Весьма ценный экспонат засветился в киберподполье: взломан и реализуется Whosarat.com.
Ресурс позиционируется как онлайн база данных полицейских информаторов, агентуры в исправительных учреждениях и конфидентов УБН США.
Селлер предлагает полную базу, включающую конфиденциальную личную и даже оперативную информацию в отношении 30 000 лиц.
Утечка содержит сведения: полные установочные и контактные данные, фото, судимости, адреса, данные на кураторов, «послужной» список» и др.
Ресурс позиционируется как онлайн база данных полицейских информаторов, агентуры в исправительных учреждениях и конфидентов УБН США.
Селлер предлагает полную базу, включающую конфиденциальную личную и даже оперативную информацию в отношении 30 000 лиц.
Утечка содержит сведения: полные установочные и контактные данные, фото, судимости, адреса, данные на кураторов, «послужной» список» и др.
SonicWall официально объявила, что все клиенты, использовавшие ее облачный сервис резервного копирования для хранения файлов конфигурации брандмауэра, пострадали от недавней утечки данных.
Инцидент произошел в начале сентября и был раскрыт пару недель спустя.
Тогда компания заявила, что хакеры похитили файлы резервной копии конфигурации брандмауэра, хранившиеся с помощью сервиса MySonicWall у менее 5% клиентов.
В обновлении от 8 октября компания сообщила, что злоумышленники получили доступ к файлам настроек всех межсетевых экранов, которые были настроены на резервное копирование файлов в облачную службу резервного копирования MySonicWall.
Файлы содержат зашифрованные учетные данные и данные конфигурации, так что пока шифрование остается активным, владение этими файлами может повысить риск целенаправленных атак.
Компания в настоящее время уведомляет всех затронутых партнеров и клиентов, а также выпустила инструменты, которые помогут в оценке и устранении последствий.
Кроме того, SonicWall опубликовала список затронутых устройств на портале MySonicWall, а к расследованию инцидента подключили специалистов из Mandiant.
В компании настоятельно рекомендовали всем партнёрам и клиентам войти в систему и проверить свои устройства, а также сбросить все пароли и следовать представленным инструкциям, в том числе по смягчению последствий.
Инцидент произошел в начале сентября и был раскрыт пару недель спустя.
Тогда компания заявила, что хакеры похитили файлы резервной копии конфигурации брандмауэра, хранившиеся с помощью сервиса MySonicWall у менее 5% клиентов.
В обновлении от 8 октября компания сообщила, что злоумышленники получили доступ к файлам настроек всех межсетевых экранов, которые были настроены на резервное копирование файлов в облачную службу резервного копирования MySonicWall.
Файлы содержат зашифрованные учетные данные и данные конфигурации, так что пока шифрование остается активным, владение этими файлами может повысить риск целенаправленных атак.
Компания в настоящее время уведомляет всех затронутых партнеров и клиентов, а также выпустила инструменты, которые помогут в оценке и устранении последствий.
Кроме того, SonicWall опубликовала список затронутых устройств на портале MySonicWall, а к расследованию инцидента подключили специалистов из Mandiant.
В компании настоятельно рекомендовали всем партнёрам и клиентам войти в систему и проверить свои устройства, а также сбросить все пароли и следовать представленным инструкциям, в том числе по смягчению последствий.
У Discord, по всей видимости, все не так однозначно, как заявляется: хакеры утверждают, что слямзили данные 5,5 млн. уникальных пользователей из экземпляра системы поддержки Zendesk, включая документы и отчасти платежную информацию.
Компания же опровергла заявления о том, что в результате утечки были раскрыты 2,1 миллиона фотографий из удостоверений личности, признавая лишь около 70 000 пользователей в качестве жертв утечки, документы которых использовались для подтверждения возраста.
Злоумышленники сообщили, что взлом произошел через службу поддержки Zendesk в Discord, однако компания не подтвердила это, ограничившись описанием инцидента сторонним сервисом, используемым для поддержки клиентов.
В конечно счете, в Discord категорически отказались от уплаты выкупа, заявляя, что «не будет вознаграждать виновных в незаконных действиях».
В ответ на это хакеры сообщили, что Discord утаивает всю серьезность взлома, ведь им удалось выкрасть 1,6 ТБ данных из экземпляра Zendesk компании.
По словам злоумышленников, они получили доступ к экземпляру Zendesk Discord на 58 часов, начиная с 20 сентября 2025 года.
Причем произошло это не из-за уязвимости или взлома Zendesk, а в виду компрометации учетной записи агента поддержки, работающего через стороннего поставщика услуг аутсорсинга бизнес-процессов (BPO), используемого Discord.
Внутренний экземпляр Zendesk в Discord предоставил им доступ к приложению поддержки, известному как Zenbar, которое позволяло им выполнять различные задачи, связанные с поддержкой, включая отключение MFa, поиск номеров телефонов и почты пользователей.
Используя доступ к платформе поддержки Discord, злоумышленники украли 1,6 терабайта данных, включая около 1,5 ТБ вложений к тикетам и более 100 ГБ расшифровок тикетов.
Речь идет примерно о 8,4 миллионах тикетов, затрагивающих 5,5 миллионов уникальных пользователей, и около 580 000 пользовательских данных, содержащих разноплановую платежную информацию.
Сами злоумышленники признались, что не уверены в том, сколько конкретно официальных документов было украдено, но полагают, что их было более 70 000, поскольку число пикетов на проверку возраста переваливало за 521 000 единиц.
Злоумышленники также поделились образцами украденных данных, которые включают разнообразную информацию: адреса почты, имена и идентификаторы Discord, номера телефонов, информацию об платежах, дату рождения, информацию по MFa, уровни подозрительной активности и другие внутренние сведения.
При этом платежную информацию ряда пользователей, предположительно, можно было получить через интеграцию Zendesk с внутренними системами Discord.
