Linux Incident Response & Security
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
📅 Старт: 8 ноября
Длительность: 9 недель
Удостоверение о повышении квалификации с внесением в федеральный реестр.
👉🏼 Получить демодоступ
Практический курс по выявлению, анализу и реагированию на киберугрозы в GNU/Linux-системах.
Узнаете, как атакуют Linux и научитесь выстраивать защиту GNU/Linux-систем.
1. Основные этапы реагирования на инциденты ИБ;
2. Актуальный ландшафт угроз России и стран СНГ в разрезе Linux-систем;
3. Техники атакующих на этапе постэксплуатации, а также методы их обнаружения;
4. Подходы к построению защищенных систем.
Эксперты курса:
Лада Антипова - Incident Response Team Lead, руководит командой по реагированию на инциденты с упором на криминалистику и анализ угроз.
Антон Степанов - Lead Incident Responder, неоднократно принимал участие в расследовании резонансных инцидентов.
Сергей Канибор - R&D / Container Security в Luntry, специализируется на безопасности контейнеров и Kubernetes. Багхантер.
📅 Старт: 8 ноября
Длительность: 9 недель
Удостоверение о повышении квалификации с внесением в федеральный реестр.
👉🏼 Получить демодоступ
This media is not supported in your browser
VIEW IN TELEGRAM
ФБР, BreachForums и мамкины хакеры
Неустановленный злоумышленник задействует устаревший режим Internet Explorer в Microsoft Edge для запуска вредоносного кода в браузере пользователя и получения контроля над его устройством.
Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.
Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.
Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.
По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.
Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.
Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.
Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.
Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.
Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.
Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.
Этот режим Internet Explorer (IE Mode) - это отдельная среда выполнения веб-сайтов в Edge. Он работает, перезагружая веб-страницу, но выполняя её код внутри старых движков Internet Explorer.
Microsoft добавила его после того, как прекратила прекратила поставку IE в последних версиях Windows, что позволило сайтам, созданным десятилетия назад, по-прежнему отображаться и работать у пользователей Edge.
Причем IE Mode не запускается по умолчанию: пользователи должны нажать кнопку или выбрать пункт меню, чтобы перезагрузить страницу из Edge в старую среду выполнения IE.
По данным команды безопасности Microsoft Edge, атаки продолжаются по крайней мере с августа.
Компания получила достоверные сообщения о том, что хакеры использовали клоны легитимных веб-сайтов, чтобы заставить пользователей перезагрузить их в режиме Edge IE.
Благодаря чему они запускали цепочку эксплойтов, нацеленную на движок JavaScript Chakra, который использовался в старых версиях IE и Edge.
Цепочка эксплойтов содержала 0-day Chakra, которая позволяла им запускать вредоносный код, а также второй эксплойт для повышения привилегий и захвата контроля над всей пользовательской платформой.
Microsoft не назначила CVE и не выпустила исправлений, а вместо этого полностью переработала режим IE, полностью удалив все специальные кнопки, которые могли обновлять и перезапускать веб-сайт в режиме IE.
Теперь пользователям, желающим перезапустить веб-сайт в режиме IE, придется зайти в настройки браузера и специально включить эту функцию, перезапустить браузер, а затем вручную добавить URL сайта в список разрешенных, перезагрузка которых разрешена в режиме IE.
Microsoft считает, что дополнительные шаги по включению режима IE теперь должны обеспечить больше возможностей для обнаружения фейковых URL-адресов и задуматься прежде, чем активировать его.
Microsoft
Internet Explorer mode in Microsoft Edge - Microsoft Support
Internet Explorer 11 support ended on June 15, 2022. If any site you visit needs Internet Explorer 11, you can open it with Internet Explorer mode in Microsoft Edge.
На протяжении длительного времени отслеживали ситуацию на рынке spyware и, можно полагать, что все прогнозы относительно его трансформации четко претворяются в жизнь.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Безусловно, главным трендом становится миграция основных центров разработки и нацеливания перспективного кибероружия в руки дяди Сэма.
Процесс был запущен еще в бытность администрации Байдена через санкции, резонансные разоблачения и давление по линии спецслужб.
Если она первом этапе в новую юрисдикцию удалось затащить команды специалистов и наработки, то теперь на финальной стадии новую прописку получают сами компании со всеми атрибутами бренда.
Как сообщает Globes, голливудский продюсер Боб (Роберт) Симмондс вместе с группой частных инвесторов из США приобретает израильскую компанию NSO, намереваясь вывести её из чёрного списка Министерства торговли США и одновременно списать ее долги на 600 млн. долл.
Сумма сделки не разглашается, но якобы составляет десятки миллионов долларов. Отмечается, что штаб-квартира компании и основные производственные мощности остаются в Израиле.
Основной владелец, Омри Лави, последние десят лет до последнего активно пытался сохранить контроль над активом и влиянием в сегменте spyware, в том числе в мае 2025 года пытаясь вывести NSO из черных списков с помощью лоббисов, связанных с администрацией Трампа.
Ранее основанная Нивом Карми, Шалевым Хулио и Омри Лави NSO Group в 2014 году уже уходила в управление американской частной инвестиционной компанией Francisco Partners, но через пять лет Лави и Хулио вернули себе контроль над компанией.
Помогли тогда в этом инвесторы из европейской частной инвестиционной компании Novalpina.
Затем, в 2021 году, управление фондом взяла на себя калифорнийская Berkeley Research Group, но через два года Лави смог вернуть себе контроль над компанией, став мажоритарным акционером.
Однако скинуть удавку дяди Сэма так и не удалось: по всей видимости, Лави получил предложение, от которого он просто не смог отказаться.
Миграция конкурентов теперь - дело времени, причем недалекого. Но будем, конечно, посмотреть.
Как мы и предполагали, продолжился слив от псевдогруппы неуловимых хакеров под лейблом KittenBusters в отношении деятельности иранской APT35, а фактически - вышла новая часть легализованных материалов спецслужб, что, вероятно, по задумке организаторов, должно притормозить работу хакеров.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
Вслед за первым сливом на GitHub (выбор площадки очевиден) подкатили сразу вторая и третья части «разоблачительной» документации.
Новые файлы связаны с бэкдором BellaCiao, который, как утверждают некоторые исследователи, все еще активен более чем в 300 системах.
Подробно останавливаться не будем, кому интересно: здесь - краткое изложение от CloudSEK, а здесь - отчет от Gemini.
В общем, смысла все это описывать не имеет: те, кто слил - вероятно, уже добились своего, а те, кто был целью слива - пересмотрят TTPs и переработают арсенал.
GitHub
GitHub - KittenBusters/CharmingKitten: Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500)
Exposing CharmingKitten's malicious activity for IRGC-IO Counterintelligence division (1500) - KittenBusters/CharmingKitten
Исследователи Zimperium сообщают о масштабной вредоносной операции, нацеленной на на российских пользователей с помощью нового шпионского ПО для Android, распространяемого через Telegram под видом фейковый версий WhatsApp, Google Photos, TikTok и YouTube.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
По данным исследователей, за последние три месяца было обнаружено более 600 образцов и 50 отдельных дропперов нового ПО, получившего название ClayRat и способного красть SMS, считывать журналы вызовов и уведомления, делать снимки и совершать телефонные звонки.
Названная в честь сервера C2 вредоносная ПО использует тщательно созданные фишинговые порталы и зарегистрированные домены, которые точно имитируют страницы легитимных служб и отсылают на Telegram-каналы, где жертвам предлагаются APK-файлы.
Для большей легитимности злоумышленники оснастили сайты комментариями, накрутили количество загрузок и даже задействовали фиктивный пользовательский интерфейс в стиле Play Store с пошаговыми инструкциями по загрузке APK и обходу предупреждений безопасности Android.
По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: видимое пользователем приложение представляет собой фейковый экран обновления Play Store, а в его активах скрывается зашифрованная полезная нагрузка.
Вредоносное ПО внедряется в устройство, используя метод установки, «основанный на сеансе» (как в случае с SecuriDropper), для обхода ограничений Android 13+, не вызывая подозрений у пользователя.
После активации на устройстве вредоносная ПО может использовать новый хост для распространения на большее количество жертв, используя его в качестве плацдарма для отправки SMS-сообщений по списку контактов жертвы.
Шпионское ПО ClayRat берет на себя роль обработчика SMS по умолчанию на зараженных устройствах, что позволяет ему читать все входящие и сохраненные SMS, перехватывать их раньше других приложений и изменять базы данных SMS.
