и действующий как минимум с начала 2025 года, по всей видимости, нацелен на корпоративную среду.

Как объясняет Huntress, основная вредоносная функция NexShield заключается в атаке типа DoS на браузер жертвы, что создает предпосылки для применения метода социальной инженерии CrashFix.

Расширение выполняет функцию, которая пытается выполнить 1 миллиард итераций, создавая соединение с портом chrome.runtime на каждой итерации. После завершения итераций процесс начинается заново, в бесконечном цикле.

Это приводит к исчерпанию системных ресурсов, зависанию и сбою в работе браузера. При перезапуске отображается ложное предупреждение системы безопасности, запускающее атаку CrashFix.

Дабы не вызывать подозрений у пользователей, NexShield устанавливает таймер, согласно которому вредоносная активность запускается через 60 минут после установки.

DoS-атака начинается через 10 минут и выполняется каждые 10 минут, но только в отношении пользователей, для которых расширение отправило идентификатор пользователя на сервер С2.

Вредоносная команда, которую запускают жертвы при атаке CrashFix, приводит к выполнению легитимной утилиты Windows Finger.exe, которая способна получать информацию о пользователях на удаленных системах.

Она также извлекает дополнительную полезную нагрузку, которая загружает и выполняет вредоносный код с удаленного сервера, устанавливая полнофункциональный троян удаленного доступа ModeloRAT на основе Python в системы, подключенные к домену.

RAT выполняет разведку системы, обеспечивает постоянное присутствие в сети и поддерживает выполнение команд. Он также включает в себя адаптивную передачу сигналов С2, обфускацию, двухуровневое шифрование и возможности защиты от анализа.

По данным Huntress, оператор вредоносного ПО, по всей видимости, сосредоточен на взломе корпоративных сетей для получения доступа к Active Directory, внутренним ресурсам и конфиденциальным данным.

ModeloRAT не распространяется среди домашних пользователей (механизм заражения хостов, не входящих в домен, в CrashFix попросту не реализован).

Выдавая себя за доверенный проект с открытым исходным кодом (uBlock Origin Lite), намеренно вызывая сбои в работе браузера пользователя, а затем предлагая липовое решение, злоумышленники создали самоподдерживающийся цикл заражения, который фактически эксплуатирует раздражение пользователей.

В целом, кампания KongTuke CrashFix демонстрирует эволюцию киберподпольем методов социнженерии.

Анонсирована новая мощная атака по побочным каналам MEMORY DISORDER, которая вызывать утечки информации из современных процессоров и видеокарт Intel, Apple и AMD.

В основе распространенные микроархитектурные особенности, в частности, перестановка операций в памяти, которые могут быть использованы в качестве бесвременного сигнала между процессами.

Эти перестановки являются функцией оптимизации в современных процессорах, где операции с памятью выполняются вне порядка для повышения производительности, что являются частью аппаратных моделей согласованности памяти (MCM) большинства современных ЦП и ГП.

Используя перестановки памяти, исследователи продемонстрировали, что один процесс может определять активность другого, даже за пределами виртуальных машин в таких средах, как KVM.

Это достигается с помощью небольших параллельных программ, называемых «лакмусовыми тестами», которые отслеживают подсистему памяти на предмет признаков перестановки, вызванной одновременной активностью в других частях системы.

К числу затронутых процессоров относятся процессоры самых разных архитектур, включая Apple M1 и M3, Intel i7 (x86), Arm A78, NVIDIA RTX 4070 и AMD Radeon RX 7900 XT.

Несмотря на то, что архитектура графических процессоров AMD не позволяет параллельно запускать ядра из разных процессов, исследователи обнаружили, что сигналы, подобные DISORDER, всё же можно наблюдать из-за сохраняющихся эффектов памяти при выполнении ядер.

AMD подтвердила результаты исследования в своем бюллетене, однако не присвоила проблеме рейтинг, назвав его информационным, тем не менее выпустив новые рекомендации по смягчению последствий.