Она позволила выполнить миллионы API-запросов к внутренней базе данных Discord через платформу Zendesk для извлечения данных.
Хакеры вели частные переговоры с Discord в период с 25 сентября по 2 октября, снизив изначальную сумму выкупа с 5 миллионов долларов до 3,5 лимонов.
После того как Discord вышла из чата и сделала вышесказанное заявление об инциденте, злоумышленники были «крайне разгневаны» и теперь планируют опубликовать все данные, если их требования не будут выполнены.
Со стороны Discord дополнительные комментарии по этой ситуации не последовали, так что в перспективе данные будут реализованы всем заинтересованным в киберподполье и, вероятно, вывалятся в паблик.
Будем следить.
Компания же опровергла заявления о том, что в результате утечки были раскрыты 2,1 миллиона фотографий из удостоверений личности, признавая лишь около 70 000 пользователей в качестве жертв утечки, документы которых использовались для подтверждения возраста.
Злоумышленники сообщили, что взлом произошел через службу поддержки Zendesk в Discord, однако компания не подтвердила это, ограничившись описанием инцидента сторонним сервисом, используемым для поддержки клиентов.
В конечно счете, в Discord категорически отказались от уплаты выкупа, заявляя, что «не будет вознаграждать виновных в незаконных действиях».
В ответ на это хакеры сообщили, что Discord утаивает всю серьезность взлома, ведь им удалось выкрасть 1,6 ТБ данных из экземпляра Zendesk компании.
По словам злоумышленников, они получили доступ к экземпляру Zendesk Discord на 58 часов, начиная с 20 сентября 2025 года.
Причем произошло это не из-за уязвимости или взлома Zendesk, а в виду компрометации учетной записи агента поддержки, работающего через стороннего поставщика услуг аутсорсинга бизнес-процессов (BPO), используемого Discord.
Внутренний экземпляр Zendesk в Discord предоставил им доступ к приложению поддержки, известному как Zenbar, которое позволяло им выполнять различные задачи, связанные с поддержкой, включая отключение MFa, поиск номеров телефонов и почты пользователей.
Используя доступ к платформе поддержки Discord, злоумышленники украли 1,6 терабайта данных, включая около 1,5 ТБ вложений к тикетам и более 100 ГБ расшифровок тикетов.
Речь идет примерно о 8,4 миллионах тикетов, затрагивающих 5,5 миллионов уникальных пользователей, и около 580 000 пользовательских данных, содержащих разноплановую платежную информацию.
Сами злоумышленники признались, что не уверены в том, сколько конкретно официальных документов было украдено, но полагают, что их было более 70 000, поскольку число пикетов на проверку возраста переваливало за 521 000 единиц.
Злоумышленники также поделились образцами украденных данных, которые включают разнообразную информацию: адреса почты, имена и идентификаторы Discord, номера телефонов, информацию об платежах, дату рождения, информацию по MFa, уровни подозрительной активности и другие внутренние сведения.
При этом платежную информацию ряда пользователей, предположительно, можно было получить через интеграцию Zendesk с внутренними системами Discord.
Она позволила выполнить миллионы API-запросов к внутренней базе данных Discord через платформу Zendesk для извлечения данных.
Хакеры вели частные переговоры с Discord в период с 25 сентября по 2 октября, снизив изначальную сумму выкупа с 5 миллионов долларов до 3,5 лимонов.
После того как Discord вышла из чата и сделала вышесказанное заявление об инциденте, злоумышленники были «крайне разгневаны» и теперь планируют опубликовать все данные, если их требования не будут выполнены.
Со стороны Discord дополнительные комментарии по этой ситуации не последовали, так что в перспективе данные будут реализованы всем заинтересованным в киберподполье и, вероятно, вывалятся в паблик.
Будем следить.
Discord
Update on a Security Incident Involving Third-Party Customer Service | Discord
At Discord, protecting the privacy and security of our users is a top priority. That’s why it’s important to us that we’re transparent with them about events that impact their personal information.
Исследователи Imperva раскрыли подробности уже исправленной уязвимости в популярном сервере figma-developer-mcp Model Context Protocol (MCP), которая позволяет злоумышленникам выполнять код.
CVE-2025-53967 (CVSS: 7,5) представляет собой ошибку внедрения команд и обусловлена несанкционированным использованием входных параметров в вызове child_process.exec, что позволяет злоумышленнику внедрять произвольные системные команды.
Сервер создаёт и выполняет команды оболочки, используя непроверенный пользовательский ввод непосредственно в строках командной строки, что создаёт возможность внедрения метасимволов оболочки (|, >, && и т.д.).
Успешная эксплуатация может привести к удалённому выполнению кода с привилегиями серверного процесса.
Учитывая, что сервер Framelink Figma MCP предоставляет различные инструменты для выполнения операций в Figma с использованием кодирующих агентов на базе ИИ, таких как Cursor, злоумышленник может обмануть клиент MCP и заставить его выполнить непреднамеренные действия с помощью косвенного внедрения подсказки.
Компания Imperva обнаружила и уведомила об этой проблеме в июле 2025 года, описав CVE-2025-53967 как «упущение в проекте» в части механизма отката, которое позволяет злоумышленникам выполнить удаленный код, подвергая разработчиков риску раскрытия данных.
По словам исследователей, уязвимость внедрения команд возникает во время создания инструкции командной строки, используемой для отправки трафика на конечную точку API Figma.
Последовательность эксплуатации реализуется в несколько этапов. Сначала клиент MCP отправляет запрос Initialize конечной точке, чтобы получить mcp-session-id, который используется в последующей связи с сервером MCP.
Затем клиент отправляет запрос JSONRPC на сервер MCP с методом tools/call для вызова инструментов, таких как get_figma_data или download_figma_images.
По сути, проблема кроется в src/utils/fetch-with-retry.ts, который сначала пытается получить содержимое с помощью стандартного API fetch, а если это не удается, переходит к выполнению команды curl через child_process.exec, что приводит к уязвимости внедрения команд.