Шпионская программа устанавливает связь с C2, которая в своих последних версиях зашифрована с помощью AES-GCM, а затем получает одну из 12 поддерживаемых команд (среди которых: контроль журналов вызовов, снимки камеры, операции с SMS, сбор пушей и др.).
Zimperium поделилась с Google всеми замеченными IoC, а Play Protect теперь блокирует известные и новые варианты шпионского ПО ClayRat.
Zimperium
ClayRat: A New Android Spyware Targeting Russia
true
Группа ученых из Калифорнийского университета (Беркли), Вашингтонского университета, Калифорнийского университета (Сан-Диего) и Университета Карнеги-Меллона раскрыли подробности новой атаки по побочным каналам, которая затрагивает устройства Android от Google и Samsung.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Получившую название Pixnapping атаку можно использовать для кражи кодов 2FA, временных шкал Google Maps и других конфиденциальных данных без ведома пользователя с точностью до пикселя.
По своей сути Pixnapping - это фреймворк для кражи пикселей, нацеленный на устройства Android таким образом, что он обходит средства защиты браузера и даже перекачивает данные из других приложений, таких как Google Authenticator, используя API Android и сторонний аппаратный канал, что позволяет вредоносному приложению использовать эту технику для перехвата кодов 2FA менее чем за 30 секунд.
Дело в том, что API Android позволяют злоумышленнику создавать аналоги атак в стиле [Пола] Стоуна вне браузера. В частности, вредоносное приложение может принудительно перенаправить пиксели жертвы в конвейер рендеринга через намерения Android и выполнять вычисления над этими пикселями жертвы, используя стек полупрозрачных действий Android.
Исследование фокусировалось на пяти устройствах Google и Samsung, работающих под управлением Android 13–16.
Пока неясно, подвержены ли Pixnapping устройства Android от других OEM-производителей, но базовая методология, необходимая для осуществления атаки, присутствует во всех устройствах, работающих под управлением мобильной ОС.
Важность новой атаки заключается в том, что для её выполнения может быть использовано любое приложение Android, даже если у него нет специальных разрешений из файла манифеста. Однако она предполагает, что жертва каким-либо образом должна установить и запустить приложение.
Побочным каналом, делающим возможным Pixnapping, является GPU.zip, который был раскрыт некоторыми из тех же исследователей еще в сентябре 2023 года.
Атака по сути задействует функцию сжатия в современных интегрированных графических процессорах iGPU для выполнения атак по краже пикселей из разных источников в браузере с использованием фильтров SVG.
Последний класс атак сочетает это с API размытия окон Android, позволяя извлекать данные рендеринга и кражу данных из приложений-жертв.
Для этого вредоносное приложение Android реализует отправку пикселей приложения-жертвы в конвейер рендеринга и наложение полупрозрачных действий с помощью intentions - программного механизма Android, обеспечивающего навигацию между приложениями и действиями.
Другими словами, идея заключается в том, чтобы вызвать целевое приложение, содержащее интересующую информацию (например, коды 2FA), и отправить данные на рендеринг, после чего вредоносное приложение, установленное на устройстве, изолирует координаты целевого пикселя (т.е. пикселя, содержащего код 2FA) и запускает набор полупрозрачных действий для маскирования, увеличения и передачи этого пикселя по сайд-каналу.
Этот шаг затем повторяется для каждого пикселя, переданного в конвейер рендеринга.
Кроме того, исследование показало, что в результате такого поведения злоумышленник может определить, установлено ли на устройстве произвольное приложение, обходя ограничения, введённые с Android 11 и запрещающие запрос списка всех установленных приложений на устройстве пользователя.
Обход списка приложений остаётся неисправленным, и Google пометила его как «не подлежащий исправлению».
Google отслеживает проблематику Pixnapping как CVE-2025-48561 (CVSS: 5,5) и выпустила исправления для нее в рамках своего бюллетеня безопасности Android за сентябрь 2025 года.
Однако появился способ вновь активировать Pixnapping. Так что компания, как сообщается, продолжает работать над решением этой проблемы.
Ученые из Швейцарской высшей технической школы Цюриха обнаружили уязвимость в управлении памятью процессоров AMD, которая позволила им нарушить целостность конфиденциальных вычислений и получила название RMPocalypse.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Проблема отслеживается как CVE-2025-0033 (CVSS 6,0) и описывается как состояние гонки, которое возникает, когда AMD Secure Processor (ASP) инициализирует таблицу обратных карт (RMP).
В процессорах AMD, использующих технологию Secure Encrypted Virtualization – Secure Nested Paging (SEV-SNP), RMP предотвращает несанкционированное изменение гипервизором сопоставлений гостевых страниц.
Однако, поскольку записи RMP используются для защиты остальной части RMP, во время настройки возникает «ловушка-22», и для инициализации RMP используется ASP. Только ASP может изменять память RMP.
RMPocalypse позволяет вредоносному гипервизору повреждать RMP во время инициализации и манипулировать его содержимым, тем самым нарушая целостность гостевой памяти.
Исследователи отмечают, что RMP был добавлен в SEV-SNP для предотвращения атак на целостность, а его корректная инициализация позволяет гипервизорам запускать конфиденциальные виртуальные машины, назначая им физическую память.
Он отслеживает сопоставления страниц и владельца каждой физической страницы.
Поскольку современные серверы имеют большую емкость DRAM, RMP также имеет большой размер (16 гигабайт) и хранится в DRAM, где он защищает себя, а SEV-SNP не позволяет гипервизору отображать физические страницы, принадлежащие RMP.
Процессоры AMD с SEV-SNP имеют несколько ядер x86 для вычислений рабочей нагрузки и защищенный сопроцессор (ASP) для обеспечения безопасности ядер x86 и подсистемы памяти.
Он также проверяет конфигурацию, предоставленную гипервизором, при запросе инициализации RMP.
Ученые обнаружили, что ASP не обеспечивает надлежащую защиту памяти, содержащей RMP, во время инициализации, что позволяет гипервизору выполнять запись в память RMP и повреждать запись, что приводит к нарушению гарантии SEV-SNP.
Исследователи апробировали атаку RMPocalypse на процессорах Zen 3, Zen 4 и новейшей Zen 5, продемонстрировав, как ее можно использовать для перезаписи различных страниц.
В свою очередь, AMD объявила, что ее процессоры серий EPYC и EPYC Embedded затронуты этой проблемой, а исправления были отправлены OEM-производителям, которые должны выпустить обновления BIOS для ее устранения.
Microsoft также заявила о работе над обновлениями для устранения уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD.
После внедрения исправлений клиенты будут уведомлены о необходимости перезагрузки ресурсов ACC.
Компания также отметила, что вероятность эксплуатации уязвимости в реальных условиях крайне мала из-за защитных мер, снижающих риск манипулирования памятью или компрометации хоста.
Forwarded from Russian OSINT
1️⃣ Наибольшее доверие у тех, кто интересуется новостями об инфобезе и ИТ, вызывают Telegram-каналы — 39%.
2️⃣На втором месте телевидение (32%).
3️⃣ На третьем — российские новостные сайты (24%).
Эксперты компании отмечают: независимо от того, какие ресурсы предпочитает пользователь, важно проверять информацию, чтобы защититься от фейков и мошенничества.
Подробнее тут.
Please open Telegram to view this post
VIEW IN TELEGRAM
Oracle выпустила экстренные обновления безопасности для исправления еще одной уязвимости E-Business Suite (EBS), которая может быть проэксплуатирована удаленно неавторизованными злоумышленниками.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
CVE-2025-61884 связана с раскрытием информации в компоненте Runtime UI и затрагивает версии EBS 12.2.3–12.2.14.
Как отметил директор по безопасности Oracle Роб Дюхарт, ошибка получила базовую оценку CVSS 7,5, в случае успешной эксплуатации она может позволить неаутентифицированным злоумышленникам получить доступ к конфиденциальным ресурсам.
Oracle выпустила исправление CVE-2025-61884 почти через две недели после того, как Clop предъявили требования выкупа руководителям нескольких компаний.
Изначально компания связала атаки с уязвимостями EBS, исправленными в июле 2025 года, а затем уже с другой проблемой Oracle EBS, которая теперь отслеживается как CVE-2025-61882.
