Исследователи GreyNoise предупреждает о значительном всплеске целенаправленных атак 3 августа 2025 года, нацеленных на устройства Fortinet SSL VPN с использованием более 780 уникальных IP-адресов.
Только за последние 24 часа было обнаружено 56 уникальных IP-адресов.
Все они были классифицированы как вредоносные и относились к США, Канаде, России и Нидерландам, при этом цели атак располагались в США, Гонконге, Бразилии, Испании и Японии.
Компания идентифицировала две отдельные волны атак, замеченные до и после 5 августа.
Одна из них представляла собой продолжительную активность методом подбора, привязанную к одной TCP-сигнатуре, которая оставалась относительно стабильной в течение долгого времени, и вторая - внезапный и концентрированный всплеск трафика с другой TCP-сигнатурой.
При этом трафик 3 августа был направлен на FortiOS, а трафик, маркированный TCP и клиентскими подписями (метасигнатурой), с 5 августа уже не затрагивал FortiOS - был направлен на FortiManager.
Вдобавок ко всему, более глубокий анализ ретроспективных данных, связанных с отпечатком TCP после 5 августа, выявил более ранний кластер активности в июне с уникальной клиентской подписью, которая привела к устройству FortiGate в сегменте домашнего Интернет-провайдера, управляемом Pilot Fiber Inc.
Что указывает на возможное тестирование инструментария для брутфорса изначально из домашней сети, а в качестве альтернативной гипотезы - использование домашнего прокси-сервера.
Другой всплеск активности наблюдали исследователи Palo Alto Networks, в поле зрения которых попали попытки эксплуатации CVE-2025-32433 (CVSS: 10,0) в реализации SSH на базе Erlang/Open Telecom Platform (OTP), большая часть которых приходилась на OT (до 70%).
Ошибка связана с отсутствием аутентификации, что может быть использовано злоумышленником, имеющим сетевой доступ к SSH-серверу Erlang/OTP, для RCE.
Она была исправлена в апреле 2025 с помощью обновлений OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Анализ телеметрии показал, что более 85% попыток эксплойтов были направлены, в первую очередь, на сферы здравоохранения, сельского хозяйства, СМИ и развлечений, а также высоких технологий в США, Канаде, Бразилии, Индии и Австралии.
Palo Alto выявила несколько вредоносных полезных нагрузок, которые злоумышленники пытались внедрить посредством эксплуатации уязвимости CVE-2025-32433, включая обратные оболочки, обеспечивающие несанкционированный удаленный доступ.
В некоторых случаях исследователи заметили использование удаленного хоста с портом, обычно связанным с серверами для управления ботнетами.
Реализованное силами Palo Alto сканирование указывает, что еще что сотни сервисов Erlang/OTP, присутствующих в промышленных сетях, подвержены атакам и остаются уязвимыми.
Только за последние 24 часа было обнаружено 56 уникальных IP-адресов.
Все они были классифицированы как вредоносные и относились к США, Канаде, России и Нидерландам, при этом цели атак располагались в США, Гонконге, Бразилии, Испании и Японии.
Компания идентифицировала две отдельные волны атак, замеченные до и после 5 августа.
Одна из них представляла собой продолжительную активность методом подбора, привязанную к одной TCP-сигнатуре, которая оставалась относительно стабильной в течение долгого времени, и вторая - внезапный и концентрированный всплеск трафика с другой TCP-сигнатурой.
При этом трафик 3 августа был направлен на FortiOS, а трафик, маркированный TCP и клиентскими подписями (метасигнатурой), с 5 августа уже не затрагивал FortiOS - был направлен на FortiManager.
Вдобавок ко всему, более глубокий анализ ретроспективных данных, связанных с отпечатком TCP после 5 августа, выявил более ранний кластер активности в июне с уникальной клиентской подписью, которая привела к устройству FortiGate в сегменте домашнего Интернет-провайдера, управляемом Pilot Fiber Inc.
Что указывает на возможное тестирование инструментария для брутфорса изначально из домашней сети, а в качестве альтернативной гипотезы - использование домашнего прокси-сервера.
Другой всплеск активности наблюдали исследователи Palo Alto Networks, в поле зрения которых попали попытки эксплуатации CVE-2025-32433 (CVSS: 10,0) в реализации SSH на базе Erlang/Open Telecom Platform (OTP), большая часть которых приходилась на OT (до 70%).
Ошибка связана с отсутствием аутентификации, что может быть использовано злоумышленником, имеющим сетевой доступ к SSH-серверу Erlang/OTP, для RCE.
Она была исправлена в апреле 2025 с помощью обновлений OTP-27.3.3, OTP-26.2.5.11 и OTP-25.3.2.20.
Анализ телеметрии показал, что более 85% попыток эксплойтов были направлены, в первую очередь, на сферы здравоохранения, сельского хозяйства, СМИ и развлечений, а также высоких технологий в США, Канаде, Бразилии, Индии и Австралии.
Palo Alto выявила несколько вредоносных полезных нагрузок, которые злоумышленники пытались внедрить посредством эксплуатации уязвимости CVE-2025-32433, включая обратные оболочки, обеспечивающие несанкционированный удаленный доступ.
В некоторых случаях исследователи заметили использование удаленного хоста с портом, обычно связанным с серверами для управления ботнетами.
Реализованное силами Palo Alto сканирование указывает, что еще что сотни сервисов Erlang/OTP, присутствующих в промышленных сетях, подвержены атакам и остаются уязвимыми.
viz.greynoise.io
GreyNoise Visualizer | GreyNoise Visualizer
At GreyNoise, we collect and analyze untargeted, widespread, and opportunistic scan and attack activity that reaches every server directly connected to the Internet.
Подкатили ежемесячные обновления от Microsoft в рамках PatchTuesday за август 2025 года с исправлениями для 107 уязвимостей, включая одну публично раскрытую 0-day в Windows Kerberos.
В целом, исправлены 13 критических уязвимостей, 9 из которых это RCE, 3 - раскрытия информации и 1 - повышения привилегий.
При этом большинство из критических на самом деле имеют высокий уровень серьёзности согласно рейтингу CVSS, за исключением CVE-2025-53766 - уязвимости RCE в компоненте Windows GDI+, имеющей рейтинг CVSS 9,8.
По данным инициативы ZDI Trend Micro, уязвимость CVE-2025-53766 может эксплуатироваться, если заставить целевого пользователя посетить вредоносный сайт или открыть вредоносный документ.
Другая уязвимость из категории критических, - CVE-2025-50165, затрагивает графический компонент Windows и допускает RCE.
Для её эксплуатации пользователю необходимо просмотреть специально созданное изображение. Microsoft присвоила ей уровень серьёзности «важный».
Другие уязвимости, реализующие RCE, - это CVE-2025-53740 и CVE-2025-53731, влияют на Office и могут быть использованы через панель предварительного просмотра.
Ещё одна уязвимость, на которую стоит обратить внимание, - CVE-2025-49712, RCE-уязвимость, влияющая на SharePoint. ZDI отметил, что она похожа на уязвимость, которая недавно эксплуатировалась в рамках цепочки эксплойтов ToolShell.
Среди уязвимостей, отмеченных корпорацией Microsoft как критические, также включает несколько проблем Hyper-V (раскрытие информации, подмена и RCE), а также ошибку раскрытия информации в Azure Stack Hub.
Общее распределение всех проблем выглядит следующим образом: 44 - EoP, 35 - RCE, 18 - раскрытие информации, 4 - DoS, 9 - спуфинг.
Как упоминалось, представленный PatchTuesday закрывает (на этот раз всего лишь) одну публично раскрытую 0-day в Microsoft SQL Server, которая отслеживается как CVE-2025-53779 и позволяет аутентифицированному злоумышленнику получить права администратора домена.
Microsoft утверждает, что для ее эксплуатации злоумышленнику потребуется иметь расширенный доступ к следующим атрибутам dMSA: msds-groupMSAMembership (атрибут обеспечивает использование dMSA) и msds-ManagedAccountPrecededByLink (позволяет указать пользователя, от имени которого может действовать dMSA).
Microsoft приписывает обнаружение этой уязвимости Ювалю Гордону из Akamai, который, в свою очередь, также выкатил свой технический отчет еще в мае.
Полное описание каждой уязвимости и затрагиваемых систем - здесь.
В целом, исправлены 13 критических уязвимостей, 9 из которых это RCE, 3 - раскрытия информации и 1 - повышения привилегий.
При этом большинство из критических на самом деле имеют высокий уровень серьёзности согласно рейтингу CVSS, за исключением CVE-2025-53766 - уязвимости RCE в компоненте Windows GDI+, имеющей рейтинг CVSS 9,8.
По данным инициативы ZDI Trend Micro, уязвимость CVE-2025-53766 может эксплуатироваться, если заставить целевого пользователя посетить вредоносный сайт или открыть вредоносный документ.
Другая уязвимость из категории критических, - CVE-2025-50165, затрагивает графический компонент Windows и допускает RCE.
Для её эксплуатации пользователю необходимо просмотреть специально созданное изображение. Microsoft присвоила ей уровень серьёзности «важный».
Другие уязвимости, реализующие RCE, - это CVE-2025-53740 и CVE-2025-53731, влияют на Office и могут быть использованы через панель предварительного просмотра.