Поскольку команда curl создается путем прямой интерполяции значений URL и заголовка в строку команды оболочки, злоумышленник может создать специально разработанный URL или заголовок, который внедрит произвольные команды оболочки, что привести приводит к RCE на хост-машине.
Применительно к PoC в ходе атаки удалённый злоумышленник в той же сети (например, общедоступная сеть Wi-Fi или скомпрометированное корпоративное устройство) может активировать уязвимость, отправив серию запросов на уязвимый MCP.
В качестве альтернативы злоумышленник может обманным путём заставить жертву посетить специально созданный сайт в рамках атаки с перепривязкой DNS.
Уязвимость устранена в версии 0.6.3 figma-developer-mcp, выпущенной 29 сентября 2025 года.
В качестве мер по снижению риска рекомендуется избегать использования child_process.exec с ненадежными входными данными и переходить на child_process.execFile, который исключает риск интерпретации оболочки.
CVE-2025-53967 (CVSS: 7,5) представляет собой ошибку внедрения команд и обусловлена несанкционированным использованием входных параметров в вызове child_process.exec, что позволяет злоумышленнику внедрять произвольные системные команды.
Сервер создаёт и выполняет команды оболочки, используя непроверенный пользовательский ввод непосредственно в строках командной строки, что создаёт возможность внедрения метасимволов оболочки (|, >, && и т.д.).
Успешная эксплуатация может привести к удалённому выполнению кода с привилегиями серверного процесса.
Учитывая, что сервер Framelink Figma MCP предоставляет различные инструменты для выполнения операций в Figma с использованием кодирующих агентов на базе ИИ, таких как Cursor, злоумышленник может обмануть клиент MCP и заставить его выполнить непреднамеренные действия с помощью косвенного внедрения подсказки.
Компания Imperva обнаружила и уведомила об этой проблеме в июле 2025 года, описав CVE-2025-53967 как «упущение в проекте» в части механизма отката, которое позволяет злоумышленникам выполнить удаленный код, подвергая разработчиков риску раскрытия данных.
По словам исследователей, уязвимость внедрения команд возникает во время создания инструкции командной строки, используемой для отправки трафика на конечную точку API Figma.
Последовательность эксплуатации реализуется в несколько этапов. Сначала клиент MCP отправляет запрос Initialize конечной точке, чтобы получить mcp-session-id, который используется в последующей связи с сервером MCP.
Затем клиент отправляет запрос JSONRPC на сервер MCP с методом tools/call для вызова инструментов, таких как get_figma_data или download_figma_images.
По сути, проблема кроется в src/utils/fetch-with-retry.ts, который сначала пытается получить содержимое с помощью стандартного API fetch, а если это не удается, переходит к выполнению команды curl через child_process.exec, что приводит к уязвимости внедрения команд.
Поскольку команда curl создается путем прямой интерполяции значений URL и заголовка в строку команды оболочки, злоумышленник может создать специально разработанный URL или заголовок, который внедрит произвольные команды оболочки, что привести приводит к RCE на хост-машине.
Применительно к PoC в ходе атаки удалённый злоумышленник в той же сети (например, общедоступная сеть Wi-Fi или скомпрометированное корпоративное устройство) может активировать уязвимость, отправив серию запросов на уязвимый MCP.
В качестве альтернативы злоумышленник может обманным путём заставить жертву посетить специально созданный сайт в рамках атаки с перепривязкой DNS.
Уязвимость устранена в версии 0.6.3 figma-developer-mcp, выпущенной 29 сентября 2025 года.
В качестве мер по снижению риска рекомендуется избегать использования child_process.exec с ненадежными входными данными и переходить на child_process.execFile, который исключает риск интерпретации оболочки.
GitHub
CVE-2025-53967 - GitHub Advisory Database
figma-developer-mcp vulnerable to command injection in get_figma_data tool
Три современных «богатыря» на поприще ransonware объединяются и создают беспрецедентный альянс вымогателей.
Триада включает, как вы уже могли догадаться, DragonForce, LockBit и Qilin.
Первая банда в апреле этого года уже запустила уникальный формат White Label, предоставляя партнерам доступ к инфраструктуре и возможность использования шифратора под собственным брендом.
Вторая, Qilin, отметилась как одна из наиболее активных в последние месяцы группа вымогателей, которая только в третьем квартале 2025 года препарировала более 200 жертв.
Одна из последних - Asahi, крупнейшая пивоваренная компания Японии, до сих пор невышедшая из нокаута.
И, наконец, LockBit, имевшая в лучшей своей форме более 2500 жертв на своем счету, куда без них.
После мощного удара спецслужб, нанесенного по инфраструктуре и частично проредившего ряды, банда смогла оправиться и не так давно 3 сентября 2025 года на RAMP в честь шестой годовщины RaaS представила LockBit 5.0 для систем Windows, Linux и ESXi.
Как полагают исследователи ReliaQuest, одиозная коалиция представляет собой попытку финансово мотивированных злоумышленников перейти на новый уровень организации «бизнеса» за счет кооперации в технологиях, ресурсах и инфраструктуре.
Кроме того, такой шаг поможет восстановить подпорченную в ходе Cronos репутацию LockBit среди операторов, что безусловно, приведет к резкой активизации атак на критически важную инфраструктуру и другие менее атакуемые сектора.
Звучит, конечно, многообещающе, но чем-то все же напоминает те самые мантры про Maze (помним, чем все закончилось). Так что будем посмотреть.
Триада включает, как вы уже могли догадаться, DragonForce, LockBit и Qilin.
Первая банда в апреле этого года уже запустила уникальный формат White Label, предоставляя партнерам доступ к инфраструктуре и возможность использования шифратора под собственным брендом.
Вторая, Qilin, отметилась как одна из наиболее активных в последние месяцы группа вымогателей, которая только в третьем квартале 2025 года препарировала более 200 жертв.