С тех пор исследователи CrowdStrike заявили, что впервые обнаружили банду Clop, эксплуатирующую CVE-2025-61882 как 0-day с начала августа, в атаках на кражу данных, предупредив, что к атакам могли присоединиться и другие группы угроз.
Исследователи watchTowr Labs также заметили, что CVE-2025-61882 представляет собой цепочку уязвимостей, которая позволяет неаутентифицированным злоумышленникам реализовать RCE, о чем свидетельствует PoC (с временной меткой мая 2025 года), который был слит в сеть группировкой Scattered Lapsus$ Hunters.
Oracle не отметила уязвимость CVE-2025-61884, исправленную на выходных, как эксплуатируемую в реальных условиях, и пока не связала ее с атаками CVE-2025-61882.
Однако, учитывая, что экземпляры Oracle EBS, подключенные к Интернету, подвергаются активным атакам, настоятельно рекомендуется как можно скорее применить внеполосное исправление CVE-2025-61884.
Oracle
Security Alert CVE-2025-61884 Released
Oracle has released Security Alert CVE-2025-61884. This vulnerability affects some deployments of Oracle E-Business Suite.
Forwarded from Social Engineering
• Оказывается, что у ребят из Wiz есть актуальная и очень объемная база данных, которая содержит перечень уязвимостей с прицелом на облачные инфраструктуры.
• Каждая запись содержит информацию по наличию эксплойтов, технические детали, риски, рекомендацию по исправлению и еще кучу другой информации:
• Однозначно добавляем ресурс в нашу коллекцию:
S.E. ▪️ infosec.work ▪️ VT
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследователи из Лаборатории Касперского выкатили весьма годный отчет на фоне завершения эпохи Windows 10 с обзором изменений в криминалистических артефактах в новой Windows 11 (24H2), который может пригодиться коллегам по цеху.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Как отмечают в ЛК, Windows 11 вышла четыре года назад, но довольно слабо распространилась в корпоративной среде.
По статистике GERT, в начале 2025 года Windows 7 (не поддерживается с 2020-го), встречалась у заказчиков лишь немногим реже, чем новейшая ОС.
Большинство же систем до сих пор работает под управлением Windows 10.
При этом самая распространенная ОС вышла более 10 лет назад и теперь EoL, а значит число систем под управлением Windows 11 так или иначе будет увеличиваться.
Описать весь объем полезной инфы в одной публикации у нас вряд ли получится, ведь даже сам отчет - это краткий обзор основных изменений в артефактах Windows 11, интересных с точки зрения криминалистического анализа (особенно в части изменений в PCA и Windows Search).
Лучше ознакомиться на досуге непосредственно с оригинальным источником.
А насколько артеффакты окажутся полезными при расследованиях - покажет время.
Но что определенно сразу следует добавить из описанных ЛК файлов в ваш инструмент для сбора триажей - можно найти в отчете.
Securelist
Чем интересна Windows 11 с точки зрения киберкриминалистики
В связи с окончанием поддержки Windows 10 рассказываем, какие криминалистические артефакты могут представлять интерес в Windows 11.
Ну раз уж зашло тема микромягких, то, конечно же, нельзя пройти мимо октябрьского PatchTuesday с исправлениями для 172 уязвимостей, в том числе 6 0-day.
В общей массе устранено 8 критических уязвимостей, 5 из которых - это RCE, а три - EoP.
Если по всем категориям - то 80 уязвимостей связаны с повышением привилегий, 11 - обходом функций безопасности, 31 - RCE, 28 - раскрытием информации, 11 - DoS и 10 - спуфингом.
Следует также отметить, что это последний PatchTuesday для Windows 10, далее - расширенная поддержка (ESU) за отдельный прайс на год (для предприятий на три).
Среди упомянутых нулей:
- CVE-2025-24990: уязвимость драйвера модема Windows Agere, приводящая к EoP и административным привилегиям. По итогу ltmdm64.sys был удалён, работа соответствующего оборудования факс-модема поддерживаться не будет.
- CVE-2025-59230: уязвимость диспетчера подключений удаленного доступа Windows позволяет авторизованному злоумышленнику локально повышать привилегии.
Как отмечает Microsoft, злоумышленники должны «вложить измеримые усилия в подготовку или реализацию», чтобы успешно воспользоваться уязвимостью. Она была обнаружена Microsoft MSTIC и MSRC.
- CVE-2025-47827: обход безопасной загрузки в ОС IGEL до версии 11, который возможен в виду того, что модуль igel-flash-driver неправильно проверяет криптографическую подпись.
В конечном итоге, из непроверенного образа SquashFS можно смонтировать созданную корневую файловую систему. Ошибка была обнаружена Заком Дидкоттом и публично раскрыта на GitHub. Причем MITRE сама присвоила ей CVE.
Далее следуют публично эксплуатируемые недостатки, в числе которых:
- CVE-2025-0033: уязвимость в процессорах AMD EPYC с SEV-SNP, которая может повлиять на целостность памяти.
Она связана с состоянием гонки во время инициализации RMP и может позволить вредоносному или скомпрометированному гипервизору изменить записи RMP до их блокировки, что потенциально повлияет на целостность гостевой памяти SEV-SNP.
При этом уязвимость не раскрывает данные в открытом виде или секреты, а для её использования требуется привилегированный доступ к гипервизору.
Microsoft заявляет, что обновления безопасности для этой уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD ещё не готовы.
Проблема была публично раскрыта AMD вчера, обнаружение приписывается ученым из Швейцарской высшей технической школы Цюриха.
- CVE-2025-24052: уязвимость драйвера модема Windows Agere, приводящая к EoP и аналогичная CVE-2025-24990, но для ее эксплуатации не обязательно использовать модем. CVE не приписывается ни одному исследователю.
- CVE-2025-2884: уязвимость чтения за пределами допустимого диапазона в эталонной реализации TCG TPM2.0, могла привести к раскрытию информации или отказу в обслуживании TPM.
Проблема затрагивает вспомогательную функцию CryptHmacSign эталонной реализации CG TPM2.0, которая подвержена чтению за пределами буфера из-за отсутствия проверки схемы подписи с помощью алгоритма ключа подписи.
CERT/CC назначила ей CVE от своего имени. Ошибка была приписана Trusted Computing Group (TCG) и анонимному исследователю.
В общей массе устранено 8 критических уязвимостей, 5 из которых - это RCE, а три - EoP.
Если по всем категориям - то 80 уязвимостей связаны с повышением привилегий, 11 - обходом функций безопасности, 31 - RCE, 28 - раскрытием информации, 11 - DoS и 10 - спуфингом.
Следует также отметить, что это последний PatchTuesday для Windows 10, далее - расширенная поддержка (ESU) за отдельный прайс на год (для предприятий на три).
Среди упомянутых нулей:
- CVE-2025-24990: уязвимость драйвера модема Windows Agere, приводящая к EoP и административным привилегиям. По итогу ltmdm64.sys был удалён, работа соответствующего оборудования факс-модема поддерживаться не будет.
- CVE-2025-59230: уязвимость диспетчера подключений удаленного доступа Windows позволяет авторизованному злоумышленнику локально повышать привилегии.
Как отмечает Microsoft, злоумышленники должны «вложить измеримые усилия в подготовку или реализацию», чтобы успешно воспользоваться уязвимостью. Она была обнаружена Microsoft MSTIC и MSRC.
- CVE-2025-47827: обход безопасной загрузки в ОС IGEL до версии 11, который возможен в виду того, что модуль igel-flash-driver неправильно проверяет криптографическую подпись.
В конечном итоге, из непроверенного образа SquashFS можно смонтировать созданную корневую файловую систему. Ошибка была обнаружена Заком Дидкоттом и публично раскрыта на GitHub. Причем MITRE сама присвоила ей CVE.
Далее следуют публично эксплуатируемые недостатки, в числе которых:
- CVE-2025-0033: уязвимость в процессорах AMD EPYC с SEV-SNP, которая может повлиять на целостность памяти.
Она связана с состоянием гонки во время инициализации RMP и может позволить вредоносному или скомпрометированному гипервизору изменить записи RMP до их блокировки, что потенциально повлияет на целостность гостевой памяти SEV-SNP.
При этом уязвимость не раскрывает данные в открытом виде или секреты, а для её использования требуется привилегированный доступ к гипервизору.
Microsoft заявляет, что обновления безопасности для этой уязвимости в кластерах Azure Confidential Computing (ACC) на базе процессоров AMD ещё не готовы.