Ещё одна уязвимость, на которую стоит обратить внимание, - CVE-2025-49712, RCE-уязвимость, влияющая на SharePoint. ZDI отметил, что она похожа на уязвимость, которая недавно эксплуатировалась в рамках цепочки эксплойтов ToolShell.
Среди уязвимостей, отмеченных корпорацией Microsoft как критические, также включает несколько проблем Hyper-V (раскрытие информации, подмена и RCE), а также ошибку раскрытия информации в Azure Stack Hub.
Общее распределение всех проблем выглядит следующим образом: 44 - EoP, 35 - RCE, 18 - раскрытие информации, 4 - DoS, 9 - спуфинг.
Как упоминалось, представленный PatchTuesday закрывает (на этот раз всего лишь) одну публично раскрытую 0-day в Microsoft SQL Server, которая отслеживается как CVE-2025-53779 и позволяет аутентифицированному злоумышленнику получить права администратора домена.
Microsoft утверждает, что для ее эксплуатации злоумышленнику потребуется иметь расширенный доступ к следующим атрибутам dMSA: msds-groupMSAMembership (атрибут обеспечивает использование dMSA) и msds-ManagedAccountPrecededByLink (позволяет указать пользователя, от имени которого может действовать dMSA).
Microsoft приписывает обнаружение этой уязвимости Ювалю Гордону из Akamai, который, в свою очередь, также выкатил свой технический отчет еще в мае.
Полное описание каждой уязвимости и затрагиваемых систем - здесь.
Zero Day Initiative
Zero Day Initiative — The August 2025 Security Update Review
We’ve made it through hacker summer camp and made our way to the second Tuesday of the month. Adobe and Microsoft seemed to have survived as well, as they released their latest security patches. Take a break from your scheduled activities and join us as we…
Исследователям Profero удалось взломать шифрование DarkBit ransomware, что позволило по итогу восстановить файлы жертвы без уплаты выкупа.
Это произошло еще в 2023 году в рамках реагирования на инцидент и расследования атаки в отношении одного из их клиентов, в чьей инфраструктуре банда зашифровала несколько серверов VMware ESXi.
Хронология кибератаки позволяет предположить, что она стала ответом на удары беспилотников в Иране, совершенные в 2023 году по предприятиям Министерства обороны Ирана.
Тогда хакеры DarkBit выкатывали требования о выкупе в 80 биткоинов, атакуя уякбные заведения в Израиле, а национальное киберкомандование связало атаки DarkBit с иранской государственной хакерской APT MuddyWater.
В случае, которым занимались исследователи, злоумышленники вовсе не вели переговоров о выкупе, а, по всей видимости, были больше заинтересованы в нанесении максимального ущерба работе систем.
На момент атаки дешифратора для DarkBit не было, поэтому Profero решила анализировать вредоносное ПО на предмет потенциальных уязвимостей.
DarkBit использует уникальный ключ AES-128-CBC и вектор инициализации (IV), генерируемые во время выполнения для каждого файла, шифруются с помощью RSA-2048 и добавляются к заблокированному файлу.
Ресерчеры смогли понять, что метод генерации ключей DarkBit отличается низкой энтропией. В сочетании с временной меткой шифрования, которую можно определить по времени изменения файла, общее пространство ключей сокращается до нескольких миллиардов вариантов.
Более того, они обнаружили, что файлы VMDK на серверах ESXi имеют известные байты заголовка, поэтому им пришлось перебирать только первые 16 байтов, чтобы проверить, совпадает ли заголовок, а не весь файл.
Profero разработала инструмент для проверки всех возможных начальных значений, генерации пар потенциальных ключей и векторов расшифровки (IV) и проверки по заголовкам VMDK. Запустив его в высокопроизводительной вычислительной среде удалось восстановить действительные ключи дешифрования.
Параллельно с этим исследователи обнаружили, что большая часть содержимого файлов VMDK не была затронута прерывистым шифрованием DarkBit, поскольку многие зашифрованные фрагменты попадали в пустое пространство.
Это позволило им извлечь значительные объемы ценных данных без необходимости расшифровывать их методом подбора ключей.
Файлы VMDK в основном пусты, и, следовательно, фрагменты, зашифрованные программой-вымогателем в каждом файле, также в основном пусты.
По статистике, большинство файлов, содержащихся в файловых системах VMDK, не будут зашифрованы, и большинство файлов внутри этих файловых систем в любом случае не имеют отношения к расследованию.
И так им удалось пройтись по файловой системе и извлечь то, что осталось от внутренних файловых систем VMDK. Большинство нужных файлов можно было просто восстановить без расшифровки.
Несмотря на то, что Profero так и не выпустили дешифратор DarkBit публично, они готовы оказать содействие будущим жертвам.
Правда, это не гарантирует того, что в новых атаках не будут учтены допущенные ошибки. Скорее всего, уже. Но будем посмотреть.
Это произошло еще в 2023 году в рамках реагирования на инцидент и расследования атаки в отношении одного из их клиентов, в чьей инфраструктуре банда зашифровала несколько серверов VMware ESXi.
Хронология кибератаки позволяет предположить, что она стала ответом на удары беспилотников в Иране, совершенные в 2023 году по предприятиям Министерства обороны Ирана.
Тогда хакеры DarkBit выкатывали требования о выкупе в 80 биткоинов, атакуя уякбные заведения в Израиле, а национальное киберкомандование связало атаки DarkBit с иранской государственной хакерской APT MuddyWater.
В случае, которым занимались исследователи, злоумышленники вовсе не вели переговоров о выкупе, а, по всей видимости, были больше заинтересованы в нанесении максимального ущерба работе систем.
На момент атаки дешифратора для DarkBit не было, поэтому Profero решила анализировать вредоносное ПО на предмет потенциальных уязвимостей.
DarkBit использует уникальный ключ AES-128-CBC и вектор инициализации (IV), генерируемые во время выполнения для каждого файла, шифруются с помощью RSA-2048 и добавляются к заблокированному файлу.
Ресерчеры смогли понять, что метод генерации ключей DarkBit отличается низкой энтропией. В сочетании с временной меткой шифрования, которую можно определить по времени изменения файла, общее пространство ключей сокращается до нескольких миллиардов вариантов.
Более того, они обнаружили, что файлы VMDK на серверах ESXi имеют известные байты заголовка, поэтому им пришлось перебирать только первые 16 байтов, чтобы проверить, совпадает ли заголовок, а не весь файл.
Profero разработала инструмент для проверки всех возможных начальных значений, генерации пар потенциальных ключей и векторов расшифровки (IV) и проверки по заголовкам VMDK. Запустив его в высокопроизводительной вычислительной среде удалось восстановить действительные ключи дешифрования.
Параллельно с этим исследователи обнаружили, что большая часть содержимого файлов VMDK не была затронута прерывистым шифрованием DarkBit, поскольку многие зашифрованные фрагменты попадали в пустое пространство.
Это позволило им извлечь значительные объемы ценных данных без необходимости расшифровывать их методом подбора ключей.
Файлы VMDK в основном пусты, и, следовательно, фрагменты, зашифрованные программой-вымогателем в каждом файле, также в основном пусты.
По статистике, большинство файлов, содержащихся в файловых системах VMDK, не будут зашифрованы, и большинство файлов внутри этих файловых систем в любом случае не имеют отношения к расследованию.
И так им удалось пройтись по файловой системе и извлечь то, что осталось от внутренних файловых систем VMDK. Большинство нужных файлов можно было просто восстановить без расшифровки.
Несмотря на то, что Profero так и не выпустили дешифратор DarkBit публично, они готовы оказать содействие будущим жертвам.
Правда, это не гарантирует того, что в новых атаках не будут учтены допущенные ошибки. Скорее всего, уже. Но будем посмотреть.
profero.io
From Drone Strike to File Recovery: Outsmarting a Nation State
Walk through our investigation workflow, cryptographic analysis, and end-to-end data-recovery strategy, proving that "encrypted" doesn't mean unrecoverable
В кейсе XSS-форума обновления.
Команда модераторов недавно захваченного силовиками хакерского форума XSS пытается вернуться под брендом DamageLib.
Как утверждается, у XSS теперь новый администратор и адрес.
При этом исходный сайт всё ещё продолжает работать под патронажем старого админа, и вся инфраструктура и сервисы были перенесены и восстановлены.
Модераторы же заявляют, что сайт был скомпрометирован. Они создали новый из дампа, но база данных пользователей не была восстановлена, и депозиты не были переведены.
Команда модераторов недавно захваченного силовиками хакерского форума XSS пытается вернуться под брендом DamageLib.
Как утверждается, у XSS теперь новый администратор и адрес.
При этом исходный сайт всё ещё продолжает работать под патронажем старого админа, и вся инфраструктура и сервисы были перенесены и восстановлены.
Модераторы же заявляют, что сайт был скомпрометирован. Они создали новый из дампа, но база данных пользователей не была восстановлена, и депозиты не были переведены.
X (formerly Twitter)
skynet (@sky31337) on X
New #DamageLib forum.
