SIMфония

Крупнейший мобильный оператор Южной Кореи SK Telecom сообщил об утечке данных USIM своих клиентов после атаки вредоносного ПО.

Компания обнаружила вредонос в субботу вечером, когда большинство сотрудников отсутствовало на рабочих местах. В руки злоумышленников попала информация с USIM-карт, включающая идентификаторы абонентов, ключи аутентификации и другие чувствительные данные. Такие сведения могут использоваться для слежки, SIM-свопинга и других типов атак.

SK Telecom утверждает, что пока нет подтверждённых случаев использования утекших данных. Компания усилила защиту от подмены USIM и аномальных попыток аутентификации, а также предложила клиентам бесплатный сервис защиты от переноса номера.

Несмотря на масштаб, пока что ни одна хакерская группировка не взяла на себя ответственность за атаку 🤷‍♂️

НеКасперский

Безопасность?

Критическая уязвимость в очень популярном ML фреймворке PyTorch позволяет выполнить код удалённо.

Оказалось, что даже при использовании флага weights_only=True в torch.load(), который считался безопасным, злоумышленник всё ещё может подсунуть вредоносный файл модели и сделать RCE. Да, тот самый флаг, на который многие полагались для защиты от подобных атак. Уязвимость затрагивает версии PyTorch <=2.5.1 и получила оценку по CVSS в 9.3 балла.

Последствия без патча могут быть серьёзными — от кражи данных до полного захвата системы, особенно в облачных AI-средах.

НеКасперский

Хитрый лов

Приложение умного дома умудрилось обмануть уже более 1000 человек, украв порядке 12 млн рублей.

Такая вот необычная часть компании мошенников распространилась по всей России. Злоумышленники публикуют заниженные на 20-40% предложения аренды в новых ЖК с закрытой территорией. При назначении встречи сообщают, что для прохода нужно заранее зарегистрироваться в «Умном доме». Отправляют фишинговую ссылку, где запрашивают подтверждение личности через BankID с вводом данных карты и кодов из СМС. На Android устанавливают троян, перехватывающий платёжные данные и сообщения.

Схема действует с марта 2025 года, а мошенники активны во всех крупных городах — от Москвы до Новосибирска.

НеКасперский

Сертификаты всем

В удостоверяющем центре SSL.com найдена уязвимость, позволявшая получить сертификаты для чужих доменов через обычный доступ к email.

Исследователь показал, как можно получить сертификат для домена через простую манипуляцию с DNS-записями. В основе лежит баг в системе проверки домена при подтверждении через DNS TXT. Во время валидации метод ошибочно маркировал домен из email-адреса как проверенный, даже если запрашивался совсем другой домен.

Это открывало возможность получать сертификаты для популярных email-сервисов, например gmail.com, или целенаправленно атаковать корпоративные домены через компрометацию почты сотрудников.

Ещё раз, вы могли получить ЛЮБОЙ корневой сертификат просто потому что ваш email с верифицированным доменом и не важно каким. Хоть @mail.ru, хоть @gmail.com, сертификат ваш.

SSL.com отключил проблемный метод проверки и отозвал 11 выданных сертификатов. Полный отчет о расследовании обещают выкатить до 2 мая.

НеКасперский

Цифровая сортировка

Palantir за $30 млн создаёт для американской миграционной службы систему ImmigrationOS, которая будет автоматически решать, кого депортировать в первую очередь.

Новая платформа заменит прежние решения компании и расширит возможности агентства ICE США. Состоящая из трёх модулей, система будет сама приоритизировать цели для депортации, отслеживать «самодепортацию» в режиме реального времени и оптимизировать весь цикл выдворения амигосов с территории свободной и демократичной 🦅🇺🇸🍔

Особый упор сделан на выявление нарушителей визового режима, членов преступных группировок и тех, кто превысил срок пребывания в стране.

Разработка должна завершиться к сентябрю 2025 года, а контракт продлится минимум до 2027-го. ICE уже назвала проект «срочным и необходимым» для выполнения указов президента Трампа по ускоренной депортации мигрантов.

Если кто-то думает, что на западе к личной жизни относятся как-то по-другому, этот пост для вас ✨

НеКасперский

Минус два

CISA прощается с двумя важными инструментами для поиска и обнаружения угроз. От Censys и VirusTotal отказываются, из-за грядущих сокращений и реорганизации.

Сотням спецов из американского агентства по кибербезу CISA пришло соответствующее уведомление. Использование Censys прекратили еще в марте, а с 20 апреля отключат и гугловский VirusTotal. Говорят, ищут альтернативы, чтобы минимизировать ущерб операциям.

Параллельно с этим подрядчики из Nightwing и Peraton уже сдали свои рабочие телефоны. Похоже, это часть большой перестройки агентства, затеянной администрацией Трампа для оптимизации и фокусировки на защите критической инфраструктуры.

Пока CISA уверяет, что найдет замену, остаются вопросы, как такие шаги повлияют на реальные возможности по отлову угроз.

НеКасперский

Американский папаша

40-летний гражданин США сознался в масштабной схеме мошенничества, трудоустраиваясь в американские IT-компании по поддельным документам и передавая доступ сообщникам в КНР.

Схема подставы была простой. Китайский подельник «Джон Доу» использовал липовое резюме с 16-летним опытом разработки и корочкой бакалавра для трудоустройства. После успешного видеоинтервью американец получал устройства и PIV-карты для доступа к федеральным системам, устанавливал ПО для удалёнки и передавал их в Шэньян. Среди проектов оказалась разработка софта для управления конфиденциальной информацией национальной безопасности.

Всего за три года мошенники обманули 13 компаний на $970 тысяч. Горе работничку светит до 20 лет тюрьмы, приговор огласят в августе 2025-го.

Ранее подобный аутсорс был распространён только среди северокорейцев, сейчас же практика перешла и к их старшим братьям.

НеКасперский

Флоридабл

Флорида требует бэкдоры в шифровании соцсетей, угрожая безопасности пользователей ради «защиты детей».

Законопроект, единогласно одобренный комитетом штата, заставит соцплатформы предоставить механизм дешифрования end-to-end переписки по простой повестке правоохранителей. Также родители получат полный доступ к аккаунтам детей, а функции исчезающих сообщений для несовершеннолетних будут запрещены.

Критики, называют идею «опасной и глупой» — бэкдор невозможно создать только для хороших парней, а тем более ограничить его использование аккаунтами определённого возраста. Компаниям придётся либо отказаться от шифрования для несовершеннолетних, либо ослабить защиту для всех пользователей.

Закон развивает прошлогоднюю инициативу Флориды по ограничению соцсетей, которая до сих пор заморожена судами из-за вопросов конституционности.

Впрочем, удивляться тут нечему. Это не первый случай, когда западные государства прикрываются защитой детей, чтобы дать силовым структурам доступ к личным чатам граждан 🤷🏻‍♂️

НеКасперский

🤩Знания - лучшая защита в цифровом мире!

Киберугрозы становятся более изощренными, а атаки - масштабными. Как оставаться в безопасности? Постоянно учиться и быть на шаг впереди!

🚀Secure-T представляет свою инновационную платформу для обучения кибербезопасности - надёжный инструмент в борьбе с цифровыми рисками! Здесь вы найдёте курсы, которые помогут вам расти и оставаться на шаг впереди любых угроз!

Наша компания в своей работе руководствуется принципами прозрачности и открытости. Поэтому мы решили не скрывать нашу ключевую разработку, а показать её вам в новом видео!

Специально для вас СЕО Secure-T Никишкин Харитон лично рассказывает о возможностях платформы, её уникальных функциях и о том, как мы помогаем создавать безопасное цифровое будущее.

👉Смотрите видео и узнайте больше: (ссылка на ролик)

🔥Бонус для всех, кто посмотрит: в течение месяца мы разыграем фирменную стильную куртку Secure-T! Все условия в видео.

💻Присоединяйтесь к Secure-T и прокачайте свои знания в кибербезопасности!

#SecureT
#Кибербезопасность

Облачно, возможны эксплойты

Критическая уязвимость обнаружена в роутерах ASUS с активированной функцией AiCloud, позволяя удалённо выполнять код на устройстве. На этот раз оценена в 9.2 балла по CVSS.

AiCloud — это технология ASUS, превращающая ваш роутер в личное облако для доступа к файлам на подключённых USB-накопителях из любой точки мира. Недостаточный контроль аутентификации позволяет с помощью специально сформированного запроса обойти защиту и получить неавторизованный доступ.

ASUS уже подготовила обновления для прошивок.

Если обновить ваш роутер невозможно, тов качестве альтернативы, можно отключить AiCloud и любые другие службы, доступные из интернета, такие как удалённый доступ из WAN, проброс портов, VPN-сервер и подобные.

НеКасперский

Планировщик атак

Обнаружен ряд новых уязвимостей в планировщике задач Windows, позволяющих обходить UAC, отравлять метаданные задач и переполнять журналы безопасности.

Главный трюк заключается в манипуляции способом авторизации. Используя Batch Logon вместо Interactive Token, атакующий может заставить службу планировщика запускать процессы с максимальными привилегиями. По сути, SYSTEM начинает выполнять команды от имени пользователя без обычного запроса UAC, давая злоумышленнику доступ к системе на уровне администратора.

Кроме того, исследователи нашли возможность эксплуатировать неограниченный буфер в метаданных задач. Создавая задачи с бесконечно длинным полем Author, можно отравить записи журнала событий Windows. А если запустить 2280 таких заданий подряд, атакующий сможет полностью перезаписать стандартный 20МБ файл журнала безопасности.

Microsoft в своей манере пока не классифицирует это как уязвимости. Они считают проблемы особенностями работы служб, а не дырами в безопасности.

НеКасперский

Фантазёр

Приложение для создания историй с ИИ на iPhone слило в сеть тысячи приватных историй пользователей, включая пикантный контент для взрослых.

Исследователи обнаружили, что программа оставила открытой базу Firebase из-за неправильной настройки прав доступа. В результате более 55 тысяч пользовательских историй, 400 писем в техподдержку и электронные адреса клиентов оказались в публичном доступе. Среди утекших текстов встречались откровенно эротические произведения, создавая идеальную почву для шантажа и вымогательства.

Разработчики игнорировали сообщения о проблеме целый месяц, а база данных продолжала собирать всё новые материалы в режиме реального времени.

НеКасперский

Корни

Десятка по шкале CVSS, господа!

Критическая уязвимость в реализации SSH на базе Erlang/OTP позволяет атакующему выполнить произвольный код вообще без аутентификации.

Проблема возникает из-за неправильной обработки протокола. Злоумышленник может отправлять сервисные сигнальные сообщения вроде chanel open, exec, chanel data и прочие ДО прохождения проверки аутентификации. Это открывает путь к выполнению произвольного кода в контексте SSH-демона. А если процесс работает с правами root? Тогда атакующий получает полный контроль над системой.

Под ударом оказались устройства Cisco, Ericsson и различное IoT-оборудование. Все они активно используют библиотеку SSH Erlang/OTP в своей инфраструктуре.

Спасение уже доступно, а в крайнем случае, закройте доступ к SSH-порту правилами брандмауэра.

НеКасперский

Пропасть

Российские организации атаковал бэкдор, маскирующийся под обновления ПО ViPNet.