В частности, AMD представила дополнительный режим работы (обозначенный как AMD-SB-6010), который способен ограничивать одновременное выполнение процессов на графических процессорах и обеспечивать очистку состояния регистров графического процессора между процессами.

Он отключен по умолчанию и должен быть активирован вручную системными администраторами.

AMD также подтверждает общие рекомендации по безопасной разработке, советуя разработчикам использовать алгоритмы с постоянным временем выполнения и избегать доступа к памяти или потоков управления, зависящих от секретной информации для снижения рисков, связанных с побочными каналами.

Как отмечают исследователи, последствия применения техники MEMORY DISORDER значительны для облачных сред, использующих виртуализированные рабочие нагрузки на общем оборудовании, сервисов машинного обучения, работающих на графических процессорах, и многопользовательских серверов, полагающихся на аппаратную изоляцию.

В статье четко показано, что даже при минимальных привилегиях, двух потоках и общей памяти злоумышленник может допустить утечку информации.

Например, на графическом процессоре Apple M3 исследователи достигли 95% точности скрытой связи при скорости 16 бит в секунду.

Более совершенная настройка на процессорах x86 позволила увеличить пропускную способность почти до 30 000 бит в секунду.

Эксперименты по идентификации моделей на основе анализа фингерпринтов также оказались успешными.

Исследователи обучили классификаторы различать модели глубоких нейронных сетей (например, ResNet50, MobileNetV3, AlexNet) на основе данных об изменении порядка хранения информации в памяти.

Кроме того, продемонстрировали, что запуск Google Chrome можно обнаружить с помощью этого метода на чипе Apple M1.

На данный момент ни Intel, ни Apple не отразили своих выводов по части MEMORY DISORDER в своих бюллетенях по безопасности, при том, что в отчете указана подтвержденная утечка данных на их платформах.

Глобальная технологическая сегментация приобретает новые контуры и ускоренную динамику.

Помимо ограничений по типу заявленного запрета ЕС на использование китайского оборудования (прежде всего, Huawei и ZTE) в телекоммуникационных сетях, системах энергетики и решениях безопасности, наметился раскол в сфере кибервзаимодействия спецслужб.

В частности, немецкие законодатели приступили к работе над новым законом, который предоставит разведывательному ведомству страны новые более широкие полномочия в области кибершпионажа.

Основной нарратив - искоренить зависимость Федеральной разведслужбы Германии (BND) от АНБ США (NSA) по вопросам получения информации об угрозах и привести ее функционал в соответствие с возможностями других европейских стран, таких как Франция, Италия, Нидерланды и Великобритания.

Согласно проекту нового закона, BND получит право перехватывать интернет-коммуникации целиком, не ограничиваясь метаданными, как это было ранее. Агентству также будет разрешено хранить, индексировать и обрабатывать данные до шести месяцев.

Закон также расширит полномочия BND по проведению хакерских атак, позволяя взламывать иностранные интернет-провайдеры и получать информацию об объектах заинтересованности, если интересующая компания откажется предоставлять запрашиваемые данные.

Согласно сообщениям немецких СМИ, это положение будет применяться, в том числе и к крупным американским технологическим компаниям и операторам инфраструктуры, включая Google, Twitter и экстремистскую Meta, которые не всегда охотно реагировали на запросы ведомства.

Кроме того, BND получит право вести слежку за любым иностранцем, находящимся в Германии. Это прежде всего, относится к журналистам зарубежных государственных СМИ, которые, по мнению немецких законодателей, действуют как «агенты» иностранного государства.

Наконец, сотрудникам BND также будет разрешено беспрепятственно проникать в жилые помещения для установки своего шпионского софта на устройство цели.

Как сообщается, проект нового закона насчитывает 139 страниц и почти вдвое масштабирует оперативные возможности спецслужбы по сравнению с предыдущими редакциями.

Таким образом, можно констатировать, что дальнейшая более глубокая сегментация киберпространства, по всей видимости, будет сопровождаться возрастанием обоюдных угроз наступательных кибервоздействий для фрагментируемых кластеров. В общем, будем посмотреть.