The #XSS #forum has a new administrator and link. Although the original site is still online under the patronage of an old administrator and it was claimed to have all infrastructure and services switched and restored, moderators say…
The #XSS #forum has a new administrator and link. Although the original site is still online under the patronage of an old administrator and it was claimed to have all infrastructure and services switched and restored, moderators say…
Похоже, GitHub теряет свою независимость.
Microsoft передает GitHub под свою команду CoreAI после того, как генеральный директор GitHub Томас Домке ушел в отставку на этой неделе без назначения преемника на должность CEO.
По всей видимости, GitHub, включающий более чем 1 млрд репозиториев и форков, 150 млн разработчиков, будут глубоко интегрировать в основную структуру корпорацию под руководство профильных топ-менеджеров Microsoft.
Одна часть ляжет под подразделение разработки во главе с Джулией Льюсон, другая - под вице-президента по ИИ, что явно отражает стратегию широкого вовлечения в проекты Microsoft в области ИИ-решений и облачной платформы Azure.
Заявляется о формировании целой экосистемы ИИ-сервисов для отладки, тестирования и развёртывания приложений.
Но о нейтральности теперь стоит позабыть, рисуется почти безальтернативный стандарт для нового поколения разработчиков на самом фундаментальном уровне.
Microsoft передает GitHub под свою команду CoreAI после того, как генеральный директор GitHub Томас Домке ушел в отставку на этой неделе без назначения преемника на должность CEO.
По всей видимости, GitHub, включающий более чем 1 млрд репозиториев и форков, 150 млн разработчиков, будут глубоко интегрировать в основную структуру корпорацию под руководство профильных топ-менеджеров Microsoft.
Одна часть ляжет под подразделение разработки во главе с Джулией Льюсон, другая - под вице-президента по ИИ, что явно отражает стратегию широкого вовлечения в проекты Microsoft в области ИИ-решений и облачной платформы Azure.
Заявляется о формировании целой экосистемы ИИ-сервисов для отладки, тестирования и развёртывания приложений.
Но о нейтральности теперь стоит позабыть, рисуется почти безальтернативный стандарт для нового поколения разработчиков на самом фундаментальном уровне.
The Verge
GitHub just got less independent at Microsoft after CEO resignation
GitHub will be part of Microsoft’s AI engineering team
В последнем номере журнала Phrack, представленном на конференции DEF CON 33 в Лас-Вегасе, от имени хакеров Saber и cyb0rg была широко анонсирована сравнимая с iSOON утечка, предположительно, связанная с деятельностью северокорейской APT Kimsuky.
Разоблачители якобы выкрали данные с VPS-сервера, который задействовался APT в качестве бэкэнда в ходе проведения своих киберопераций.
Первая часть уже обнародована, вторую также реализуют через журнал Phrack на этой неделе.
Дамп объемом 8,9 ГБ, в настоящее время размещенный на сайте Distributed Denial of Secrets, включает почти 20 000 записей истории браузеров Chrome и Brave злоумышленника, руководство по эксплуатации бэкдора, пароли и адреса электронной почты, а также учетные данные для различных инструментов.
Кроме того, слиты данные об атаках и журналы различных фишинговых кампаний, бэкдор ядра TomCat, загрузчики Cobalt Strike, обратные оболочки, прокси-модули Onnara и бэкдор Ivanti Control (RootRot), а также файлы модификации Android Toybox группировки и различных эксплойтов, в том числе Bushfire.
Ознакомившиеся с материалами исследователи полагают, что группа также могла задействоваться в операциях, проводимых в интересах Китая, а в её составе могут фигурировать также китайскоязычные участники.
Некоторые при этом вообще связывают утечку с китайским злоумышленником.
Безусловно, инцидент вряд ли окажет серьезное влияние на деятельность Kimsuky (если все же достоверность данных будет подтверждена), но может привести определенным к операционным сложностям в текущих кампаниях. Но будем, конечно, посмотреть.
Разоблачители якобы выкрали данные с VPS-сервера, который задействовался APT в качестве бэкэнда в ходе проведения своих киберопераций.
Первая часть уже обнародована, вторую также реализуют через журнал Phrack на этой неделе.
Дамп объемом 8,9 ГБ, в настоящее время размещенный на сайте Distributed Denial of Secrets, включает почти 20 000 записей истории браузеров Chrome и Brave злоумышленника, руководство по эксплуатации бэкдора, пароли и адреса электронной почты, а также учетные данные для различных инструментов.
Кроме того, слиты данные об атаках и журналы различных фишинговых кампаний, бэкдор ядра TomCat, загрузчики Cobalt Strike, обратные оболочки, прокси-модули Onnara и бэкдор Ivanti Control (RootRot), а также файлы модификации Android Toybox группировки и различных эксплойтов, в том числе Bushfire.
Ознакомившиеся с материалами исследователи полагают, что группа также могла задействоваться в операциях, проводимых в интересах Китая, а в её составе могут фигурировать также китайскоязычные участники.
Некоторые при этом вообще связывают утечку с китайским злоумышленником.
Безусловно, инцидент вряд ли окажет серьезное влияние на деятельность Kimsuky (если все же достоверность данных будет подтверждена), но может привести определенным к операционным сложностям в текущих кампаниях. Но будем, конечно, посмотреть.
Dark Reading
Data Dump From APT Actor Yields Clues to Attacker Capabilities
The tranche of information includes data on recent campaigns, attack tools, compromised credentials, and command files used by a threat actor believed to be acting on behalf of China or North Korea.
Forwarded from Social Engineering
• В одном из эпизодов биографии Кевина Митника вскользь упоминался немецкий хакерский клуб CCC, Chaos Computer Club. Это возникшее в ФРГ 80-х годов сообщество компьютерных энтузиастов здравствует и поныне.
• В ранней истории CCC хватает интересных страниц — и некоторые из них касаются хакера из Гамбурга по имени Карл Кох. Он не слишком известен за пределами Германии — но среди немцев, особенно увлекающихся хакерством и теориями заговора, его имя и история по сей день вызывают интерес. Российской же аудитории он известен мало и не вполне заслуженно — в конце концов, он и его коллеги являются первыми хакерами, которые работали на отечественные спецслужбы и добывали для КГБ СССР секреты американского ВПК.
• Биография и история Карла в мельчайших подробностях расписана на хабре. Я долго следил за автором и ждал пока будет опубликована финальная часть рассказа. Финал вышел недавно, поэтому делюсь с вами ссылками и рекомендую к прочтению, так как материал крайне интересный:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Fortinet предупреждает об уязвимости удаленного внедрения неаутентифицированных команд в FortiSIEM с эксплойтом в открытом доступе.
FortiSIEM - это централизованная система мониторинга и аналитики безопасности, используемая для регистрации событий, сетевой телеметрии и оповещений об инцидентах безопасности.
Решение широко используется в госсекторе, крупными предприятиями, финансовыми учреждениями, поставщиками медицинских услуг и управляемых услуг безопасности (MSSP).
Уязвимость отслеживается как CVE-2025-25256 и имеет CVSS: 9.8, затрагивая несколько веток SIEM, от 5.4 до 7.3.
Ошибка связана с неправильной нейтрализацией специальных элементов и может позволить неаутентифицированному злоумышленнику выполнить код или команды с помощью специально созданных запросов CLI.
Несмотря на то, что Fortinet прямо не заявляет о ее эксплуатации в качестве 0-day, но подтверждает существование функционального эксплойта.
Кроме того, по данным Fortinet, эксплуатация этой уязвимости не приводит к появлению особых индикаторов компрометации, позволяющих определить, было ли устройство скомпрометировано.
Причем раскрытие произошло на фоне фиксации GreyNoise масштабного брута, нацеленного на сначала на SSL-VPN Fortinet, а затем - на FortiManager.
Но пока неясно, связано ли раскрытие Fortinet уязвимости CVE-2025-25256 с отчетом GreyNoise.
Учитывая доступность PoC пользователям решения следует как можно скорее накатить последние обновления для CVE-2025-25256, выполнив обновление до одной из следующих версий FortiSIEM: 7.3.2, 7.2.6, 7.1.8, 7.0.4 и 6.7.10
При этом версии FortiSIEM 5.4-6.6 также уязвимы, но больше не поддерживаются и не получат исправлений для устранения этой уязвимости.
Fortinet также предложила обходной путь ограничения доступа к phMonitor через порт 7900, указав, что это точка входа для вредоносной эксплуатации.
FortiSIEM - это централизованная система мониторинга и аналитики безопасности, используемая для регистрации событий, сетевой телеметрии и оповещений об инцидентах безопасности.
Решение широко используется в госсекторе, крупными предприятиями, финансовыми учреждениями, поставщиками медицинских услуг и управляемых услуг безопасности (MSSP).
Уязвимость отслеживается как CVE-2025-25256 и имеет CVSS: 9.8, затрагивая несколько веток SIEM, от 5.4 до 7.3.
Ошибка связана с неправильной нейтрализацией специальных элементов и может позволить неаутентифицированному злоумышленнику выполнить код или команды с помощью специально созданных запросов CLI.
Несмотря на то, что Fortinet прямо не заявляет о ее эксплуатации в качестве 0-day, но подтверждает существование функционального эксплойта.
Кроме того, по данным Fortinet, эксплуатация этой уязвимости не приводит к появлению особых индикаторов компрометации, позволяющих определить, было ли устройство скомпрометировано.