Вредоносная программа распространяется через транспортный протокол ViPNet, имитируя легитимные пакеты обновлений. Изначально злоумышленнику нужен доступ с правами администратора к любому компьютеру из защищенной сети, но главная опасность в том, что атака может распространяться дальше по всей инфраструктуре ViPNet, компрометируя другие системы.

Бэкдор использует файл msinfo32.exe, который маскируется под системный компонент и обеспечивает загрузку вредоносного кода. Хорошая новость — сертифицированные версии продуктов ViPNet 4-го поколения при правильной настройке атаке не подвержены, а продукты 5-го поколения и 4U вообще находятся вне зоны риска.

Компания уже выпустила патчи, блокирующие возможность проведения атаки, бежим обновляться.

НеКасперский

Червивое

Как бы часто мы не писали о проблемах и уязвимостях Apple, инфоповоды для этого не заканчиваются.

Сегодня корпорация выпустила срочное обновление безопасности для ВСЕХ своих устройств, начиная с Apple XS, заканчивая Vision Pro и AppleTV.

Компания, конечно, не раскрыла подробностей закрытых уязвимостей, но известно, что их было две. Первая касалась модуля CoreAudio, где при некорректной обработке аудио был риск воспроизведения произвольного кода. Вторая касалась системной аутентификации.

Часто бывает, что подобные уязвимости используют государственные структуры и спецподразделения, потому что, как подчеркивает Apple, закрытые уязвимости участвуют в «чрезвычайно сложной атаке».

НеКасперский

Крах

Легендарный форум 4chan взломан. Хакеры слили исходники, базы данных и все данные админов после конфликта из-за рейдов.

Всё началось с внутренних разборок между модераторами и пользователями /qa/, они же SoyJak Party, из-за рейдов на запрещённой в РФ /lgbt/. После закрытия /qa/ нерды мигрировали на свою площадку и взялись за 4chan, который, как выяснилось, работал на древней версии PHP или FreeBSD. Поняли что-то? Мы нет.

Главное, что в итоге конфликт пришел к полной компрометации форума. В сеть утекли не только исходники и дампы баз, но и имейлы админов, включая .edu и, по слухам, даже .gov адреса, что ожидаемо всколыхнуло волну конспирологии.

Серверы пока лежат, а будущее форчана туманно 🥹

НеКасперский

Позорься до конца

Группа Hellсat атаковала организации Asseco, HighWire Press, Racami и LeoVegas Group.

Взлом удался благодаря использованию скомпрометированных учётных данных Jira, добытых с помощью вредоносного ПО Infostealer. Причастность группировки ко взлому всех четырёх компаний доказывают результаты исследования.

Специалисты проанализировали более 30 миллионов заражённых компьютеров. Оказалось, что тысячи организаций до сих пор используют ранее скомпрометированные учётные данные от системы управления проектами Jira.

Atlassian Jira является главной целью Hellсat. В результате атак на Asseco, HighWire Press, Racami и LeoVegas хакеры могли украсть интеллектуальную собственность, личную информацию жертв, критически важные данные, финансовые записи и др.

Ранее группировка отличилась нападениями на Schneider Electric, Telefonica и Orange Romania. Украли позорные косяки, используя ту же лазейку в Jira 🤭

НеКасперский

Дрономания

Украинские хакеры решили стратегически ударить по... паркингу Москва-Сити, слив 6364 пропуска.

Дело в том, что вчера РИА Новости опубликовали видео-демонстрацию работы системы «Орбита», которая позволяет управлять дронами-камикадзе на удалении в тысячи километров. Пилотирование демонстрировалось на фоне красивого московского бизнес-центра.

Украинских хакеров это, как не странно, задело. Несмотря на удаление оригинальной публикации в СМИ, они быстро вычислили, что съёмка велась из башни «Санкт-Петербург» в Москва-Сити, и взломали пропускную систему комплекса.

В утечке почти тысяча госномеров, около трёх тысяч ФИО и порядка полутора тысяч номеров телефонов. Мы беглым взглядом встретили, например, запись пропуска на имя Ксении Собчак.

НеКасперский

Прокатило

Hertz подтвердил масштабную утечку персональных данных клиентов в результате атаки группировки Clop на платформу Cleo.

В руки хакеров попала чувствительная информация клиентов Hertz, Dollar и Thrifty. В базе есть имена, контакты, даты рождения, данные кредитных карт и водительских удостоверений. Некоторым особо «повезло» и их паспортные данные, номера соцстрахования и медицинская информация тоже утекли.

Вся эта прелесть уже красуется на сайте вымогателей, которые ранее похвастались взломом 66 компаний через уязвимости нулевого дня в системе Cleo.

Hertz предлагает пострадавшим два года бесплатного мониторинга личных данных, но сколько конкретно клиентов затронуто — компания умалчивает.

НеКасперский

Прокатило

Hertz подтвердил масштабную утечку персональных данных клиентов в результате атаки группировки Clop на платформу Cleo.

В руки хакеров попала чувствительная информация клиентов Hertz, Dollar и Thrifty. В базе есть имена, контакты, даты рождения, данные кредитных карт и водительских удостоверений. Некоторым особо «повезло» и их паспортные данные, номера соцстрахования и медицинская информация тоже утекли.

Вся эта прелесть уже красуется на сайте вымогателей, которые ранее похвастались взломом 66 компаний через уязвимости нулевого дня в системе Cleo.

Hertz предлагает пострадавшим два года бесплатного мониторинга личных данных, но сколько конкретно клиентов затронуто — компания умалчивает.

НеКасперский

Яблочный анализатор

Apple решила потрогать пользовательские данные для улучшения своих LLM, но клянётся сохранить приватность.

Компания признала, что синтетические данные не справляются с обучением ИИ-моделей эффективно. Теперь планируют сравнивать сгенерированный контент с выборкой реальных писем пользователей, чтобы определить, какие генерации лучше соответствуют действительности.

При этом Apple утверждает, что данные не покинут устройство — система будет только отправлять сигнал о том, какие варианты синтетических данных ближе к реальным. Участвуют только пользователи, разрешившие отправку аналитики. Механизм используется для улучшения функций вроде умных уведомлений и инструментов написания текста.

Британцам отказали, а сами съели 😁

НеКасперский

А как гуглить то

Отбирали сейчас для вас новости, каждая вторая про фишинг. Упирается это в то, что большая часть инфраструктуры компаний сейчас — web-приложения, даже системы документооборота сейчас открываются большей частью через браузеры.

На первый взгляд, пользователю не нужны никакие защиты, только логин и пароль, но на самом деле, это не так: второй фактор, антивирус, контроль трафика, защита от фишинга, ограничение доступа по IP — и это только база.

При этом, как правило, сотрудник авторизуется в корпоративных сервисах через обычные браузеры: Chrome, Edge, Firefox и остальные.

Многие компании используют пользовательские браузеры, но, понимая риски, добавляют различные средства защиты информации. Обычно это запреты на установку расширений, фильтрация трафика, мониторинг активности сотрудников, антивирусы, песочница, двухфакторная аутентификация, EDR, NDR и прочие -DR. Однако это стоит немалых денег. Ну и конечно умеют ли обычные браузеры отправлять события безопасности? Нет.

Из коробки браузеры вроде Chrome Enterprise и Edge для бизнеса уже предлагают часть нужных бизнесу решений. Они поддерживают централизованное управление, позволяют внедрять расширенный набор политик безопасности и интегрироваться с корпоративными сервисами. Но это всё иностранные решения, и остаётся два момента: как их оплачивать, если вендоры сейчас отсутствуют на рынке и как получить техническую поддержку, если ее нет? Никак.

Из отечественных аналогов, которые можно было бы смело ставить в организациях, которым необходимо защищать данные, приходит в голову только корпоративный Яндекс Браузер. Он автоматически блокирует фишинговые сайты, подозрительные страницы, вредоносные загрузки и расширения, плюс даёт администраторам доступ, чтобы централизованно управлять настройками и применять политики безопасности.

Из очевидного — в отличие от западных решений корпоративный Яндекс Браузер поддерживает ЭЦП, ГОСТ ТLS, сертификаты НУЦ и работу в закрытых контурах, что важно для банков, ритейла и других крупных компаний.

Также из российских альтернатив вспомнился мейловский Атом на основе Chromium, но корпоративных версий с централизованным управлением и политиками безопасности у него не было. Еще был Спутник от Ростелекома, но они оба больше не развиваются.

Мир корпоративных браузеров в России остается небольшим, и серьезных решений, помимо Яндекса, нет. Почему только Яндекс этим занимается? 🤷🏻‍♂️

НеКасперский

Маленький

Слабозащищённые PostgreSQL серверы стали целью для скрытного криптомайнера.

Атакующие используют угадываемые пароли и функцию COPY FROM PROGRAM для проникновения. После получения доступа они запускают скрипт, который убивает другие криптомайнеры и загружает модифицированный XMRig-C3 с уникальным хешем для каждой жертвы и упакованный с помощью UPX для усложнения обнаружения.

Самое интересное — майнер выполняется полностью в памяти через memfd, что помогает обходить защитные системы. Для закрепления создаётся крон задача и новая роль с высокими привилегиями.

По данным Wiz, каждый третий облачный PostgreSQL доступен из интернета и является идеальной мишенью для хакеров.

Вопрос почему майнеры могут конкурентов убирать, а безопасники с этим не справляются?)))

НеКасперский

Лабораторная работа

Американский поставщик лабораторных услуг сообщил об утечке данных, затронувшей примерно 1.6 миллиона человек.

Выяснилось, что в октябре прошлого года кто-то получил несанкционированный доступ к сетям Laboratory Services Cooperative и вытащил оттуда файлы. В зависимости от конкретного человека, утечка могла затронуть ФИО, номера страхования, номера прав или паспорта, даты рождения, а также медицинскую информацию, включая диагнозы, результаты анализов и данные о лечении. Кроме того, могли утечь данные страховки и финансовая информация вроде номеров счетов и карт.

Организация уверяет, что расследование продолжается, а специалисты мониторят дарквеб на предмет появления этих данных, но пока безуспешно.

Пострадавшим предлагают бесплатные услуги кредитного мониторинга и защиты от кражи медицинских данных на 12 или 24 месяца 😁

НеКасперский

Паляльто

В Кремниевой долине хакеры взломали светофоры, заставив их говорить голосами Маска и Цукерберга.

Злоумышленники проникли в систему управления пешеходными переходами в Пало-Альто, Менло-Парке и Редвуд-Сити. При нажатии кнопки вместо стандартного «Wait» звучали пародийные сообщения от имени ИТ-магнатов, например:

Hi, this is Elon Musk. Welcome to Palo Alto, the home of Tesla engineering. You know, they say money can’t buy happiness, and yeah, okay, I guess that’s true. God knows I’ve tried. But it can buy a Cybertruck, and that’s pretty sick, right? Right? Fuck, I’m so alone.

Власти отключили голосовые функции на 12 перекрестках, пока не устранят уязвимость. Сигналы работают нормально, но без звуковых оповещений.

Технические детали взлома пока не раскрыты. Специалисты предполагают, что атака могла произойти через уязвимость в системе управления светофорами или через физический доступ к оборудованию.

НеКасперский

Закономерность

Специалисты Google вновь обнаружили брешь в процессорах  AMD.

Эта уязвимость позволяет атакующим с правами администратора обходить защиту и выполнять вредоносный код. Хакеры могут подделывать сигнатуры в загрузчике ROM процессора и подсовывать чипу вредоносную прошивку.