Исследователи Resecurity сообщают о новом штамме вредоносного ПО под названием PDFSider, который использовался для доставки вредоносных программ в системы Windows неназванную компанию из списка Fortune 100 в финансовом секторе.

Полагаясь на методы социальной инженерии для получения удаленного доступа, злоумышленники выдавали себя за сотрудников техподдержки и обманом заставили сотрудников компании установить инструмент Microsoft Quick Assist.

Задетектить PDFSider исследователи Resecurity смогли в ходе реагирования на инцидент, описав его как скрытый бэкдор для долгосрочного доступа, и отмечая, что он демонстрирует «характеристики, обычно ассоциируемые с методами APT-атак».

PDFSider был замечен в атаках с использованием программы-вымогателя Qilin. Однако Resecurity полагает, что этот бэкдор уже активно задействуется сразу несколькими злоумышленниками, связанными с ransomware, для запуска своих вредоносных ПО.

Бэкдор распространяется через фишинговые письма, содержащие ZIP-архив с легитимным исполняемым файлом с цифровой подписью для инструмента PDF24 Creator от Miron Geek Software GmbH.

Однако пакет также включает вредоносную версию DLL-файла (cryptbase.dll), необходимого для корректной работы приложения.

При запуске исполняемый файл загружает DLL-файл злоумышленника (этот метод известен как «загрузка DLL-файлов с сторонних ресурсов») и обеспечивает выполнение кода в системе.

В других случаях злоумышленник пытается обманом заставить получателей электронных писем запустить вредоносный файл, используя фейковые документы, скомпилированные специально для этих целей.

В одном из примеров в качестве автора была указана китайская госкомпания.

После запуска DLL-файл работает с правами исполняемого файла, который его загрузил. EXE-файл имеет легитимную цифровую подпись, однако PDF24 имеет уязвимости, которые злоумышленники смогли использовать для загрузки этого вредоносного ПО и эффективного обхода систем EDR.

По словам исследователей, благодаря развитию программирования с использованием ИИ, киберпреступникам становится проще находить уязвимое ПО, которое можно использовать в своих целях.

PDFSider загружается непосредственно в память, оставляя минимальные следы на диске, и использует анонимные каналы для запуска команд через командную строку.

Заражённым хостам присваивается уникальный идентификатор, а информация о системе собирается и передаётся на VPS-сервер злоумышленника через DNS (порт 53).

PDFSider защищает свой канал C2, используя криптографическую библиотеку Botan 3.0.0 и AES-256-GCM, расшифровывая входящие данные в памяти, минимизируя их влияние на хост.

Кроме того, данные проходят аутентификацию с использованием соответствующего шифрования с ассоциированными данными (AEAD) в режиме GCM.

Как отмечают в Resecurity, этот тип криптографической реализации типичен для вредоносных ПО с удаленной оболочкой, используемых в целевых атаках, где поддержание целостности и конфиденциальности коммуникаций имеет решающее значение.

Вредоносная ПО также включает в себя несколько механизмов защиты от анализа, включая проверку размера оперативной памяти и обнаружение отладчика, позволяющих ей преждевременно завершать работу при детектировании изолированной среды.

По оценке Resecurity, PDFSider ближе к «шпионским методам, нежели к вредоносному ПО для извлечения финансовой выгоды» и представляет собой бэкдор, способный поддерживать долгосрочный скрытый доступ, адаптивное удаленное выполнение команд и зашифрованную связь.

По ходу вымогатели выпотрошили одного из ключевых подрядчиков Apple по сборке iPhone, AirPods, Apple Watch и Vision Pro - китайскую компанию Luxshare.

Расположенная в Шэньчжэне компания является гигантом в индустрии электроники и насчитывает более 230 000 сотрудников, имея выручку в 37 миллиардов долларов.

Согласно Wall Street Journal, особую важность Luxshare для цепочки поставок Apple резко приобрела после того, как ее основной сборщик, Foxconn, пережил серию протестов, которые привели к приостановке производства.