Причем раскрытие произошло на фоне фиксации GreyNoise масштабного брута, нацеленного на сначала на SSL-VPN Fortinet, а затем - на FortiManager.
Но пока неясно, связано ли раскрытие Fortinet уязвимости CVE-2025-25256 с отчетом GreyNoise.
Учитывая доступность PoC пользователям решения следует как можно скорее накатить последние обновления для CVE-2025-25256, выполнив обновление до одной из следующих версий FortiSIEM: 7.3.2, 7.2.6, 7.1.8, 7.0.4 и 6.7.10
При этом версии FortiSIEM 5.4-6.6 также уязвимы, но больше не поддерживаются и не получат исправлений для устранения этой уязвимости.
Fortinet также предложила обходной путь ограничения доступа к phMonitor через порт 7900, указав, что это точка входа для вредоносной эксплуатации.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Исследователи из Imperva и Тель-Авивского университета в Израиле разработали новый вектор массированных DDoS-атак, использующий недостатки в реализации HTTP/2, который сравним по эффективности с Rapid Reset.
Атака, получившая название MadeYouReset, действительно похожа на уже известную Rapid Reset, которая в 2023 году использовалась в 0-day атаках, побивших рекорды DDoS по количеству запросов в секунду (RPS).
Как отмечает CERT/CC Университета Карнеги-Меллона в своем бюллетене, HTTP/2 представил отмену потока - возможность как клиента, так и сервера немедленно закрыть поток в любой момент.
Однако после отмены потока многие реализации продолжают обрабатывать запрос, вычислять ответ, но не отправляют его обратно клиенту.
Это создаёт несоответствие между количеством активных потоков с точки зрения HTTP/2 и фактическим количеством активных HTTP-запросов, обрабатываемых внутренним сервером».
Открывая потоки и затем быстро запуская их сброс сервером с помощью искажённых кадров или ошибок управления потоком, злоумышленник может воспользоваться несоответствием, возникающим между учётом потоков HTTP/2 и активными HTTP-запросами сервера.
Потоки, сброшенные сервером, считаются закрытыми, даже если внутренняя обработка продолжается. Это позволяет клиенту заставить сервер обрабатывать неограниченное количество одновременных HTTP/2-запросов в рамках одного соединения.
Злоумышленник может постоянно отправлять запросы на сброс настроек на целевой сервер, что приводит к крайне разрушительным DDoS-атакам.
Однако, в отличие от Rapid Reset, метод MadeYouReset, судя по всему, не использовался в реальных условиях.
Основная уязвимость отслеживается как CVE-2025-8671, но некоторые затронутые ею поставщики присвоили собственные идентификаторы CVE.
В категории затронутых оказались: AMPHP, Apache Tomcat, Eclipse Foundation, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River и Zephyr Project.
При этом разработчики Apache Tomcat, F5, Fastly и Varnish уже выпустили исправления, в отличие от остальных упомянутых.
Mozilla работает над исправлениями для затронутых сервисов и веб-сайтов, но отметила, что Firefox не затронут.
В свою очередь, Imperva отметила, что MadeYouReset смешивается с обычным трафиком, что затрудняет его обнаружение.
Вектор атаки позволяет обойти многие существующие средства защиты, но существует ряд мер по снижению риска и другие решения, которые способны предотвратить MadeYouReset.
Атака, получившая название MadeYouReset, действительно похожа на уже известную Rapid Reset, которая в 2023 году использовалась в 0-day атаках, побивших рекорды DDoS по количеству запросов в секунду (RPS).
Как отмечает CERT/CC Университета Карнеги-Меллона в своем бюллетене, HTTP/2 представил отмену потока - возможность как клиента, так и сервера немедленно закрыть поток в любой момент.
Однако после отмены потока многие реализации продолжают обрабатывать запрос, вычислять ответ, но не отправляют его обратно клиенту.
Это создаёт несоответствие между количеством активных потоков с точки зрения HTTP/2 и фактическим количеством активных HTTP-запросов, обрабатываемых внутренним сервером».
Открывая потоки и затем быстро запуская их сброс сервером с помощью искажённых кадров или ошибок управления потоком, злоумышленник может воспользоваться несоответствием, возникающим между учётом потоков HTTP/2 и активными HTTP-запросами сервера.
Потоки, сброшенные сервером, считаются закрытыми, даже если внутренняя обработка продолжается. Это позволяет клиенту заставить сервер обрабатывать неограниченное количество одновременных HTTP/2-запросов в рамках одного соединения.
Злоумышленник может постоянно отправлять запросы на сброс настроек на целевой сервер, что приводит к крайне разрушительным DDoS-атакам.
Однако, в отличие от Rapid Reset, метод MadeYouReset, судя по всему, не использовался в реальных условиях.
Основная уязвимость отслеживается как CVE-2025-8671, но некоторые затронутые ею поставщики присвоили собственные идентификаторы CVE.
В категории затронутых оказались: AMPHP, Apache Tomcat, Eclipse Foundation, F5, Fastly, gRPC, Mozilla, Netty, Suse Linux, Varnish Software, Wind River и Zephyr Project.
При этом разработчики Apache Tomcat, F5, Fastly и Varnish уже выпустили исправления, в отличие от остальных упомянутых.
Mozilla работает над исправлениями для затронутых сервисов и веб-сайтов, но отметила, что Firefox не затронут.
В свою очередь, Imperva отметила, что MadeYouReset смешивается с обычным трафиком, что затрудняет его обнаружение.
Вектор атаки позволяет обойти многие существующие средства защиты, но существует ряд мер по снижению риска и другие решения, которые способны предотвратить MadeYouReset.
DEEPNESS Lab
MadeYouReset - DEEPNESS Lab
Подкатил PatchTuesday в категории ICS и OT за август 2025 года от основных поставщиков, включая Siemens, Schneider, Aveva, Honeywell, ABB и Phoenix Contact.
Siemens опубликовала 22 новых бюллетеня, один из которых описывает CVE-2025-40746 - критическую уязвимость в Simatic RTLS Locating Manager, которую может использовать аутентифицированный злоумышленник для выполнения кода с системными привилегиями.
Компания также опубликовала рекомендации, касающиеся уязвимостей высокой степени серьезности в Comos (RCE), Siemens Engineering Platforms (RCE), Simcenter (DoS или RCE), контроллерах Sinumerik (несанкционированный удаленный доступ), Ruggedcom (обход аутентификации с физическим доступом), Simatic (RCE), Siprotect (DoS) и Opcenter Quality (несанкционированный доступ).
Siemens также устранила уязвимости, связанные со сторонними компонентами, включая OpenSSL, ядро Linux, Wibu Systems, Nginx, Nozomi Networks и SQLite.
Устранены проблемы средней и низкой степени серьезности в Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II и Sicam Q.
Schneider Electric выпустила пять новых бюллетеней. В одном из них описаны четыре высокосерьезные уязвимости в EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation. Эксплуатация может привести к RCE или раскрытию конфиденциальных данных.
В контроллере Modicon M340 и его коммуникационных модулях устранена опасная DoS-уязвимость, которая может быть вызвана специально созданными FTP-командами, а также проблема высокой степени серьезности, приводящая к раскрытию конфиденциальной информации или DoS.
В инструменте Schneider Electric Software Update компания устранила уязвимость высокой степени серьезности, которая позволяла злоумышленнику повысить привилегии, повредить файлы, получить информацию или вызвать DoS.
В Saitel и EcoStruxure были исправлены проблемы средней степени серьезности, которые могли привести к EoP, DoS или раскрытию конфиденциальных учетных данных.
Honeywell опубликовала шесть бюллетеней, посвящённых продуктам SCADA, в том числе несколько бюллетеней, информирующих об обновлениях Windows для продуктов Maxpro и Pro-Watch NVR и VMS.
Компания также выпустила бюллетени, посвящённые обновлениям и улучшениям безопасности для контроллеров доступа серии PW.
Aveva выкатила уведомление о двух проблемах в PI Integrator for Business Analytics. Были устранены две уязвимости: одна - с произвольной загрузкой файлов, которая могла привести к RCE, и другая - приводящяя к раскрытию конфиденциальных данных.
ABB сообщала о нескольких уязвимостях, затрагивающих Aspect, Nexus и Matrix.
Некоторые из них могут быть использованы без аутентификации для RCE, получения учётных данных, а также для манипулирования файлами и различными компонентами.
Phoenix Contact предупредила клиентов об уязвимости, связанной с EoP в системе управления устройствами и обновлениями.
Rockwell Automation анонсирвоала предупреждение для клиентов в отношении нескольких серьезных уязвимостей выполнения кода, влияющих на Arena Simulation.
Также предупреждение выпустила Mitsubishi Electric, описывая в нем уязвимость, приводящую к подмене информации в продуктах Genesis и MC Works64.
Siemens опубликовала 22 новых бюллетеня, один из которых описывает CVE-2025-40746 - критическую уязвимость в Simatic RTLS Locating Manager, которую может использовать аутентифицированный злоумышленник для выполнения кода с системными привилегиями.