В результате взлома нападающие могут нарушить работу процессора, получить доступ к привилегированным данным и взять под контроль среду System Management Mode, используемую для управления критически важными операциями и работы с прошивкой.

Представители компании подтвердили наличие проблемы. В AMD считают, что дефект связан с неправильной проверкой защитных меток. Брешь затронула серверные процессоры EPYC семейства 7000, 7002, 7003, 9004 и предстоящей серии 9005, а также Ryzen Embedded Series 4004.

Сейчас специалисты работают над устранением уязвимости, компания уже выпустила патчи прошивки Platform Initialization.

НеКасперский

Кофе брейк?

Уязвимость в обновлённом клиенте MorphoBlue привела к краже $2.6 млн через опережающую транзакцию.

Похоже, дыра позволила ему либо подменить параметры транзакции пользователя, либо внедрить свою вредоносную транзакцию.

Используя технику front-running, атакующий добился исполнения своей операции раньше целевой, перехватив $2.6 млн и выведя их. Классика жанра, когда уязвимый UI становится точкой входа для атаки на логику взаимодействия с контрактом.

Morpho Labs уверяет, что откатили проблемное обновление, и средства пользователей в основном протоколе в безопасности. Тем не менее, звоночек для DeFi прозвенел довольно громко.

НеКасперский

Боковое копирование

Пакистанская группа SideCopy атакует индийские госорганизации и инфраструктурные секторы.

Исследователи отметили, что на начальных этапах группа использует пакеты Microsoft Installer для установки вредоносного ПО. Хакеры уклоняются от обнаружения с помощью боковой загрузки DLL и многоплатформенных вторжений.

В ходе атак они эксплуатируют CurlBack RAT, регистрирующую жертв на сервере управления C2 через UUID. Она позволяет собирать системную информацию, управлять данными и передавать файлы по http через обычный cURL.

Чаще всего от лица сотрудников госорганизаций хакеры рассылают жертвам письма с файлами под видом документов. При их открытии запускается вредоносное ПО.

Чтобы всё выглядело правдоподобно, SideCopy использует скомпрометированные идентификаторы электронной почты и домены. В последнее время группа нацелена на оборону, образование, железные дороги, вещание связи, нефть и газ Индии.

В Пакистане, оказывается, не только компьютеры, но интернет и хакеры есть 🤯

НеКасперский

Гоффи

Участники китайской группировки GOFFEE сосредоточили свои силы на организациях из РФ.

Исследователи заметили, что ещё с 2022 года в ходе кампаний против российских организаций группировка применяла модифицированный зловред Owowa.

В 2024 они использовали изменённые версии explorer.exe через целевой фишинг. Спустя полгода хакеры начали эксплуатировать непубличный Mythic shell-агент PowerTaskel и PowerModul.

Теперь же они рассылают документы Word со скриптами VBA для заражения устройств. Прикреплённый файл является модифицированной explorer.exe, аналогичной той, что использовалась в начале 2024 года. Она содержит шелл-код, похожий на тот, что применялся ранее. В ходе атак преступники также задействуют PowerModul для установки зловредов.

Большинство китайских групп традиционно имеет пророссийскую направленность, однако GOFFEE атакует строительные организации, СМИ, энергетическую отрасль и госсектор РФ.

НеКасперский

Чёрный ход

В ЕС обсуждают проект по внедрению бэкдора. Согласно документу ProtectEU, Европейская комиссия планирует разработать «техническую дорожную карту» для того, чтобы предоставить правоохранительным органам «законный и эффективный доступ к данным».

Иначе говоря, они хотят легализовать обход шифрования и получить возможность читать переписки пользователей в мессенджерах. Такое решение оправдывают тем, что полиция теряет позиции преступников, потому что в 85% случаев следователи не могут получить нужные сведения.

К 2026 году в Объединённом исследовательском центре ЕС хотят построить кампус исследований и инноваций в области безопасности. Обсуждается создание единой системы критической связи и квантовой сети защищённой связи. К 2030 году ЕС планирует развернуть квантовую криптографию в критической инфраструктуре.

Для реализации этого проекта нужно внести изменения в Закон о кибербезопасности. Заявляется, что инициатива направлена на усиление возможностей Европола, борьбу с преступностью, а также противодействие вмешательству России.

Тем не менее, такое решение поддержали не все. Несогласные считают, что на самом деле правительство разрабатывает новые методы слежки за гражданами под предлогом обеспечения безопасности.

Похожий закон хотят ввести и в Великобритании, вышедшей из ЕС. Это предложение вызвало бурю негодования, в том числе у крупных компаний вроде Apple, Signal и WhatsApp.

НеКасперский

Трубная магия

Участники группировки RansomEXX атакуют компании по всему миру.

В своих нападениях они эксплуатируют уязвимость нулевого дня в Common Log File System в Windows. Ошибка «use-after-free» даёт вымогателям с минимальными правами возможность получить полный доступ к устройству без какого-либо взаимодействия с пользователем.

Хотя обновления безопасности для большинства версий уже выпущены, патчи для Windows 10 пока задерживаются. В Microsoft сообщают, что проблема коснулась и Windows 11 версии 24H2, однако здесь уязвимость не эксплуатировалась.

Известно, что хакеры использовали бэкдор PipeMagic для развёртывания эксплоитов, направленных на брешь в подсистеме ядра Windows Win32. Вредоносное ПО может собирать личные данные и устанавливать другие программы для перемещения по сетям жертв.

Среди пострадавших оказались ИТ-компании, финансовые предприятия, ритейлеры и организации по недвижимости. Подобные атаки уже были зафиксированы в США, Саудовской Аравии, Венесуэле и Испании.

НеКасперский

Есть пробитие

Критическая уязвимость в коммутаторах FortiSwitch позволяет сменить пароль админа вообще без аутентификации.

Просто отправляете специальный запрос на маршрут set_password, и вуаля — админка ваша. Никакого взаимодействия с пользователем не требуется, атака до смешного проста. Затронуты все версии с 6.4.0 до 7.6.0, а это тысячи корпоративных сетей.

Fortinet уже выпустила патчи. Если обновиться прямо сейчас никак нельзя, то срочно отключайте HTTP/HTTPS-доступ к интерфейсу управления и ограничивайте доступ доверенными хостами.

Вновь железки Fortinet в центре внимания 😁

НеКасперский

Заглохли

Nissan Leaf можно взломать удалённо для слежки и управления физическими функциями автомобиля во время движения.

Исследователи обнаружили серию уязвимостей, позволяющих через Bluetooth проникнуть во внутреннюю сеть Nissan Leaf 2020 года. Атакующий получает возможность установить скрытый и устойчивый доступ через мобильную сеть, создавая невидимый командный канал.

Хакеры могут отслеживать локацию машины, делать скриншоты с информационной системы и записывать разговоры пассажиров. Но самое опасное — возможность удалённо управлять дверями, стеклоочистителями, сигналом, зеркалами, окнами, фарами и даже рулевым колесом в движении 🥺

Процесс раскрытия 8 уязвимостей длился с августа 2023. Nissan обещает выпустить патчи в скором времени, хотя прошло уже 2 года))

Похоже, проблемы с безопасностью автомобилей становятся трендом, ведь, как мы помним, похожие дыры находили у Subaru, Mazda и KIA.

НеКасперский

Много хотят

Apple отказалась предоставить правительству Великобритании полный доступ ко всем пользовательским данным.

Корпорация обжаловала решение британских властей, которые хотели использовать «Акт о полномочиях следствия» для шпионажа и взлома устройств граждан.

Британское правительство, в свою очередь, потребовало полностью засекретить разбирательство. Однако, оставить всё в тайне уже не получится, так как судом было принято решение проводить часть слушаний по делу в публичном формате.

Представители Apple и МВД Великобритании не дали никаких комментариев по поводу судебного разбирательства. Только ранее в компании уже намекали на отключение некоторых сервисов на территории страны-оппонента в целях безопасности.

Впрочем, законопроект окончательно не принят, а Signal и WhatsApp, грозившиеся покинуть королевство, свою деятельность там не прекратили.

НеКасперский

Под колпаком

В руки хакеров попали конфиденциальные данные чиновников США.

В Bloomberg заявили, что преступники больше года следили за переписками 103 американских банковских регуляторов.

Сделать это удалось благодаря взлому аккаунта администратора электронной почты независимого бюро Министерства финансов Options Clearing Corporation.

В феврале организация зафиксировала подозрительную активность. Тогда они сообщили, что атака затронула «ограниченное количество учётных записей», которые с тех пор были отключены. Позже стало известно, что преступники получили доступ к 150 тыс. электронных писем с мая 2023 года.

Подробности случившегося и имена виновников пока неизвестны, однако в СМИ в один голос пинают на Salt Typhoon, намекая на причастность Китая к атаке.

Теперь ждём классического обвинения в обратную сторону со стороны поднебесной. Хотя, кто знает, может правительство США опять самостоятельно подорвало свою безопасность, а теперь ищет крайних.

Да, этот пост написан с шапочкой из фольги 👽

НеКасперский

Покемоны приняли ислам

Арабы будут следить за миллионами людей через Pokemon GO.

Организация Scopely, принадлежащая игровому подразделению фонда Public Investment Fund Саудовской Аравии, купила игру вместе с Pikmin Bloom и Monster Hunter Now за $3,85 миллиарда.

Геймеры всполошились из-за того, что компания также получила доступ к сервису для координации встреч Campfire и системе Wayfarer для добавления новых локаций. Их работа строится на информации о местоположении пользователей.

Всех успокаивают, что деятельность по сбору данных будет сосредоточена на новой организации Niantic Spatial, а сведения об игроках Pokemon GO используют только для разработки геопространственных технологий.

Scopely и вовсе заявляют, что все данные будут временно храниться на серверах США, в руки к третьим лицам они не попадут.

Теперь вы чей-то покемон ✌🏼

НеКасперский

Котоловушка

APT-группа ToddyCat использовала дыру в ESET для скрытой загрузки зловреда через подмену системной библиотеки.

Фокус в DLL hijacking. Сканер командной строки ESET цеплял version.dll из текущей папки, а не системной. ToddyCat подсовывали туда свою DLL с малварью TCESB. Эта штука отключала алерты безопасности на уровне ядра и эксплуатировала уязвимый драйвер Dell для kernel-доступа. Поддельная version.dll при этом работала как прокси для настоящей, чтобы не палиться.

Хотя атакующим нужны были права админа, сама схема обхода защиты через легитимные компоненты заслуживает внимания.

НеКасперский

Telegram лёг

Пользователи жалуются на массовый сбой в работе Telegram.

Юзеры пишут, что столкнулись с проблемами во время подключения к серверу, входа в аккаунт, отправки сообщений, загрузки вложений и обновления информации в каналах.

Количество обращений начало расти сегодня примерно в 20:00 по МСК. С багом столкнулись жители Новосибирской, Кемеровской, Иркутской областей, Забайкальского и Красноярского края.

В блоге новостей о сбое молчат. Вероятно, причины случившегося пока неизвестны.

Отмечайтесь, как у вас? 👍🏼/👎🏼

НеКасперский

Иностранные специалисты

Северокорейские фрилансеры продолжают донимать западные компании.

От деятельности программистов из КНДР пострадали уже несколько организаций из списка Fortune 500. Эти «специалисты» выдают себя за американских разработчиков, используя подставные аккаунты в Linkedin и устраиваются на несколько позиций сразу.