Причастная к инциденту банда RansomHub угрожают опубликовать украденные данные Apple, Nvidia, LG и др., если не получат назначенный выкуп.

Сама же утечка данных Luxshare, предположительно, произошла в прошлом месяце, при этом злоумышленники заявили, что данные ключевых партнеров Apple были зашифрованы 15 декабря 2025 года. 

Злоумышленники утверждают, что получили доступ к различной проектной и технической документации продуктов Apple, Nvidia LG, Geely, Tesla и других крупных компаний, включая:

- 3D CAD-модели и инженерная документация;
- доступ к высокоточным геометрическим данным для продукции Parasolid;
- 2D-чертежи компонентов для производства;
- чертежи механических компонентов;
- конфиденциальные инженерные чертежи в формате PDF;
- электронная проектная документация;
- данные по электрической и компоновочной архитектуре;
- данные по производству печатных плат.

В свою очередь, представители Cybernews утверждают, что утечка данных включает конфиденциальные материалы по продукции Apple-Luxshare, персональные данные сотрудников и файлы дизайна продукции за период с 2019 по 2025 год.

Несмотря на то, что утечка данных ассемблерного кода со стороны Apple пока не подтверждена, команда Cybernews полагает, что информация, содержащаяся в публикации хакеров, выглядит более чем достоверной.

Пока можно констатировать, что в результате взлома потенциальные конкуренты смогут получить реализовать реверс проектирование продукции, производить контрафактные товары и использовать уязвимости оборудования в устройствах Apple.

Кроме того, уязвимости оборудования, компоновка микросхем и системы питания может найти применение в потенциальных атаках на встроенное ПО или цепочку поставок.

В любом случае последствия инцидента, если он подтвердится, будут катастрофическими для затронутых технологических компаний. Так что, по вероятно, по поводу выкупа стороны быстро придут к компромиссу. В любом случае, будем следить.

Стартовал Pwn2Own Automotive 2026, в первый день которого участникам хакерского поединка удалось взломать информационно-развлекательную систему Tesla и заработать 516 500 долл., используя 37 0-day.

Команда Synacktiv получила 35 000 долларов, успешно применив цепочку уязвимостей, связанных с утечкой информации и записью за пределы допустимого диапазона, для получения root на информационно-развлекательную систему Tesla в категории атак через USB.

Они также применили цепочку из трех уязвимостей для получения доступа к выполнению кода с правами root на цифровом медиаресивере Sony XAV-9500ES, заработав дополнительно 20 000 долл.

Исследователи из Fuzzware.io урвали 118 000 долл. за взлом зарядной станции Alpitronic HYC50, зарядного устройства Autel и навигационного приемника Kenwood DNR1007XR, а команда PetoWorks - 50 000 долл. за реализацию 0-day для EoP на контроллере зарядки Phoenix Contact CHARX SEC-3150.

Команда DDOS сорвала куш в размере 72 500 долл., продемонстрировав взлом зарядных устройств ChargePoint Home Flex, Autel MaxiCharger и Grizzl-E Smart 40A.

На второй день конкурса Pwn2Own четыре команды будут атаковать зарядное устройство Grizzl-E Smart 40A, трижды - Autel MaxiCharger, а две команды попытаются получить root-права на ChargePoint Home Flex, при этом каждая успешная попытка принесет хакерам по 50 000 долл.

При этом Fuzzware.io также попытается взломать автомобильное зарядное устройство Phoenix Contact CHARX SEC-3150, за что может получить денежное вознаграждение в размере 70 000 долл.

Традиционно в распоряжении поставщиков будут 90 дней на разработку и выпуск исправлений, прежде TrendMicro публично обнародует технические подробности анонсированных на конкурсе нулей.

Очередной этап Pwn2Own Automotive 2026, посвященный автомобильным технологиям, проходит в Токио, Япония, в рамках автомобильной конференции Automotive World, с 21 по 23 января.