Компания также опубликовала рекомендации, касающиеся уязвимостей высокой степени серьезности в Comos (RCE), Siemens Engineering Platforms (RCE), Simcenter (DoS или RCE), контроллерах Sinumerik (несанкционированный удаленный доступ), Ruggedcom (обход аутентификации с физическим доступом), Simatic (RCE), Siprotect (DoS) и Opcenter Quality (несанкционированный доступ).
Siemens также устранила уязвимости, связанные со сторонними компонентами, включая OpenSSL, ядро Linux, Wibu Systems, Nginx, Nozomi Networks и SQLite.
Устранены проблемы средней и низкой степени серьезности в Simotion Scout, Siprotec 5, Simatic RTLS Locating Manager, Ruggedcom ROX II и Sicam Q.
Schneider Electric выпустила пять новых бюллетеней. В одном из них описаны четыре высокосерьезные уязвимости в EcoStruxure Power Monitoring Expert, Power Operation и Power SCADA Operation. Эксплуатация может привести к RCE или раскрытию конфиденциальных данных.
В контроллере Modicon M340 и его коммуникационных модулях устранена опасная DoS-уязвимость, которая может быть вызвана специально созданными FTP-командами, а также проблема высокой степени серьезности, приводящая к раскрытию конфиденциальной информации или DoS.
В инструменте Schneider Electric Software Update компания устранила уязвимость высокой степени серьезности, которая позволяла злоумышленнику повысить привилегии, повредить файлы, получить информацию или вызвать DoS.
В Saitel и EcoStruxure были исправлены проблемы средней степени серьезности, которые могли привести к EoP, DoS или раскрытию конфиденциальных учетных данных.
Honeywell опубликовала шесть бюллетеней, посвящённых продуктам SCADA, в том числе несколько бюллетеней, информирующих об обновлениях Windows для продуктов Maxpro и Pro-Watch NVR и VMS.
Компания также выпустила бюллетени, посвящённые обновлениям и улучшениям безопасности для контроллеров доступа серии PW.
Aveva выкатила уведомление о двух проблемах в PI Integrator for Business Analytics. Были устранены две уязвимости: одна - с произвольной загрузкой файлов, которая могла привести к RCE, и другая - приводящяя к раскрытию конфиденциальных данных.
ABB сообщала о нескольких уязвимостях, затрагивающих Aspect, Nexus и Matrix.
Некоторые из них могут быть использованы без аутентификации для RCE, получения учётных данных, а также для манипулирования файлами и различными компонентами.
Phoenix Contact предупредила клиентов об уязвимости, связанной с EoP в системе управления устройствами и обновлениями.
Rockwell Automation анонсирвоала предупреждение для клиентов в отношении нескольких серьезных уязвимостей выполнения кода, влияющих на Arena Simulation.
Также предупреждение выпустила Mitsubishi Electric, описывая в нем уязвимость, приводящую к подмене информации в продуктах Genesis и MC Works64.
Siemens
Siemens ProductCERT and Siemens CERT
The central expert teams for immediate response to security threats and issues affecting Siemens products, solutions, services, or infrastructure.
Исследователи из Лаборатории Касперского расчехлили новый троян Efimer, нацеленный на кражу криптовалюты и обладающий возможностями массового распространения через взлом WordPress-сайтов и размещаемые на них вредоносные файлы.
Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.
В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.
В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.
Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.
После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.
Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.
Первые версии этого троянца появились, предположительно, в октябре 2024 года.
По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.
Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.
Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.
Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.
Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.
В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.
При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.
Технические подробности и разбор Efimer - в отчете.
Изначально задетектить новую угрозу удалось в ходе исследования массовую рассылки от имени юристов крупной компании с претензиями о якобы использовании получателем доменного имени в нарушение прав отправителя.
В прикрепленном к письму архиве Demand_984175.zip получатель может обнаружить еще один архив, защищенный паролем, и пустой файл с именем PASSWORD - 47692.
В запароленном архиве располагался вредоносный файл Requirement.wsf, и, в случае его запуска, компьютер заражался троянцем Efimer, а на экране выходило сообщение об ошибке.
Efimer представляет собой троянец типа ClipBanker с функцией подмены адресов криптокошельков в буфере обмена на адреса кошельков злоумышленника, а также с возможностью выполнять сторонний код, полученный от командного центра.
После заражения запускается процесс установки на компьютер жертвы прокси-клиента Tor для дальнейшего взаимодействия с C2.
Троян получил такое имя, поскольку в начале расшифрованного скрипта присутствовал комментарий со словом Efimer.
Первые версии этого троянца появились, предположительно, в октябре 2024 года.
По состоянию на июль 2025 года с троянцем Efimer столкнулись 5015 пользователей решений Лаборатории Касперского.
Зловред был наиболее активен в Бразилии (1476 жертв). Также в числе наиболее пострадавших оказались пользователи Индии, Испании, России, Италии и Германии.
Основными каналами распространения Efimer выступают взломанные WordPress-сайты, вредоносные торренты и электронная почта.
Дополнительные скрипты под капотом расширяет функциональность трояна, позволяя злоумышленникам взламывать сайты WordPress и рассылать спам, обеспечивая полноценную вредоносную инфраструктуру, в том числе для распространения на новые устройства.
Еще одна любопытная особенность этого троянца состоит в том, что он пытается распространяться как среди частных пользователей, так и в корпоративной среде.
В первом случае злоумышленники используют в качестве приманки торрент-файлы якобы для загрузки популярных фильмов, в другом - претензии, связанные с якобы неправомерным использованием слов или фраз, зарегистрированных другой компанией.
При этом стоит отметить, что в обоих случаях заражение невозможно, если пользователь сам не скачает и не запустит вредоносный файл.
Технические подробности и разбор Efimer - в отчете.
Securelist
Троянец Efimer с доставкой через почту и взломанные WordPress-сайты
Троянец Efimer распространяется через почту и взломанные сайты на WordPress, крадет криптовалюту и подменяет кошельки в буфере обмена.
Cisco опубликовала более 20 рекомендаций по безопасности в рамках обноавлений за август 2025 года для продуктов Secure Firewall Management Center (FMC), Secure Firewall Threat Defense (FTD) и Secure Firewall Adaptive Security Appliance (ASA).
Наиболее серьезной уязвимостью является CVE-2025-20265 (оценка CVSS: 10,0) критическая уязвимость, затрагивающая платформу Secure FMC, предназначенную для управления и мониторинга устройств Cisco FTD и других решений безопасности.
Уязвимость затрагивает реализацию подсистемы RADIUS, что может позволить неаутентифицированному удаленному злоумышленнику внедрять произвольные команды оболочки, которые выполняются устройством.
Проблема возникает из-за отсутствия надлежащей обработки вводимых пользователем данных на этапе аутентификации, в результате чего злоумышленник может отправить специально созданные входные данные при вводе учетных данных, которые проходят аутентификацию на настроенном сервере RADIUS.
Успешный эксплойт может позволить злоумышленнику выполнять команды с высоким уровнем привилегий.
Для эксплуатации Secure FMC должен быть настроен на аутентификацию RADIUS для веб-интерфейса управления, управления SSH или обоих.
Уязвимость затрагивает версии Secure FMC Software 7.0.7 и 7.7.0, если в них включена аутентификация RADIUS.
Обходных путей, кроме применения исправлений, предоставляемых компанией, не существует.
Помимо CVE-2025-20265 Cisco также исправила ряд других серьезных ошибок:
- CVE-2025-20217 (CVSS: 8,6): DoS-уязвимость Snort 3 в Secure Firewall Threat Defense.
- CVE-2025-20222 (CVSS: 8,6): DoS-уязвимость IPv6 через IPsec в Secure Firewall и Secure Firewall для Firepower серии 2100.
- CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (оценка CVSS: 8,6): DoS-уязвимости IKEv2 в IOS, IOS XE, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20133, CVE-2025-20243 (CVSS: 8,6): DoS-уязвимость удаленного доступа SSL VPN для Secure Firewall и Secure Firewall.
- CVE-2025-20134 (CVSS: 8,6): DoS-уязвимость SSL/TLS-сертификата в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20136 (CVSS: 8,6): DoS-уязвимость при проверке DNS в системе преобразования сетевых адресов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
- CVE-2025-20263 (CVSS: 8,6): уязвимость отказоустойчивости веб-сервисов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20148 (CVSS: 8,5): уязвимость HTML-инъекции в Secure Firewall Management Center.
- CVE-2025-20251 (CVSS: 8,5): DoS-уязвимость VPN-сервера VPN в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20127 (CVSS: 7,7): уязвимость шифрования TLS 1.3 типа DoS в Secure Firewall и Secure Firewall для Firepower серий 3100 и 4200.
- CVE-2025-20244 (CVSS: 7,7): DoS-уязвимость веб-сервера VPN с удалённым доступом в Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Как отмечает поставщик, пока ни одна из проблем не подвергалась активной эксплуатации в реальных условиях, но учитывая особое отношение киберподполья к решениям компании - это определенно может произойти.
Наиболее серьезной уязвимостью является CVE-2025-20265 (оценка CVSS: 10,0) критическая уязвимость, затрагивающая платформу Secure FMC, предназначенную для управления и мониторинга устройств Cisco FTD и других решений безопасности.