Чтобы всё выглядело естественно, а работа была легальной, корейцы подделывают документы и используют VPN. Об одном из таких способов мы уже рассказывали. Зачастую для этих целей они используют украденные ПДн граждан США.

Такие сотрудники направляют свои «кровные» режиму Ким Чен Ына для финансирования сладостей и пряностей вроде программ оружия массового уничтожения и баллистических ракет.

Таким способом северокорейские фрилансеры уже в течение семи лет ежегодно выжимают из компаний-жертв сотни миллионов. Это так много для Северной Кореи, что подобный доход в бюджет страны является чуть ли не самым крупным после, разумеется, кражи криптовалюты.

НеКасперский

2,7 миллиарда убытков Positive Technologies. Откуда.

Об отрицательном росте за прошлый год и раздутых расходах компания вчера отчиталась перед инвесторами.

В отчёте заместитель гендира Максим Филиппов открыто назвал прошедший год провальным. По его словам, топ-менеджмент компании хотел вырасти в два раза быстрее рынка, но по факту компания не росла вообще. За прошлый год чистый долг компании увеличился шестикратно с 3 до 19 миллиардов рублей.

Если простым языком, менеджмент ожидал, что продаст вдвое больше, чем в прошлом году. Поэтому они буквально раздули расходы на 50%, почти до 18 млрд, закатывая дорогущие мероприятия и конференции. В итоге продаж нет, а расходы огромные.

Потерянный финансовый год объясняют 21-ой причиной, они в основном связаны с позиционированием отдела продаж, новых продуктов, трансформацией и прочим, но такие результаты можно было и предсказать.

К концу прошлого года ФСБ отобрала у компании лицензию НКЦКИ, которую они смогли переподписать только в начале января. Кроме того, в начале февраля стало известно о массовых сокращениях в рядах компании, которыми пытались сократить космические расходы.

Рынок, кстати, о крахе Positive Technologies знает уже давно. Акции компании на МОЕХ падают уже почти год, теряя на данный момент более 60% стоимости. Дивиденды, очевидно, они тоже никому платить не будут.

Негативы 🧠

НеКасперский

На дно утащили

Проукраинская Yellow Drift заявила о взломе систем российской аудиторско-консалтинговой компании «Финансовые и бухгалтерские консультанты».

Участникам жовто-блакитной группы удалось скомпрометировать конфиденциальные сведения, включающие:

• ПДн сотрудников
• Данные клиентов
• Договоры
• Налоговый учёт
• Сканы документов
• Внутренние проекты
• Фото с корпоративов

В качестве доказательств преступники прикрепили к посту ссылку на фрагменты украденной информации. Компания-жертва потянула за собой и своих заказчиков, слитых файлах упоминаются такие корпорации, как «Газпром», «Россети Кубань», «Сахалинская энергия» и др.

Хакеры утверждают, что в открытый доступ выложена лишь малая часть скомпрометированной информации. Официальных комментариев пострадавшая организация не даёт, поэтому точный объём ущерба пока неизвестен.

Дебет с кредитом сводят 🤷🏻‍♂️

НеКасперский

Отключайте телефоны

На продажу была выставлена БД «потребителей газа» по Республике Башкортостан.

Соответствующее объявление появилось на просторах даркнета. Автор публикации пишет, что в его руках 4 миллиона строк, включающих себя:

• ФИО
• Адрес
• Номер телефона
• Тип оборудования
• Срок эксплуатации
• Планируемую дату ТО
• Срок проверки счётчика
• Техническую информацию о газовом оборудовании

Заявлено, что актуальность скомпрометированной информации датируется периодом с 1980 по 2025 год.

Продавец оценил БД в 5 миллионов рублей. Такую сумму он объясняет тем, что украденные сведения покупались частями «за большие деньги». По его словам, данные будут востребованы аж до 2034 года.

Автор поста сообщил, что готов продемонстрировать ФИО, номер и адрес. Только надо заплатить 1 рубль за строку.

Башкирцы, вы там это… не пыхайте

НеКасперский

Сдаётся в аренду

Преступники арендуют аккаунты в WhatsApp, чтобы реализовывать мошеннические схемы.

В погоне за лёгкими деньгами пользователи передают третьим лицам временный доступ к приложению. Однако по ту строну экрана орудуют колл-центры, рассылающие всем контактам сообщения с просьбами дать денег взаймы.

Этот «способ заработка» стал особо популярным среди молодых девушек и школьников, желающих нажиться без особых усилий. Хоть и незаконность этой деятельности очевидна, мамкины предприниматели охотно соглашаются на выгодные условия преступников.

Тренд на аренду аккаунтов настолько завирусился, что в МВД решили выпустить официальное предупреждение. Правоохранители пишут, что передав учётную запись третьим лицам, пользователи рискуют стать соучастниками преступления.

В пример они привели самого молодого участника схемы. Им оказался десятилетний ребёнок, предоставивший свой аккаунт за 1,5 тысячи рублей.

Парня жизнь заставила 🥲

НеКасперский

Головная боль

Опять тысячи роутеров TP-Link пострадали от нового ботнета Ballista.

Хакеры используют уязвимость в устаревших маршрутизаторах Archer AX-21. Вредоносное ПО распространяется с помощью специального скрипта, устанавливающего связь с сервером управления преступников.

Ballista позволяет преступникам выполнять удалённый код и управлять устройством жертвы. В ходе таких кампаний хакеры могут совершать DDoS-атаки, уклоняться от обнаружения, маскируя свой трафик, и автоматически распространять ботнет на другие устройства.

Этот недуг охватил более 6 тысяч устройств по всему миру. Активность ботнета была зафиксирована в Польше, Турции, Болгарии, Бразилии, Великобритании, Мексике, Китае, Австралии и США. Среди пострадавших оказались организации, работающие в сфере здравоохранения, производства, технологий и сервизных услуг.

Ballista схож с давно известными Mirai и Mozi, однако исследователи отмечают, что новый ботнет является обособленной угрозой.

Ещё одна заноза 🥴

НеКасперский

Двойная игра

Клинеры из App Store сливают ваши данные третьим лицам.

Приложения для очистки памяти и оптимизации производительности устройств содержат трояны, передающие пользовательские данные брокерам и специалистам по рекламе.

Этим грешат чистильщики из подборки десяти самых популярных приложений площадки. В списке шпионов оказались Cleanup, Cleaner Guru, AI Cleaner, Swipewipe, Mighty Cleaner и др.

Для полноценной работы клинерам необходим полный доступ к гаджету. Это вполне логично, ведь они удаляют ненужные файлы и управляют хранилищем. Трояны злоупотребляют этим, запрашивая полные права на сбор пользовательских данных, сведений об устройстве и другой конфиденциальной информации.

Примерно 70% приложений сливают дополнительные записи. Главным предателем оказался Cleaner Kit от BPMobile. Он делится девятью типами данных, в числе которых точная геолокация, история покупок и рекламные сведения.

Что-то здесь нечисто 🤔

НеКасперский

Жовто-блакитный дрифт

Украинская группа Yellow Drift взяла на себя ответственность за нападение на Информационно-технический центр Томской области.

Хакеры утверждают, что им удалось атаковать более 230 виртуальных и 40 физических серверов Областного государственного казённого учреждения. В результате случившегося они украли свыше 260 ТБ данных.

По словам преступников, скомпрометированная информация включает в себя ПДн участников СВО, внутренние документы с информацией о погибших и раненых мужчинах из Томской области, а также сведения для служебного пользования.

Соответствующее объявление они сделали в своих социальных сетях. В качестве доказательств хакеры прикрепили к публикации скриншоты с образцами украденных сведений.

Участники группировки заявили, что им удалось уничтожить ИТ-инфраструктуру организации, однако работа учреждения была восстановлена благодаря резервным копиям данных.

НеКасперский

Нам по пути

Внутренняя документация тюменской газовой компании Евротехсервис оказалась в открытом доступе — это компания с годовым оборотом 7,7 млрд рублей, обслуживающая грузовую и дорожно-строительную технику.

В руки злоумышленников попали данные бухгалтерии, sales-отдела и рабочие файлы руководства. Под ударом также контактные данные контрагентов и около 20 тысяч строк обращений с сайта. Утечка затронула ФИО, почту, телефоны и места работы клиентов.

Следом хакеры анонсировали публикацию дополнительных 4 ГБ документов, включая налоговую отчётность, данные о зарплатах, кредитах, инвентаризациях, а также тендерную документацию. По их словам, материалы уже переданы в ФНС. Самое странное в этой истории — злоумышленники якобы получили благодарность от налоговиков за «сотрудничество».

Вот такая цифровая прозрачность бизнеса против воли. Вот такая вот роль ФНС 😇

НеКасперский

Нам по пути

Внутренняя документация тюменской газовой компании Евротехсервис оказалась в открытом доступе — это компания с годовым оборотом 7,7 млрд рублей, обслуживающая грузовую и дорожно-строительную технику.

В руки злоумышленников попали данные бухгалтерии, sales-отдела и рабочие файлы руководства. Под ударом также контактные данные контрагентов и около 20 тысяч строк обращений с сайта. Утечка затронула ФИО, почту, телефоны и места работы клиентов.

Следом хакеры анонсировали публикацию дополнительных 4 ГБ документов, включая налоговую отчётность, данные о зарплатах, кредитах, инвентаризациях, а также тендерную документацию. По их словам, материалы уже переданы в ФНС. Самое странное в этой истории — злоумышленники якобы получили благодарность от налоговиков за «сотрудничество».

Вот такая цифровая прозрачность бизнеса против воли. Вот такая вот роль ФНС 😇

НеКасперский

Взлом по-королевски

В даркнет попала информация из БД Королевской почты Великобритании.

Соответствующее объявление на этой неделе было опубликовано на BreachForums. Автор поста утверждает, что ему удалось скомпрометировать более 16 тысяч файлов объёмом 144 ГБ, включающих в себя:

• ПДн клиентов
• Адрес доставки
• Списки рассылки Mailchimp
• БД Wordpress SQL для mailagents
• Конфиденциальные документы
• Видеозаписи встреч в Zoom между Spectos и Royal Mail Group

Представители Royal Mail заявили, что утечка произошла из-за взлома систем стороннего поставщика услуг по сбору и аналитике сведений Spectos GmbH.

Исследователи полагают, что хакеры получили доступ к системам пострадавшей организации с помощью учётных данных сотрудников, полученных в результате атаки с вредоносным ПО в 2021 году.

В прошлый раз Royal Mail взламывали январе 2023 года. Тогда компания пострадала от программы-вымогателя LockBit.

НеКасперский

Скажи пароль

Ведрофоны вновь сливают личную информацию своих хозяев.

Новый шпионский софт скрывается на устройствах Android под видом обычных системных настроек. Иконка приложения не отображается. Всё это благодаря встроенным опциям, позволяющим «накладывать окна» поверх других приложений.

Также софт эксплуатирует функцию «администратор устройства», позволяющую удалённо управлять телефоном жертвы. Обычно её используют крупные организации для работы с гаджетами своих сотрудников.

Если пользователь попытается удалить приложение, то на экране высветится запрос пароля. Заветный код знает только тот, кто установил шпионское ПО. Неверный ввод комбинации блокирует возможность избавиться от злополучной программы.

Благодаря софту в руках преступников могут оказаться сообщения, фотографии, а также геолокация в режиме реального времени.