В ходе этого соревнования исследователям предстоит атаковать полностью обновленные автомобильные информационно-развлекательные системы (IVI), зарядные устройства для электромобилей (EV) и автомобильные ОС (например, Automotive Grade Linux).

Полное расписание соревнований этого года - здесь, в том числе первого дня с результатами каждого этапа - здесь.

В прошлом году по результатам Pwn2Own Automotive 2025 хакерам удалось выиграть 886 250 долл. и реализовать 49 нулей, а еще годом ранее - 1 323 750 долл. и также 49 нулей.

На прошлой неделе Check Point выкатила отчет по VoidLink, описав его как продвинутую платформу для вредоносных ПО под Linux, предлагающую пользовательские загрузчики, имплантаты, модули руткитов для обхода защиты и десятки плагинов, расширяющих функциональность.

Исследователи подчеркнули сложность структуры вредоносного ПО, предположив, что оно, вероятно, было разработано китайскими разработчиками, «обладающими глубокими знаниями в нескольких языках программирования».

В дополнительном отчете исследователи Check Point сообщают о выявлении явных доказательств того, что ориентированное на облачные технологии вредоносное ПО было разработано одним автором с помощью ИИ и достигло функциональной версии в течение недели.

Вывод основан на многочисленных нарушениях OpSes со стороны разработчика VoidLink, в результате которых удалось раскрыть исходный код, документацию, планы спринтов и внутреннюю структуру проекта.

Одной из ошибок злоумышленников стало раскрытие открытого каталога на их сервере, в котором хранились различные файлы, относящиеся к процессу разработки.

Она, вероятно, началась в конце ноября 2025 года, когда разработчик обратился к TRAE SOLO, ИИ-помощнику, встроенному в TRAE, интегрированную среду разработки, ориентированную на ИИ.

Несмотря на отсутствие доступа к полной истории переписки в IDE, исследователи обнаружили на сервере злоумышленника вспомогательные файлы из TRAE, которые содержали ключевые фрагменты исходных инструкций, предоставленных модели.

По всей видимости, сгенерированные TRAE файлы были скопированы вместе с исходным кодом на сервер злоумышленника, а затем были раскрыты из-за открытого каталога.

Как отмечают в Check Point, эта утечка дала необычайно достоверную информацию о самых ранних директивах проекта.

Согласно анализу, злоумышленник использовал метод разработки, основанный на спецификациях (Spec-Driven Development), для определения целей проекта и установления ограничений, а затем поручил ИИ сгенерировать план разработки для нескольких команд, охватывающий архитектуру, спринты и стандарты.

Затем разработчик вредоносного ПО использовал эту документацию в качестве плана выполнения для кода, сгенерированного ИИ.

В разработанной документации описывается работа трех команд, длившаяся 16-30 недель, но, судя по временным меткам и меткам времени тестовых артефактов, обнаруженным Check Point, VoidLink был готов к работе уже через неделю, достигнув объема кода в 88 000 строк к началу декабря 2025 года.

После этого Check Point подтвердила, что спецификации спринта и восстановленный исходный код практически точно совпадают.

Исследователям удалось успешно воспроизвести рабочий процесс, подтвердив, что агент ИИ способен генерировать код, структурно похожий на код VoidLink.

Check Point полагает, что не имеет никаких сомнений относительно происхождения кода, описывая VoidLink как первый задокументированный пример сложного вредоносного ПО, созданного с помощью ИИ.

Таким образом, VoidLink знаменует собой новую эру, когда один разработчик вредоносного ПО с глубокими техническими знаниями может достичь результатов, ранее доступных только хорошо обеспеченным в ресурсом плане командам.

Wordfence предупреждает о критической уязвимости в плагине Advanced Custom Fields: Extended (ACF Extended) для WordPress, которая может быть удаленно использована неавторизованными злоумышленниками для получения административных прав.

ACF Extended в настоящее время используется на более чем 100 000 сайтах, - это специализированный плагин, расширяющий возможности плагина Advanced Custom Fields (ACF) функциями для разработчиков и создателей сайтов.