Одна из последних - Asahi, крупнейшая пивоваренная компания Японии, до сих пор невышедшая из нокаута.
И, наконец, LockBit, имевшая в лучшей своей форме более 2500 жертв на своем счету, куда без них.
После мощного удара спецслужб, нанесенного по инфраструктуре и частично проредившего ряды, банда смогла оправиться и не так давно 3 сентября 2025 года на RAMP в честь шестой годовщины RaaS представила LockBit 5.0 для систем Windows, Linux и ESXi.
Как полагают исследователи ReliaQuest, одиозная коалиция представляет собой попытку финансово мотивированных злоумышленников перейти на новый уровень организации «бизнеса» за счет кооперации в технологиях, ресурсах и инфраструктуре.
Кроме того, такой шаг поможет восстановить подпорченную в ходе Cronos репутацию LockBit среди операторов, что безусловно, приведет к резкой активизации атак на критически важную инфраструктуру и другие менее атакуемые сектора.
Звучит, конечно, многообещающе, но чем-то все же напоминает те самые мантры про Maze (помним, чем все закончилось). Так что будем посмотреть.
ReliaQuest
Ransomware and Cyber Extortion in Q3 2025
Top ransomware groups continue to operate at lightning speed, exploiting critical vulnerabilities to seize valuable organizational data and stay ahead of defenders.
Юридическая фирма Williams & Connolly стала жертвой атаки китайских хакеров, которые некоторые ее системы и получили доступ к аккаунтам электронной почты адвокатов с помощью неизвестной 0-day.
Это авторитетная юридическая фирма со штаб-квартирой в Вашингтоне и известна тем, что представляет интересы политических деятелей и чиновников, включая Барака Обаму и чету Клинтонов, а также крупные компании, в том числе Intel, Samsung, Google, Disney и Bank of America.
Согласно заявлению компании, расследование при содействии CrowdStrike показало, что хакеры воспользовались неким нулем, чтобы получить доступ к определенному перечню учетных записей электронной почты адвокатов.
При этом в Williams & Connolly не нашли никаких доказательств кражи конфиденциальных данных клиентов или взлома других частей ее ИТ-системы.
Расследование показало, что к атаке, скорее всего, причастна неназванная китайская APT, которая, как известно, в последнее время атаковала юридические фирмы и другие компании.
Несмотря на то, что в официальном заявлении компании Китай не упоминается, журналисты The New York Times выяснили, что китайские хакеры атаковали не только Williams & Connolly, но также и другие юридические фирмы.
Изданию также стало известно, что компания Williams & Connolly сообщала клиентам, что хакеры вряд ли продадут или опубликуют полученную ими информацию.
Как полагают некоторые эксперты, вероятно, инцидент связан с активностью группы UNC5221, об атаках которой на сектор юридических услуг, в том числе с использованием нулей и бэкдора BrickStorm, предупреждали исследователи Mandiant.
В среднем хакеры проводили в атакуемых сетях почти 400 дней.
Это та же группа, что и атаковала MITRE в 2023 году. Причем UNC5221 часто отождествляют с Silk Typhoon, но исследователи не считают их идентичными.
В некоторых случаях хакеры полагались на 0-day в продукте Ivanti. Вероятно, как и в этом инциденте.
Но про Ivanti - сегодня суть позже.
Это авторитетная юридическая фирма со штаб-квартирой в Вашингтоне и известна тем, что представляет интересы политических деятелей и чиновников, включая Барака Обаму и чету Клинтонов, а также крупные компании, в том числе Intel, Samsung, Google, Disney и Bank of America.
Согласно заявлению компании, расследование при содействии CrowdStrike показало, что хакеры воспользовались неким нулем, чтобы получить доступ к определенному перечню учетных записей электронной почты адвокатов.
При этом в Williams & Connolly не нашли никаких доказательств кражи конфиденциальных данных клиентов или взлома других частей ее ИТ-системы.
Расследование показало, что к атаке, скорее всего, причастна неназванная китайская APT, которая, как известно, в последнее время атаковала юридические фирмы и другие компании.
Несмотря на то, что в официальном заявлении компании Китай не упоминается, журналисты The New York Times выяснили, что китайские хакеры атаковали не только Williams & Connolly, но также и другие юридические фирмы.
Изданию также стало известно, что компания Williams & Connolly сообщала клиентам, что хакеры вряд ли продадут или опубликуют полученную ими информацию.
Как полагают некоторые эксперты, вероятно, инцидент связан с активностью группы UNC5221, об атаках которой на сектор юридических услуг, в том числе с использованием нулей и бэкдора BrickStorm, предупреждали исследователи Mandiant.
В среднем хакеры проводили в атакуемых сетях почти 400 дней.
Это та же группа, что и атаковала MITRE в 2023 году. Причем UNC5221 часто отождествляют с Silk Typhoon, но исследователи не считают их идентичными.
В некоторых случаях хакеры полагались на 0-day в продукте Ivanti. Вероятно, как и в этом инциденте.
Но про Ivanti - сегодня суть позже.
NY Times
Chinese Hackers Said to Target U.S. Law Firms
Williams & Connolly, one of the nation’s most prominent law firms, told clients that its computer systems had been infiltrated and that hackers may have gained access to some client emails.
Исследователи Rapid7 выяснили, что взлом софтверного гиганта Red Hat является частью более масштабной кампании, нацеленной на облачные аккаунты AWS.
По данным Rapid7, Crimson Collective использует скомпрометированные учётные записи IAM для доступа к корпоративным средам AWS и их кражи для дальнейшего вымогательства.
Как известно, хакеры взяли на себя ответственность за недавнюю атаку Red Hat, заявляя о похищении 570 ГБ данных из тысяч частных репозиториев GitLab, и пытались заставить компанию-разработчика заплатить выкуп.