Проблема была публично раскрыта AMD вчера, обнаружение приписывается ученым из Швейцарской высшей технической школы Цюриха.
- CVE-2025-24052: уязвимость драйвера модема Windows Agere, приводящая к EoP и аналогичная CVE-2025-24990, но для ее эксплуатации не обязательно использовать модем. CVE не приписывается ни одному исследователю.
- CVE-2025-2884: уязвимость чтения за пределами допустимого диапазона в эталонной реализации TCG TPM2.0, могла привести к раскрытию информации или отказу в обслуживании TPM.
Проблема затрагивает вспомогательную функцию CryptHmacSign эталонной реализации CG TPM2.0, которая подвержена чтению за пределами буфера из-за отсутствия проверки схемы подписи с помощью алгоритма ключа подписи.
CERT/CC назначила ей CVE от своего имени. Ошибка была приписана Trusted Computing Group (TCG) и анонимному исследователю.
GitHub
GitHub - Zedeldi/CVE-2025-47827: PoC and vulnerability report for CVE-2025-47827.
PoC and vulnerability report for CVE-2025-47827. Contribute to Zedeldi/CVE-2025-47827 development by creating an account on GitHub.
Продолжаются тектонические сдвиги на рынке spyware, на этот раз затронувшие даже гиганта отрасли с 20-ти летним стажем.
Через ведущие международные издания слили заслужившую звания «лаборатории прослушки» компанию First WAP с ее системой Altamides.
Материал под названием Surveillance Secrets - это результат совместного журналистского расследования при координации Lighthouse Reports и в партнерстве с иатльянской IrpiMedia.
В работе приняли участие журналисты Paper Trail Media, The Center for Investigative Reporting, ZDF, Der Spiegel, Tamedia, Der Standard, Haaretz, Tempo, KRIK, Investigace, Le Monde и NRK.
Altamides позиционируется на рынке весьма серьезно в качестве платформы для мониторинга за телефонами, посредством которой отслеживались перемещения более 14 000 целевых телефонных номеров (более 1,5 миллионов пингов).
Если верить утечкам, начиная с 2007 года Altamides задействовалась для негласной слежки за известными политическими деятелями, знаменитостями, журналистами и активистами в 168 странах.
Среди жертв нашли жену бывшего президента Сирии Башара Асада, музыканта Джареда Лето и высокопоставленных представителей бизнеса, в том числе Энн Воджицки, соучредительницу 23andMe и бывшую жену одного из соучредителей Google.
В ряде случае отслеживание предшествовало убийству, похищению или задержанию владельца контролируемой трубки.
Работа системы строится на злоупотреблении протоколом SS7 с применением богатой палитры софта для перехвата телефонных звонков и sms-сообщений, зеркалирования аккаунтов WhatsApp и контроля интернет-трафика.
Соединение по SS7 реализуется через индонезийского оператора связи и национального оператора Лихтенштейна, с которым у компании были давние отношения еще с начала своего пути.
First Wap была основана Йозефом Фуксом, австрийцем, эмигрировавшим в Индонезию в 1990-х годах и ранее работавшим инженером в Siemens.
Изначально она специализировалась на SMS, но впоследствии стала лидером в отслеживании местоположения мобильных телефонов.
Компания зарегистрирована в Индонезии и имеет офис в Дубае, что позволяет ей пользоваться более мягкими правилами экспорта, а её руководство дислоцируется в Европе.
По словам бывшего сотрудника, First Wap никогда не испытывала проблем с клиентами: система успешно продавалась правительствам и спецслужбам в Нигерии, Малайзии, Сингапура, ОАЭ, Индонезии, Узбекистана, Саудовской Аравии и даже Белоруссии.
Altamides также использовали частные детективные агентства, включая британскую Kcs Group, которая, в свою очередь, также подгоняла ей свою клиентуру.
В общем, теперь покатится First Wap по накатанной NSO Group дорожке, а мы будем следить.
Через ведущие международные издания слили заслужившую звания «лаборатории прослушки» компанию First WAP с ее системой Altamides.
Материал под названием Surveillance Secrets - это результат совместного журналистского расследования при координации Lighthouse Reports и в партнерстве с иатльянской IrpiMedia.
В работе приняли участие журналисты Paper Trail Media, The Center for Investigative Reporting, ZDF, Der Spiegel, Tamedia, Der Standard, Haaretz, Tempo, KRIK, Investigace, Le Monde и NRK.
Altamides позиционируется на рынке весьма серьезно в качестве платформы для мониторинга за телефонами, посредством которой отслеживались перемещения более 14 000 целевых телефонных номеров (более 1,5 миллионов пингов).
Если верить утечкам, начиная с 2007 года Altamides задействовалась для негласной слежки за известными политическими деятелями, знаменитостями, журналистами и активистами в 168 странах.
Среди жертв нашли жену бывшего президента Сирии Башара Асада, музыканта Джареда Лето и высокопоставленных представителей бизнеса, в том числе Энн Воджицки, соучредительницу 23andMe и бывшую жену одного из соучредителей Google.
В ряде случае отслеживание предшествовало убийству, похищению или задержанию владельца контролируемой трубки.
Работа системы строится на злоупотреблении протоколом SS7 с применением богатой палитры софта для перехвата телефонных звонков и sms-сообщений, зеркалирования аккаунтов WhatsApp и контроля интернет-трафика.
Соединение по SS7 реализуется через индонезийского оператора связи и национального оператора Лихтенштейна, с которым у компании были давние отношения еще с начала своего пути.
First Wap была основана Йозефом Фуксом, австрийцем, эмигрировавшим в Индонезию в 1990-х годах и ранее работавшим инженером в Siemens.
Изначально она специализировалась на SMS, но впоследствии стала лидером в отслеживании местоположения мобильных телефонов.
Компания зарегистрирована в Индонезии и имеет офис в Дубае, что позволяет ей пользоваться более мягкими правилами экспорта, а её руководство дислоцируется в Европе.
По словам бывшего сотрудника, First Wap никогда не испытывала проблем с клиентами: система успешно продавалась правительствам и спецслужбам в Нигерии, Малайзии, Сингапура, ОАЭ, Индонезии, Узбекистана, Саудовской Аравии и даже Белоруссии.
Altamides также использовали частные детективные агентства, включая британскую Kcs Group, которая, в свою очередь, также подгоняла ей свою клиентуру.
В общем, теперь покатится First Wap по накатанной NSO Group дорожке, а мы будем следить.
Lighthouse Reports
Surveillance Secrets
Trove of surveillance data challenges what we thought we knew about location tracking tools, who they target and how far they have spread
Инцидент F5 обрастает интересными подробностями.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.
Помимо этого им удалось расшарить информацию об уязвимостях, которые находились в процессе исправления, но ещё не были публично раскрыты или как-то заявлены.
F5 обвинила в атаке неназванную APT и, несмотря на то, что компания не заявляла об этом публично, но считает, что за атакой стоит Китай, согласно данным Bloomberg.
В последнее время Google наблюдала атаки китайских групп на SaaS- и технологические компании, нацеливаясь на ценные данные, прежде всего, исходный код, используя в атаках вредоносное ПО под названием Brickstorm.
При этом F5 направляет клиентам руководство по выявлению угроз, в котором особое внимание уделяется вредоносному ПО Brickstorm.
В результате расследования стало известно также, что хакеры находились в сети не менее 12 месяцев, что соответствует недавнему отчету Google Brickstorm, в котором указывалось среднее время нахождения в сетях данных кибершпионов, составлявшее в среднем около 400 дней.
Google Threat Intelligence Group и Mandiant связали атаку Brickstorm с группой злоумышленников, отслеживаемой как UNC5221.
Поставщик заявил, что ему не известно о каких-либо нераскрытых критических уязвимостях, которыми мог бы воспользоваться злоумышленник, и нет никаких доказательств того, что непубличные уязвимости использовались в атаках.
Однако недавно компания объявляла о ротации своих сертификатов подписи и ключей, используемых для криптографической подписи продуктов BIG-IP.
Кроме того, в среду F5 объявила о доступности исправлений для большого количества уязвимостей, затрагивающих BIG-IP и другие продукты.
Более двух десятков исправленных уязвимостей получили высокий уровень серьёзности. Их эксплуатация может позволить обойти механизмы безопасности, повысить привилегии и вызвать DoS.