НеКасперский

Без тревоги

Уязвимость в OpenVPN позволяет уронить серверы и оставить тысячи пользователей без защищённого соединения.

Баг затрагивает конфигурации со включённом параметром --tls-crypt-v2. Суть атаки в отправке комбинации авторизованных и вредоносных пакетов, нарушающих внутреннее состояние сервера. Когда неправильно сформированные данные попадают в подсистему tls-crypt-v2, сервер падает с ошибкой ASSERT(), разрывая все активные подключения. Однако злоумышленнику потребуется либо валидный ключ клиента, либо возможность внедрять пакеты во время TLS-рукопожатия.

OpenVPN уже выпустил исправление, но если апгрейд невозможен, рекомендуется временно отключить проблемную опцию, хотя это и снизит защиту от DPI.

НеКасперский

Симрар

Уязвимость в WinRAR позволяет запустить вредоносный код без предупреждения Windows о потенциальной опасности.

В WinRAR до версии 7.11 найдена брешь, связанная с обработкой символических ссылок. Если открыть специально созданную симлинк-ловушку, которая указывает на исполняемый файл, система безопасности Windows теряет бдительность и метка MOTW не срабатывает.

По итогу пользователь запускает вредоносный код без привычных предупреждений безопасности. Как мы знаем, для создания символических ссылок обычно нужны права администратора, но атакующие нашли способ этим воспользоваться и без них.

Разработчики уже выпустила патч, но кто-нибудь хоть когда-то обновлял свой пиратский WinRAR?))

НеКасперский

Упомянули

Проукраинские хакеры расстроились, что нас не впечатлил взлом какой-то системы ЖКХ из Королёва.

Поэтому делимся ещё одной их атакой, но уже на системы одного из подрядчиков Газпрома — Новые Газовые Технологии.

Ассоциация с 2012 года объединяет промышленный потенциал «крупнейших российских предприятий». Не знаем конечно, зачем она Газпрому, но её прибыль за 24 составила 19 тысяч рублей 🙂

Судя по скриншотам, хакеры подключились к святая-святых IT-отдела — доменной инфраструктуре Active Directory и хост-системе виртуализации Hyper-V.

Заявляется, что взлом затронул все уровни инфраструктуры, начиная от файловых хранилищ с паспортами сотрудников и заканчивая системой управления задачами с текущими проектами компании. Кроме того, хакеры уничтожили резервные копии VM.
Если это окажется правдой, то такая комплексная атака вынудит компанию фактически заново выстраивать всю IT-инфраструктуру.

В компании, кстати, молчат по этому поводу, никаких пресс-релизов, как всегда, не поступало.

НеКасперский

Затмение

Исследователи обнаружили 46 критических уязвимостей, которые могут позволить хакерам захватить контроль над солнечными электростанциями и дестабилизировать энергосети.

Уязвимости с кодовым названием «SUN:DOWN» позволяют загружать вредоносные файлы на серверы, перехватывать учётные записи и получать доступ к инфраструктуре. Среди наиболее опасных — возможность загрузки .aspx файлов на сервер SMA для удалённого выполнения кода и уязвимости в Sungrow при обработке MQTT-сообщений.

Злоумышленник, получивший контроль над инверторами, может манипулировать подачей электроэнергии в сеть, создавая своеобразный закат раньше расписания.

Тем не менее, технология должна предполагать накопление энергии, трудно представить, как хакер может действительно навредить 🤔

НеКасперский

Красная карточка

Касперский и Интерпол провели крупную операцию в Африке, задержав 306 подозреваемых и изъяв около 2000 устройств.

Операция Red Card охватила семь африканских стран и длилась с ноября 2024 по февраль 2025. Лаборатория предоставила Интерполу данные о вредоносных Android-приложениях и инфраструктуре злоумышленников. В Нигерии арестовали 130 человек, включая 113 иностранцев, за онлайн-казино и инвестиционное мошенничество. В Замбии поймали группу, которая через фишинговые ссылки заражала смартфоны вредоносным ПО для доступа к банковским приложениям.

Война-войной, а черных в Африке за мошенничество ловить это святое 😇

НеКасперский

Зато сэкономили

Новенькие Android-устройства могут быть заражены троянцем Triada ещё до того, как попадут в руки счастливого ведрофонера.

Исследователи сообщили, что гаджеты, купленные в неофициальных интернет-магазинах по низким ценам, содержат вредонос ещё на этапе производства или поставки. Троянец размещается в прошивке устройства, внедряясь в системный фреймворк.

Он позволяет преступникам красть учётные данные из популярных приложений, менять адреса криптокошельков, похищать цифровые активы, отправлять сообщения от имени владельца, удалять переписки, контролировать звонки и СМС, устанавливать вредоносные ПО и блокировать интернет-доступ к антивирусным сервисам.

В результате анализа транзакций стало известно, что разработчикам вредоносного ПО удалось перевести на свои счета более $270 тысяч крипте. В целях сохранения конфиденциальности они отдают своё предпочтение криптовалюте Monero.

Мошенническая схема напоминает механику работы вредоноса RedLine. Малварь способен подменять данные буфера обмена на адрес криптокошелька хакеров для кражи активов.

От новой версии Triada пострадало уже более 2,6 тысячи скряг, большая часть из которых проживает на территории РФ.

НеКасперский

Проверь точку

В даркнет попала конфиденциальная информация из скомпрометированной БД компании Check Point.

Автор публикации на BreachForums утверждает, что в его руках оказался «высокочувствительный набор данных». По его словам, файлы стоимостью $420 тысяч включают в себя:

• Контакты сотрудников
• Информацию о клиентах
• Карты внутренней сети
• Архитектурные схемы
• Хешированные и открытые пароли
• Проектную документацию
• Исходный код ПО
• Сведения о действующих контрактах

В качестве доказательств хакер приложил к посту скриншоты с образцами украденной информации. На них можно увидеть доступ к панели управления, различным функциям, ключам API с правами администратора и др.

Представители Check Point сообщили, что атака произошла ещё в декабре. Подробности случившегося не разглашаются, однако в компании утверждают, что автор поста сильно преувеличивает. Якобы украдены были только учётные данные с «ограниченными правами».

Хочется верить, но верится с трудом…

НеКасперский

Перемога и вообще взлом года

Атаке подверглись системы Единой диспетчерской службы Королёва, отвечающей за обработку обращений по вопросам ЖКХ, благоустройства и аварий.

Проукраинские хакеры заявили, что им удалось полностью зашифровать инфраструктуру, уничтожить 10 серверов и вайпнуть все резервные копии.

Они украли конфиденциальные сведения, нарушили работу телефонной связи, вывели из строя файловые хранилища, уничтожили EXSI среду и сделали восстановление виртуальных машин невозможным.

В качестве доказательств к посту прикреплены скриншоты, где можно увидеть, что у хакеров есть доступ к записям с камер видеонаблюдения, учётным данным сотрудников, внутренним файлам и др.

Автор публикации утверждает, что все пароли хранились админом в браузере. В бухгалтерии вообще оставили доступ к 1С, почте, клиентским базам и онлайн-банкингу в обычном .txt-файле на рабочем столе.

Неполадки можно заметить и на сайте ЕДС, там полностью сломалась верстка.

НеКасперский

Крокодило бомбардиро

Эксперты обнаружили новый банковский троян для Android. Он активно охотится на пользователей в Испании и Турции, демонстрируя продвинутые возможности и практически полный контроль над устройствами жертв.

Crocodilus появился сразу как полноценная угроза, а не очередной клон. В его арсенале есть удалённое управление, чёрный экран для скрытия операций и продвинутый сбор данных через accessibility сервисы. Маскируясь под Chrome, троян обходит ограничения Android 13+ и действует как дроппер.

После установки Crocodilus запрашивает доступ к сервисам специальных возможностей, связывается с C2-сервером и получает список целевых банковских приложений с HTML-оверлеями для хищения учётных данных. Анализ кода указывает на турецкое происхождение разработчика.

Особенно коварен способ атаки на криптокошельки, вместо фальшивых страниц входа, троян показывает предупреждение о необходимости создать резервную копию сид-фразы в течение 12 часов, иначе «доступ к кошельку будет утрачен»

НеКасперский

Пеппены туфельки

Хакеры связанные с ФСБ используют LNK-файлы с названиями о передвижении войск в Украине для распространения трояна Remcos RAT.

Группировка Gamaredon рассылает украинским службам архивы с ссылками, маскирующимися под офисные документы. Файлы содержат PowerShell-код, который скачивает и запускает вредоносные компоненты с серверов в России и Германии. Среди использованных приманок: «Вероятное расположение узлов связи, установок РЭБ и расчетов БПЛА противника», «Координаты взлетов противника за 8 дней».

Заражение происходит через DLL side-loading, легитимное приложение загружает вредоносную библиотеку, которая расшифровывает и внедряет Remcos в оперативную память. Злоумышленники используют только два компьютера для создания всех ярлыков, что помогло исследователям Cisco Talos связать кампанию с ФСБ.

НеКасперский

Жильё для защитников

В России выделят 56 миллиардов рублей на льготную ипотеку для безопасриков. Соответствующий указ подписал президент.

Программа предусматривает ставку от 3% годовых при первоначальном взносе от 10%. Причем внести его можно будет даже найденными уязвимостями — одна критическая брешь приравнивается к миллиону рублей. На субсидию могут рассчитывать сотрудники с опытом от 2 лет в сфере защиты информации.

Приоритет отдадут специалистам, предотвратившим хотя бы одну масштабную хакерскую атаку. Пентестерам положен дополнительный бонус за каждый взломанный на учениях государственный портал. Документ устанавливает предельный срок выплаты — 30 лет. При этом для получения ипотеки нужно быть старше 20 лет и работать в сфере 3 года.

Минцифры уже разрабатывает защищенный блокчейн-реестр участников программы. Ключи шифрования доверили хранить Росреестру.

НеКасперский

Сидим дома

Ещё один крупный сбой за сегодня произошёл на сайте и в приложении Московского метро.

С 6 утра пассажиры жалуются на проблемы с загрузкой сервисов и входом в личный кабинет. Пополнить карту «Тройка» не удавалось ни через мобильный телефон, ни через турникеты.

При попытке открыть сайт на экранах пользователей появлялось ((((неожиданно)))) сообщение на украинском языке. В тексте упоминались неполадки в работе систем железнодорожной компании «Укрзализныця».

Позже это уведомление исчезло, однако сбои наблюдаются до сих пор. В Департаменте транспорта Москвы случившееся оправдывают техническими работами))))

Похоже, что эти работы ведут какие-нибудь хлопцы за рубежом 🤷🏻‍♂️

НеКасперский

Отмалчиваются

После мистического взлома Oracle Cloud в сети появились новости об атаке на систему управления медицинскими данными Oracle Health.

Преступники утверждают, что в результате нападения им удалось скомпрометировать ПДн пациентов из электронных медкарт. Взамен на сохранение их конфиденциальности, вымогатели потребовали несколько миллионов долларов в крипте.

В Oracle Health пока не давали публичных подробностей, однако о проблеме уведомили представителей медицинских организаций. Пострадавшим в частном порядке прислали сообщения с соответствующим предупреждением.

Атака совершена на устаревший, ещё не перенесённый в Oracle Cloud сервер Cerner. Вероятно, сделать это удалось с помощью украденных учётных данных.