После раскрытия инцидента Crimson Collective объединились со Scattered Lapsus$ Hunters, дабы усилить градус вымогательства.
В свою очередь, исследователями Rapid7 раскопали дополнительную информацию о деятельности Crimson Collective, которая включает в себя компрометацию долгосрочных ключей доступа AWS и учетных записей управления идентификацией и доступом (IAM) для повышения привилегий.
Злоумышленники используют открытый инструмент TruffleHog для обнаружения уязвимых учётных данных AWS.
Получив доступ, они создают новых пользователей IAM и профили входа через вызовы API, а также генерируют новые ключи доступа.
Далее следует повышение привилегий путем назначения политики «AdministratorAccess» вновь созданным пользователям, что предоставляет Crimson Collective полный контроль над AWS.
Они используют этот уровень доступа для сканирования пользователей, экземпляров, контейнеров, местоположений, кластеров баз данных и приложений, чтобы затем спланировать варианты сбора и эксфильтрации данных.
Они изменяют главные пароли RDS (Relational Database Service), получая доступ к базе данных, создают моментальные снимки, а затем экспортируют их в S3 (Simple Storage Service) для извлечения данных с помощью вызовов API.
Rapid7 также фиксировала снимки томов EBS (Elastic Block Store), отмечая, что после этого запускались новые экземпляры EC2 (Elastic Compute Cloud).
Тома EBS затем подключались к разрешительным группам безопасности для упрощения передачи данных.
После завершения этого шага Crimson Collective отправляет жертвам записку о выкупе через AWS Simple Email Service (SES) во взломанной облачной среде, а также на внешние учетные записи электронной почты.
Исследователи отмечают, что Crimson Collective использовала несколько IP-адресов в своих операциях по краже данных и повторно использовала некоторые IP-адреса в разных инцидентах, что упрощало отслеживание, однако узнать что-либо подробнее о ней пока не смогли.
AWS предупредила клиентов, рекомендуя использовать краткосрочные учетные данные с минимальными привилегиями и применять ограничительные политики IAM.
На случай выявления каких-либо признаков компрометации учётных данных AWS представила соответствующую инструкцию или же обратиться в службу поддержки AWS.
Кроме того, чтобы смягчить эти атаки и предотвратить катастрофические нарушения из-за утечки секретов AWS, рекомендуется сканировать среду на предмет неизвестных угроз с помощью инструментов с открытым исходным кодом, таких как S3crets Scanner или других.
По данным Rapid7, Crimson Collective использует скомпрометированные учётные записи IAM для доступа к корпоративным средам AWS и их кражи для дальнейшего вымогательства.
Как известно, хакеры взяли на себя ответственность за недавнюю атаку Red Hat, заявляя о похищении 570 ГБ данных из тысяч частных репозиториев GitLab, и пытались заставить компанию-разработчика заплатить выкуп.
После раскрытия инцидента Crimson Collective объединились со Scattered Lapsus$ Hunters, дабы усилить градус вымогательства.
В свою очередь, исследователями Rapid7 раскопали дополнительную информацию о деятельности Crimson Collective, которая включает в себя компрометацию долгосрочных ключей доступа AWS и учетных записей управления идентификацией и доступом (IAM) для повышения привилегий.
Злоумышленники используют открытый инструмент TruffleHog для обнаружения уязвимых учётных данных AWS.
Получив доступ, они создают новых пользователей IAM и профили входа через вызовы API, а также генерируют новые ключи доступа.
Далее следует повышение привилегий путем назначения политики «AdministratorAccess» вновь созданным пользователям, что предоставляет Crimson Collective полный контроль над AWS.
Они используют этот уровень доступа для сканирования пользователей, экземпляров, контейнеров, местоположений, кластеров баз данных и приложений, чтобы затем спланировать варианты сбора и эксфильтрации данных.
Они изменяют главные пароли RDS (Relational Database Service), получая доступ к базе данных, создают моментальные снимки, а затем экспортируют их в S3 (Simple Storage Service) для извлечения данных с помощью вызовов API.
Rapid7 также фиксировала снимки томов EBS (Elastic Block Store), отмечая, что после этого запускались новые экземпляры EC2 (Elastic Compute Cloud).
Тома EBS затем подключались к разрешительным группам безопасности для упрощения передачи данных.
После завершения этого шага Crimson Collective отправляет жертвам записку о выкупе через AWS Simple Email Service (SES) во взломанной облачной среде, а также на внешние учетные записи электронной почты.
Исследователи отмечают, что Crimson Collective использовала несколько IP-адресов в своих операциях по краже данных и повторно использовала некоторые IP-адреса в разных инцидентах, что упрощало отслеживание, однако узнать что-либо подробнее о ней пока не смогли.
AWS предупредила клиентов, рекомендуя использовать краткосрочные учетные данные с минимальными привилегиями и применять ограничительные политики IAM.
На случай выявления каких-либо признаков компрометации учётных данных AWS представила соответствующую инструкцию или же обратиться в службу поддержки AWS.
Кроме того, чтобы смягчить эти атаки и предотвратить катастрофические нарушения из-за утечки секретов AWS, рекомендуется сканировать среду на предмет неизвестных угроз с помощью инструментов с открытым исходным кодом, таких как S3crets Scanner или других.
Rapid7
Crimson Collective: A New Threat Group Observed Operating in the Cloud | Rapid7 Labs
Исследователи Trend Micro сообщают о новым мощном ботнете под названием RondoDox, который нацелен на 56 уязвимостей в более чем 30 различных устройствах, включая недостатки, впервые обнаруженные в рамках Pwn2Own.
Злоумышленник фокусируется на широком спектре уязвимых устройств, включая цифровые видеорегистраторы, сетевые видеорегистраторы, системы видеонаблюдения и веб-серверы, и действует с июня.
Взломанные устройства задействуются для майнинга, DDoS и взлома корпоративных сетей.