Уязвимость затрагивает реализацию подсистемы RADIUS, что может позволить неаутентифицированному удаленному злоумышленнику внедрять произвольные команды оболочки, которые выполняются устройством.
Проблема возникает из-за отсутствия надлежащей обработки вводимых пользователем данных на этапе аутентификации, в результате чего злоумышленник может отправить специально созданные входные данные при вводе учетных данных, которые проходят аутентификацию на настроенном сервере RADIUS.
Успешный эксплойт может позволить злоумышленнику выполнять команды с высоким уровнем привилегий.
Для эксплуатации Secure FMC должен быть настроен на аутентификацию RADIUS для веб-интерфейса управления, управления SSH или обоих.
Уязвимость затрагивает версии Secure FMC Software 7.0.7 и 7.7.0, если в них включена аутентификация RADIUS.
Обходных путей, кроме применения исправлений, предоставляемых компанией, не существует.
Помимо CVE-2025-20265 Cisco также исправила ряд других серьезных ошибок:
- CVE-2025-20217 (CVSS: 8,6): DoS-уязвимость Snort 3 в Secure Firewall Threat Defense.
- CVE-2025-20222 (CVSS: 8,6): DoS-уязвимость IPv6 через IPsec в Secure Firewall и Secure Firewall для Firepower серии 2100.
- CVE-2025-20224, CVE-2025-20225, CVE-2025-20239 (оценка CVSS: 8,6): DoS-уязвимости IKEv2 в IOS, IOS XE, Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20133, CVE-2025-20243 (CVSS: 8,6): DoS-уязвимость удаленного доступа SSL VPN для Secure Firewall и Secure Firewall.
- CVE-2025-20134 (CVSS: 8,6): DoS-уязвимость SSL/TLS-сертификата в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20136 (CVSS: 8,6): DoS-уязвимость при проверке DNS в системе преобразования сетевых адресов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
- CVE-2025-20263 (CVSS: 8,6): уязвимость отказоустойчивости веб-сервисов Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense Software.
- CVE-2025-20148 (CVSS: 8,5): уязвимость HTML-инъекции в Secure Firewall Management Center.
- CVE-2025-20251 (CVSS: 8,5): DoS-уязвимость VPN-сервера VPN в Secure Firewall и Secure Firewall Threat Defense.
- CVE-2025-20127 (CVSS: 7,7): уязвимость шифрования TLS 1.3 типа DoS в Secure Firewall и Secure Firewall для Firepower серий 3100 и 4200.
- CVE-2025-20244 (CVSS: 7,7): DoS-уязвимость веб-сервера VPN с удалённым доступом в Secure Firewall Adaptive Security Appliance и Secure Firewall Threat Defense.
Как отмечает поставщик, пока ни одна из проблем не подвергалась активной эксплуатации в реальных условиях, но учитывая особое отношение киберподполья к решениям компании - это определенно может произойти.
Cisco
Cisco Security Advisory: Cisco Secure Firewall Management Center Software RADIUS Remote Code Execution Vulnerability
A vulnerability in the RADIUS subsystem implementation of Cisco Secure Firewall Management Center (FMC) Software could allow an unauthenticated, remote attacker to inject arbitrary shell commands that are executed by the device.
This vulnerability is due…
This vulnerability is due…
Fortinet рапортует об устранении серьёзной уязвимости (CVE-2025-52970), получившей название FortMajeure в своих межсетевых экранах FortiWeb, которая позволяет злоумышленникам подделывать сеансовые cookie-файлы и обходить аутентификацию на устройстве.
И настоятельно рекомендует клиентам установить исправление для своих устройств FortiSIEM для нейтрализации потенциальных рисков атак с внедрением команд (CVE-2025-25256), поскольку реально работающий код эксплойта доступен в сети и ожидается его скорейшая реализация в дикой природе.
Тем не менее, в сети активно расползаются слухи о продаже в киберподпольщиками некой 0-day Fortinet для RCE, затрагивающей об устранении северсий 7.4–7.6 (имеется якобы даже работающий PoC).
Но будем посмотреть.
И настоятельно рекомендует клиентам установить исправление для своих устройств FortiSIEM для нейтрализации потенциальных рисков атак с внедрением команд (CVE-2025-25256), поскольку реально работающий код эксплойта доступен в сети и ожидается его скорейшая реализация в дикой природе.
Тем не менее, в сети активно расползаются слухи о продаже в киберподпольщиками некой 0-day Fortinet для RCE, затрагивающей об устранении северсий 7.4–7.6 (имеется якобы даже работающий PoC).
Но будем посмотреть.
FortiGuard Labs
PSIRT | FortiGuard Labs
None
Исследователи Лаборатории Касперского представили результаты нового аналитического исследования из серии отчетов в отношении актуальных трендов в фишинге и скаме.
С момента предыдущей публикации по приемам фишеров произошел значительный рывок в развитии подобного рода угроз.
Несмотря на то, что многие ранее описанные инструменты по-прежнему остаются актуальными, появились новые техники, изменились цели атак и способы их реализации.
Фишинг и скам - это достаточно динамичные виды онлайн-мошенничества, они стремительно эволюционируют благодаря ИИ и новым технологиям.
Злоумышленники на системной основе изобретают как новые, более сложные схемы, так и улучшают старые, адаптируя их под новостную повестку, тренды и громкие мировые события.
Если раньше мошенники ограничивались поддельными письмами и сайтами, то сегодня они используют дипфейки, голосовые клоны, крадут биометрию и выманивают данные пользователей в несколько этапов.
В своем отчете исследователи выделяют следующие главные тенденции:
- Персонализация атак: ИИ анализирует соцсети и корпоративные данные, делая фишинг максимально правдоподобным.
- Использование легитимных сервисов: злоумышленники эксплуатируют доверенные платформы, такие как Google Translate и Telegraph.
- Кража неизменяемых данных: биометрия, подписи и голос становятся желанными целями.
- Усложнение обхода 2FA: мошенники внедряют многоэтапные схемы социнженерии.
Влияние ИИ на фишинг и скам, последние изменения в инструментарии злоумышленников, роль мессенджеров и приоритеты мошенников - все это в отчете.
С момента предыдущей публикации по приемам фишеров произошел значительный рывок в развитии подобного рода угроз.
Несмотря на то, что многие ранее описанные инструменты по-прежнему остаются актуальными, появились новые техники, изменились цели атак и способы их реализации.
Фишинг и скам - это достаточно динамичные виды онлайн-мошенничества, они стремительно эволюционируют благодаря ИИ и новым технологиям.
Злоумышленники на системной основе изобретают как новые, более сложные схемы, так и улучшают старые, адаптируя их под новостную повестку, тренды и громкие мировые события.
Если раньше мошенники ограничивались поддельными письмами и сайтами, то сегодня они используют дипфейки, голосовые клоны, крадут биометрию и выманивают данные пользователей в несколько этапов.
В своем отчете исследователи выделяют следующие главные тенденции:
- Персонализация атак: ИИ анализирует соцсети и корпоративные данные, делая фишинг максимально правдоподобным.
- Использование легитимных сервисов: злоумышленники эксплуатируют доверенные платформы, такие как Google Translate и Telegraph.
- Кража неизменяемых данных: биометрия, подписи и голос становятся желанными целями.
- Усложнение обхода 2FA: мошенники внедряют многоэтапные схемы социнженерии.
Влияние ИИ на фишинг и скам, последние изменения в инструментарии злоумышленников, роль мессенджеров и приоритеты мошенников - все это в отчете.
Securelist
Фишинг и скам: как мошенники обманывают пользователей в 2025 году
Какие приемы распространены в фишинге и скаме в 2025 году: использование ИИ и дипфейков, фишинг через Telegram, Google Translate и Blob URL, кража биометрии и т.д.
Исследователи F6 сообщают о масштабном наступлении хакерской группы Kinsing (H2Miner и Resourceful Wolf) на российских пользователей.
Группировка действует за рубежом с 2019 года, получила свое название от вредоносного программного обеспечения Kinsing, которое она активно использует в своих атаках.
Она специализируется на криптоджекинге - злоупотреблении вычислительными ресурсами зараженных систем для майнинга крипты, преимущественно Monero (XMR), а также на создании и продвижении ботнетов.
Большинство атак зафиксированы в Северной Америке, Западной Европе и Азии.
В 2024 году российские исследователи сообщали об обнаружении атак Kinsing, не обозначая цель атаки и расположение, а в 2025 впервые начали масштабно работать по RU.
Весной один из клиентов F6 зафиксировал попытку кибератаки на свои внешние сервера.
В результате тщательного анализа IoCs, сетевого трафика и сопоставления выявляемых TTPs злоумышленника специалисты вышли на след Kinsing.
Главная цель Kinsing - заражение устройств вредоносным ПО для майнинга криптовалют.
В отличие от большинства других группировок, Kinsing не прибегает к фишинговым атакам, сканируют инфраструктуру, выявляя уязвимости, которые затем задействуют для выполнения вредоносного кода в системе.
Наиболее часто группировка эксплуатирует следующие уязвимости: CVE-2017-9841, CVE-2019-17564, CVE-2019-19781, CVE-2020-10684, CVE-2020-17519, CVE-2020-5902, CVE-2020-9480, CVE-2021-26084, CVE-2021-41773, CVE-2021-44228, CVE-2022-24706, CVE-2022-26134, CVE-2023-35042.