Подробности случившегося не разглашают, видимо на этот раз решили не вводить людей в заблуждение.

Ох, сколько же нас тут переносило базы Oracle на современные решения…

НеКасперский

ЧебурНет

Десятки тысяч пользователей по всей России вновь жалуются на массовые сбои сайтов, игровых платформ и сервисов, использующих CloudFlare.

Сегодня проблемы наблюдаются в системах Battle net, Character AI, Amazon Cloudfront, Steam, PUBG, играх от Blizzard и др.

Юзеры столкнулись с трудностями входа в личный кабинет, загрузки сайтов и запуска приложений. У многих высвечивались уведомления о блокировке ресурсов от провайдеров Дом.ру, МТС, Уфанет, Скайнет, 2КОМ и Ростелеком.

Больше всего обращений поступило из Самары, Татарстана, Перми, Уфы, Магнитогорска, Москвы и Ростова-на-Дону.

Причины сбоя не уточняются. Не исключено, что это связано с деятельностью РКН. В ведомстве порекомендовали переходить на отечественные платформы, но они не учли, что и те не шибко справляются.

Ну и вишенкой на торте упомянем, что ЦОД на домене ru-central1-b Яндекса лежит уже вторые сутки 🥴

НеКасперский

Так и не защитили

Преступники, совершившие атаку на сети «Защищённых Телекоммуникаций» от торговой марки Zonatelecom, слили в даркнет полный дамп объёмом 25 ГБ.

По словам хакеров, файлы содержат конфиденциальные сведения более 9 миллионов пользователей. Скомпрометированная БД включает в себя:

• ФИО
• Номер телефона
• Банковские карты
• Электронную почту
• Идентификатор пользователя

Актуальность скомпрометированной информации датируется 9 апреля 2024 года.

Кроме того, авторы публикации заявляют, что в их арсенале 112 ГБ базы 1С с полными проводками и 800 ГБ сведений из внутренней сети. Иными словами, у хакеров на руках оказалась полная информация о движении средств внутри компании.

Даже из тюрьмы достанут 🫣

НеКасперский

Реверс

Участники группы Hellсat угодили в свою же яму, став жертвами собственных троянов-инфостилеров.

Об этом сообщили специалисты из KELA. В результате расследования им удалось установить личности двух членов группировки под никами Rey и Pryx. Первый ранее уже светился в наших новостях из-за публикации утечки сервиса Seajob на BreachForums.

В 2024 году он дважды заражал свой компьютер инфостилерами Redline и Vidar. В KELA выяснили, что этим устройством пользовались и члены его семьи. Так специалисты вышли на парня из Иордании по имени Саиф. Они полагают, что именно он скрывается под никами Rey, ggyaf и o5tdev. Также упоминается, что хакер может быть связан с группой Anonymous Palestine.

Его сообщник под псевдонимом Pryx стал участником Hellсat прошлым летом. В ходе анализа одного из используемых преступником инструментов исследователи наткнулись на домен, применённый в качестве ресурса для ИБ-специалистов. Позже материалы с этого сайта публиковались на форумах от имени хакера.

Также удалось выявить его репозитории на GitHub и электронную почту, которая совпала с данными из социальных сетей. Все эти находки стали основанием подозревать в причастности к деятельности Hellсat мужчину по имени Адем из ОАЭ — Pryx.

Свою известность хакеры получили благодаря атакам на Schneider Electric, Telefonica и Orange Romania.

НеКасперский

Опускайте занавес

Нацбезопасность США оказалась под угрозой из-за переписки чиновников в «самом безопасном» мессенджере Signal.

Все уже видели новость о том, что советник Трампа случайно добавил в чат главного редактора журнала Atlantic Джеффри Голдберга, но эта история приобрела новый характер. В переписке американские силовики обсуждали план атаки на хуситов в Йемене.

Журналист не сразу понял, что чат настоящий. Позже мужчина осознал, что это не розыгрыш и вышел из беседы. Его присутствие никто бы и не заметил, если бы Голдберг не опубликовал статью со скриншотами.

Как он мог попасть в этот чат до сих пор неизвестно. По одной из версий номер журналиста был сохранён в контактах помощника Майка Уолтца и тот случайно добавил его в группу.

Сам Уолтц заявил, что не знает никакого Джеффри Голдберга. Он называл его неудачником и убеждал прессу в том, что мужчина мог провернуть эту схему намеренно.

Тем не менее они додумались использовать Signal для передачи служебной информации 👊🇺🇸🔥

НеКасперский

Бумеранг

Группировку BlackLock настигла карма. Их даркнет-сайт был взломан специалистами из Resecurity.

Сделать это удалось с помощью уязвимости, представляющей собой ошибку Local File Include. Исследователи получили доступ к сетевой инфраструктуре, скрытым внутренним файлам сервера, выявили сведения о конфигурации, SSH-доступе, истории команд, логах и др.

Стало известно, что BlackLock использовала 8 учётных записей облачного сервиса MEGA. Обращения к своим жертвам хакеры рассылали через анонимный Cyberfear.

Среди жертв было более 45 компаний и госучреждений по всему миру. В списке пострадавших организации, работающие в области обороны, образования, здравоохранения, IT и электроники.

Исследование показало, что BlackLock работала из России и Китая, она взаимодействовала с группами El Dorado и DragonForce. Специалисты полагают, что после такого поражения преступники уже не смогут реабилитироваться.

Также думали и в случае с LockBit, однако им не раз удавалось вернуться в строй 🤷🏻‍♂️

НеКасперский

Домайнились

В даркнете оказались данные сотен тысяч пользователей криптобирж Gemini и Binance.

Публикации об их продаже появились на просторах BreachForums на этой неделе. Автор одного из постов заявляет, что в составе утечки 100 тысяч записей, включающих в себя:

• Полное имя
• Номер телефона
• IP-адрес
• Электронную почту

При этом в Binance отрицают факт взлома серверов. Представители компании утверждают, что причиной утечки могла быть компрометация гаджетов пользователей с помощью вредоносного ПО.

Подтверждением этому стали результаты расследования Dark Web Informer, согласно которому хакеры заразили более 500 тысяч устройств. В общей сложности в сеть слили более 230 тысяч данных.

Вот вам и очередной способ заработка на крипте 🤪

НеКасперский

Ну всё, гг

Юзеры столкнулись с проблемами в работе Counter-Strike 2.

Пользователи пишут, что в процессе игры повылетали из матчей, серверы начали сбоить, были сложности с подключением к CS. Точные причины случившегося пока неизвестны.

По сведениям downdetector, обращения начали поступать примерно в 15:00 по МСК. За последние пару часов количество жалоб превысило 1,1 тысячи.

Сообщения о баге поступают из Карелии, Якутии, Новосибирской и Тверской области.

Геймеры, отмечайтесь 👍🏼/👎🏼, заметили сбой?

НеКасперский

Фантомная боль

Европейские спецслужбы арестовали 12 членов ирландского наркокартеля благодаря взлому самого-самого «защищенного» мессенджера.

Операцию провели синхронно в Ирландии и Испании, по шесть задержаний в каждой стране. Банда перевозила кокаин и марихуану в автомобилях с тайниками и клонированными номерами. В цифровой среде преступники вели себя гораздо изощреннее. Они использовали мессенджер Ghost с тройным шифрованием и функцией мгновенного уничтожения сообщений.

Однако их подвел именно «надежный» Ghost, взломанный правоохранителями еще в сентябре 2024 года. Европол использовал полученный доступ к перепискам для выявления не только отдельных поставок, но и всей организационной структуры картеля.

НеКасперский

Платный сон

Казалось бы, после взлома зубных щёток нас уже не удивить. Однако, нашлось новшество, которому удалось превзойти все ожидания.

Как предупреждали в МВД, атаки на IoT-устройства становятся всё изощрённей. Сегодня речь пойдёт об умном ложе Eight Sleep стоимостью от $3000. Система, призванная обеспечивать качественный сон, включает в себя наматрасник, подматрасник и внешний блок.

В подписку за $300 в год входят такие опции как регулировка температуры и изменение геометрии матраса. Примочки в наматраснике выполняют функцию будильника, отслеживают качество сна и замеряют влажность воздуха.

Всё бы ничего, но один из обладателей «идеальной системы» обнаружил бэкдор в её прошивке. Он легко получил доступ к коду Eight Sleep и нашёл там API для удалённого подключения по протоколу SSH.

Энтузиаст выяснил, что потенциальные преступники могут скомпрометировать такой гаджет, перехватить управление над матрасом и следить за его владельцем.

НеКасперский

ВТБ спит

Пользователи по всей России сообщают о массовом сбое сервисов банка.

По данным Downdetector, первые уведомления о неполадках стали приходить примерно в 16:00 МСК. За последние несколько часов поступило более 1,7 тысячи жалоб на проблемы с загрузкой сайта и мобильного приложения, а также входом в личный кабинет.

С багом столкнулись жители Москвы, Санкт-Петербурга, Свердловской, Нижегородской, Новосибирской, Ленинградской и Московской областей.

Точная причина сбоя пока неизвестна. Не исключено, что это может быть связано с недавней поломкой СБП. Два дня назад она привела к неполадкам в работе таких организаций как Сбер, Альфа-банк, OZON банк, Т-Банк и ВТБ.

Отмечайтесь 👍🏼/👎🏼, у вас работает?

НеКасперский

Свидание с глиной

iOS-приложения для знакомств любителей БДСМ, запрещённой ЛГБТ и sugar-dating сливают приватные фото и сообщения из личных переписок извращенцев.

Исследователи обнаружили API-ключи и учётные данные в декомпилированном коде приложений. Разработчики посчитали, что iOS их защитит?))) Хуже того, хранилища Google Cloud оказались вообще без паролей. В результате 1,5 млн пользовательских фото, включая профили, верификацию и личную переписку, стали доступны любому желающему.

Для жертв это угроза шантажа, преследования и деанонимизации через reverse image search. Хотя некоторым, возможно, и понравится такое внезапное вмешательство 😏

Разработчики продолжают игнорировать запросы исследователей. Делаем вывод, что интимные фото в приложениях не такая уж и приватная штука.

Бедные трансформеры 🥲

НеКасперский

Ткач муравей

Китайская Weaver Ant несколько лет сидела в системах крупного телеком-оператора.

Подозрительную активность выявили в Sygnia. По их словам, хакеры создали целую инфраструктуру через маршрутизаторы Zyxel.

В ходе расследования было обнаружено несколько вариантов бэкдора China Chopper, позволяющего получить удалённый доступ и контроль над серверами жертв.

Также найдена ранее неизвестная веб-оболочка INMemory, выполняющая полезные нагрузки напрямую в памяти хоста. Сторонняя библиотека eval.dll помогала запускать код без привлечения внимания.

Хакеры применяли метод туннелирования веб-оболочек, предполагающий перенаправление команд с одного сервера на другой через обособленные сегменты сети, каждый из которых функционировал как прокси и на своём этапе передавал зашифрованные данные серверам управления.

Вероятно, целью деятельности Weaver Ant был шпионаж. В течение четырёх лет они выгружали учётные данные, журналы доступа и файлы конфигурации.

НеКасперский

Дождались

После сегодняшнего казуса с Лукойлом в РКН вдруг решили пересмотреть методы борьбы с DDoS-атаками.

В ведомстве посчитали, что действующие законодательные нормы нуждаются в доработке и актуализации. Изменения хотят внести в требования к устойчивости сетей связи, перечень средств защиты от DDoS-атак и условия резервирования инфраструктуры.