Подавляющее большинство уязвимостей можно использовать для DoS-атак, и только эти типы уязвимостей можно эксплуатировать удаленно без аутентификации, в то время как для остальных требуется аутентификация, а в некоторых случаях и повышенные привилегии.
В компании F5 заявили, что злоумышленники также украли файлы с платформы управления знаниями, включавшие данные о конфигурации или реализации для небольшого процента клиентов.
Особо отмечается, что компания не обнаружила свидетельств вмешательства в цепочку поставок, включая изменение исходного кода NGINX или процесса сборки/выпуска.
Кроме того, нет никаких признаков кражи данных из других систем, а равно эксплуатации украденных дефектов. Причем якобы среди этих дефектов не было критических уязвимостей и RCE.
В общем, пока F5 как из пулемета клепает много успокоительных заявлений Агентства по кибербезопасности США и Великобритании выпускают экстренные предупреждения, уведомляя о потенциальной угрозе (1 и 2 соответственно).
Учитывая ресурсность и профиль атакующего актора, весьма вероятно, что критические уязвимости и RCE будут выужены из исходного кода до последней CVE и оперативно уйдут в работу.
Так что пользователям помимо срочных обновлений BIG-IP, F5OS, BIG-IP Next for Kubernetes и BIG-IQ следует приготовиться к выстукиванию более комплексной защиты потенциально (можно сказать, что уже даже однозначно) уязвимых систем.
Если ранее мы сталкивались с таким понятием как атака на цепочку мудаков, новый инцидент следует рассматривать как атаку на цепочку от мудака. Свои варианты кидайте в комменты.
F5
F5 Security Incident
We want to share information with you about steps we’ve taken to resolve a security incident at F5 and our ongoing efforts to protect our customers. In August 2025, we learned a highly sophisticated nation-state threat actor maintained long-term, persistent…
Группа ученых из Калифорнийского университета в Сан-Диего и Мэрилендского университета в Колледж-Парке выкатили результаты самого полного на сегодняшний день публичного исследования геостационарной спутниковой связи.
Исследователям удалось перехватить и шпионить за спутниковым трафиком с помощью простого устройства стоимостью 800 долларов, установленного на крыше их здания.
За три года работы над проектом стало понятно, что почти половина перехваченного трафика была незашифрованной, в том числе связанного с КИИ, корпоративными и правительственными коммуникациями, голосовыми вызовами и SMS, Wi-Fi-сетями, сетями на борту самолетов.
Все эти данные может пассивно отслеживать любой желающий через обычное оборудование, которое, как показал эксперимент, позволило задетектить 411 транспондеров на 39 геостационарных спутниках и принимать IP-трафик с 14% всех спутников Ku-диапазона в мире.
Как отмечают исследователи, в мире тысячи геостационарных спутниковых ретрансляторов и данные с одного ретранслятора могут покрывать территории размером до 40% поверхности Земли.
Для восстановления сетевых пакетов из необычных стеков протоколов разных поставщиков исследователи разработали и задействовали собственный экстрактор-анализатор IP-пакетов Dontlookup DVB-S2(X) (доступен на GitHub).
В общем, исследователи продемонстрировали возможности перехвата звонков мобильных операторов, текстовых сообщений, а также секретных коммуникаций военных и госструктур.
По мере идентификации поставщиков того или иного перехваченного трафика им направились соответствующие уведомления, пока что после доклада исследовательской группы лишь компания T-Mobile начала шифровать свои спутниковые соединения.
Технические подробности доступны в полной версии отчета (PDF), а также отчасти отражены в статье Энди Гринберга и Мэтта Берджесса на WIRED.
Исследователям удалось перехватить и шпионить за спутниковым трафиком с помощью простого устройства стоимостью 800 долларов, установленного на крыше их здания.
За три года работы над проектом стало понятно, что почти половина перехваченного трафика была незашифрованной, в том числе связанного с КИИ, корпоративными и правительственными коммуникациями, голосовыми вызовами и SMS, Wi-Fi-сетями, сетями на борту самолетов.
Все эти данные может пассивно отслеживать любой желающий через обычное оборудование, которое, как показал эксперимент, позволило задетектить 411 транспондеров на 39 геостационарных спутниках и принимать IP-трафик с 14% всех спутников Ku-диапазона в мире.
Как отмечают исследователи, в мире тысячи геостационарных спутниковых ретрансляторов и данные с одного ретранслятора могут покрывать территории размером до 40% поверхности Земли.
Для восстановления сетевых пакетов из необычных стеков протоколов разных поставщиков исследователи разработали и задействовали собственный экстрактор-анализатор IP-пакетов Dontlookup DVB-S2(X) (доступен на GitHub).
В общем, исследователи продемонстрировали возможности перехвата звонков мобильных операторов, текстовых сообщений, а также секретных коммуникаций военных и госструктур.
По мере идентификации поставщиков того или иного перехваченного трафика им направились соответствующие уведомления, пока что после доклада исследовательской группы лишь компания T-Mobile начала шифровать свои спутниковые соединения.
Технические подробности доступны в полной версии отчета (PDF), а также отчасти отражены в статье Энди Гринберга и Мэтта Берджесса на WIRED.
satcom.sysnet.ucsd.edu
🛰️ SATCOM Security
Research project homepage for SATCOM Security: papers, source code, and recent satellite communications vulnerabilities.
Сделаем небольшой обзор по наиболее актуальным масштабным атакам, в том числе с использованием недавно раскрытых уязвимостей:
1. Злоумышленники задействуют исправленную в конце сентября 0-day (CVE-2025-20352, CVSS 7,7) в в протоколе сетевого управления (SNMP) устройств Cisco IOS и IOS XE для развертывания руткита.
Ошибка позволяет злоумышленникам с низким уровнем привилегий вызывать DoS, также может быть использована с высокими привилегиями для RCE.
Новую кампанию Operation ZeroDisco раскрыли исследователи Trend Micro, обнаружив злоумышленника, использующего уязвимость для развертывания Linux-руткита на старых уязвимых устройствах, включая устройства Cisco 9400, 9300 и устаревшие серии 3750G.
Помимо CVE-2025-20352, хакеры использовали модифицированный эксплойт для CVE-2017-3881 - уязвимости Telnet, приводящей к RCE, которая позволяла выполнять чтение и запись в память.
По данным Trend Micro, руткит отслеживает UDP-пакеты, отправляемые на любой порт устройства, даже закрытый, что позволяет злоумышленникам настраивать или активировать функции бэкдора. Он также модифицирует память iOSd для установки универсального пароля.
Руткит также скрывает элементы текущей конфигурации в памяти, позволяет обходить списки контроля доступа (ACL), применяемые к VTY, отключает историю журнала и сбрасывает временные метки записи текущей конфигурации, чтобы скрыть изменения.
Как отмечает Trend Micro, в настоящее время не существует универсального автоматизированного инструмента, позволяющего надёжно определить, был ли коммутатор Cisco успешно скомпрометирован в рамках ZeroDisco.
2. За последнюю неделю в ходе масштабной кампании было взломано более сотни устройств SonicWall SSLVPN в 16 средах.
Специалисты Huntress утверждают, что злоумышленники использовали действительные учётные данные для аутентификации и захвата устройств.
Все успешные аутентификации проходили с одного и того же IP-адреса (202.155.8[.]73). На некоторых устройствах злоумышленники перемещались по сети жертвы и расширяли свой доступ.
Huntress полагает, что атаки связаны с недавним взломом SonicWall, когда хакеры похитили резервные копии конфигурации устройств из облачного сервиса компании.
3. Gladinet выпустила обновления для бизнес-решения CentreStack (16.10.10408.56683), призванные устранить уязвимость локального включения файлов (CVE-2025-11371), которую злоумышленники использовали в качестве уязвимости нулевого дня с конца сентября.
Исследователи Huntress раскрыли информацию об эксплуатации уязвимости на прошлой неделе, заявив, что она представляла собой обходной путь для смягчения последствий, реализованный Gladinet для уязвимости десериализации, приводящей к RCE - CVE-2025-30406.
Уязвимость локального включения файлов (LFI) позволяла злоумышленникам читать файл Web.config в полностью исправленных развертываниях CentreStack, извлекать машинный ключ, а затем использовать его для эксплуатации уязвимости CVE-2025-30406.