Уязвимость отслеживается как CVE-2025-14533 и может быть использована для получения административных привилегий путем злоупотребления действием формы «вставить пользователя/обновить пользователя» плагина в версиях ACF Extended 0.9.2.1 и более ранних.

Уязвимость возникает из-за отсутствия контроля за соблюдением ограничений ролей при создании или обновлении пользователей на основе форм, и её использование работает даже тогда, когда ограничения ролей должным образом настроены в параметрах поля.

В виду отсутствия ограничений на поля формы роль пользователя может быть установлена произвольно, даже на администратора, независимо от настроек поля, если в форму добавлено поле для указания роли.

Как и любая EoP-уязвимость, CVE-2025-14533 может быть использована для полного взлома сайта.

Несмотря на серьёзные последствия, Wordfence считает, что ошибка может быть использована только на сайтах, где явно используется одна из названных форм с соответствующим полем роли.

CVE-2025-14533 была обнаружена исследователем Андреа Боккетти, который 10 декабря 2025 года сообщил о ней в Wordfence для подтверждения проблемы и передачи поставщику. Четыре дня спустя поставщик выпустил исправление в версии ACF Extended 0.9.2.2.

Согласно статистике загрузок wordpress, с тех пор плагин скачали примерно 50 000 пользователей. Так что если предположить, что все загрузки - для последней версии, то примерно такое же количество сайтов подвержено атакам.

Несмотря на то, что конкретных атак, нацеленных на CVE-2025-14533, пока не зафиксировано, в GreyNoise задетектили масштабную кампанию по разведке в отношении плагинов WordPress, направленную на выявление потенциально уязвимых сайтов.

Согласно телеметрии GreyNoise, с конца октября 2025 года по середину января 2026 года почти 1000 IP-адресов в 145 автономных системах атаковали 706 различных плагинов WordPress, совершив более 40 000 уникальных сканирований.

Наиболее востребованными плагинами являются Post SMTP, LiteSpeed Cache, Loginizer, SEO by Rank Math, Elementor и Duplicator. Ранее первые два из списка подвергались активной эксплуатации в начале ноября 2025 года и в августе 2024 года соответственно.

Продолжаем отслеживать наиболее трендовые уязвимости, среди которых отметим следующие:

1. Разработчики библиотеки GNU C исправили ошибку в своем коде, датируемую 1996 годом. Согласно сообщениям, сценарии эксплуатации ограничены, поэтому это не представляет собой большой проблемы.

2. Cloudflare устранила уязвимость в своем менеджере сертификатов ACME, которая позволяла злоумышленникам обходить средства контроля безопасности и межсетевые экраны.

3. Amazon исправила ошибку конфигурации в своих репозиториях GitHub, которая позволяла захватить контроль над важными ресурсами AWS. Проблема заключалась в том, как конвейеры AWS CodeBuild CI обрабатывали триггеры сборки.

Отсутствие двух символов в фильтре регулярного выражения могло позволить удаленным злоумышленникам захватить репозитории AWS с административным доступом.

В репозиториях размещались ресурсы JavaScript, которые обеспечивали работу как учетных записей клиентов, так и самой консоли бэкэнда AWS.

4. Google Project Zero представила ZeroClick-эксплойт, который позволяет скомпрометировать смартфоны Android через аудиодекодер Dolby.

Эксплойт работает в виду того, что большинство коммуникационных приложений Android автоматически обрабатывают входящие аудиовложения в фоновом режиме.

Эксплойт был протестирован на Pixel 9, но, как полагают исследователи Google, атака должна быть универсальной для большинства устройств Android. Подробности в трех частях - 1, 2 и 3.

5. В Livewire, компоненте файлового менеджера для сайтов на базе Laravel, обнаружена незакрытая уязвимость, позволяющая загружать вредоносные PHP-файлы на удаленный сервер и легко запускать их выполнение.

При этом Laravel - самый популярный на сегодняшний день PHP-фреймворк. Однако ни разработчики Livewire, ни Laravel ничего не ответили исследователям по поводу зияющей дыры.