Ботнет RondoDox использует стратегию, которую исследователи Trend Micro называют «шотом эксплойтов», когда одновременно используются многочисленные эксплойты для максимального заражения, даже если активность очень фонит.
С тех пор как FortiGuard Labs обнаружила RondoDox, ботнет, по всей видимости, расширил список эксплуатируемых уязвимостей, в который вошли CVE-2024-3721 и CVE-2024-12856.
В отчете Trend Micro упоминается, что RondoDox эксплуатирует CVE-2023-1389 в Wi-Fi-маршрутизаторе TP-Link Archer AX21, которая была первоначально продемонстрирована на Pwn2Own Toronto 2022.
Исследователи безопасности отмечают, что разработчик ботнета уделяет пристальное внимание эксплойтам, продемонстрированным во время событий Pwn2Own, и быстро использует их в качестве оружия, как это сделала Mirai с CVE-2023-1389 в 2023 году.
Среди выявленных после 2023 года ошибок, включенных RondoDox в свой арсенал: Digiever (CVE-2023-52163), QNAP (CVE-2023-47565), LB-LINK (CVE-2023-26801), TRENDnet (CVE-2023-51833), D-Link (CVE-2024-10914), TBK (CVE-2024-3721), Four-Faith (CVE-2024-12856), Netgear (CVE-2024-12847), AVTECH (CVE-2024-7029), TOTOLINK (CVE-2024-1781, CVE-2025-5504 и CVE-2025-1829), Tenda (CVE-2025-7414), Meteobridge (CVE-2025-4008), Edimax (CVE-2025-22905), Linksys (CVE-2025-34037) и TP-Link (CVE-2023-1389)
Trend Micro также обнаружила, что RondoDox поддерживает эксплойты для 18 уязвимостей, связанных с внедрением команд, которым не присвоен идентификатор уязвимости (CVE).
Они затрагивают сетевые хранилища D-Link, цифровые видеорегистраторы TVT и LILIN, маршрутизаторы Fiberhome, ASMAX и Linksys, камеры Brickcom и другие неопознанные конечные устройства.
Недавно RondoDox расширил свое распространение, используя инфраструктуру «загрузчик как услуга», которая объединяет RondoDox с полезными нагрузками Mirai/Morte, что делает обнаружение и устранение уязвимостей более актуальными.
RondoDox нацелен на ARM, MIPS и различные архитектуры Linux.
Он способен запускать DDoS-атаки с использованием HTTP, UDP и TCP-пакетов, эмулируя известные игровые платформы или выдавая себя за VPN-сервисы, чтобы скрыть вредоносный трафик и избежать обнаружения.
Другие технические подробности - в отчете.
Злоумышленник фокусируется на широком спектре уязвимых устройств, включая цифровые видеорегистраторы, сетевые видеорегистраторы, системы видеонаблюдения и веб-серверы, и действует с июня.
Взломанные устройства задействуются для майнинга, DDoS и взлома корпоративных сетей.
Ботнет RondoDox использует стратегию, которую исследователи Trend Micro называют «шотом эксплойтов», когда одновременно используются многочисленные эксплойты для максимального заражения, даже если активность очень фонит.
С тех пор как FortiGuard Labs обнаружила RondoDox, ботнет, по всей видимости, расширил список эксплуатируемых уязвимостей, в который вошли CVE-2024-3721 и CVE-2024-12856.
В отчете Trend Micro упоминается, что RondoDox эксплуатирует CVE-2023-1389 в Wi-Fi-маршрутизаторе TP-Link Archer AX21, которая была первоначально продемонстрирована на Pwn2Own Toronto 2022.
Исследователи безопасности отмечают, что разработчик ботнета уделяет пристальное внимание эксплойтам, продемонстрированным во время событий Pwn2Own, и быстро использует их в качестве оружия, как это сделала Mirai с CVE-2023-1389 в 2023 году.
Среди выявленных после 2023 года ошибок, включенных RondoDox в свой арсенал: Digiever (CVE-2023-52163), QNAP (CVE-2023-47565), LB-LINK (CVE-2023-26801), TRENDnet (CVE-2023-51833), D-Link (CVE-2024-10914), TBK (CVE-2024-3721), Four-Faith (CVE-2024-12856), Netgear (CVE-2024-12847), AVTECH (CVE-2024-7029), TOTOLINK (CVE-2024-1781, CVE-2025-5504 и CVE-2025-1829), Tenda (CVE-2025-7414), Meteobridge (CVE-2025-4008), Edimax (CVE-2025-22905), Linksys (CVE-2025-34037) и TP-Link (CVE-2023-1389)
Trend Micro также обнаружила, что RondoDox поддерживает эксплойты для 18 уязвимостей, связанных с внедрением команд, которым не присвоен идентификатор уязвимости (CVE).
Они затрагивают сетевые хранилища D-Link, цифровые видеорегистраторы TVT и LILIN, маршрутизаторы Fiberhome, ASMAX и Linksys, камеры Brickcom и другие неопознанные конечные устройства.
Недавно RondoDox расширил свое распространение, используя инфраструктуру «загрузчик как услуга», которая объединяет RondoDox с полезными нагрузками Mirai/Morte, что делает обнаружение и устранение уязвимостей более актуальными.
RondoDox нацелен на ARM, MIPS и различные архитектуры Linux.
Он способен запускать DDoS-атаки с использованием HTTP, UDP и TCP-пакетов, эмулируя известные игровые платформы или выдавая себя за VPN-сервисы, чтобы скрыть вредоносный трафик и избежать обнаружения.
Другие технические подробности - в отчете.
Trend Micro
RondoDox: From Targeting Pwn2Own Vulnerabilities to Shotgunning Exploits
The Trend Zero Day Initiative™ (ZDI) and Trend™ Research teams have identified a large-scale RondoDox botnet campaign exploiting over 50 vulnerabilities across more than 30 vendors, including flaws first seen in Pwn2Own contests.