В обновлении к первоначальному сообщению Huntress поделилась более подробной технической информацией в отношении CVE-2025-11371, включающей в себя минимальный прототип эксплойта.
1. Злоумышленники задействуют исправленную в конце сентября 0-day (CVE-2025-20352, CVSS 7,7) в в протоколе сетевого управления (SNMP) устройств Cisco IOS и IOS XE для развертывания руткита.
Ошибка позволяет злоумышленникам с низким уровнем привилегий вызывать DoS, также может быть использована с высокими привилегиями для RCE.
Новую кампанию Operation ZeroDisco раскрыли исследователи Trend Micro, обнаружив злоумышленника, использующего уязвимость для развертывания Linux-руткита на старых уязвимых устройствах, включая устройства Cisco 9400, 9300 и устаревшие серии 3750G.
Помимо CVE-2025-20352, хакеры использовали модифицированный эксплойт для CVE-2017-3881 - уязвимости Telnet, приводящей к RCE, которая позволяла выполнять чтение и запись в память.
По данным Trend Micro, руткит отслеживает UDP-пакеты, отправляемые на любой порт устройства, даже закрытый, что позволяет злоумышленникам настраивать или активировать функции бэкдора. Он также модифицирует память iOSd для установки универсального пароля.
Руткит также скрывает элементы текущей конфигурации в памяти, позволяет обходить списки контроля доступа (ACL), применяемые к VTY, отключает историю журнала и сбрасывает временные метки записи текущей конфигурации, чтобы скрыть изменения.
Как отмечает Trend Micro, в настоящее время не существует универсального автоматизированного инструмента, позволяющего надёжно определить, был ли коммутатор Cisco успешно скомпрометирован в рамках ZeroDisco.
2. За последнюю неделю в ходе масштабной кампании было взломано более сотни устройств SonicWall SSLVPN в 16 средах.
Специалисты Huntress утверждают, что злоумышленники использовали действительные учётные данные для аутентификации и захвата устройств.
Все успешные аутентификации проходили с одного и того же IP-адреса (202.155.8[.]73). На некоторых устройствах злоумышленники перемещались по сети жертвы и расширяли свой доступ.
Huntress полагает, что атаки связаны с недавним взломом SonicWall, когда хакеры похитили резервные копии конфигурации устройств из облачного сервиса компании.
3. Gladinet выпустила обновления для бизнес-решения CentreStack (16.10.10408.56683), призванные устранить уязвимость локального включения файлов (CVE-2025-11371), которую злоумышленники использовали в качестве уязвимости нулевого дня с конца сентября.
Исследователи Huntress раскрыли информацию об эксплуатации уязвимости на прошлой неделе, заявив, что она представляла собой обходной путь для смягчения последствий, реализованный Gladinet для уязвимости десериализации, приводящей к RCE - CVE-2025-30406.
Уязвимость локального включения файлов (LFI) позволяла злоумышленникам читать файл Web.config в полностью исправленных развертываниях CentreStack, извлекать машинный ключ, а затем использовать его для эксплуатации уязвимости CVE-2025-30406.
В обновлении к первоначальному сообщению Huntress поделилась более подробной технической информацией в отношении CVE-2025-11371, включающей в себя минимальный прототип эксплойта.
Trend Micro
Operation Zero Disco: Attackers Exploit Cisco SNMP Vulnerability to Deploy Rootkits
Trend™ Research has uncovered an attack campaign exploiting the Cisco SNMP vulnerability CVE-2025-20352, allowing remote code execution and rootkit deployment on unprotected devices, with impacts observed on Cisco 9400, 9300, and legacy 3750G series.
Ресерчеры из Лаборатории Касперского анонсировали исследование по результатам анализа публичной активности хакеров в корреляции с их операциями.
Чтобы понять как выглядят кампании хакеров в 2025 году в ЛК проанализировали более 11 000 публикаций более чем 120 групп хакеров как в открытом сегменте, так и в даркнете, уделяя особое внимание тем, кто нацелен на страны Ближнего Востока и Северной Африки.
Основная цель исследования - выявить закономерности в операциях хакеров, включая методы атак, публичные предупреждения и заявленные намерения.
Анализ проводился исключительно с точки зрения кибербезопасности и основан на принципе нейтралитета.
Причем привычный стереотип, что большинство кампаний разворачивается на скрытых форумах в реальности не соответствует действительности: планирование и реализация в массе своей происходят открыто.
При этом Telegram стал своей города командным центром современных хакерских групп, обеспечивая наибольшую эффективность планирования атак и продвижения призывов к действию. На втором месте - X (ранее - Twitter).
Как отмечают Касперы, даже безотносительно хакеров, действующих в странах Ближнего Востока и Северной Африки, атаки рассматриваемых группировок носят глобальный характер и выходят далеко за пределы региона.
Жертвы атак есть по всей Европе и на Ближнем Востоке, а также в Аргентине, США, Индонезии, Индии, Вьетнаме, Таиланде, Камбодже, Турции и других странах.
Одной из примечательных особенностей постов и сообщений хакеров в даркнете является частое использование хэштегов (#слов).
Она часто служат политическими лозунгами, усиливают основной посыл сообщений, обеспечивают координацию действий или позволяют приписывать ответственность за атаки.
Наиболее распространёнными темами являются политические заявления и названия групп хакеров, но в некоторых случаях хэштеги указывают на географические местоположения, например, конкретные страны или города.
Хэштеги также отображают альянсы и динамику.
В 2025 году ЛК выявила 2063 уникальных тега: 1484 из них появились впервые, и многие были напрямую связаны с определёнными группами или совместными кампаниями.
Большинство тегов носят временный характер, около двух месяцев, а «популярные» теги сохраняются дольше, если их поддерживают альянсы; баны каналов способствуют оттоку аудитории.
С оперативной точки зрения, сообщения о завершённых атаках доминируют в хэштегированном контенте (58%), и среди них DDoS - «рабочая лошадка» (61%).
Всплески угрожающей риторики сами по себе не предсказывают новых атак, но время имеет значение: когда публикуются угрозы, они обычно относятся к действиям в ближайшей перспективе, то есть на той же неделе или месяце.
Такая тенденция указывает на то, что раннее выявление и упреждение потенциальных атак посредством помощью мониторинга открытых каналов может быть весьма полезным на практике.
В полной версии отчета подробно изложены следующие выводы относительно того, сколько времени обычно проходит до сообщения об атаке после публикации угрозы, как теги используются для координации атак, а также закономерности в разных кампаниях и регионах.
Чтобы понять как выглядят кампании хакеров в 2025 году в ЛК проанализировали более 11 000 публикаций более чем 120 групп хакеров как в открытом сегменте, так и в даркнете, уделяя особое внимание тем, кто нацелен на страны Ближнего Востока и Северной Африки.
Основная цель исследования - выявить закономерности в операциях хакеров, включая методы атак, публичные предупреждения и заявленные намерения.
Анализ проводился исключительно с точки зрения кибербезопасности и основан на принципе нейтралитета.
Причем привычный стереотип, что большинство кампаний разворачивается на скрытых форумах в реальности не соответствует действительности: планирование и реализация в массе своей происходят открыто.
При этом Telegram стал своей города командным центром современных хакерских групп, обеспечивая наибольшую эффективность планирования атак и продвижения призывов к действию. На втором месте - X (ранее - Twitter).
Как отмечают Касперы, даже безотносительно хакеров, действующих в странах Ближнего Востока и Северной Африки, атаки рассматриваемых группировок носят глобальный характер и выходят далеко за пределы региона.
Жертвы атак есть по всей Европе и на Ближнем Востоке, а также в Аргентине, США, Индонезии, Индии, Вьетнаме, Таиланде, Камбодже, Турции и других странах.
Одной из примечательных особенностей постов и сообщений хакеров в даркнете является частое использование хэштегов (#слов).
Она часто служат политическими лозунгами, усиливают основной посыл сообщений, обеспечивают координацию действий или позволяют приписывать ответственность за атаки.
Наиболее распространёнными темами являются политические заявления и названия групп хакеров, но в некоторых случаях хэштеги указывают на географические местоположения, например, конкретные страны или города.
Хэштеги также отображают альянсы и динамику.
В 2025 году ЛК выявила 2063 уникальных тега: 1484 из них появились впервые, и многие были напрямую связаны с определёнными группами или совместными кампаниями.
Большинство тегов носят временный характер, около двух месяцев, а «популярные» теги сохраняются дольше, если их поддерживают альянсы; баны каналов способствуют оттоку аудитории.