6. Новое исследование Cyata выявило уязвимости в серверах, соединяющих LLM-модули с локальными данными через MCP-интерфейс Anthropic. Все затрагивают официальный сервер Git MCP (mcp-server-git) и отслеживаются как CVE-2025-68143, CVE-2025-68145 и CVE-2025-68144.

Исследователи продемонстрировали, как злоумышленник может использовать уязвимости для выполнения произвольного кода, чтения и удаления файлов, причем атака работает против любой конфигурации.

7. TP-Link выкатила обновление для своих камер VIGI с исправлениями критической уязвимости, позволяющей злоумышленникам в локальной сети обходить аутентификацию в процессе сброса пароля. Уязвимость затрагивают 32 модели камер VIGI.

8. Zafran отмечает, что две серьезные уязвимости в Chainlit (имеющий ежемесячно более 700 000 раз на PyPI) подвергают крупные предприятия атакам, ведущим к раскрытию конфиденциальной информации.

Затронуты все версии Chainlit до 2.9.4. Проблемы отслеживаются как CVE-2026-22218 и CVE-2026-22219 и позволяют злоумышленникам читать произвольные файлы (переменные окружения) и отправлять запросы к внутренним сетевым службам или конечным точкам метаданных облака.

9. MITRE объявила о запуске Embedded Systems Threat Matrix (ESTM), системы кибербезопасности, разработанной для оказания помощи организациям в защите критически важных встроенных систем.

Созданная по мотивам популярной ATT&CK и основанная на теоретических исследованиях и экспериментальных моделях MITRE, ESTM классифицирует конкретные тактики и методы атак, адаптированные к аппаратной и программной средам. 

ESTM работает с моделью угроз EMB3D. С момента выхода первой версии ESTM была значительно усовершенствована и теперь называется ESTM 3.0.

Клиенты Fortinet столкнулись с последствиями некорректного исправления критической уязвимости аутентификации FortiGate (CVE-2025-59718): злоумышленники используют обход исправления для взлома полностью обновленных межсетевых экранов.

Со слов одного из пострадавших, Fortinet якобы подтвердила, что в последней версии FortiOS (7.4.10) не до конца была устранена уязвимость обхода аутентификации, которая изначально должна была быть исправлена в начале декабря с выпуском FortiOS 7.4.9.

По имеющимся данным, Fortinet также планирует в ближайшие дни выпустить FortiOS 7.4.11, 7.6.6 и 8.0.0 для полного устранения уязвимости в системе безопасности.

В одном из инцидентов админы зафиксировали вредоносную попытку входа через SSO на одном из устройств FortiGate, работающем под управлением версии 7.4.9 (FGT60F).

SIEM задетектила создание локальной учетной записи администратора с помощью SSO-входа пользователя cloud-init@mail.io с IP-адреса 104.28.244.114, аналогично взлому через CVE-2025-59718, что подтвердили логи.

Причем они выглядели также, как в случае с предыдущей эксплуатацией ошибки, выявленной Arctic Wolf в декабре 2025, когда злоумышленники активировали уязвимость посредством специально созданных SAML-сообщений для компрометации аккаунтов администраторов.

Аналогичную ситуацию описывают и другие пользователи, которые также получили от Fortinet подтверждение о неполном устранении проблемы в версии 7.4.10.

В самой Fortinet на вопросы по поводу сообщений о начавшейся вредоносной кампании, нацеленной на CVE-2025-59718, пока никак не реагируют, обещая лишь все исправить в будущих версиях 7.4.11, 7.6.6, 8.0.0.

До тех пор, пока Fortinet не выпустит полностью исправленную версию FortiOS, администраторам рекомендуется временно отключить уязвимую функцию входа в FortiCloud (если она включена) для защиты своих систем от атак.

Как пояснила Fortinet в своем первоначальном уведомлении, SSO FortiCloud, являющаяся целью атак, по умолчанию отключена, если устройство не зарегистрировано в FortiCare, что должно сократить общее количество уязвимых устройств.