Исследователи из Positive Technologies выкатили отчет с результатами анализа ландшафта угроз для российских организаций и прогнозами по актуальным киберугрозам на 2026 год.
Выделим наиболее ключевые показатели и тренды.
На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников: в период с июля 2024 по сентябрь 2025 года на страну пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.
Ожидается, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, а в 2026 году может увеличиться еще на 30-35%.
В число основных драйверов кибератак на российские организации вошли: роль на международной арене, развитие высокотехнологических отраслей, энергетическая и промышленная значимость, а также геополитическая напряженность и стремительная цифровизация.
Именно два последних будут оказывать основное влияние на ландшафт киберугроз в 2026 году, особенно на фоне импортозамещения сфере IT.
В части методов атак социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными, включая многоступенчатые фишинговые кампании, задействование ИИ, многофункциональные RAT, «тихие» TTPs, легитимные ПО и инструменты living off the land.
По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с применением вредоносного ПО выросла с 56% до 71%, а доля атак с использованием социнженерии - с 49% до 60%.
Кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных (56% успешных атак) и нарушениям бизнес-процессов (до 40%). Кроме того, ожидается рост атак на цепочки поставок.
На фоне импортозамещения возрастают риски утечек исходного кода отечественного ПО и персональных данных пользователей. По мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства.
Переориентация в мотивах ряда группировок и согласие жертв платить выкупы вымогателям - основные факторы, способствующие эскалации финансово мотивированных атак (33% всех атак).
Появились так называемые гибридные группы. Продолжая сопровождать атаки политической риторикой, они шифруют и похищают данные, после чего требуют выкуп за ее восстановление или неразглашение.
В 2026 году ожидается рост шантажа с использованием утечек персданных.
Злоумышленники начнут оказывать давление на жертву, ссылаясь на возможные санкции. В первую очередь, под удар попадает малый и средний бизнес.
Один из ключевых факторов эскалации кибершпионажа - экономическая и технологическая трансформация, вызванная санкциями и уходом иностранных компаний с российского рынка. Второй важный фактор - модернизация ОПК РФ.
С июля 2024-го по сентябрь 2025 года на организации в России совершали атаки не менее 22 кибершпионских групп. На их долю пришлось 22% всех успешных кибератак.
В 2026 году активность и цели кибершпионов будут напрямую зависеть от геополитической ситуации, что также относится и к эскалации хактивизма в России (российские организации стали жертвами 18 хактивистских группировок, на их долю пришлось 19% успешных атак).
Наибольший интерес для хактивистов представляют государственные сервисы, топливно-энергетический комплекс, транспортная инфраструктура, телекоммуникации, финансовый сектор. На первый план вышли деструктивные атаки с шифровальщиками и вайперами.
Промышленность и госучреждения лидируют по количеству атак (17% и 11% всех успешных кибератак ) и в 2026 году ситуация не изменится, даже в случае урегулирования острых геополитических вопросов.
Российские IT- и телеком-компании (9% и 7%) остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак.
В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки.
Типичные проблемы - слабые парольные политики, отсутствие MFa, небезопасное хранение данных, использование устаревшего ПО, ошибки в разграничении доступа и недостаточная подготовка персонала в ИБ - останутся актуальными в 2026 году.
Выделим наиболее ключевые показатели и тренды.
На протяжении многих лет Россия входит в число наиболее приоритетных целей киберпреступников: в период с июля 2024 по сентябрь 2025 года на страну пришлось от 14% до 16% всех успешных кибератак в мире и 72% атак, зафиксированных в СНГ.
Ожидается, что по итогам 2025 года общее количество успешных кибератак вырастет на 20-45% по сравнению с предыдущим годом, а в 2026 году может увеличиться еще на 30-35%.
В число основных драйверов кибератак на российские организации вошли: роль на международной арене, развитие высокотехнологических отраслей, энергетическая и промышленная значимость, а также геополитическая напряженность и стремительная цифровизация.
Именно два последних будут оказывать основное влияние на ландшафт киберугроз в 2026 году, особенно на фоне импортозамещения сфере IT.
В части методов атак социнженерия и вредоносное ПО останутся ключевыми методами кибератак в 2026 году, однако их формы станут более сложными, включая многоступенчатые фишинговые кампании, задействование ИИ, многофункциональные RAT, «тихие» TTPs, легитимные ПО и инструменты living off the land.
По сравнению с 2023 годом и первой половиной 2024-го доля успешных атак с применением вредоносного ПО выросла с 56% до 71%, а доля атак с использованием социнженерии - с 49% до 60%.
Кибератаки в 2026 году чаще будут приводить к комбинированным последствиям - одновременным утечкам данных (56% успешных атак) и нарушениям бизнес-процессов (до 40%). Кроме того, ожидается рост атак на цепочки поставок.
На фоне импортозамещения возрастают риски утечек исходного кода отечественного ПО и персональных данных пользователей. По мере цифровизации в зону риска попадут системы промышленной автоматизации и IoT-устройства.
Переориентация в мотивах ряда группировок и согласие жертв платить выкупы вымогателям - основные факторы, способствующие эскалации финансово мотивированных атак (33% всех атак).
Появились так называемые гибридные группы. Продолжая сопровождать атаки политической риторикой, они шифруют и похищают данные, после чего требуют выкуп за ее восстановление или неразглашение.
В 2026 году ожидается рост шантажа с использованием утечек персданных.
Злоумышленники начнут оказывать давление на жертву, ссылаясь на возможные санкции. В первую очередь, под удар попадает малый и средний бизнес.
Один из ключевых факторов эскалации кибершпионажа - экономическая и технологическая трансформация, вызванная санкциями и уходом иностранных компаний с российского рынка. Второй важный фактор - модернизация ОПК РФ.
С июля 2024-го по сентябрь 2025 года на организации в России совершали атаки не менее 22 кибершпионских групп. На их долю пришлось 22% всех успешных кибератак.