С оперативной точки зрения, сообщения о завершённых атаках доминируют в хэштегированном контенте (58%), и среди них DDoS - «рабочая лошадка» (61%).
Всплески угрожающей риторики сами по себе не предсказывают новых атак, но время имеет значение: когда публикуются угрозы, они обычно относятся к действиям в ближайшей перспективе, то есть на той же неделе или месяце.
Такая тенденция указывает на то, что раннее выявление и упреждение потенциальных атак посредством помощью мониторинга открытых каналов может быть весьма полезным на практике.
В полной версии отчета подробно изложены следующие выводы относительно того, сколько времени обычно проходит до сообщения об атаке после публикации угрозы, как теги используются для координации атак, а также закономерности в разных кампаниях и регионах.
Securelist
Hacktivism in 2025: what it looks like and how hashtags help analyze it
Kaspersky researchers identified over 2000 unique hashtags across 11,000 hacktivist posts on the surface web and the dark web to find out how hacktivist campaigns function and whom they target.
Буквально вчера дали обзор в отношении F5 (ранее F5 Networks), одной из из крупнейших американских технологических компаний и членом индекса S&P 500, которая на этой неделе сообщила об инциденте, который претендует на звание крупнейшего взлома года.
Подробности утечки постоянно менялись с момента ее раскрытия, но больше всего запомнилась масса успокоительных сообщений:
- среди «украденных» дефектов не было критических уязвимостей и RCE,
- несанкционированных модификаций исходного кода не обнаружено,
- нет признаков доступа к исходным кодам NGINX,
- нет признаков эксплуатации украденных дефектов.
Однако вместо успокоительных сообщений клиентам F5, по всей видимости, в пору начинать пить успокоительные в таблетированной форме, ведь как сообщают в GreyNoise, уже наблюдается всплеск сканирований устройств BIG-IP вскоре после того, как был раскрыт взлом.
Продолжаем следить.
Подробности утечки постоянно менялись с момента ее раскрытия, но больше всего запомнилась масса успокоительных сообщений:
- среди «украденных» дефектов не было критических уязвимостей и RCE,
- несанкционированных модификаций исходного кода не обнаружено,
- нет признаков доступа к исходным кодам NGINX,
- нет признаков эксплуатации украденных дефектов.
Однако вместо успокоительных сообщений клиентам F5, по всей видимости, в пору начинать пить успокоительные в таблетированной форме, ведь как сообщают в GreyNoise, уже наблюдается всплеск сканирований устройств BIG-IP вскоре после того, как был раскрыт взлом.
Продолжаем следить.
Telegram
SecAtor
Инцидент F5 обрастает интересными подробностями.
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.…
Согласно официальным заявлениям, инцидент был обнаружен ещё в августе.
Злоумышленники получили доступ к среде разработки и корпоративным системам, откуда достали исходный код флагманской платформы BIG-IP.…
Ресерчеры из Лаборатории Касперского продолжают отслеживать активность APT-группы, известной как Mysterious Elephant (APT-K-47, Bitter), которая за последние два года значительно эволюционировала и стала более изощренной в своих атаках.
Основной целью атакующих являются правительственные организации и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Атаки группы сосредоточены преимущественно в Пакистане, Бангладеш и на Шри-Ланке.
Последняя кампания 2025 года демонстрирует существенное изменение в её TTPs с акцентом на обновление арсенала и опенсорс. Группа сконцентрировалась на краже конфиденциальных данных, пересылаемых через WhatsApp, в том числе документов, изображений и архивов.
Для получения первоначального доступа к своим целям злоумышленники теперь используют комбинацию из набора эксплойтов, фишинговых писем и вредоносных документов.
Стоит отметить, что Mysterious Elephant начала применять целевой фишинг, составляя фишинговые письма индивидуально для каждой жертвы и убедительно имитируя легитимную корреспонденцию.
Проникнув в систему, они задействуют ряд специально кастомизированных инструментов и утилит с открытым исходным кодом, в частности BabShell и MemLoader.
Группа также применяет PowerShell-скрипты для выполнения команд, внедрения дополнительных полезных нагрузок и закрепления в системе.
Они загружаются с командных серверов и часто задействуют легитимные инструменты системного администрирования, такие как curl и certutil, для загрузки и запуска вредоносных файлов.
Одним из инструментов, на которые перешла группа, является BabShell. Он написан на C++ и предназначен для создания реверс-шелла, позволяющего подключаться к скомпрометированной системе.
После запуска он собирает системную информацию, включая имя пользователя, имя компьютера и MAC-адрес, чтобы идентифицировать машину, после чего переходит в бесконечный цикл в ожидании команд, для каждой из которой создает отдельный поток.
BabShell выполняет инструкции командной строки и запускает дополнительные полезные нагрузки, получаемые с командного сервера.
Одним из новых модулей, используемых Mysterious Elephant и загружаемых через BabShell, является MemLoader HidenDesk, который представляет собой рефлективный PE-загрузчик, который загружает полезные нагрузки и выполняет их непосредственно в памяти.
Он применяет шифрование и сжатие для обхода механизмов обнаружения.
В последней кампании также применялся MemLoader Edge - еще одна разновидность загрузчика, который содержит встроенный образец VRat и шифрование наряду с иными методами обхода обнаружения.
Перехват коммуникаций в WhatsApp является ключевой особенностью модулей эксфильтрации (среди которых Uplo Exfiltrator, Stom Exfiltrator и ChromeStealer Exfiltrator) группы Mysterious Elephant.
Они предназначены для кражи конфиденциальных данных с систем и специально адаптированы под WhatsApp.
В них реализованы различные техники, такие как рекурсивный обход каталогов, XOR-дешифрование и кодирование по алгоритму Base64, для обхода обнаружения и передачи похищенной информации на С2.
Инфраструктура Mysterious Elephant представляет собой сеть доменов и IP-адресов, поддерживая подстановочные DNS-записи, VPS и облачные сервисы, что позволяет быстро масштабировать и адаптировать операции, снижая вероятность обнаружения.
Как отмечают исследователи, концентрация усилий группы на определенных организациях в сочетании с ее способностью адаптировать атаки под конкретных жертв подчеркивает серьезность этой угрозы, а использование как специально разработанных, так и общедоступных инструментов - высокий уровень технических знаний злоумышленников и готовность вкладываться в создание сложного вредоносного ПО.
Технический разбор нового инструментария и IOCs - в отчете.
Основной целью атакующих являются правительственные организации и внешнеполитические ведомства в Азиатско-Тихоокеанском регионе. Атаки группы сосредоточены преимущественно в Пакистане, Бангладеш и на Шри-Ланке.
Последняя кампания 2025 года демонстрирует существенное изменение в её TTPs с акцентом на обновление арсенала и опенсорс. Группа сконцентрировалась на краже конфиденциальных данных, пересылаемых через WhatsApp, в том числе документов, изображений и архивов.
Для получения первоначального доступа к своим целям злоумышленники теперь используют комбинацию из набора эксплойтов, фишинговых писем и вредоносных документов.
Стоит отметить, что Mysterious Elephant начала применять целевой фишинг, составляя фишинговые письма индивидуально для каждой жертвы и убедительно имитируя легитимную корреспонденцию.
Проникнув в систему, они задействуют ряд специально кастомизированных инструментов и утилит с открытым исходным кодом, в частности BabShell и MemLoader.
Группа также применяет PowerShell-скрипты для выполнения команд, внедрения дополнительных полезных нагрузок и закрепления в системе.
Они загружаются с командных серверов и часто задействуют легитимные инструменты системного администрирования, такие как curl и certutil, для загрузки и запуска вредоносных файлов.
Одним из инструментов, на которые перешла группа, является BabShell. Он написан на C++ и предназначен для создания реверс-шелла, позволяющего подключаться к скомпрометированной системе.
После запуска он собирает системную информацию, включая имя пользователя, имя компьютера и MAC-адрес, чтобы идентифицировать машину, после чего переходит в бесконечный цикл в ожидании команд, для каждой из которой создает отдельный поток.
BabShell выполняет инструкции командной строки и запускает дополнительные полезные нагрузки, получаемые с командного сервера.
Одним из новых модулей, используемых Mysterious Elephant и загружаемых через BabShell, является MemLoader HidenDesk, который представляет собой рефлективный PE-загрузчик, который загружает полезные нагрузки и выполняет их непосредственно в памяти.