В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет майнеры конкурентов, удаляет их и устанавливает собственный.
Атаки Kinsing нацелены на серверные Linux-системы, особенно в облачных и контейнерных инфраструктурах
Группировка использует уязвимости и ошибки в настройке в таких компонентах, как Docker, Kubernetes, Redis и PostgreSQL, а также в популярных корпоративных сервисах - Apache Log4j, Tomcat, NiFi, Confluence, Citrix, WebLogic и других.
Для каждой цели применяются специализированные скрипты (например, lh.sh для Log4Shell), автоматически разворачивающие вредоносное ПО, включая майнеры и сам бинарник Kinsing.
Результат заражения - замедление работы, снижение производительности и ускоренный износ оборудования.
Технические подробности исследования (от исходных данных и применённых методов анализа до итоговой атрибуции атаки и предоставленных рекомендаций) и IOCs - в отчете.
Группировка действует за рубежом с 2019 года, получила свое название от вредоносного программного обеспечения Kinsing, которое она активно использует в своих атаках.
Она специализируется на криптоджекинге - злоупотреблении вычислительными ресурсами зараженных систем для майнинга крипты, преимущественно Monero (XMR), а также на создании и продвижении ботнетов.
Большинство атак зафиксированы в Северной Америке, Западной Европе и Азии.
В 2024 году российские исследователи сообщали об обнаружении атак Kinsing, не обозначая цель атаки и расположение, а в 2025 впервые начали масштабно работать по RU.
Весной один из клиентов F6 зафиксировал попытку кибератаки на свои внешние сервера.
В результате тщательного анализа IoCs, сетевого трафика и сопоставления выявляемых TTPs злоумышленника специалисты вышли на след Kinsing.
Главная цель Kinsing - заражение устройств вредоносным ПО для майнинга криптовалют.
В отличие от большинства других группировок, Kinsing не прибегает к фишинговым атакам, сканируют инфраструктуру, выявляя уязвимости, которые затем задействуют для выполнения вредоносного кода в системе.
Наиболее часто группировка эксплуатирует следующие уязвимости: CVE-2017-9841, CVE-2019-17564, CVE-2019-19781, CVE-2020-10684, CVE-2020-17519, CVE-2020-5902, CVE-2020-9480, CVE-2021-26084, CVE-2021-41773, CVE-2021-44228, CVE-2022-24706, CVE-2022-26134, CVE-2023-35042.
В случае успешной атаки на устройство жертвы загружается и запускается вредоносный скрипт, который ищет майнеры конкурентов, удаляет их и устанавливает собственный.
Атаки Kinsing нацелены на серверные Linux-системы, особенно в облачных и контейнерных инфраструктурах
Группировка использует уязвимости и ошибки в настройке в таких компонентах, как Docker, Kubernetes, Redis и PostgreSQL, а также в популярных корпоративных сервисах - Apache Log4j, Tomcat, NiFi, Confluence, Citrix, WebLogic и других.
Для каждой цели применяются специализированные скрипты (например, lh.sh для Log4Shell), автоматически разворачивающие вредоносное ПО, включая майнеры и сам бинарник Kinsing.
Результат заражения - замедление работы, снижение производительности и ускоренный износ оборудования.
Технические подробности исследования (от исходных данных и применённых методов анализа до итоговой атрибуции атаки и предоставленных рекомендаций) и IOCs - в отчете.
F6
Нежданные гости: F6 проанализировала первые масштабные атаки группы Kinsing на российские компании - F6
Целью этих атак было заражение устройств вредоносным ПО Kinsing и Xmrig для майнинга криптовалют.
Forwarded from Social Engineering
• Официальный YT-канал пока не опубликовал видео с выступлений, но в одном из репозиториев появились слайды с данной конференции, которые можно найти вот тут:
• А ещё обязательно посмотрите выступления с предыдущих ивентов, где можно подчеркнуть для себя много нового и полезного:
➖➖➖➖➖
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователь 0x_shaq анонсировал PoC для уязвимости в брандмауэре приложений FortiWeb, которая позволяет удаленному злоумышленнику обойти аутентификацию.
Проблема отслеживается как CVE-2025-52970 и получила неофициальное наименование FortMajeure. Исправления доступны с 12 августа.
Ошибка связана со чтением за пределами допустимого диапазона при анализе cookie-файлов FortiWeb, которое позволяет злоумышленнику установить параметр Era на неожиданное значение.
Это, в свою очередь, заставляет сервер использовать для шифрования сеанса и подписывания HMAC секретный ключ, состоящий из одних нулей, что упрощает создание поддельных аутентификационных cookie-файлов.
Эксплуатация приводит к полному обходу аутентификации, позволяя злоумышленнику выдавать себя за любого активного пользователя, включая администратора.
Для успешной эксплуатации CVE-2025-52970 целевой пользователь должен иметь активный сеанс во время атаки, а злоумышленник должен подобрать небольшое числовое поле в cookie-файле методом подбора. При этом диапазон обычно не превышает 30 запросов.
Поскольку эксплойт использует ключ, состоящий из одних нулей (из-за ошибки Era), каждую догадку можно проверить мгновенно, проверив, принят ли поддельный cookie-файл.
Проблема затрагивает FortiWeb версий 7.0–7.6 и была исправлена в следующих версиях: 7.6.4, 7.4.8, 7.2.11, 7.0.11 и более поздние версии.
В бюллетене Fortinet упоминается, что версии 8.0 не подвержены этой проблеме, поэтому никаких действий предпринимать не нужно.
Обходные пути или меры по смягчению последствий отсутствуют, поэтому единственным рекомендуемым эффективным действием является обновление до безопасной версии.
Причем оценка серьёзности Fortinet по шкале CVSS, равная 7,7, явно не соответствует действительности и якобы обусловлена «высокой сложностью атаки» из-за необходимости полного перебора. Однако на практике полный перебор выполняется просто и быстро.
Исследователь поделился техническими подробноятми PoC, демонстрирующими имперсонацию администратора на конечной точке REST.
Однако пока не представил полную версию эксплойта, которая также позволяет подключаться к интерфейсу командной строки FortiWeb через /ws/cli/open.
Но пообещал это сделать позднее, оставляя временной лаг для пользователей на применение исправлений.
Раскрытые к настоящему времени сведения в целом отражают суть проблемы, но их недостаточно даже для того, чтобы продвинутые злоумышленники смогли реализовать полноценную цепочку.
Несмотря на это, следует принять срочные меры для устранения проблемы, поскольку киберподполье внимательно следит за ситуацией в расчете на оперативное задействование PoC в реальных атаках.
Проблема отслеживается как CVE-2025-52970 и получила неофициальное наименование FortMajeure. Исправления доступны с 12 августа.
Ошибка связана со чтением за пределами допустимого диапазона при анализе cookie-файлов FortiWeb, которое позволяет злоумышленнику установить параметр Era на неожиданное значение.
Это, в свою очередь, заставляет сервер использовать для шифрования сеанса и подписывания HMAC секретный ключ, состоящий из одних нулей, что упрощает создание поддельных аутентификационных cookie-файлов.
Эксплуатация приводит к полному обходу аутентификации, позволяя злоумышленнику выдавать себя за любого активного пользователя, включая администратора.
Для успешной эксплуатации CVE-2025-52970 целевой пользователь должен иметь активный сеанс во время атаки, а злоумышленник должен подобрать небольшое числовое поле в cookie-файле методом подбора. При этом диапазон обычно не превышает 30 запросов.
Поскольку эксплойт использует ключ, состоящий из одних нулей (из-за ошибки Era), каждую догадку можно проверить мгновенно, проверив, принят ли поддельный cookie-файл.
Проблема затрагивает FortiWeb версий 7.0–7.6 и была исправлена в следующих версиях: 7.6.4, 7.4.8, 7.2.11, 7.0.11 и более поздние версии.
В бюллетене Fortinet упоминается, что версии 8.0 не подвержены этой проблеме, поэтому никаких действий предпринимать не нужно.
Обходные пути или меры по смягчению последствий отсутствуют, поэтому единственным рекомендуемым эффективным действием является обновление до безопасной версии.
Причем оценка серьёзности Fortinet по шкале CVSS, равная 7,7, явно не соответствует действительности и якобы обусловлена «высокой сложностью атаки» из-за необходимости полного перебора. Однако на практике полный перебор выполняется просто и быстро.
Исследователь поделился техническими подробноятми PoC, демонстрирующими имперсонацию администратора на конечной точке REST.
Однако пока не представил полную версию эксплойта, которая также позволяет подключаться к интерфейсу командной строки FortiWeb через /ws/cli/open.
Но пообещал это сделать позднее, оставляя временной лаг для пользователей на применение исправлений.
Раскрытые к настоящему времени сведения в целом отражают суть проблемы, но их недостаточно даже для того, чтобы продвинутые злоумышленники смогли реализовать полноценную цепочку.
Несмотря на это, следует принять срочные меры для устранения проблемы, поскольку киберподполье внимательно следит за ситуацией в расчете на оперативное задействование PoC в реальных атаках.