Однако, по данным Shadowserver, в середине декабря 2025 года более 25 000 устройств Fortinet с включенной функцией единого входа FortiCloud SSO были по-прежнему доступны из сети.

На данный момент более половины из них защищены, и если верить Shadowserver, более 11 000 устройств по-прежнему остаются доступными через Интернет.

GitLab предупреждает об устранении серьезных уязвимостей, которые приводят к обходу 2Fa и способны вызвать атаки типа DoS.

Первая под номером CVE-2026-0723 связана с недостатком неконтролируемого возвращаемого значения в службах аутентификации GitLab, что позволяет злоумышленникам, знающим идентификатор учетной записи жертвы, обходить двухфакторную аутентификацию, отправляя поддельные ответы устройства.

GitLab также устранила две серьезные уязвимости, затрагивающие GitLab CE/EE, которые позволяли неавторизованным злоумышленникам инициировать атаки типа DoS посредством отправки специально сформированных запросов с некорректными данными аутентификации (CVE-2025-13927) и используя некорректную проверку авторизации в конечных точках API (CVE-2025-13928).

Кроме того, закрыты две уязвимости средней степени серьезности, представляющие собой DoS, которые могут быть использованы путем настройки некорректно сформированных документов Wiki, обходящих обнаружение циклов (CVE-2025-13335), и отправки повторных некорректно сформированных запросов на аутентификацию SSH (CVE-2026-1102).

Для устранения этих уязвимостей в системе безопасности компания выпустила версии 18.8.2, 18.7.2 и 18.6.4 для GitLab Community Edition (CE) и Enterprise Edition (EE) и рекомендовала администраторам как можно скорее обновиться до последней версии.

На GitLab.com уже установлена исправленная версия. Клиентам GitLab Dedicated никаких действий предпринимать не нужно.

Cisco устранила критическую RCE-уязвимость в Unified Communications и Webex Calling, отслеживаемую как CVE-2026-20045, которая активно использовалась в качестве 0-day в атаках.

CVE-2026-20045 затрагивает Cisco Unified Communications Manager (Unified CM), Unified CM Session Management Edition (SME), Unified CM IM & Presence, Cisco Unity Connection и Webex Calling Dedicated Instance.

По данным Cisco, удаленный, неаутентифицированный злоумышленник может использовать уязвимость CVE-2026-20045 для выполнения вредоносных команд в операционной системе устройства.

Ошибка обусловлена некорректной проверкой входных данных, предоставляемых пользователем в HTTP-запросах.

0-day, о которой сообщили неназванные сторонние исследователи, может быть использована путем отправки специально сформированных HTTP-запросов к веб-интерфейсу управления целевого экземпляра. 

Успешная эксплуатация уязвимости может позволить злоумышленнику получить доступ к операционной системе на уровне пользователя, а затем повысить свои привилегии до уровня root.

Несмотря на то, что CVE-2026-20045 имеет оценку CVSS 8,2, Cisco присвоила ей критический уровень серьезности, поскольку ее эксплуатация приводит к получению root-доступа к серверам.

Cisco выкатила следующие обновления и файлы исправлений для устранения уязвимости:

- Cisco Unified CM, CM SME, CM IM&P и Webex Calling - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), релиз 15 (15SU4 (март 2026 г.) или патч);

- Cisco Unity Connection - выпуск 12.5 (переход на исправленный релиз), 14 (14SU5 или патч), 15 (15SU4 (март 2026 г.) или патч).

В настоящее время отсутствует какая-либо общедоступная информация об атаках, нацеленных на уязвимость CVE-2026-20045.

Тем не менее, Cisco PSIRT отметила в своем уведомлении, что ей «известны попытки эксплуатации этой уязвимости в реальных условиях».

Согласно телеметрии Hunter, в настоящее время около 1300 экземпляров Cisco Unified CM находятся в открытом доступе через интернет, причем почти половина из них - в США.

Cisco настоятельно рекомендует клиентам как можно скорее обновить ПО до последней версии, учитывая, что обойти эту уязвимость без установки обновлений невозможно.