В 2026 году активность и цели кибершпионов будут напрямую зависеть от геополитической ситуации, что также относится и к эскалации хактивизма в России (российские организации стали жертвами 18 хактивистских группировок, на их долю пришлось 19% успешных атак).
Наибольший интерес для хактивистов представляют государственные сервисы, топливно-энергетический комплекс, транспортная инфраструктура, телекоммуникации, финансовый сектор. На первый план вышли деструктивные атаки с шифровальщиками и вайперами.
Промышленность и госучреждения лидируют по количеству атак (17% и 11% всех успешных кибератак ) и в 2026 году ситуация не изменится, даже в случае урегулирования острых геополитических вопросов.
Российские IT- и телеком-компании (9% и 7%) остаются не только одними из самых частых мишеней, но и наиболее уязвимыми к последствиям атак.
В 2026 году интенсивность и характер атак на телеком также будут варьироваться в зависимости от геополитической обстановки.
Типичные проблемы - слабые парольные политики, отсутствие MFa, небезопасное хранение данных, использование устаревшего ПО, ошибки в разграничении доступа и недостаточная подготовка персонала в ИБ - останутся актуальными в 2026 году.
ptsecurity.com
CODE RED 2026: Актуальные киберугрозы для российских организаций
В отчете представлены результаты анализа ландшафта киберугроз для российских организаций в период с июля 2024 года по сентябрь 2025 года. Даны прогнозы по актуальным киберугрозам на 2026 год.
Linux Incident Response & Security
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
📅 Старт: 8 ноября
Длительность: 9 недель
Удостоверение о повышении квалификации с внесением в федеральный реестр.
👉🏼 Получить демодоступ
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
Эксперты курса:
Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз.
Антон Степанов - Lead Incident Responder, неоднократно принимал участие в расследовании резонансных инцидентов.
Сергей Канибор - R&D / Container Security в Luntry, специализируется на безопасности контейнеров и Kubernetes. Багхантер.
📅 Старт: 8 ноября
Длительность: 9 недель
Удостоверение о повышении квалификации с внесением в федеральный реестр.
👉🏼 Получить демодоступ
This media is not supported in your browser
VIEW IN TELEGRAM
ФБР, BreachForums и мамкины хакеры
Неустановленный злоумышленник задействует устаревший режим Internet Explorer в Microsoft Edge для запуска вредоносного кода в браузере пользователя и получения контроля над его устройством.
Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.
Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.
Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.
По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.
Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.
Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.
Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.
Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.
Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.
Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.
Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.
Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.
Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.
По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.
Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.
Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.
Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.
Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.
Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.
Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.
Microsoft
Internet Explorer mode in Microsoft Edge - Microsoft Support
Internet Explorer 11 support ended on June 15, 2022. If any site you visit needs Internet Explorer 11, you can open it with Internet Explorer mode in Microsoft Edge.
На протяжении длительного времени отслеживали ситуацию на рынке spyware и, можно полагать, что все прогнозы относительно его трансформации четко претворяются в жизнь.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Как мы и предполагали, продолжился слив от псевдогруппы неуловимых хакеров под лейблом KittenBusters в отношении деятельности иранской APT35, а фактически - вышла новая часть легализованных материалов спецслужб, что, вероятно, по задумке организаторов, должно притормозить работу хакеров.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
GitHub
GitHub - KittenBusters/CharmingKitten: Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500)
Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500) - KittenBusters/CharmingKitten
Исследователи Zimperium сообщают о масштабной вредоносной операции, нацеленной на на российских пользователей с помощью нового шпионского ПО для Android, распространяемого через Telegram под видом фейковый версий WhatsApp, Google Photos, TikTok и YouTube.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
Zimperium
ClayRat: A New Android Spyware Targeting Russia
true
Группа ученых из Калифорнийского университета (Беркли), Вашингтонского университета, Калифорнийского университета (Сан-Диего) и Университета Карнеги-Меллона раскрыли подробности новой атаки по побочным каналам, которая затрагивает устройства Android от Google и Samsung.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Ученые из Швейцарской высшей технической школы Цюриха обнаружили уязвимость в управлении памятью процессоров AMD, которая позволила им нарушить целостность конфиденциальных вычислений и получила название RMPocalypse.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Forwarded from Russian OSINT
1️⃣ Наибольшее доверие у тех, кто интересуется новостями об инфобезе и ИТ, вызывают Telegram-каналы — 39%.
2️⃣На втором месте телевидение (32%).
3️⃣ На третьем — российские новостные сайты (24%).
Эксперты компании отмечают: независимо от того, какие ресурсы предпочитает пользователь, важно проверять информацию, чтобы защититься от фейков и мошенничества.
Подробнее тут.
Please open Telegram to view this post
VIEW IN TELEGRAM
Oracle выпустила экстренные обновления безопасности для исправления еще одной уязвимости E-Business Suite (EBS), которая может быть проэксплуатирована удаленно неавторизованными злоумышленниками.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
Oracle
Security Alert CVE-2025-61884 Released
Oracle has released Security Alert CVE-2025-61884. This vulnerability affects some deployments of Oracle E-Business Suite.
Forwarded from Social Engineering
• Оказывается, что у ребят из Wiz есть актуальная и очень объемная база данных, которая содержит перечень уязвимостей с прицелом на облачные инфраструктуры.
• Каждая запись содержит информацию по наличию эксплойтов, технические детали, риски, рекомендацию по исправлению и еще кучу другой информации:
• Однозначно добавляем ресурс в нашу коллекцию:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского выкатили весьма годный отчет на фоне завершения эпохи Windows 10 с обзором изменений в криминалистических артефактах в новой Windows 11 (24H2), который может пригодиться коллегам по цеху.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Securelist
Чем интересна Windows 11 с точки зрения киберкриминалистики
В связи с окончанием поддержки Windows 10 рассказываем, какие криминалистические артефакты могут представлять интерес в Windows 11.