( ͡◕ _ ͡◕)👌
FortMajeure: Authentication Bypass in FortiWeb (CVE-2025-52970)
Hello world! long time no see. I was so busy, mainly with working on symbol.exchange (btw opened a new “Bug Driven Development” community) and started to try my way in academia.
Ресерчеры Citizen Lab выкатили результаты своих исследований безопасности ряда популярных VPN-приложений, доступных в магазине Google Play.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
Оказалось, что многие из VPN-приложений реализуются с одним и тем же паролем Shadowsocks, жёстко зашитым в исходный код, который позволяет владельцам таких приложений расшифровывать пользовательский трафик.
Причем, по данным CitizenLab, эти приложения зарегистрированы на три подставные компании, управление которыми осуществляется с территории Китая.
Другие весьма интригующие детали представлены в отчете (PDF) и, вероятно, приоткроют для многих завесу в вопросах «безопасности и конфиденциальности» при использовании подобных сервисов.
Бывший модератор форума XSS, известный как Rehub, запустил собственный форум под названием Rehubcom после того, как спецслужбы нейтрализовали ресурс и арестовали его админа в Киеве.
Так что помимо уже прикрученных силовиками копий, в кейсе XSS появляются все новые альтернативные площадки типа DamageLib и Rehubcom, а далее - все покатится уже по известному сценарию под названием Breached.
Тем не менее, будем следить.
Так что помимо уже прикрученных силовиками копий, в кейсе XSS появляются все новые альтернативные площадки типа DamageLib и Rehubcom, а далее - все покатится уже по известному сценарию под названием Breached.
Тем не менее, будем следить.
Исследователи Лаборатории Касперского в новом отчете отследили эволюцию бэкдора PipeMagic: от инцидента с RansomExx до CVE-2025-29824, которая оказалась в числе 121, исправленной в рамках Microsoft PatchTuesday.
Стоит отметить, что отчет стал результатом совместного исследования ЛК с группой исследования уязвимостей BI.ZONE.
Ключевые изменения в TTPs операторов PipeMagic представили Касперы, а Бизоны, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.
Как отметили в Редмонде, CVE-2025-29824 единственная использовалась в реальных атаках на момент выхода патча, а эксплойт к ней запускал вредоносное ПО PipeMagic, который впервые ЛК обнаружила в декабре 2022 года в кампании с использованием RansomExx.
Жертвами атаки стали промышленные компании в Юго-Восточной Азии. Для проникновения в инфраструктуру злоумышленники использовали уязвимость CVE-2017-0144.
Загрузчик бэкдора представлял собой троянизированное приложение Rufus для форматирования USB-дисков, а сам PipeMagic поддерживал два режима работы: полноценный бэкдор и сетевой шлюз для исполнения широкого набора команд.
Позже в ЛК задетектили его вновь в сентябре 2024 года в атаках на организации в Саудовской Аравии. Примечательно, что это была та же версия PipeMagic, что и в 2022 году.
Тогда для первоначального проникновения злоумышленники не эксплуатировали уязвимости, а использовали в качестве приманки поддельное приложение-клиент для ChatGPT.
Оно было написано на Rust и использовало фреймворки Tauri для отрисовки графических приложений и Tokio для асинхронного выполнения задач.
Никакой полезной функциональности в нем не оказалось. Приложение извлекало из своего кода зашифрованный AES массив размером 105 615 байт, расшифровывало и выполняло его. Результат - шелл-код, отвечающий за загрузку исполняемого файла.
Одной из уникальных особенностей PipeMagic является генерация случайного массива длиной 16 байт, который используется для создания именованного канала для передачи зашифрованной полезной нагрузки и уведомлений.
Для взаимодействия с именованным каналом используется стандартный сетевой интерфейс, а для скачивания модулей (PipeMagic обычно задействует несколько плагинов с C2) задействуется домен: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.
Продолжая отслеживать активность зловреда, в 2025 году решения Лаборатории предотвратили заражение организаций в Бразилии и Саудовской Аравии.
При расследовании было замечено обращение к домену hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, которое и навело ресечреров на мысль о связи этой атаки с PipeMagic.
Позже исследователи нашли и сам бэкдор.
В этой атаке в роли загрузчика выступал файл формата Microsoft Help Index File.
Были также найдены образцы загрузчика PipeMagic, имитирующие клиент ChatGPT, похожий на тот, который злоумышленники применяли в атаках на организации в Саудовской Аравии в 2024 году.
Удалось также отследить три дополнительных плагина, используемых в вредоносной кампании 2025 года и реализующих различную функциональность, не присутствующую в основном бэкдоре.
Все модули представляют собой исполняемые файлы для 32-битных систем Windows.
Среди них: модуль асинхронной коммуникации, загрузчик (отвечает за внедрение дополнительной нагрузки в память и ее исполнение) и инжектор (отвечает за запуск полезной нагрузки - исполняемого файла, изначально написанного на C# (.NET).
После компрометации выбранной машины перед атакующими открывается широкий спектр возможностей по горизонтальному перемещению и получению данных учетных записей.
В атаках 2025 года злоумышленники использовали утилиту ProcDump для извлечения памяти процесса LSASS - аналогично методике, описанной Microsoft в контексте эксплуатации CVE-2025-29824.
А особенности этой уязвимости подробно проанализировали уже коллеги из Bi.ZONE во второй части совместного исследования.
Стоит отметить, что отчет стал результатом совместного исследования ЛК с группой исследования уязвимостей BI.ZONE.
Ключевые изменения в TTPs операторов PipeMagic представили Касперы, а Бизоны, в свою очередь, провели технический анализ самой уязвимости CVE-2025-29824.
Как отметили в Редмонде, CVE-2025-29824 единственная использовалась в реальных атаках на момент выхода патча, а эксплойт к ней запускал вредоносное ПО PipeMagic, который впервые ЛК обнаружила в декабре 2022 года в кампании с использованием RansomExx.
Жертвами атаки стали промышленные компании в Юго-Восточной Азии. Для проникновения в инфраструктуру злоумышленники использовали уязвимость CVE-2017-0144.
Загрузчик бэкдора представлял собой троянизированное приложение Rufus для форматирования USB-дисков, а сам PipeMagic поддерживал два режима работы: полноценный бэкдор и сетевой шлюз для исполнения широкого набора команд.
Позже в ЛК задетектили его вновь в сентябре 2024 года в атаках на организации в Саудовской Аравии. Примечательно, что это была та же версия PipeMagic, что и в 2022 году.
Тогда для первоначального проникновения злоумышленники не эксплуатировали уязвимости, а использовали в качестве приманки поддельное приложение-клиент для ChatGPT.
Оно было написано на Rust и использовало фреймворки Tauri для отрисовки графических приложений и Tokio для асинхронного выполнения задач.
Никакой полезной функциональности в нем не оказалось. Приложение извлекало из своего кода зашифрованный AES массив размером 105 615 байт, расшифровывало и выполняло его. Результат - шелл-код, отвечающий за загрузку исполняемого файла.
Одной из уникальных особенностей PipeMagic является генерация случайного массива длиной 16 байт, который используется для создания именованного канала для передачи зашифрованной полезной нагрузки и уведомлений.
Для взаимодействия с именованным каналом используется стандартный сетевой интерфейс, а для скачивания модулей (PipeMagic обычно задействует несколько плагинов с C2) задействуется домен: hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com.
Продолжая отслеживать активность зловреда, в 2025 году решения Лаборатории предотвратили заражение организаций в Бразилии и Саудовской Аравии.
При расследовании было замечено обращение к домену hxxp://aaaaabbbbbbb.eastus.cloudapp.azure[.]com, которое и навело ресечреров на мысль о связи этой атаки с PipeMagic.
Позже исследователи нашли и сам бэкдор.
В этой атаке в роли загрузчика выступал файл формата Microsoft Help Index File.
Были также найдены образцы загрузчика PipeMagic, имитирующие клиент ChatGPT, похожий на тот, который злоумышленники применяли в атаках на организации в Саудовской Аравии в 2024 году.
Удалось также отследить три дополнительных плагина, используемых в вредоносной кампании 2025 года и реализующих различную функциональность, не присутствующую в основном бэкдоре.
Все модули представляют собой исполняемые файлы для 32-битных систем Windows.
Среди них: модуль асинхронной коммуникации, загрузчик (отвечает за внедрение дополнительной нагрузки в память и ее исполнение) и инжектор (отвечает за запуск полезной нагрузки - исполняемого файла, изначально написанного на C# (.NET).
После компрометации выбранной машины перед атакующими открывается широкий спектр возможностей по горизонтальному перемещению и получению данных учетных записей.
В атаках 2025 года злоумышленники использовали утилиту ProcDump для извлечения памяти процесса LSASS - аналогично методике, описанной Microsoft в контексте эксплуатации CVE-2025-29824.
А особенности этой уязвимости подробно проанализировали уже коллеги из Bi.ZONE во второй части совместного исследования.
Securelist
PipeMagic в 2025 году: как изменились тактики операторов бэкдора
Изучаем развитие бэкдора PipeMagic и TTP его операторов: от инцидента с RansomExx в 2022 году до атак в Бразилии и Саудовской Аравии и эксплуатации CVE-2025-29824 в 2025-м.