Он применяет шифрование и сжатие для обхода механизмов обнаружения.
В последней кампании также применялся MemLoader Edge - еще одна разновидность загрузчика, который содержит встроенный образец VRat и шифрование наряду с иными методами обхода обнаружения.
Перехват коммуникаций в WhatsApp является ключевой особенностью модулей эксфильтрации (среди которых Uplo Exfiltrator, Stom Exfiltrator и ChromeStealer Exfiltrator) группы Mysterious Elephant.
Они предназначены для кражи конфиденциальных данных с систем и специально адаптированы под WhatsApp.
В них реализованы различные техники, такие как рекурсивный обход каталогов, XOR-дешифрование и кодирование по алгоритму Base64, для обхода обнаружения и передачи похищенной информации на С2.
Инфраструктура Mysterious Elephant представляет собой сеть доменов и IP-адресов, поддерживая подстановочные DNS-записи, VPS и облачные сервисы, что позволяет быстро масштабировать и адаптировать операции, снижая вероятность обнаружения.
Как отмечают исследователи, концентрация усилий группы на определенных организациях в сочетании с ее способностью адаптировать атаки под конкретных жертв подчеркивает серьезность этой угрозы, а использование как специально разработанных, так и общедоступных инструментов - высокий уровень технических знаний злоумышленников и готовность вкладываться в создание сложного вредоносного ПО.
Технический разбор нового инструментария и IOCs - в отчете.
Securelist
APT-группа Mysterious Elephant — тактики, техники, процедуры и инструментарий
Специалисты GReAT «Лаборатории Касперского» анализируют последнюю активность APT Mysterious Elephant, крадущей данные из WhatsApp, и разбирают ее инструменты, такие как BabShell и MemLoader HidenDesk.
Исследователи Symantec сообщают об атаке китайской группы Jewelbug на российского поставщика ИТ-услуг, в результате которой хакеры проникли в сеть и находились с января по май 2025 года.
Jewelbug также пересекается с кластерами угроз, известными как CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
По данным исследователей, группа активна по крайней мере с 2023 года и, в первую очередь, нацелена на правительственные учреждения, технологий, логистику, производства, телеком, ИТ и ритейл в Азиатско-Тихоокеанском региона и Латинской Америке.
В арсенале задействуется вредоносное ПО VARGEIT и COBEACON (Cobalt Strike Beacon). Кроме того, хакеры распространяли продвинутый бэкдор FINALDRAFT (Squidoor), способный заражать как Windows-, так и Linux-системы.
Сообщает, что в ходе названного инцидента злоумышленники имели доступ к репозиториям кода и системам сборки ПО, которые они потенциально могли использовать для проведения атак на цепочки поставок, нацеленных на клиентов компании в России.
Примечательно, что для эксфильтрации хакеры применяли Яндекс iCloud.
Помимо этого Jewelbug использовала модифицированный Microsoft Console Debugger («cdb.exe»), который можно использовать для запуска шелл-кода и обхода белого списка приложений, а также исполняемых файлов, DLL-библиотек и завершения работы решений по безопасности.
Злоумышленник также сбросывал учетные данные, обеспечивал устойчивость с помощью запланированных задач и попытках скрыть следы своей деятельности путем очистки журналов событий Windows.
Исследователи также обращают внимание и на другой инцидент, связанный со взломом крупной южноамериканской правительственной организации в июле 2025 года.
В атаке задействовался ранее недокументированный бэкдор, который, как сообщается, находится в стадии разработки. Вредоносная ПО использует API Microsoft Graph и OneDrive для C2 и способна собирать системную информацию, файлы и загружать эту информацию в OneDrive.
Использование API Microsoft Graph позволяет злоумышленникам скрываться среди обычного сетевого трафика и оставлять минимум криминалистических артефактов, что затрудняет анализ после инцидента и увеличивает время обнаружения злоумышленников.
Среди других жертв Jewelbug отмечены: поставщик ИТ-услуг из Южной Азии и тайваньская компания(в октябре и ноябре 2024 года), при этом в атаке на последнюю хакеры использовали DLL Hijacking для внедрения полезных нагрузок, включая традиционный ShadowPad.
Цепочка заражения также характеризуется использованием инструмента KillAV для отключения ПО безопасности и общедоступного EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи ядра в античит-драйвере ECHOAC в рамках, по-видимому, атаки BYOVD.
Также использовались LSASS и Mimikatz для сброса учетных данных, свободно распространяемые PrintNotifyPotato, Coerced Potato и Sweet Potato для обнаружения и повышения привилегий, а также утилита SOCKS-туннелирования EarthWorm, которая использовалась такими китайскими группами, как Gelsemium, Lucky Mouse и Velvet Ant.
При этом Symantec так и не удалось не установить начальный вектор заражения, который использовался для взлома организаций во всех отмеченных инцидентах.
Безусловно, новые артефакты указывают на расширение географического таргета группы, однако ничего нового с точки зрения практики российского инфосека по части активности китайцев Symantec особо не открыли.
Jewelbug также пересекается с кластерами угроз, известными как CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro) и REF7707 (Elastic Security Labs).
По данным исследователей, группа активна по крайней мере с 2023 года и, в первую очередь, нацелена на правительственные учреждения, технологий, логистику, производства, телеком, ИТ и ритейл в Азиатско-Тихоокеанском региона и Латинской Америке.
В арсенале задействуется вредоносное ПО VARGEIT и COBEACON (Cobalt Strike Beacon). Кроме того, хакеры распространяли продвинутый бэкдор FINALDRAFT (Squidoor), способный заражать как Windows-, так и Linux-системы.
Сообщает, что в ходе названного инцидента злоумышленники имели доступ к репозиториям кода и системам сборки ПО, которые они потенциально могли использовать для проведения атак на цепочки поставок, нацеленных на клиентов компании в России.
Примечательно, что для эксфильтрации хакеры применяли Яндекс iCloud.
Помимо этого Jewelbug использовала модифицированный Microsoft Console Debugger («cdb.exe»), который можно использовать для запуска шелл-кода и обхода белого списка приложений, а также исполняемых файлов, DLL-библиотек и завершения работы решений по безопасности.
Злоумышленник также сбросывал учетные данные, обеспечивал устойчивость с помощью запланированных задач и попытках скрыть следы своей деятельности путем очистки журналов событий Windows.
Исследователи также обращают внимание и на другой инцидент, связанный со взломом крупной южноамериканской правительственной организации в июле 2025 года.
В атаке задействовался ранее недокументированный бэкдор, который, как сообщается, находится в стадии разработки. Вредоносная ПО использует API Microsoft Graph и OneDrive для C2 и способна собирать системную информацию, файлы и загружать эту информацию в OneDrive.
Использование API Microsoft Graph позволяет злоумышленникам скрываться среди обычного сетевого трафика и оставлять минимум криминалистических артефактов, что затрудняет анализ после инцидента и увеличивает время обнаружения злоумышленников.
Среди других жертв Jewelbug отмечены: поставщик ИТ-услуг из Южной Азии и тайваньская компания(в октябре и ноябре 2024 года), при этом в атаке на последнюю хакеры использовали DLL Hijacking для внедрения полезных нагрузок, включая традиционный ShadowPad.
Цепочка заражения также характеризуется использованием инструмента KillAV для отключения ПО безопасности и общедоступного EchoDrv, который позволяет злоупотреблять уязвимостью чтения/записи ядра в античит-драйвере ECHOAC в рамках, по-видимому, атаки BYOVD.
Также использовались LSASS и Mimikatz для сброса учетных данных, свободно распространяемые PrintNotifyPotato, Coerced Potato и Sweet Potato для обнаружения и повышения привилегий, а также утилита SOCKS-туннелирования EarthWorm, которая использовалась такими китайскими группами, как Gelsemium, Lucky Mouse и Velvet Ant.
При этом Symantec так и не удалось не установить начальный вектор заражения, который использовался для взлома организаций во всех отмеченных инцидентах.
Безусловно, новые артефакты указывают на расширение географического таргета группы, однако ничего нового с точки зрения практики российского инфосека по части активности китайцев Symantec особо не открыли.
Security
Jewelbug: Chinese APT Group Widens Reach to Russia
Russian IT company among group’s latest targets. Attackers may have been attempting to target company’s customers in Russia with software supply chain attack.