Планируется, что операторы связи и провайдеры будут не только защищать сети, но и в обязательном порядке обеспечивать возможность быстрого восстановления систем после нападений.

Также в список обязательных мер для обеспечения безопасности собираются включить использование отечественных решений для фильтрации трафика и мониторинга.

На самом деле, такое решение было принято на фоне масштабной DDoS-атаки на провайдера Lovit, которая не прекращается по сей день. Подведомственный ЦМУ ССОП сообщает, что пиковая мощность составляла более 215 Гбит/с.

Чтобы в РКН перешли к действиям, нужно было всего лишь подождать пока сотни тысяч людей лишатся средств связи, топлива и крыши над головой 🫠

НеКасперский

Из ряда фантастики

Пока вы чистите зубы, кто-то майнит крипту с помощью вашей щётки. По официальным данным МВД, хакеры стали чаще устраивать массовые атаки на составляющие умного дома.

Под раздачу могут попасть камеры видеонаблюдения, чайники, датчики температуры, стиральные машины, лампочки и даже гаджеты для личной гигиены.

Преступники создают ботнет из устройств, заражая их вредоносным ПО. Единая сеть используется для DDoS-атак, шпионажа или добычи криптовалюты.

Согласно ещё одной версии, хакеры могут вычислить в какое время хозяина нет дома и, убедившись в его отсутствии, подготовиться к ограблению.

Такими сказками нас уже не удивишь, мы ещё не забыли выдумки про армию из трёх миллионов зубных щёток. Может эти сказки кто-то рассказал и в МВД 🤪

НеКасперский

Лукойл лёг

Сегодня утром были атакованы системы компании. С проблемами столкнулись как в головном офисе корпорации, так и в региональных отделениях.

Всё началось с того, что работники организации не смогли запустить офисные компьютеры. На экранах высвечивались подозрительные уведомления о некой поломке. Во избежание утечки данных руководство запретило сотрудникам заходить в корпоративную сеть с использованием логина и пароля.

Клиенты АЗС жалуются, что на заправках нельзя расплатиться банковской картой, списать бонусы с карты лояльности или взять бесплатный кофе по купону. По данным Downdetector, сбой начался примерно в 6:30 утра по МСК, сейчас количество жалоб только увеличивается.

Судя по графику, сбой имеет искусственный характер. Скорее всего эта атака какой-нибудь проукраинской группировки. В головном офисе и на горячей линии не дают никакой информации, они лишь делают вид, что сообщений о сбое им «не поступало» 🤡

Автомобилисты, отмечайтесь… 👍🏼/👎🏼, заметили сбой?

НеКасперский

Вторжение кошмариков

Wiz Research раскопали критические уязвимости в гейтвее NGINX с оценкой 9.8 по CVSS.

Прозванный исследователями как IngressNightmare представляет собой набор из четырёх уязвимостей в контроллере Ingress NGINX, который используется в 43% корпоративных облачных сред. Через них атакующий может получить доступ ко всем секретам Kubernetes-кластера.

Исследователи уже нашли больше 6500 публично доступных уязвимых кластеров, включая серверы компаний из Fortune 500. Кроме того, мы просто не можем назвать отечественную компанию, которая не хостила бы свои сервисы с применением ингресов NGINX.

Проблема оказалась настолько серьёзной, что вендоры бросились выпускать патчи в срочном порядке. Kubernetes, AWS и Google Cloud уже выкатили обновления. Админам рекомендуют срочно обновиться до версии 1.12.1 или 1.11.5.

Не успели выдохнуть, как бигтех снова под ударом 🥲

НеКасперский

Глаза повсюду

Кожаные мешки взломали китайских роботов-собак Unitree Go1 и следят за вами через предустановленный бэкдор с доступом к камерам и системам управления.

Исследователи из Берлина обнаружили, что эти четвероногие помощники автоматически подключаются к туннельному сервису CloudSail без ведома владельцев. Зная ключ, любой желающий может подключиться к роботу удаленно и получить контроль над его функциями, включая доступ к камерам на корпусе робота.

Злоумышленники могут также использовать Raspberry Pi внутри робота для проникновения в корпоративные сети, если работ к таковым подключен.

Среди пострадавших оказались университеты и компании по всему миру. Исследователи насчитали почти две тысячи подключенных собак.

Unitree молчит, а владельцам советуют отключать роботов от интернета и шерстить логи на предмет незваных гостей.

НеКасперский

Следующий

В Next.js нашли критическую уязвимость, позволяющую полностью обойти механизм проверки авторизации и защиты в middleware.

Проблема кроется в заголовке x-middleware-subrequest, который используется для предотвращения рекурсивных запросов. Фреймворк отслеживает глубину рекурсии с помощью этого заголовка, и если она достигает порога 5 вызовов, middleware пропускается. Злоумышленник может просто добавить к своему запросу этот заголовок, искусственно указав максимальную глубину рекурсии, из-за чего редирект просто не выполнится, а запрос напрямую попадёт к защищённым маршрутам.

Уязвимость затрагивает Next.js приложения с версиями от 11.1.4, использующие запуск с опцией «output: 'standalone'». Разработчики выпустили патчи для популярных версий — рекомендуется обновиться немедленно.

Для тех, кто не может быстро обновиться, единственный выход — блокировать запросы с заголовком x-middleware-subrequest на уровне WAF.

НеКасперский

Лужа

Хакер заявил о краже 6 миллионов записей данных из Oracle Cloud, включая конфиденциальную информацию пользователей и доступ к ключам шифрования.

На BreachForums пользователь выложил образцы украденной информации, утверждая, что взломал Oracle Cloud. В качестве доказательства он загрузил текстовый файл на сервер Oracle))0) и даже потребовал выкуп в размере 100 тысяч XMR за информацию о способе взлома.

Среди похищенной информации есть зашифрованные пароли SSO, сертификаты Java Keystore, ключи и данные LDAP сотрудников компаний-клиентов.

Oracle категорически отрицает факт взлома, заявляя что «опубликованные учетные данные не относятся к Oracle Cloud». При этом компания не объяснила, как злоумышленник смог загрузить файл на их сервер, если взлома не было.

НеКасперский

Ошибка роутера

Утечка данных Keenetic оказалась масштабнее, чем сообщалось ранее. Скомпрометирована информация более 1 миллиона ваших вайфайчиков.

Согласно новым данным, в руки злоумышленников попало гораздо больше чувствительной информации: WiFi пароли в открытом виде, полные настройки устройств, логи сервисов и даже пометки о «пиратстве» пользователей. Хакеры с такими данными могут напрямую подключаться к сетям, перехватывать трафик и контролировать подключенные устройства без сложных методов взлома.

Телеграм-каналы сегодня пестрят заголовками о «крупнейшей утечке Keenetic», хотя производитель оценивает риск мошеннических действий как низкий)

Компания рекомендует всем пользователям, зарегистрированным до 16 марта 2023 года, срочно сменить пароли от устройств и WiFi сетей.

НеКасперский

Ничего святого

Специалисты вновь обнаружили хакеров, атакующих кубанойдов.

Нет, не жителей Кубани. В этот раз преступники додумались распространять малварь при помощи фейкового загрузчика ArcanaLoader для установки читов в Minecraft.

Как и в случае с анимешниками, атакующие публикуют видео с рекламой на YouTube. По классике жанра, под роликом прикреплён архив, содержащий стилер.

Но это ещё не верх фантазии. Помимо видеохостинга объявления публикуются и на созданном преступниками Discord-сервере с каналами, где часто мелькают ссылки на установку обновлений ArcanaLoader.

Стилер даёт возможность делать скриншоты экрана, выгружать учётные данные, сведения об устройстве, список запущенных процессов, системную и платёжную информацию.

Впервые проблему выявили в конце 2024 года. С того момента Arcane только эволюционировал, чего не скажешь о жертвах подобных атак 🤷🏻‍♂️

НеКасперский

Виноваты звёзды

Китайская APT15 совершила атаку на критически важные инфраструктурные и правительственные системы Ирана.

Об этом сообщили представители Центра стратегического управления кибербезопасностью при президенте Ирана. По их словам, после обнаружения нападения, хакерам быстро заблокировали доступ к ресурсам пострадавших организаций.

Подробности атаки и названия компаний-жертв не разглашаются, однако известно, что деятельность группировки часто нацелена на нарушение инфраструктуры безопасности, шпионаж и кражу конфиденциальной информации.

Местные эксперты полагают, что это первый случай, когда правительство Ирана выдвигает такие серьёзные обвинения против китайских хакеров без публикации весомых доказательств.

Уже предвкушаем «неочевидную» реакцию КНР 🤭

НеКасперский

Классика

Хакеры из Тайваня взломали ресурсы военных объектов, критически важных организаций и компаний частного сектора Китая.

По крайней мере, так говорят в Министерстве государственной безопасности КНР. Во всех бедах они обвиняют группировку PoisonIvy, якобы связанную Центром исследований и анализа сетевой среды при Командовании по информации, коммуникациям и радиоэлектронным силам Тайваня.

В качестве доказательств в МГБ обнародовали имена и фотографии четырёх человек, причастных к деятельности PoisonIvy. Среди них руководитель группировки, двое сотрудников и даже начальник того самого центра.

Власти Тайваня, конечно же, всё отрицают. Они утверждают, что все новости сфабрикованы для того, чтобы посеять хаос и оправдать нападения КНР на соседнюю «страну».

В случае с Китаем взаимные обвинения — это уже традиция. Ранее мы рассказывали о том, как они вынудили правительство США пойти на радикальные меры.

НеКасперский

Дорога ложка к обеду

Объекты критической инфраструктуры по всему миру страдают от SSRF-уязвимости в популярнейшей обёртке над ChatGPT.

Специалисты из Veriti в течение трёх месяцев фиксируют нападения на корпоративные сети организаций. По их словам, число атак превысило 10 тысяч в неделю.

Брешь позволяет вводить вредоносные URL-адреса во входные параметры, заставляя приложение делать несанкционированные запросы. В ходе атаки хакеры могут получить доступ к конфиденциальным данным и внутренним ресурсам организаций.

Код PoC-эксплойта хранится в открытом доступе, а уязвимость не требует аутентификации. Она представляет угрозу для 35% проверенных компаний из-за недочётов в конфигурации межсетевых экранов, а также неверно настроенных IPS и WAF.

Большая часть таких атак направлена на госсектор США. Помимо этого, нападения зафиксированы в Индонезии, Колумбии, Германии, Таиланде и Великобритании.

Как ни странно, о проблеме известно ещё с сентября 2023 года, но всем было всё равно.

НеКасперский

Честное роутерское

Компания по производству сетевого оборудования Keenetic сообщила о взломе своих баз данных.

В марте 2023 года исследователь предупредил организацию о возможной компрометации конфиденциальных сведений из базы мобильного приложения.

Тогда проблему быстро исправили, а образцы украденной информации удалили. По крайней мере, так заверил исследователь.

Однако 28 февраля 2025 года выяснилось, что часть украденных данных попала в руки неназванного СМИ. После чего в Keenetic решили уведомить пользователей о том, что под угрозой находятся все, кто зарегистрировался до 16 марта 2023 года.

Преступники могли получить доступ к именам учётных записей Keenetic, адресам электронной почты, настройкам устройств и ПО, логинам и паролям клиентов VPN и ещё кучу сетевых настроек пользователей.

В организации утверждают, что утечка не коснулась финансовой информации данных RMM, приватных ключей и других сведений.

НеКасперский

Не Lovit

Сотни тысяч жителей домов российского застройщика «Пик» остались без крыши над головой.

Всему виной масштабная DDoS-атака на провайдера Lovit, обслуживающего эти ЖК. Люди жалуются на проблемы подключением к мобильной связи, домашнему интернету и сбой работы домофонов, управление которыми осуществляется через мобильное приложение.

Чтобы попасть домой, жертвам пришлось обращаться за помощью к соседям и вызывать курьеров, у которых были ключи от подъездов.

Нападение на Lovit началось вчера в 12 часов по МСК и закончилось только сегодня в час дня. С трудностями столкнулись жители Москвы, Санкт-Петербурга и Нижегородской области.

В пострадавшей компании подтвердили факт случившегося и заявили, что в результате атаки были затронуты ключевые элементы инфраструктуры. Они пообещали оперативно восстановить работу систем, а затем также незамедлительно удалили опубликованное сообщение.

Отмечайтесь 👍🏼/👎🏼, у вас работает?

НеКасперский

Врезали

Исследователь взломал шифрование вымогателя Akira и опубликовал исходники своей утилиты для брутфорса.

Как бы это странно не звучало, но уязвимость вируса оказалась в механизме генерации ключей. Вредонос использует текущее время как сид для шифрования. Изучив бинарник, автор обнаружил, что для каждого файла создаётся уникальный ключ на основе четырёх временных меток, а затем применяется 1500 раундов SHA-256.

Для перебора возможных значений времени он задействовал батарею GPU, достигнув скорости около 1,5 миллиарда вариантов в секунду. Это позволило расшифровать VMDK-файлы с виртуалками ESXi без единого рубля выкупа.

Весь инструментарий выложен на GitHub. Ожидаемо, авторы вымогателя уже готовят обновлённую версию.

НеКасперский

На сухом пайке

Хакерская группа LabDookhtegan отключила системы связи 116 иранских судов, оставив их практически в информационной изоляции.

Атака парализовала коммуникационные сети 50 танкеров Национальной иранской нефтяной компании и 66 судов Исламской Республики Иран Шиппинг. По словам хактивистов, большинство из этих кораблей находится под международными санкциями, а их восстановление займёт несколько недель. В этот период суда смогут использовать только ограниченные методы связи, что серьёзно осложняет их навигацию и координацию.

LabDookhtegan заявляет, что целью операции было «ослепить режим» в разгар атак США на позиции хуситов в Йемене, которых Иран якобы снабжает боеприпасами через эти же суда.

Технические детали взлома морских коммуникационных систем остаются неизвестными. Предполагаем, что это могли быть это могли быть как и компрометация спутниковой VSAT-связи, так и атака на береговую инфраструктуру управления флотом.

НеКасперский

ПиПиАй

Обычно не пишем о фейковых репозиториях, но эти умудрились собрать более 14000 загрузок, прежде чем их удалили из PyPI.

Злоумышленники залили 20 поддельных библиотек, маскируя их под утилиты для работы со временем и клиентские SDK для облачных сервисов. Самыми популярными оказались acloud-client с 5496 загрузками, snapshot-photo с 2448 и enumer-iam с 1254.

Особенно неприятно, что эти пакеты были включены в зависимости GitHub-проекта accesskey_tools с 519 звёздами, что увеличило радиус поражения.

Вредоносный код позволял красть чувствительные данные, включая облачные токены доступа. Все найденные библиотеки уже удалены из PyPI, но осадочек остался.

НеКасперский

Укрпатруль

Проукраинские хакеры из Head Mare и Twelve объединили усилия для атак на российские организации.

Лаборатория Касперского обнаружила признаки сотрудничества двух хактивистских группировок. Так, в недавних инцидентах относительно молодая Head Mare использовала инструменты, ранее замеченные только у Twelve, включая бэкдор CobInt. Обе группы эксплуатируют общие C2-серверы с доменами вроде 360nvidia.com.

Преступники расширили арсенал проникновения, и теперь они не только используют фишинг с эксплойтами, но и компрометируют подрядчиков с доступом к бизнес-автоматизации. Для скрытия активности они маскируют вредоносные файлы под стандартные компоненты системы, например rclone под системный wusa.exe.
После проникновения хакеры шифруют данные с помощью LockBit 3.0 и Babuk без требования выкупа, ведь их цели политические и они стремятся полностью уничтожить данные и инфраструктуру своих жертв.

НеКасперский

Чебурнулись

По всей Сибири РКН умудрился заблокировать Cloudflare и Amazon, что привело к параличу множества сайтов и приложений.

В редакцию массово поступают сообщения от пользователей, которые не могут получить доступ к привычным сервисам. Технический анализ показывает типичный паттерн DPI-блокировок — пакеты, отправленные на узлы Cloudflare и AWS, уходят в чёрную дыру. Большинство современных веб-ресурсов использует эти платформы для CDN, проксирования и хостинга, а значит миллионы россиян лишились доступа к значительной части интернета.

Официальные лица, как обычно, заявляют о «неработоспособности иностранной серверной инфраструктуры» и рекомендуют переходить на отечественные хостинги. Знакомая песня — так же «сами сломалися» и YouTube, и многие другие сервисы из недружественных стран. Удивительно, как они работают во всём мире, но почему-то «выходят из строя» именно в российском сегменте сети.

А у вас работает львиная доля интернета, или тоже пришлось срочно поднимать VPN? 👍 / 👎

НеКасперский

Headache

В lua-nginx-module обнаружена уязвимость, позволяющая обойти защиту прокси и красть ответы других пользователей.

Суть проблемы в том, что модуль неправильно обрабатывает HEAD-запросы с телом, интерпретируя их как два отдельных запроса вместо одного. Когда такой запрос проходит через цепочку прокси, возникает расхождение в их интерпретации.

Уязвимость затрагивает не только сам OpenResty, но и популярные решения на его основе — Kong Gateway и Apache APISIX. Исследователь продемонстрировал, как с помощью этой бреши можно провести XSS-атаки, обойти защиту Cloudflare и перехватывать чужие ответы.

Разработчики уже выпустили патч, но учитывая распространенность OpenResty в высоконагруженных системах, многие сервисы все еще могут быть уязвимы.

НеКасперский

Брутед

Сектору бизнес-услуг угрожает новая система для автоматического проведения брутфорс-атак BRUTED.

Об этом стало известно, когда в сеть просочился дамп с внутренней перепиской участников Black Basta. В утечке содержались сведения о методах нападений, которые применялись группировкой с сентября 2023 по 2024 год.

В EclecticIQ выяснили, что преступники использовали BRUTED для взлома периферийных сетевых устройств, включая брандмауэры и VPN в корпоративных сетях. Эта система позволяла хакерам эксплуатировать повторно используемые или слабые учётные данные, чтобы упростить первоначальный доступ к сетям компаний-жертв.

Платформа использовала большой список прокси-серверов SOCKS5 с незаурядным, как вы видите, доменом. Она способна сканировать Интернет и генерировать дополнительные варианты учётных данных.

Фреймфорк был нацелен на Microsoft RDWeb, SonicWall NetExtender, Palo Alto GlobalProtect, Fortinet SSL VPN, WatchGuard SSL, Citrix NetScaler и другие технологии, популярные на западе.

НеКасперский

Время пошло

Нарушить права человека хотят в Минцифры, чтобы попытаться как-то остановить деятельность мошенников.

Ассоциация разработчиков программных продуктов «Отечественный бизнес» бьёт тревогу из-за проекта по созданию государственных информационных систем для противодействия правонарушителям, принятого Госдумой вчера в первом чтении.

Изменения коснулись десятков действующих законов и нормативно-правовых актов. Нововведения предусматривают возможность прослушивать и записывать разговоры граждан РФ. А собранные данные же планируют хранить на единой антифрод‑платформе неких векторов голосов мошенников. Базу будут использовать операторы связи для блокировки сомнительных звонков.

В АРПП заявили, что такие поправки являются прямым нарушением Конституции и закона «О персональных данных». По их словам, маркировать мошенников должны не технические системы, а суды или правоохранительные органы.

Отдельно упомянули и риск попадания в базу сгенерированных записей, голоса из которых могут принадлежать невинным людям. В новом проекте не предусмотрен механизм оспаривания ложной маркировки. Если голос невинного пользователя попадёт в эту базу по ошибке, он не сможет звонить и будет считаться мошенником. Минус социальный рейтинг 🇨🇳📉

В общем, недочётов много. Учитывая, что второе чтение назначено на 25 марта, на внесение поправок у ведомства остаётся всего неделя.

НеКасперский

Шорткат разведка

11 APT-группировок с 2017 года атакуют через обычные ярлыки Windows, скрывая ссылки на вредоносные скрипты за невидимыми символами.

Уязвимость кроется в отображении содержимого поля target у .LNK файлов. злоумышленники маскируют опасный код с помощью символов перевода строки «\x0A» и возврата каретки «\x0D». Когда пользователь проверяет свойства такого ярлыка, Windows не показывает спрятанные команды в поле «Объект». Среди активных эксплуататоров этой техники группировки из Северной Кореи, Ирана, России и Китая.

Северокорейские хакеры особенно изобретательны, создавая непривычно огромные .LNK файлы для обхода детекта, они используют файлы со средним размером 3 МБ, а максимум доходит до 70 МБ.

Microsoft классифицировала проблему как «низкоприоритетную» и не собирается выпускать патч, несмотря на почти 1000 выявленных вредоносных образцов, которые эксплуатируются уже более 8 лет.

НеКасперский

PUT мне привилегий

В Apache Tomcat обнаружена критическая уязвимость, позволяющая удалённо выполнять код через обычный PUT-запрос.

Суть проблемы в том, что Tomcat создаёт временные файлы на основе пользовательского пути, заменяя разделители директорий на точку. Это нарушает изоляцию данных и злоумышленник может обращаться к папкам выше по иерархии, просто подставив точки в свой запрос. В результате он может внедрить вредоносный код или похитить чувствительные данные, если у вас включен режим записи для DefaultServlet и активна поддержка partial PUT.

В самом опасном сценарии, когда Томкат использует файловое хранение сессий, атакующий может загрузить сериализованный объект прямо в хранилище и выполнить произвольный код при десериализации.

Эксплойты уже гуляют по сети, а количество уязвимых серверов исчисляется миллионами. Если ваша инфраструктура на Томкате — срочно обновляйтесь.

НеКасперский

Подождали и хватит

Игровая блокчейн платформа WEMIX потеряла $6,1 млн в результате хакерской атаки, о которой руководство сообщило лишь спустя неделю после инцидента.

Взлом произошёл 28 февраля, когда злоумышленники похитили 8,6 млн токенов WEMIX через скомпрометированные ключи аутентификации NFT-платформы NILE. По версии компании, хакеры завладели ключами из общего репозитория, куда их загрузил разработчик для удобства работы. После двухмесячной подготовки они выполнили 13 успешных транзакций, мгновенно обналичив украденное через криптобиржи.

CEO объяснил задержку с оповещением опасениями вызвать панику на рынке и риском дополнительных атак. Сейчас WEMIX находится офлайн — команда мигрирует всю инфраструктуру в новую, более защищённую среду.

Развлекаются с фантиками? 😇

НеКасперский